„Cybersecurity, Digitale Transformation, IT und Telekom müssen gesamtheitlich betrachtet werden!“ Dieser Überzeugung wird man bei Österreichs größtem Stromerzeuger, dem Verbund organisatorisch gerecht, indem die Verantwortlichkeiten gebündelt sind unter der Leitung von Confare #CIOAWARD Preisträger Thomas Zapf. Beim Energieversorger spielt der Bereich Cybersecurity eine entsprechend wichtige Rolle. Keiner wünscht sich eine Hackermanipulation. Im Interview geht es um die organisatorischen und technischen Voraussetzungen bei Security im Unternehmen.
Thomas Zapf und mehr als 500 weitere hochkarätige IT-Professionals treffen Sie auf dem Confare #CIOSUMMIT, Österreichs größtem und wichtigsten IT-Management Treffpunkt. Ein spannendes, vielfältiges und zukunftsweisendes Konferenzprogramm erwartet Sie – unter anderem mit Bestsellerautor Prof. Thomas Köhler zu: Chefsache Cybersicherheit. Anmeldung hier.
Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
Die Analysen in unserem Security Operation Center, die täglichen Berichte über Cyberangriffe in den Medien und auch der direkte Erfahrungsaustausch mit anderen Unternehmen zeigen uns, dass nur eine gut aufgestellte Security uns vor ungeplanten Ausfällen und, damit einhergehenden, sehr hohen Kosten und Folgeschäden schützen kann. Dabei muss uns aber eines klar sein: Hundertprozentige Sicherheit gibt es nicht, in diesem Bereich wird es sich immer um ein Kräftemessen handeln, selbst wenn extrem hohe Summen in Security investiert werden. Wenn aber der Angreifer deutlich mehr Ressourcen zur Verfügung hat als ich selbst, wird er irgendwann auch erfolgreich mit einem Angriff sein.
Unternehmen müssen ihre interne Security daher sehr gründlich, nachhaltig und sehr gewissenhaft auf die Beine stellen. Es reicht, wenn eine einzige Schwachstelle übersehen wird. Die Hacker-Community wird diese finden und auch ausnutzen. Es ist nur eine Frage der Zeit. Angreifer gehen sehr häufig den Weg des geringsten Widerstandes. Finden sich in einem anderen Unternehmen sehr schnell „Low hanging fruits“, werden die Angreifer ihre Ressourcen eher auf das vielversprechendere Ziel konzentrieren. 
Wir merken aber auch immer stärker, dass das Bewusstsein für Cybersecurity in der Gesellschaft angekommen ist. Dafür mitverantwortlich sind viele Investitionen in Awareness-bildende Maßnahmen und Mitarbeiter:innen-Trainings bei den Unternehmen. Der stabile Betrieb von Produkten und Leistungen und die hinsichtlich Security erfolgte Absicherung der angebotenen Services wird daher von einer sehr großen Mehrheit erwartet. Kaum jemand zeigt Verständnis, wenn ein Unternehmen erfolgreich angegriffen und bspw. Kundendaten gestohlen wurden. Das heißt, Cybersecurity, Datenschutz und Security Awareness sind in keinem Unternehmen mehr wegzudenken.
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?
Ich beziehe mich hier sehr gerne auf die Fachliteratur, in der man sehr häufig den Hinweis auf das magische Dreieck Mensch, Technologie und Organisation bzw. Prozesse findet. Ich kann unzählige technische Maßnahmen aufbauen und in Technologien zur Erkennung und Abwehr investieren. Aber wenn die Kolleg:innen mit den dahinterliegenden Prozessen nicht vertraut sind, helfen auch die besten Tools und Werkzeuge nichts. Am wichtigsten bleibt daher immer der Faktor Mensch.
Ich muss Expert:innen mit sehr umfangreicher Erfahrung im Team haben, um im Ernstfall richtig reagieren zu können. Zusätzlich muss jede:r Mitarbeiter:in einen aktiven Beitrag im Unternehmen leisten und sehr verantwortungsvoll mit neuen Technologien umgehen, egal ob es sich dabei um die Nutzung von Cloud Services oder Server- bzw. Applikationsressourcen handelt.
Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?
Zuallererst muss Bewusstsein dafür geschaffen werden, dass die Cloud ganz andere Ansätze mit sich bringt als traditionelle On-Premise Lösungen. Cloud Services bzw. Lösungen aus der Cloud benötigen andere Architekturen und neue Erkennungsmechanismen. Für mich sind hier auch die Hersteller ganz klar in der Pflicht. Sie müssen neue Lösungen liefern, die Komplexität reduzieren und nicht erhöhen. Wir sehen derzeit, dass sich hier bereits einiges tut. Allerdings dürfen wir unsere eigenen Hausaufgaben nicht vernachlässigen, wir müssen die neue Komplexität in hybriden Cloudumgebungen sehr gut und aktiv managen.
