IT-Security wirksamer machen

Der IT-Dienstleister ITdesign legt es darauf an, Hackern das Leben schwer zu machen. Wie das Wiener Unternehmen dies bewerkstelligen und zudem auch die Photovoltaik-Anlage am Dach vor Cyberangriffen schützen will, erklärt Geschäftsführer Alexander Chvojka im Interview mit IT WELT.at. [...]

Alexander Chvojka ist Geschäftsführer von ITdesign. (c) ITdesign

Welche Security-Bedrohungen sind Ihrer Meinung nach derzeit für Unternehmen am gefährlichsten?

Hacker sind in der Regel 200 bis 300 Tage im Netzwerk, bevor sie überhaupt erkannt werden und Gegenmaßnahmen eingeleitet werden. Das ergänzt den wichtigen Fokus der Prävention um die Vorbereitung auf den Tag X. ITdesign hat es sich zur Aufgabe gemacht, Hackern das Leben schwer zu machen indem wir die IT Security Maßnahmen unserer Kunden wirksamer machen. Wollte ich hier die Liste der aktuell gefährlichsten Bedrohungen, Exploits, socal Engineering, Verschlüsselungstrojaner …. aufzählen, wäre diese bei Drucklegung völlig veraltet und eine Themenverfehlung. Mit unserer Active Directory Security Analyse liefern wir aber genau diese Antwort maßgeschneidert und auf die jeweilige Kundenrealität angepasst.

Was müsste eine effiziente Security-Strategie beinhalten?

Viele Security Strategien haben zum Ziel das Bedrohungsrisiko zu verringern. Das macht zu 100 Prozent Sinn, denn keine Auseinandersetzung mit Bedrohungsszenarien ist für viele Unternehmen und deren Organe mittlerweile fahrlässig. Zugleich birgt unser zutiefst menschlicher Wunsch nach Schutz, die Gefahr der „trügerischen Sicherheit“. Die Antwort auf Ihre Frage muss daher lauten – werden wir uns der Tatsache bewusst, dass ein Security Incident wahrscheinlich ist und daher früher oder später stattfinden wird.

In den Medien liest man viel über die möglichen Auswirkungen eines „Blackouts“ um die Menschen zu einer Katastrophenvorsorge anzuleiten. Analog dazu erhöht es die Security Resilienz eines Unternehmens gewaltig, wenn folgende Fragen analysiert werden:

  1. wieviele Stunden / Tage / Wochen funktioniert meine Wertschöpfung ohne IT?
  2. wie stelle ich sicher, dass am Tag X / im K-Fall eine Notfallstaskforce unverzüglich handlungsfähig ist?

Wie so oft gilt – „one size fits all“ gibt es nicht und es wird daher stets Bereiche in Unternehmen geben deren Gefährdungspotenzial erst nach Schadenseintritt erkannt wird. Einer gezielten Attacke ist kaum ein Unternehmerkraut gewachsen. Aber es heißt „die Gelegenheit macht Diebe“, also lohnt es diese „ungelegen“ zu machen. Unser Anspruch als erfahrener Partner ist es, Kunden durch die Security Analyse zu führen und so die bestehenden organisatorischen Vorkehrungen und den Technologieeinsatz wirksamer zu machen.

Welche Lösungen bietet ITdesign hier an und was sind die Besonderheiten?

Marketing Strategen vieler Lösungshersteller im Security Bereich überhäufen uns mit Buzzwords – eines davon ist PAM (Priviledged Access Management). Wie vorhin gesagt, sind Hacker 200 bis 300 Tage unerkannt im Netzwerk. Was suchen die da? Im Fachjargon heisst das lateral movement, mein Lieblingsbegriff im Kontext ist honey pot. Kurz Username und Password von Administratoren oder Anwendern mit möglichst weitreichenden = privilegierten Rechten in ebendiesem Netzwerk. Dieses Thema wird mit PAM und der AD/Linux Security Analyse adressiert.

Warum beschäftigt sich ITdesign mit PAM?

Weil wir in unseren Herzen Administratoren sind und zu viele PAM-Projekte aus Compliance Sicht gestartet werden. Was dabei oft zu kurz kommt, ist die Wertschätzung gegenüber dem jahrzehntelangen, unermüdlich loyalen Einsatz der eigenen Sysadmins. Was ist unsere Überzeugung? Wenn das Management (CISO) und die Administratoren ein gemeinsames (nicht das gleiche!) Zielbild vor Augen haben, erhöht das die Erfolgswahrscheinlichkeit einer wirksamen Tool Einführung.

Wir nennen das im Übrigen „embedded OE“ und es verkörpert unseren Anspruch IT Projekte bei Bedarf mit vorstandssicherer (C-Level) Organisationsbegleitung anzureichern. Das macht uns, so glaube ich als mittelständischen IT Dienstleister besonders, und die Wahrscheinlichkeit eines honey pot Exploits bei Ihnen als Kunden geringer.

