Alle 14 Tage aktuelle News aus der IT-Szene   >   
Nagarro fördert Digitalisierungsideen 19. 02. 2024
Nagarro sucht erneut innovative Ideen zu digitalen Geschäftsmodellen, Produkten und Services. Als Gewinn winkt ein Realitätscheck durch Expert:innen im Wert von 50.000 Euro.
Einfacher Weg zur Cloud-First-Strategie 12. 02. 2024
SAP präsentiert neue Möglichkeiten für Migration und Modernisierung von Softwaresystemen.
Dätwyler IT Infra übernimmt Seabix 18. 12. 2023
Der IT-Infrastruktur-Anbieter holt sich eine intelligente Kommunikationslösung ins Portfolio.
Bechtle konsolidiert Geschäft in Österreich 18. 12. 2023
Die beiden österreichischen Unternehmen der Bechtle-Gruppe gehen ab 2024 gemeinsame Wege.
hosttech launcht Kl-gestützte Domainsuche 15. 12. 2023
Der Internet Service Provider lanciert mit Domain GPT eine eigens entwickelte Kl-gestützte Domainsuche.
BOLL übernimmt Distribution von WALLIX in Österreich 15. 12. 2023
Der Security-VAD nimmt die Privileged-Access-Management(PAM)-Lösung des französischen Softwareanbieter ins Programm für Österreich.
vshosting expandiert nach DACH 14. 12. 2023
Der europäische Business Cloud Provider bietet seine Dienstleistungen nun auch im deutschsprachigen Raum an.
BestRecruiters 2023: BEKO holt Gold 01. 12. 2023
Der österreichische Technologiedienstleister sichert sich den Sieg in der Kategorie „Arbeitskräfteüberlassung“.
Trusted Access Client: Rundum-Schutz fürs Netzwerk 30. 11. 2023
Mit der Cloud-managed Remote Network Access-Lösung sorgt LANCOM für Sicherheit beim hybriden Arbeiten.
BOLL schließt Distributionsverträge mit Tenable und ALE 30. 11. 2023
Der DACH-IT-Security-VAD BOLL Engineering ist ab sofort Distributor für die Lösungen von Tenable in Österreich und in der Schweiz sowie ab 2024 für Alcatel-Lucent Enterprise in Österreich.
SVS setzt auf SuccessFactors 29. 11. 2023
Die HR-Lösung aus dem Hause SAP sorgt bei der SVS für Datentransparenz und eine aktive Einbindung der Belegschaft in die Geschäftsprozesse.
Trend Micro zeigt KI-gestützten Cybersecurity-Assistenten 28. 11. 2023
Der Companion unterstützt Analysten, um die Erkennung von und Reaktion auf Bedrohungen zu beschleunigen.
Nagarro bringt neue KI-Plattformen auf den Markt 23. 11. 2023
Genome AI, Ginger AI und Forecastra AI ermöglichen einen schnellen Einstieg in die KI-Welt.
Linzer IT-Spezialisten fusionieren 23. 11. 2023
Der neu entstehende Spezialist für Microsoft-Lösungen verfügt über ein Team von rund 150 Spezialist:innen.
Eviden Austria ist „Top-Lehrbetrieb“ 22. 11. 2023
Die Auszeichnung der Sozialpartner wurde kürzlich im Wiener Rathaus an vorbildliche Lehrbetriebe mit Standort Wien vergeben.
Arbeitsmarkt: Nachfragerückgang hält an 14. 11. 2023
Der Abwärtstrend im Expertensegment des Arbeitsmarkts hält auch im Herbst an.
IT-Fachkräftemangel hemmt das Wirtschaftswachstum 08. 11. 2023
Der aktuelle Österreichische Infrastrukturreport zeigt die prekäre Lage bei der Verfügbarkeit von IT-Fachkräften auf.
KI hilft bei der Firmengründung 07. 11. 2023
Ein österreichisches Start-up präsentierte kürzlich eine Lösung, die Businesspläne mithilfe künstlicher Intelligenz erstellt.
weiter
it&t business Future Talk Cybersecurity

Traue niemandem!  – oder doch?