Cloud- und Managed Services werden in der Zukunft eine sehr wesentliche Rolle spielen. Daher ist es umso wichtiger, dass auch die eigenen Mitarbeiter:innen bestmöglich darauf vorbereitet sind. Weiterbildung, kontinuierliche Trainings und ein übergreifender Informationsaustausch liefern daher in der doch sehr kurzlebigen Welt einen essentiellen Beitrag, um ein stabiles Fundament für einen sicheren Betrieb aufzubauen.
Welche organisatorischen Maßnahmen sind erforderlich, um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Ich verfolge immer den Ansatz „Nur durch eine sehr gute und interdisziplinäre Zusammenarbeit sind wir stark“. Gerade in der Security ist es für viele im Alleingang kaum möglich, den Überblick über alle aktuellen Gefahren und Bedrohungen zu behalten. Eine Lösung hierfür bilden regelmäßige Austauschrunden mit anderen Unternehmen und Organisationen.
Als VERBUND sind wir bereits Teil von Kooperationsgemeinschaften. In einer geschützten und vertraulichen Umgebung kann hier offen über Vorfälle gesprochen und voneinander gelernt werden. Auch unabhängig davon sind unsere Security-Experti:innen in einschlägigen Communities sehr aktiv. Zusätzlich ist es auch essenziell, sich ein sehr gutes Netzwerk an Partnern in diesem Bereich aufzubauen. Dadurch erkennen wir viele Gefahren, bevor diese durch die Medien wandern und können entsprechende Gegenmaßnahmen vorab setzen.
Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?
In meinem Bereich sind die CDO-, CIO- und die CISO-Rolle gebündelt und wir sind hier als Team sehr erfolgreich. Dies ermöglicht uns aktuell eine vollumfassende Sicht auf die notwendigen Architekturthemen, bei denen ein sehr risikobasierter Ansatz an oberster Stelle steht. Wir müssen unseren Datenschatz, oft auch Kronjuwelen genannt, identifiziert haben und diesen als erstes schützen. Danach wird die Cybersecurity-Architektur wie ein Zwiebelschalensystem um die gesamte Infrastruktur aufgebaut.
Als CDIO muss ich darauf achten, dass die richtigen Werkzeuge am richtigen Ort und vor allem effizient zum Einsatz kommen. Dabei gilt auch, diese regelmäßig neu zu bewerten und gegebenenfalls auch zu ersetzen. Bei der Evaluierung muss auch immer die gesamte Abdeckung bzw. Bebauung mitbetrachtet werden. So können neue Lücken oder blinde Flecken sehr schnell identifiziert und beseitigt werden.
Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?
Ich empfehle hier zuerst die eigenen Businessmodelle und die dahinterliegenden Prozesse zu identifizieren und anschließend auch entsprechend zu bewerten, wo es Verbesserungen geben kann. Erst danach suche ich gezielt nach externen Dienstleistungen, die dieses unterstützen können. Natürlich kann man sich durch allgemeine Präsentationen und verschiedene Security-Veranstaltungen durchaus kreativen Input holen – ich rate allerdings, die Services nach den Bedürfnissen zu suchen und nicht umgekehrt.
Die Fülle an Angeboten ist mittlerweile zu groß, um sich alles im Detail anschauen zu können. Dann lieber fokussiert und detailliert auf das, was das Unternehmen tatsächlich benötigt.
Was ist notwendig, um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Wie so vieles im Leben gehört auch der Ernstfall geübt. Krisenübungen helfen dabei, Prozesse im Ablauf zu trainieren, damit bei einem wirklichen Incident/Ernstfall möglichst wenige Reibungsverluste durch Kommunikation und Prozessfehler entstehen. So werden allerdings auch potenzielle Schwachstellen im Ablauf aufgezeigt, die dann gleich in den weiteren Verbesserungsmaßnahmen berücksichtig werden können.
Aber auch hier gilt, dass man auch bei einem echten Angriff nicht davor zurückschrecken darf, sich externe Unterstützung zu holen. Die dadurch entstehenden Kosten wiegen die potenziellen Kosten durch einen weiteren Schaden in der Regel deutlich auf. Dabei ist es aus meiner Sicht wichtig, dass man sich die Unterstützungsleistungen auch vorab vertraglich zusichern lässt. Es passiert nicht selten, dass Unternehmen erst nach einem erfolgreichen Angriff bei den externen Spezialist:innen anfragen, um dann von denen vertröstet zu werden, da natürlich andere Kunden mit fixen Verträgen bevorzugt behandelt werden müssen und dort meist auch gerade ein Incident im Gange ist. Security Personal ist intern wie auch extern eine absolute Mangelware, auch aufgrund von fehlenden Expert:innen am Markt.
Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?
Die Awareness für Cybersecurity und auch für Investitionen ist im Top-Management stark angewachsen. Es ist aber trotz vieler Medienberichte über Cybersecurity-Vorfälle wichtig, sehr verständlich über die aktuelle Bedrohungslage im eigenen Unternehmen mit dem Top-Management zu sprechen und zusätzlich natürlich auch das Risiko mit Eintrittswahrscheinlichkeiten in diesem Bereich bewertet zu haben. Ohne diese Bewertung keine Mittel und ohne Informationssicherheit keine Digitalisierung.