Durch überstürzte Umstellungen im letzten Jahr entsteht ein höherer Bedarf für Cybersecurity. Experten diskutieren, wie effiziente Schutzmaßnahmen getätigt werden können und in welchen Bereichen jetzt unbedingt investiert werden sollte.
Unsere ExpertInnen:
Bernhard R. Fischer, IQSol, Senior Security Consultant
Karl Freundsberger, Fortinet Country Manager Austria
Elmar Krainz, FH Joanneum, Studiengangsleiter Mobile Software Development FH Joanneum
Patrick Olschewski, Tech Data, Team Leader Business Development DACH Security Business Unit
Stephan Preining, IBM, Manager Security Solutions
Heidelinde Rameder, T-Systems, Teamlead Gov. Risk & Compliance
Michael Unterschweiger, Trend Micro, Regional Director Switzerland and Austria
source
Dauer: 01:30:22
Inhalt:
herzlich willkommen zum computerbild round table it-security cyber security ist heute unser top thema mein name ist christine wahl wenn ich begrüße sie alle hier hier meine runde hier top sprecher die wir hier versammelt haben aber auch die serien hier an den schirmen herzlich willkommen bei uns und das der titel der rat des roundtables ist braucht es eine neuorientierung wir haben uns wirklich gefragt bevor wir dieses also briefing geschrieben haben wie können wir sozusagen in dieses thema gut einsteigen und die aktuellen vorfälle geben uns eigentlich recht wir haben gerade jetzt in den letzten tagen wieder den vorfall gesehen in österreich wo 34 firmen angegriffen sind über einen dienstleister sogar das heißt keiner ist vor angriffen sicher heute und ich darf jetzt hier meine herrn begrüßen und eine dame ich habe auch eine damenrunde und dann steigen wir gleich in medias res 1 ja hallo wir herzlich willkommen michael unter schweiger hausherr hier bei trend micro hallo hallo guten morgen und herzlich willkommen in die runde schön dass sie hier bei zweitmarkt wienerberg seid ja vielen dank auch dass wir heute hier sein rollen hier bei trend micro ich freue mich auch sehr dass wir hier sein dürfen und dann schaue ich gleich weiter nach links karl franz berger du bist hier manager von fortinet country manager von ford derzeit 2018 ich freue mich dass auch du hier bist vielen dank für die rennleitung danke euch für die anlage und trend micro ich hab’s nicht weit im leben teilweise office aber danke für die einladung das war wirklich ein kurzer weg gleich daneben die damit der runde heidelinde rameder von t-systems du bist schon derzeit 2016 bei t systems aber jetzt also bereichsleitung neu glaube ich oder team lädt dafür wie auch immer das christkind compliance & management service ist freue mich dass du hier bist wir haben auch einen virtuellen teilnehmer und zwar patrick als chefs kurz nach münchen virtuell patrick förster super wunderbar du bist teamleader business development dach security der business unit bei tech data herzlich willkommen schwierig ist nach münchen schöne grüße nach ich freue mich sehr gut super und damit schon weiter in die ecke jetzt diesmal ich freue mich wirklich dass wir jetzt wirklich am runden tisch sitzen können oder eckigen tisch sitzen können jedenfalls einem tisch sitzen können und bernhard fischer schön dass du da bist du bist bei antares senior security consultant seit 2000 17 und was zuvor viele jahre dozent an der fh st pölten willkommen hier kann man noch meinerseits cyber security sozusagen unser geschäft hier oder mein geschäft und bin schon eigentlich was heute bei der diskussion dabei herauskommen wird es wird immer spannend kann ich versprechen ich weiß schon was vielen tipps und damit freilich wieder ein stück weiter elmar grenze du bist unser fh joanneum freut mich dass wir auch einen fh vertreter als ein vertreter von den fachhochschulen hier haben und zwar studiengangsleiter mobile software development an der fh joanneum du bist ein steirer du hast einen graz studiert an der tu graz und an der jku in linz informatik und hast dich auch schon sehr viele jahre auch mit der security befasst herzlich willkommen vielen dank für die einladung und auch in der ausbildung ist das system security schon wichtiger punkt sollte nicht zu spät dran absoluter wert darüber wenn wir uns in der folge unterhalten und last but not least stefan training viele jahre bei ibm schon ich sage jetzt nicht wie viele jahre das kannst du dann selber sagen aber in der derzeitigen situation seit vier positionen seit vier jahren manager und security solutions also für wirklich den bereich security umfassend bei ibm verantwortlich freue mich dass auch du hier bist stefan vielen dank und auch von meiner seite fragen mich heute auch schon sich auf die diskussion sehr gut und damit stellen wir schon ähnlich werde vielleicht noch ganz kurz ein paar zahlen präsentieren oder letzte letzte studie ergebnisse was mich sehr beeindruckt hat war achim berg präsident des bitkom es der neulich gesagt hat niemand kann sich wegducken und das ist so eine aussage die uns wirklich also alle trifft alle unternehmen viele glauben es kann mich eh nie treffen auch im mittelstand nein es ist einfach dass es einfach nicht richtig sondern es kann wirklich jeden treffen security vorfälle können jeden treffen wir haben auch im letzten