Einerseits heißt es „Zero Trust“, andererseits müssen Unternehmen angesichts von Komplexität und Fachkräftemangel vertrauenswürdige Security-Partner mit Know-how finden. Die Teilnehmer:innen aus Wirtschaft und Wissenschaft brachten dazu Studien, Prioritäten und Empfehlungen. Nachbericht von Michaela Ortis

Mit dem einleitenden Brainstorming, welches Stichwort bei Cybersecurity an erster Stelle stehe, wurde es gleich komplex. „Wir stecken in einem transformatorischen Wandel mit großen Herausforderungen, wie die veränderte Arbeitswelt, generative AI oder Fachkräftemangel. Mit diesen Themen müssen wir uns auch im Hinblick auf Security auseinandersetzen“, spannte Klaus Gheri, Vorstand von Barracuda Networks, den Bogen. Zur aktuellen Bedrohungslage brachte er eine Ransomware-Analyse von Barracuda: Kommunen, Bildungs- oder Gesundheitseinrichtungen, wo es weniger Budget gibt, seien vulnerabler. Der Finanzsektor verzeichne dagegen eine Reduktion der Angriffe. „Wenn es Regulatorien gibt und man dann Budgets hat, kommen die Unternehmen aus der Schusslinie“, analysierte Gheri.


Die Teilnehmer:innen
Klaus Gheri ist Vorstand von Barracuda Networks, gründete im Jahr 2000 phion mit Schwerpunkt Netzwerk Sicherheit und leitet diesen Bereich mit der Übernahme durch Barracuda weltweit.
Markus Hirsch leitet das System Engineering Team von Fortinet Österreich mit 25 Jahren Erfahrung in IT-Security. Ihn treibt der Spagat zwischen neuen Technologien und deren Umsetzungsmöglichkeiten.
Silvia Schmidt ist hauptberuflich Lehrende und Forschende im Kompetenzzentrum für IT-Sicherheit an der FH Campus Wien, mit Schwerpunkten IoT-Sicherheit & Pentesting, sowie Workshops für Awareness.
Edgar Weippl von der Universität Wien, Fakultät für Informatik leitet die Forschungsgruppe Security and Privacy und ist Vizedekan für Forschung. Er hat SBA Research für die IT-Sicherheitsforschung gegründet, als Schnittstelle zur Industrie.
Mario Zimmermann ist Regional Director Austria bei Veeam. Er hat 20 Jahre Marktkenntnisse und Erfahrung in Bereichen wie Verfügbarkeit, Backup, Wiederherstellung und Virtualisierung.

Eine spezielle Gefahr gehe von mobilen Endgeräten aus, weil Firmenhandys oft privat genutzt werden. Dazu erzählte er ein aktuelles Ereignis: Im SMS eines Paketdienstleisters mit dem irreführenden Namen DHLS, wurde eine Neuzustellungsgebühr gefordert, die durch Klicken auf einen Link zu entrichten sei. Die meisten Menschen erwarten Pakete und klicken darauf, daraus folgerte Gheri: „Es besteht kaum Sensibilität für solche Gefahren. Firmen müssen daher eine Nulltoleranzstrategie fahren, dass man mit dem privaten Endgerät nicht ins Firmennetz kommt. Zero Trust heißt, niemand grundlos zu vertrauen, jeder muss sich ausweisen. Da laufen aber gerade die mittelständischen Unternehmen hinterher.“

Foto: Fortinet Markus Hirsch, Fortinet: „Unternehmen brauchen Partner, denen sie vertrauen und wo sie Leistungen zukaufen können, der Trend geht zu Security-as-a-Service. Aber intern brauchen sie auch eine verantwortliche Person, die weiß, was geschützt werden muss und zu welchen Kosten.“ Security ist ein Hamsterrad

Das bestätigte Markus Hirsch, Leitung System Engineering Fortinet Österreich und nannte als große Herausforderung für Security-Verantwortliche: „Den Überblick behalten und priorisieren. Ich muss wissen, was ich schützen muss, sonst kann ich keine Strategien entwickeln.“ Er warnte vor der hierzulande herrschenden Einstellung, dass Cybergefahren nur die anderen betreffen: „Wir sind nur 30 Millisekunden von New York entfernt, es gibt keine Grenzen oder Berge, die uns schützen.“

Zur „Nulltoleranz“ brachte er überraschende Zahlen aus dem State of Zero Trust Report von Fortinet: 2021 hatten 40 Prozent der befragten Unternehmen gesagt, sie hätten Zero Trust fertig implementiert; 2023 waren das nur mehr 18 Prozent, weil viele erkannt hatten, dass laufend neue Technologien dazukommen. Dazu Hirsch: „Man ist nie fertig, sondern wir laufen hier im Hamsterrad, denn die helle und die dunkle Seite rüsten ständig weiter auf.“ Er hoffe, dass die Menschen mehr Bewusstsein für die Gefahren entwickeln, wenn sie Privates auf Social Media posten. Denn solche Informationen bieten Angreifern Aufschlüsse für Social Engineering und so könne jede oder jeder zum Einfallstor werden.

