Ohne Digitale Sicherheit gibt es auch kein Digitales Business, das ist die Überzeugung bei VERBUND, Österreichs größtem Stromerzeuger. Deshalb sind diese beiden Bereiche auch organisatorisch stark verknüpft und werden von Confare #CIOAward Preisträger Thomas Zapf geleitet. Als kritische Infrastruktur sind die Anforderungen an das Unternehmen hoch. Mit dem NIS-Gesetz haben sich diese auch noch verschärft.
Aber auch die Maßnahmen zur Bekämpfung der Covid-19 Pandemie betreffen VERBUND, denn zahlreiche Mitarbeiter und Mitarbeiterinnen arbeiten im Home-Office. Das hat wesentliche Auswirkungen das Thema Cyber Security und den Umgang mit Unternehmensdaten, sagt Thomas Zapf im Zuge unserer Recherche für das kommende Confare Factsheet „Cyber Security Update 2021“ in Zusammenarbeit mit T-Systems.
Wenn Sie keines unserer Factsheets verpassen wollen, abonnieren Sie einfach den Confare Newsletter. Wollen Sie an unseren Publikationen oder bei den Digital Confare CIO ThinkTanks mitwirken, melden Sie sich gerne bei melanie.vacha@confare.at
Welche Fragen sollte man sich im Cloud, Remote und Social Media Zeitalter rund um Infrastruktur und Netzwerk stellen, wenn es um Cyber Security geht?
Mit der steigenden Integration in die Cloud und dem intensiveren Nutzen des Home-Office ändert sich auch die traditionelle und zentralistische Sichtweise auf die IT-Infrastruktur und das Arbeiten mit dieser. Diesbezüglich stellen sich vor allem die Fragen „Wie muss die jahrelang gelebte und gut erprobte Arbeitsweise angepasst werden, sodass weiterhin die Sicherheit gewährleistet ist?“, „Sind meine Vorgaben und Richtlinien mit der neuen Technologie zu vereinen oder müssen diese auch adaptiert werden?“ „Wie kann die Sichtbarkeit auf Datenströme auch außerhalb meiner eigenen IT-Infrastruktur aufrecht erhalten bleiben?“. Wir sehen aber auch immer mehr, dass es Benutzerinnen und Benutzern gerade aus dem privaten Umfeld gewöhnt sind, schnell und unkompliziert Clouddienste zu nutzen. Häufig wollen sie diese dann auch im Unternehmensumfeld zur Verfügung gestellt bekommen und melden sich ohne böse Absicht mit Firmendaten bei SaaS Lösungen an. Damit ergeben sich oft zusätzliche Herausforderungen, die Fragen bezüglich des Umgangs mit Shadow Cloud und Shadow Services aufwerfen. Aber auch der Datenschutz rückt immer weiter in den Vordergrund. Dazu müssen Prozesse geschaffen werden, die gewährleisten, dass Unternehmens- und personenbezogene Daten nicht unkontrolliert und entgegen der EUDSGVO den europäischen Raum verlassen. Zusätzlich muss man sich auch die Frage stellen, wie die Awareness darüber effizient bei den Mitarbeiterinnen und Mitarbeitern erhöht werden kann.
Wie kann man sich den nötigen Überblick über Cyber-Risiken und Schwächen verschaffen?
Unsere eigenen Security Expertinnen und Experten investieren viel Zeit in das Beschaffen von Informationen. Dies ist absolut notwendig und gleichzeitig nicht zu unterschätzen. Eine große Anzahl an verschiedenen IT-Systemen von unterschiedlichen Herstellern erhöht logischerweise die Angriffsfläche. Gleichzeitig ist es schwierig, bei den vielen Quellen zeitgerecht alle Informationen über Schwachstellen zu erhalten. Eine Vernetzung untereinander ist daher essentiell. Spezialistinnen und Spezialisten regional aber auch weltweit tauschen Informationen aus und warnen sich gegenseitig vor potenziell bevorstehenden Angriffen oder vor Veröffentlichungen von Schwachstellen. In einschlägigen Foren und Onlinemedien aber auch in Netzwerken, in denen sich Unternehmen zusammenschließen wird sehr schnell vor aktuellen Cyber-Risiken gewarnt. Die Zeit ist dabei von besonderer Bedeutung: Wird beispielsweise eine neue Schwachstelle bekannt – wie unlängst in Microsofts Exchange Server – muss sehr schnell gehandelt werden. Wartet man bis zur Beseitigung auf eine Veröffentlichung in den Mainstream Medien, ist es häufig schon zu spät. Die Bekanntmachung dort dauert nämlich oft einige Tage, während der Angreifer nur wenige Stunden benötigt um das System zu übernehmen und der Infrastruktur erheblichen Schaden zuzufügen. Ich kann daher nur jedem empfehlen sich den Netzwerken anzuschließen und sich untereinander offen auszutauschen.
