»Angriffe werden personalisierter«

Ingrid Schaumüller-Bichl, renommierte IT-Security-Expertin der FH OÖ und Leiterin des OCG-Arbeitskreises IT-Security, spricht im Interview über aktuelle Bedrohungen und empfiehlt Schutzmaßnahmen wie die ISO/IEC 27001 Zertifizierung. [...]

Stichwort Bedrohungen: WannaCry war in aller Munde, Ransomware Attacken mehren sich. Wie sehen Sie diese Entwicklung und wie können sich Unternehmen davor schützen?
Wir sehen nicht nur eine Zunahme in der Zahl der Angriffe, sondern auch eine vermehrte Personalisierung von Angriffen, etwa von Phishing-Attacken, die immer stärker auf ein bestimmtes Zielobjekt zugeschnitten werden, sowie Targeted Attacks bzw. Advanced Persistent Threats, kurz APTs.  Zur Gewährleistung von Sicherheit braucht es immer einen Mix aus technischen, organisatorischen und personellen Maßnahmen. Technische Sicherheitsmaßnahmen wie Virenschutz, Zwei-Faktor-Authentisierung, Verschlüsselung oder elektronische Signaturen sollten heute eigentlich schon Standard sein. Wichtig ist es auch, in punkto Schutz immer up to date zu bleiben, so werden etwa AI-basierte Methoden zur raschen Erkennung neuer Angriffe eingesetzt. Und schließlich braucht es auch verstärkte Awareness-Maßnahmen, denn die besten technischen Sicherheitsmaßnahmen nützen nichts, wenn nicht jeder einzelne Mitarbeiter sicherheitsbewusst handelt.

Inwiefern werden Bedrohungen zunehmen, was erwarten Sie für das kommende Jahr 2018?
Wir erleben heute schon eine Zunahme von weltweiten Cyberangriffen auf Konzerne und Netzwerke, und es ist zu erwarten, dass sich dieser Trend verstärken wird, auch auf staatlicher und gesellschaftlicher Ebene. Ich stimme EU-Präsident Juncker zu, der kürzlich in seiner »State of the Union Address 2017« sagte: »Cyber-Attacken können für die Stabilität der Demokratie und Wirtschaft gefährlicher sein als Gewehre und Panzer. Cyber-Angriffe kennen keine Grenzen und niemand ist dagegen immun.«

Es gibt ja verschiedenste Normen und Zertifizierungen für IT-Security und BCM (Business Continuity Management). Welche davon empfehlen Sie Unternehmen?
Generell halte ich Normen und Zertifizierungen für ganz wichtige Instrumente zur Professionalisierung und Qualitätssicherung in einem Sektor. Im Information-Security-Bereich hat sich zweifellos ISO/IEC 27001 als der internationale Standard etabliert.  Ergänzend zu den Basisanforderungen gibt es in der »ISO/IEC 27001 Familie« sektorspezifische Standards, die wertvolle Vorgaben für spezifische Anwendungen oder Bereiche  geben, wie etwa ISO/IEC 27018 zum Thema datenschutzrechtliche Anforderungen für Cloud-Dienstleister. Im Business Continuity Management ist ISO 22301 das Pendant zu ISO/IEC 27001, wenn auch noch nicht so verbreitet.
Im Datenschutzbereich fördert die EU ausdrücklich den Einsatz von datenschutzspezifischen Zertifizierungen und Gütesiegeln. In diesem Zusammenhang finde ich besonders die derzeit laufenden Arbeiten an einem neuen ISO-Standard, nämlich ISO/IEC 27552, interessant. Dabei handelt es sich um eine Erweiterung und Ergänzung der ISO/IEC 27001 um Datenschutz-Management und datenschutzspezifische Controls.

Im Mai 2018 tritt die neue DSGVO in Kraft. Was sind aus Ihrer Sicht hier die wichtigsten Neuerungen und wie müssen sich Unternehmen vorbereiten?
Die DSGVO stellt einen wichtigen Schritt in der Modernisierung des europäischen Datenschutzrechts dar. Sie bringt neben der Ausweitung der Rechte der Betroffenen und der Pflichten der Verantwortlichen sowie einer massiven Verschärfung von Geldbußen vor allem auch eine erhöhte Selbstverantwortung der betroffenen Institutionen. Mit der DSGVO kommen auch eine ganze Reihe neuer technischer und organisatorischer Anforderungen auf Unternehmen, Behörden und andere Institutionen zu. Informationssicherheit bekommt einen noch größeren Stellenwert. Es besteht kein Grund zur Panik, aber jede Organisation sollte dringend ihre Hausaufgaben in Angriff nehmen. Dazu gehören die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, die Anpassung der internen Prozesse im Unternehmen an die DSGVO – beispielsweise für Auskunftserteilungen oder Data Breach Notification – und die Prüfung von  Verträgen, Anwendungen sowie Webseiten auf Konformität mit der DSGVO. Im Sicherheitsbereich werden vor allem die Risikoabschätzung und die durchgängige Dokumentation der Sicherheitsmaßnahmen wichtig sein.

Welchen Nutzen haben Unternehmen von einer ISO/IEC 27001 Zertifizierung, die ja von der Österreichischen Computer Gesellschaft (OCG) aktuell angeboten wird?  

Zunächst werden damit intern im Unternehmen Abläufe verbessert, damit wird eine optimierte IT- und Informationssicherheit realisiert. Nach außen bedeutet ein Zertifikat ein wichtiges Zeichen  gegenüber Partnern und Kunden in Bezug auf Vertrauenswürdigkeit und Qualität. Wichtig ist: Die ISO/IEC 27001 Zertifizierung macht nicht nur für große Unternehmen, sondern auch für kleinere Organisationen Sinn. Die Maßnahmen müssen immer risikogerecht und angemessen sein, das heisst sie können entsprechend für kleine Unternehmen angepasst werden.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*