„Die steigende Vernetzung bringt mit sich, dass immer mehr Laien bis in ihren privaten Alltag mit Security konfrontiert werden“, setzte Silvia Schmidt vom Kompetenzzentrum für IT-Security, an der FH Campus Wien fort und lenkte die Aufmerksamkeit auf das Internet of Things: „Die IoT-Geräte sind kleiner, haben nicht die Ressourcen eines Servers und so ist es schwieriger, Security zu implementieren. Auf der anderen Seite nutzen immer mehr Menschen, die nicht sicherheitsaffin sind, solche Geräte.“

Foto: privat Edgar Weippl, Universität Wien: „Kleine Firmen sollten möglicherweise - und große Konzerne sollten sicher davon ausgehen, dass ihre Systeme kompromittiert sind. Man muss daher die Systeme so aufsetzen, dass sie trotzdem weiterlaufen können, es also eine Art von Resilienz gibt.“ Aus Fehlern lernen

Abhilfe könne das FFG-geförderte Projekt Gamified IT Security Awareness schaffen, das mit bereits im Bankenumfeld Erfahrungen an der FH Campus Wien entwickelt wird. Die modulare Plattform wird spielerische Trainings für unterschiedliches Zielpublikum erlauben, denn jemand an der Kassa benötigt andere Aufgaben und Rätsel, als jemand aus der IT. Social Engineering nimmt einen wichtigen Teil ein, weil in 90 Prozent der Angriffe der Mensch das schwächste Glied in der Kette sei. Auch werde gezeigt, wie leicht ein schlechtes Passwort gehackt werden kann. Dazu betonte Schmidt: „Awarness Building muss alle Ebenen einbeziehen, denn auch die oberste Hierarchie ist nicht davor gefeit, Opfer von Social Engineering zu werden.“

Beschleunigung, Komplexität und die damit einhergehende Abstraktion, weil man Systeme nicht mehr bis in ihre Tiefe verstehen könne, nannte Edgar Weippl als größte Herausforderungen, er leitet die Forschungsgruppe Security and Privacy und ist Vizedekan der Fakultät für Informatik der Universität Wien. Sein Fokus liegt auf der Industrie, deren Anlagen immer mehr aus IT-Systemen bestehen, aber eine viel längere Lebensdauer als Consumer-IT haben. „Ein wesentlicher Aspekt unserer Forschung ist, dass man Fehler, die in anderen Branchen gemacht wurden, nicht wiederholt. Ein gutes Beispiel ist Automotive, die aus dem Maschinenbau kommen und sich lange Zeit nicht als Softwareunternehmen verstanden haben“, berichtete Weippl. So habe man vor rund zehn Jahren Securityfehler gemacht, die in der Softwarebranche bereits undenkbar waren, etwa unsignierte Updates einzuspielen. Nun steige in der Industrie das Bewusstsein, dass sie zu einem IT-Unternehmen mutieren, weil sehr viel automatisierter Informationsaustausch stattfindet.

Das Beispiel mit den betrügerischen SMS führte Weippl weiter. Denn es komme vor, dass für Gewinnspiele oder Spezialinfos Webseiten außerhalb der Stammdomäne genutzt werden und den Menschen damit vermittelt werde, das sei normal. So habe der Lufthansa-Konzern in der Pandemie für Reiseinformationen die Seiten austrian.travel-regulations.com, swiss.travel-regulations.com und lufthansa.travel-regulations.com eingerichtet. „Das waren korrekte Seiten. Aber solche Domains untergraben alle Bemühungen, das Bewusstsein der Menschen für die Gefahren von dubiosen Webseiten zu schärfen“, sagte Weippl.