Was sind 2021 die größten Herausforderungen bei der IT-Compliance?
Das bereits 2018 in Kraft getretene NIS-Gesetz hat wesentliche Auswirkungen auf VERBUND und beschäftigt uns auch im Jahr 2021 intensiv. Seit Sommer 2020 ist VERBUND als Betreiber wesentlicher Dienste per Bescheid identifiziert, somit zur Einhaltung von rechtlichen Vorgaben verpflichtet und muss diese Einhaltung im Rahmen von Überprüfungen nachweisen. Aber auch das Thema Home-Office steht auch heuer noch im Mittelpunkt. Wir konnten Dank umfangreichen Vorarbeiten in den letzten Jahren, sehr schnell und ohne Einschränkungen im Jahr 2020 auf die neue Situation reagieren, nun müssen aber auch in Ruhe klare Vorgaben und Regelungen für die IT-Compliance geschaffen werden.
Was braucht es, um eine ganzheitlichen Governance, Risk & Compliance Betrachtung zu erhalten?
Wir haben die Verantwortung für Digitalisierung Informationssicherheit und IT gebündelt. Dadurch ergibt sich eine ganzheitliche Sicht wodurch wir die domänenspezifischen Themenbereiche ausbalancieren können und Reibungsverluste bestmöglich vermieden werden.
Mit dem Confare NEWSLETTER am neuesten Stand bleiben und die Ergebnisse der Umfrage erfahren. Gemeinsam.Besser.Informiert
Welche organisatorischen Maßnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Aus organisatorischer Sicht bildet ein zentrales ISMS den ersten Anlaufpunkt. Dieses muss dabei lebendig gehalten und ständig weiterentwickelt werden, aber sich auch wie ein Schirm über alle Bereiche eines Konzerns oder Unternehmens spannen. Aktuell arbeiten wir dazu am Ausbau unsere Security Architektur und adjustieren das Zusammenspiel zwischen dieser und dem ISMS. Aber auch das Security Operation Center liefert einen wertvollen Input in dem es die technischen Maßnahmen steuert und gleichzeitig Daten auswertet und als Grundlage für Entscheidungen dem ISMS liefert.
Was sind die entscheidenden Faktoren für eine Cyber Resilienz?
Eine gute und ständige Übersicht über die eigene Infrastruktur und das Bewusstsein über seine Kronjuwelen stellen die wichtigsten Faktoren dar. Nur wenn ich weiß, was es zu schützen gilt, habe ich auch eine tatsächliche Chance einen effektiven Schutz aufzubauen. Nur so können begrenzte Ressourcen risikobasiert und intelligent eingesetzt werden, um sich gegen die Bedrohungen zur Wehr zu setzen. Für den Ernstfall gilt es dann schnell handlungsfähig zu sein. Hier müssen dann alle Beteiligten reibungslos zusammenspielen. Notfallpläne und Runbooks, die regelmäßig trainiert und durchgespielt werden, sind mindestens genauso wichtig wir der proaktive Schutz über diverse Security-Applikationen und Systeme.
Welche Maßnahmen können dazu beitragen sich vor noch unbekannten Bedrohungen zu schützen?
Eine Mischung aus technischen Maßnahmen und dem Aufruf an alle Mitarbeiterinnen und Mitarbeitern mitzuwirken ist hier der Schlüssel zum Erfolg. Durch die Auswertung von Datenströmen oder Verhaltensweisen von Applikationen bewertet durch eine Threat Intelligence, können schnell Anomalien und damit potentielle Angriffe erkannt werden. Aber auch die Kolleginnen und Kollegen werden in einem Awareness Programm dazu angehalten, jegliche Art von ungewöhnlichem Verhalten aufzuzeigen. Das reicht vom Melden eines „schwarzen Fenster,“ das nur kurz am Bildschirm zu sehen war, aber auch wenn aus Versehen doch einmal ein Link in einer komischen E-Mail angeklickt wurde. Wichtig ist dabei, immer wieder in Erinnerung zu rufen, dass wir nur gemeinsam eine Chance haben uns vor den potentiellen Gefahren zu schützen.