Die Security-Schraube wird enger

Die "nationale IKT-Sicherheitsstrategie Österreich" forciert Informationssicherheit nach Standards wie ISO 27001 für viele Branchen als heimische Antwort auf den Cyberwar. Durch die Sicherheitsstrategie könnten wichtige Branchen wie Energie, Gesundheit, Transport oder Banken gesetzlich zu Informationssicherheit verpflichtet werden. Im Interview mit der COMPUTERWELT spricht Erich Scheiber, Geschäftsführer der Zertifizierungsgesellschaft CIS, über die geänderten Rahmenbedingungen. [...]

Computerwelt: Herr Scheiber, welche einschneidenden Ereignisse formen neue Trends in der IT- und Informationssicherheit?
Erich Scheiber:
Global gesehen sind dies die Cyber-Attacken durch das Flame-Virus im vergangenen Sommer. Diese richteten sich gegen hunderte Unternehmen und Regierungseinheiten im Nahen Osten und haben eine neue Ära des Cyberwar ein­geläutet. Denn erstmals zielte ein militärischer Virus-Angriff in diesem Ausmaß auch auf zivile Unternehmen. Weltweit wird diskutiert, dass durch komplexe Schadsoftware wie Flame oder das Vorgänger-Modell Stuxnet de facto ganze Wirtschaftszweige eines Landes gezielt lahm­gelegt werden könnten. Dadurch erhält das Thema Informationssicherheit eine völlig neue Dimension für Unternehmen in kritischen Branchen.

Welche Reaktionen zeigt Österreich auf den Cyberwar?
Technologisch sind Cyber-Angriffe auf Unternehmen potenziell deshalb möglich, weil heute ein Großteil der Industriesteuerungen IP-basierend und damit per se angreifbar ist. Österreich begegnet diesen Gefahren wirtschaftspolitisch mit der Nationalen IKT-Sicherheitsstrategie, die vom Bundeskanzleramt publiziert wurde. Eine wichtige Forderung daraus wurde mit dem nun veröffentlichten IKT-Sicherheitsportal umgesetzt. Weitere Schritte folgen. Das Konzept zum Schutz des Cyber-Raumes adressiert vor allem kritische Infrastrukturen (KI) wie Energie, Finanzen, Transport, Telecom oder Health.

Können Sie markante Inhalte aus dem Strategiepapier nennen?
Interessant aus dem Blickwinkel der Informationssicherheit ist die offizielle Forcierung proaktiver Maßnahmen wie Informationssicherheits- und Risikomanagement nach Standards wie ISO 27001 – als Selbstschutz für Unternehmen. Konkret empfiehlt das Strategiekonzept „bestenfalls alle KI-Betreiber zur Anwendung von Risikomanagement und Informationssicherheit rechtlich zu verpflichten“. Auch deshalb, um Rechtssicherheit für eine mögliche Meldepflicht bei Cyber-Angriffen zu schaffen.
Reinhard Posch, Chief Information Officer des Bundes, warnt in dem Konzept, dass reaktive Strategien wie Cyber Defense nur wirksam sein können, wenn sie durch proaktive Elemente ergänzt werden. Deshalb betont er auch, dass Risikobewusstsein und ein Verständnis für Prüfung, Zertifizierung und Monitoring erzeugt werden müsse.  
 
Eine deutliche Richtungsweisung der Regierung. Welche Schritte sind künftig hieraus zu erwarten?
Während die gesetzliche Ausformung noch aussteht, ist bereits erkennbar: Standardisierung und Zertifizierung ziehen sich wie ein roter Faden durch die Maßnahmenvorschläge der Nationalen IKT-Sicherheitsstrategie. Denn Unternehmen in kritischen Branchen sollen künftig definierte Mindeststandards an Sicherheit erfüllen, um die Versorgung des Landes zu gewährleisten. Ich rechne damit, dass KI-Betreiber wie Banken, Energieversorger, Spitäler, IKT- oder Transportanbieter verstärkt auf eine ISO-27001-Zertifizierung setzen, noch bevor es zu gesetzlichen Maßnahmen kommt.
Die Unternehmen wollen mit dem Prozessansatz der ISO 27001 nicht nur ein wirksames Sicherheitssystem implementieren, sondern auch Haftung und Fahrlässigkeit minimieren. Wir beobachten seit knapp zwei Jahren ein zunehmendes Interesse sowohl an Standardisierung als auch Zertifizierung in diesen Branchen.

Das Gespräch führte Alexander Wolschann.

Erich Scheiber:
Erich Scheiber ist Geschäftsführer der staatlich akkreditierten Zertifizierungsorganisation CIS für Informationssicherheit nach ISO 27001 und IT Service Management nach ISO 20000. Als Sicherheitsexperte war er davor jahrelang in führenden Industrieunternehmen beschäftigt.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*