Foto: Veeam Mario Zimmermann, Veeam: „Wir müssen weg vom Hoffen, dass nichts passiert und hin zum Wissen, dass etwas passieren wird und wie lange wir brauchen, um zu reagieren. Dazu brauchen Unternehmen einen Plan, dokumentierte Prozesse auf Papier und sie müssen testen, testen, testen.“ Nicht wann, sondern wie oft

In seiner Analyse der Herausforderungen zeigte Mario Zimmermann, Regional Director Austria bei Veeam, den Weg in Richtung Verfügbarkeit und Wiederherstellen von Daten: „Aufgrund der steigenden Komplexität und der Zunahme von KI-unterstützen Attacken gehen wir davon aus, dass es zu erfolgreichen Angriffen kommt. Die Frage lautet also nicht, ob oder wann ein Cyberangriff erfolgt, sondern wie oft im Jahr. Backup sehen wir als den letzten Rettungsanker und wiederum als den Weg zurück.“ 85 Prozent der im Ransomware Trends Report, einer globalen Veeam Studie, befragten Unternehmen haben mindestens eine Attacke innerhalb eines Jahres erlebt. Dabei richteten sich 93 Prozent der Ransomware-Attacken zuerst gegen Backup-Umgebungen. Können diese nicht verschlüsselt werden, seien sie für Hacker weniger attraktiv. Außerdem warnte Zimmermann: „56 Prozent der Restores stellen wieder das eigentliche Problem her, indem der Patient Null im Zuge der Restore Tätigkeit zurückgespielt wird. Damit stehen Unternehmen wieder am Anfang des Problems.“

Ganzheitliche Sicht nötig

Wie man bevorstehende Attacken erkennen kann, erklärte Zimmermann so: „Man sieht in Backup-Prozessen, dass die CPU-Auslastungen ansteigen oder Durchlaufzeiten auf einmal höher werden, da bei Verschlüsselungen  Backup-Jobs neu geschrieben werden.“ Ein Anzeichen seien auch ungewollte Löschvorgänge im großen Stil. Aufgrund dieser Ereignisse könne man Rückschlüsse ziehen, was möglicherweise gerade passiert.

Security müsse als Ganzes gesehen werden, empfahl Markus Hirsch: „Jedes Unternehmen betreibt verschiedene Systeme mit verschiedenen Funktionen von verschiedenen Herstellern. Die müssen alle zusammenspielen. Es ist also Aufgabe der Hersteller, aktiv zusammenzuarbeiten.“ So könne beispielsweise die Netzwerk-Security helfen, das Backup-System, das aus Sicht des Internets weiter hinten steht, abzuschotten. Anwenderunternehmen und -organisationen benötigen dafür interne Verantwortliche, die verstehen, was wo steht und geschützt werden muss.

Foto: FH Campus Wien/Schedl Silvia Schmidt, FH Campus Wien: „Viele Unternehmen halten einen Vortrag und denken, das Thema Awareness sei damit erledigt. Aber unsere Erfahrung aus zahlreichen Workshops zeigt, wie wichtig es ist, Menschen betroffen zu machen, damit etwas in den Köpfen bleibt. Gemeinsam gegen den Fachkräftemangel

Doch solche Fachkräfte fehlen, zitierte Hirsch aus der KPMG Cybersecurity Studie Österreich: „43 Prozent der befragten Unternehmen suchen vier bis sechs Monate, um IT-Expertinnen oder Experten einzustellen. Ich glaube, das ist eine optimistische Zahl, denn ich kenne viele, die seit einem Jahr suchen.“ Daher habe Fortinet ein Academic Partner Program mit Lerninhalten, Workshops und Zertifizierungen gegründet, es richtet sich an HTLs, FHs und Unis. Hirsch plädierte für einen Zusammenschluss, denn das Problem Fachkräftemangel sei zu groß, eine Seite allein könne das nicht lösen: „Das ist mein Steckenpferd, ich habe bis jetzt rund zwanzig Organisationen in Österreich gefunden, die Lehrinhalte aus dem Partner Program in den Lehrplan einarbeiten.“

An der FH Campus Wien wird an der Weiterentwicklung des IT Security Masters gearbeitet mit Vertiefungen für Pentesting bzw. Embedded Security, berichtete Silvia Schmidt: „Wir sind in regem Austausch mit der Wirtschaft und bekommen viele Anfragen. Aus meiner Sicht wird Embedded Security in den nächsten Jahren immer wichtiger, das betrifft nicht nur die Hardware, sondern es gibt auch viele neue Funkprotokolle, die gesichert oder gesichert entwickelt gehören.“ Der Fachkräftemangel sei merkbar, aber natürlich brauche Ausbildung ihre Zeit.