Gibt es spezielle Branchen, auf die Sie Ihren Fokus legen?

Meine langjährigen Kollegen (und Gründer) beschrieben das ITdesign Portfolio stets zwischen „Oberkante Hardware und Unterkante Business Anwendung“ mit Fokus auf die Unterstützung von IT Verantwortlichen und Admins. Daraus haben sich in den letzten Jahren ein paar Portfolio Schwerpunkte herauskristallisiert. Unter anderem IAM, Security, DevOps, Managed Servcie Client/KMU, einige selbstentwickelte SW Produkte und wie bereits erwähnt die Fähigkeit Menschen und Organisationen in Veränderung zu begleiten. Geht das ohne Branchenfokus und unbeachtlich der Business Anwendung? Nein, aber wir legen deutlich mehr Wert auf langjährige Partnerschaften und ein breit gefächertes Kundenportfolio in vielen Branchen und Unternehmensgrößen.

Demzufolge gibt es keine spezielle Branchen Fokusierung. Wir verstehen uns dabei als zutiefst österreichischer Brückenbauer zwischen der (ungeliebt-bewahrenswerten) Legacy Realität unserer Kunden und den „Wolkenhimmelsvisionen“ der großen Technologiekonzerne.

Das Thema Energie gewinnt aufgrund der aktuellen Entwicklungen massiv an Bedeutung und es gibt immer mehr Photovoltaikanlagen und Windparks. Sie bieten mit FLUGGS ein Produkt in diesem Bereich an. Was steckt hinter FLUGGS und was kann die Lösung?

Stichwort „ungeliebt-bewahrenswerte Realität“ – nehmen wir an Sie kaufen eine komplette PV Anlage inkl. Steuerung, Monitoring, Wechselrichter, uvm.. für Ihr Dach. Diese proprietäre Lösung bekommen Sie von vielen verschiedenen Herstellern. Spätestens beim 3. Standort haben Sie das erste Integrationsproblem weil eben proprietär. Zudem waren Steuerungssysteme von Industrieanlagen stets physisch vom Internet getrennt, was bis dato eine effiziente Security Strategie war – auch ein Thema.

FLUGGS ist eine kleine Antwort auf beide Themen – etwas wie ein hochsicherer universal Übersetzer zwischen LON (also den lokalen Anlagensteuerungsprotokollen) und dem Monitoring BackEnd. Ist Photovoltaik und Windkraft das einzige Anwendungsfeld? Ja und nein – es steckt mittlerweile sehr viel Branchen Know How unter anderem auch für Energiegemeinschaften, darin.

Mein Lieblingsusecase ist aber der mechanische Wasserzähler im Sommerhaus meiner Schwiegermutter. Hätte es nämlich vor ein paar Jahren FLUGGS in Kombination mit unserem Monitoring Produkt WatchIT schon gegeben, wären uns 70 Quadratmeter vermodertes Eichenparkett und ein ungewollter Sommer in Wien erspart geblieben.

Ein weiterer Dauerbrenner, der die IT-Branche beschäftigt ist der Fachkräftemangel. Wie ist die Situation in Ihrem Unternehmen? Finden Sie die richtigen Personen und wie können Sie diese für Ihr Unternehmen gewinnen?

Früher hat es immer geheissen – ich arbeite für das Unternehmen XY. Dann kamen die wertschätzenden Veränderungsbegleiter und wir haben begriffen – nein, ich arbeite für meinen Chef oder für dieses Projekt/Ziel. Tja und dann kam Simon Sinek, hat sich die ITdesign angeschaut und den „golden Circle“ bzw. die Frage nach dem Warum erfunden. Zugegeben, das ist so nicht ganz korrekt – was stimmt ist, wir haben uns bei ITdesign für eine soziokratische Organisationsform entschieden (Fachbgriff ist: Holokrathie). Das bedeutet den Verzicht auf eine klassische Hierarchie und die Bereitschaft des Einzelnen mit uns und nicht für uns zu arbeiten.

Was wir beobachten, ist eine gewisse Neugierde von Menschen im Ökosystem auf die Besonderheiten unserer Organisationsform. Diese Besonderheiten versuchen wir daher auch in unseren aktuellen Job Ausschreibungen und Employer Branding Kampagnen zu vermitteln. Besetzen wir deswegen jeden Slot in Windeseile – nein und auch bei ITdesign gilt, je spezieller die Skillsets desto schwieriger. Aber viele, die den Mut hatten sich auf das Abenteuer Holokrathie einzulassen und die Bereitschaft haben von und miteinander zu lernen – die sind gekommen um zu bleiben.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*