Helmut Waitzer ist CIO von Wolf Theiss und ausgewiesener GRC Experte. In Vorbereitung des neuen Cyber Security Factsheets 2021, das Confare in Zusammenarbeit mit T-Systems veröffentlicht, wollten wir von Helmut wissen, was man 2021 als CIO rund um rechtliche Entwicklungen und Cyber Security Trends beachten sollte.
Aktuellen Austausch zu GRC Trends an Hand von Praxisbeispielen gibt es auf Österreichs wichtigstem IT-Treffpunkt, dem Confare #CIOSUMMIT 2021 oder im Rahmen des Digitalen Confare CIO ThinkTanks.
Welche Fragen sollte man sich im Cloud-, Remote und Social Media Zeitalter rund um Infrastruktur und Netzwerk stellen, wenn es um Cyber Security geht?
Es haben sich 2 wesentliche Angriffsmotive herauskristallisiert: Datendiebstahl und/oder Erpressung von Lösegeld. Die Frage dazu ist, auf welchen Wegen ein unberechtigter virtueller Zutritt ins Unternehmen erfolgen kann um dies zu erreichen. Auf der einen Seite gibt es hochgerüstete Security Appliances, auf der anderen Seite bleibt das schwächste Glied der Kette der Mensch. Dieser wird durch einen unbedachten Klick einer nicht erkannten Fake-E-Mail-Handlanger eines Angreifers um Schadcode in das Unternehmen zu schleusen. Die Attacken werden mittlerweile verschärft, indem verschlüsselte Malware in Form von Fakedateien übertragen und erst durch den End User entschlüsselt werden. Sofern im Unternehmensnetzwerk externe, unbekannte verschlüsselte Dateien zugelassen sind, ist der schädliche Inhalt für die vorgelagerten Security Appliances nicht als solcher erkennbar. Aus diesem Grund sollte man sich die Frage stellen ob bereits eine hochwertige Endpoint Protection eingesetzt wird, da diese als Rettungsanker im Fall des Falles essentiell werden kann. Oft wird nur der E-Mail-Verkehr und dessen Gefahren betrachtet, jedoch kann Malware auch über Messenger, Social Media Plattformen, Filesharing und/oder Collaboration Plattformen übertragen werden. Da auch hierbei der Faktor Mensch eine große Rolle spielt, ist die Frage zu stellen, inwieweit Userrechte in Bezug auf Datenaustausch eingeschränkt werden müssen – dies nur auf Emails zu beziehen ist mittlerweile zu wenig. Der Arbeitsort bzw. das Gerät darf aus Sicht der Security keinen Unterschied mehr machen.
Wie kann man sich den nötigen Überblick über Cyber-Risiken und Schwächen verschaffen?
Im Unternehmen, durch regelmäßige interne und externe Penetration Tests und Schwachstellenanalysen. Aufgrund der Datenschutzgrundverordnung sollte ohnehin jedes Unternehmen ein vollständiges Verzeichnis der Verarbeitungstätigkeiten und damit der eingesetzten Applikationen zur Verfügung haben. Durch die immer stärker werdende Nutzung externer (Cloud) Services sind auch deren Anbieter miteinzubeziehen. Die zunehmende technische Fragmentierung der Anbieter und deren, zwecks Usability und Prozessverbesserung, zu verknüpfenden Applikationen, bzw. Services, bildet eine nicht zu unterschätzende Schwachstelle in Bezug auf den Datenaustausch zwischen diesen. Dieser findet nicht mehr wie in früheren Zeiten im eigenen abgeschotteten Datacenter statt, sondern irgendwo zwischen den Clouds in der Cloud…
Ein weiterer Punkt ist “Shadow IT” – diese lässt sich gut mittels Application Firewalls analysieren und gegebenenfalls blocken um das Risiko auf ein Minimum zu reduzieren.
Was sind 2021 die größten Herausforderungen bei der IT-Compliance?
Eine große Herausforderung ist sicherlich jene durch die Schrems II Entscheidung (aufgehobener Privacy Shield) des EuGH, Cloudservices dennoch im rechtlich korrekten Rahmen nutzen zu können. Es gibt dazu bereits Lösungsvorschläge vom Europäischen Datenschutzausschuss, bis dahin müssen wir noch auf neue Standardvertragsklauseln warten – es bleibt spannend.
Neben der rechtlichen Herausforderung bleibt für mich der Klassiker “Usability vs. Security” auch 2021 aktuell. Der Reiz, neue Applikationen durch die geänderte Arbeitswelt rasch einzusetzen ist durch Lösungen aus der Cloud sehr hoch. Oft wird dieser durch Druck seitens der End User verstärkt. Dies darf jedoch nie zu Lasten der Security gehen.
Was braucht es, um eine ganzheitlichen Governance, Risk & Compliance Betrachtung zu erhalten?
Zu akzeptieren, dass es dazu anerkannte Frameworks gibt, nach denen man sich, auch wenn nicht unbedingt zertifiziert, richten sollte. Gerade in der heutigen Zeit darf man sich keine Kompromisse mehr leisten.
Welche organisatorischen Maßnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Unabhängig von der Größe des Unternehmens ein gelebtes Security Incident Management – dazu regelmäßige (automatisierte) Schwachstellenanalysen. Alle gewonnen Daten müssen zentral gesammelt und überwacht werden.
Was sind die entscheidenden Faktoren für eine Cyber Resilienz?
Eine dem Stand der Technik entsprechende Security Lösung und vor allem Mitarbeiter Security Awareness – Training, Training, Training!
Welche Maßnahmen können dazu beitragen sich vor noch unbekannten Bedrohungen zu schützen?
Mitarbeiter Training, Einsatz von AI basierten verhaltenssensiblen Security Appliances. Spannend hierbei ist auch die Vernetzung verschiedener Security Systeme mit Hilfe von BigData – Jede Security Lösung hat ihre Stärken, daher ist eine Kombination aus mehreren, verschiedener Anbieter besser.
Nachhaltigkeit, Leadership, Collaboration, Data-Driven Business, Cyber Security, Kulturwandel sowie die wichtigsten IT-Management Events im DACH-Raum. Wir halten Sie auf dem Laufenden.