Eine wichtige Veranstaltung, um Know-how und Vernetzung zu schaffen, sei die Security Konferenz IST-NOW, die bereits zweimal veranstaltet wurde, mit wachsendem Besucherinteresse. „Die Idee ist, Platz und Infrastruktur zu bieten, dazu nutzen wir unser ELVIS Lab wo wir viel Hardware haben. So können Studierende, ethische Hackerinnen und Hacker sowie Unternehmen experimentieren und vor Ort zum Beispiel einen Angriff ausprobieren“, sagte Schmidt.

„Wir haben eine andere Definition von Prävention: Unternehmen müssen immer davon ausgehen, dass eine erfolgreiche Attacke passiert und daher heißt Prävention sicherzustellen, dass der Weg zurück funktioniert“, sagte Mario Zimmermann. EU-Richtlinien für Banken oder Versicherungen, die manchen überreguliert erscheinen, bestünden zurecht, ebenso die NIS2-Richtlinie der EU. Backup müsse Bestandteil eines Security-Konzepts sein, man brauche drei Kopien auf zwei unterschiedlichen Medien und eines davon ausgelagert. „Spannend ist, dass selbst Microsoft mittlerweile bei den MS365 Services sagt, man solle die Daten zumindest onPrem im eigenen Rechenzentrum oder beim Service Provider ablegen“, so Zimmermann weiter. Im Hinblick auf den Fachkräftemangel, auch bei neuen Technologien wie Kubernetes oder DevOps, sei das Auslagern von Aufgaben an Security-Expert:innen wie Cloudpartner oder Hosting Provider die beste Strategie. Denn Unternehmen müssten sich auf ihr Kerngeschäft konzentrieren können.

Foto: A. Müller Klaus Gheri, Barracuda Networks: „Ich empfehle eine Standortbestimmung: Was wäre, wenn zwei Wochen lang im Unternehmen die IT und damit alles steht? So kann das Management das Schadenspotenzial im Vergleich zu den Security-Ausgaben setzen. Das kann für viele erhellend sein Expertise für moderne Security-Ansätze

Auf erfahrene Partner zu setzen, empfahl auch Klaus Gheri und kam nochmals auf Passwörter im Zusammenhang mit dem Zero-Trust-Konzept zu sprechen, denn diese seien oft Angriffsziele: „Single-Sign-On-Technologien sind ein moderner Ansatz, sie schaffen einen starken Konnex zwischen Anwender und Gerät.“ Passwörter würden nicht mehr gebraucht, weil die Identifikation über einen Key passiert, der nicht auflösbar ist. Denn jeder kenne das Problem mit Passwörtern, Menschen verwenden entweder überall dasselbe oder eine Logik mit Kombinationen. Die Automatisierung schreite auch in der Cyberkriminalität voran und eine KI könne Kombinationen leicht knacken. Zum Stichwort KI gab Gheri einen Denkanstoß: „Früher haben wir über Deep Fakes gespöttelt, etwa, dass wir von der KI einen Anruf kriegen und ‚social engineered‘ werden. Das sehen wir heute noch nicht im großen Stil, aber ich glaube, dass das die nächste große Welle wird.“

Den Gedanken griff Edgar Weippl auf: „Videokonferenzsysteme verringern die face-to-face Kommunikation. Das kann kritisch werden, wenn wir es nicht schaffen, digitale Identitäten sicher zu gestalten.“ Für die vielfältigen Security Anforderungen sei eine fundierte Informatikausbildung an FHs oder Universitäten wichtig, mit Grundlagen und Vertiefungen. Denn es handle sich nicht um Einsteigerjobs, sondern es brauche Erfahrung, etwa als Systemadministrator:in.

Abschließend empfahl Weippl: „Was in Österreich gut funktioniert, ist der informelle Austausch innerhalb der Security Community, etwa beim CERT-Stammtisch. Das erleichtert die Zusammenarbeit über Unternehmensgrenzen hinweg und wenn etwas passiert, dann kennt man schon jemand, der helfen kann.“


Den Future Talk: Cybersecurity zum Nachsehen finden Sie auf unserem YouTube-Kanal.

Aufmacherbild: stock.adobe.com/sorapop

it&t business medien OG
Tel.: +43/1/369 80 67-0
office@ittbusiness.at