report des bundeskanzleramtes also des pk des cybercrime reports gesehen dass wir einen anstieg von 26,2 prozent haben bei den fallzahlen bei den incidents das heißt die zahlen steigen wir wissen dass alle und daher ist es wirklich die frage inwieweit muss denn die securitys die heute neu überdacht werden es gibt auch eine ganz neue studie von der computerwelt computerwoche von erding dem eg-vertrag verlag wo also selber security ganz im mittelpunkt steht und die der superstar aus ist das einfach viel mehr investiert werden muss in cyber security und auch den unternehmen ist es durchaus bewusst dass sie investieren müssen die frage ist nur platz beim wollen und beim lippenbekenntnis oder wird dann tatsächlich investiert was vielleicht auch an dieser studie interessant ist dass also die endpoint security viel zu wenig nachgedacht wird auch darauf kann man vielleicht in der diskussion dann ein bisschen eingehen weil gerade also da zeigt sich dass es also da noch viele viele maßnahmen schutzmaßnahmen glaube ich bedarf damit also wie also gerüstet sind langfristig aber die overall frage ist inwieweit mussten die security strategie jetzt wirklich neu überdacht dann braucht es eine neue orientierung wo stehen denn die unternehmen heute und ja wie schaut denn da eine perspektive aus mich ich war richtig also nochmal auch noch herzlich willkommen von meiner seite vielleicht ganz kurz zu trend micro wir sind ein japanisches unternehmen mit global footprint 7000 leuten wir machen wir fokussieren uns auf ein trend sicherheit ich glaube dass heute ein zentrales thema viele unserer kunden tun sich schwer mit mit einer vielzahl von lösungen als ich heute die leute nicht mehr kaufen um diese zu managen also da legen wir sehr viel wert dass wir vom endpunkt uns bereits zugesprochen über die über das data center klar dass hybride infrastrukturen das netzwerk und möglichst den kunden eine sensibilität zu ermöglichen auf einen blick auf das ganze die ganze infrastrukturen zu überwachen und zu erkennen was passiert oder was könnte passieren ja und das sieht so ich sage mal die die hybrid datacloud thematik das ist eine der top prioritäten die wir sehen auch die ganze soc thematik cross detection und response eines der größten themen aber was uns alle beschäftigt wir haben das in der vorgangs diskussion und du hast es auch erwähnt wir brauchen leute wir haben zu wenig leute von der bank das geht unseren kunden so unseren partnern unser ökosystem aber auch uns hersteller selber als ein großes thema ich glaube da muss ein umdenken stattfinden und ich glaube auch protection alleine das braucht protection das ist klar da gibt es unternehmen die könnten noch mehr dafür tun aber es braucht auch lösungen damit ich weil ich muss aus kunden davon ausgehen dass wir irgendwann etwas passiert und die frage ist wie kann ich gut darauf reagiere mit welchem partner mit welchen mitteln und ich glaube dass auch ein sehr wichtiges thema das wir miteinander anschauen sollten weder die so die fallzahlen und entwicklungen anschließt wie wird sich das weiterentwickeln ich habe auch einige als ein prognosen und und zahlen ja also wenn man sich meine grenzen weil diese diese augen trieb für die sie natürlich hier die sind auch werden immer raffinierter und ausgeklügelter ich kann auch mit wenig know how transfer service sollen mir das zu legen so plant scheinangriffe wo ich eben über den usa dieser große case jetzt auch in österreich wo ich mehrere firmen dann attackierte das ein großes thema wir sehen aber im ersten halbjahr dass die die die renten wären talken insgesamt ein bisschen still stehen oder nicht mehr ganz so viele sind das wachstum und das spricht für die für die branche und für alle die damit helfen sich dagegen zu stellen ich glaube es braucht uns alle um dieses thema durchaus durchaus also ich glaube es kann nicht zu wenig gebracht werden wir noch in diesem bereich da gibt es sicherlich einige dinge die zu tun sind gut da schaue ich mal ein bisschen weiter karl wie siehst du denn das also wir haben schon gesagt also braucht eine neue orientierung die security vorfälle nehmen rasant zu wie ist in der euro- perspektive ich habe gehört die die letzten jahre haben wir eine veränderte realität in jedem bereich unseres lebens gezeigt über nacht mussten eigentlich auch behördengänge digitalisiert werden mussten natürlich arbeitsmodelle digitalisiert werden dass die abhängigkeit von netzwerken zeigt uns eigentlich immer stärker wie verwundbar sind das heißt man muss das allumfassende betrachten das ist ein zusammenspiel aus prozesstechnologie aber auch die menschen ja das heißt nicht nur die technologie muss besser werden sondern auch die vernes das heißt man muss hat wirklich auch mitarbeiter heutzutage in unternehmen genauso auch privatpersonen eigentlich beginnen zu schulen dass ich wirklich zweimal überlegen wenn ich an ihm er erhalte was ich jetzt nicht unbedingt kennen ja da ist ein verführerischer link wo wir drauf steht gehaltsliste oder etwas vielleicht ein net cash draufklicken sondern nur drüber fahren hinaus zeigen einmal schauen wie lässt sich der linke aus dass man sogar eine sachen und die gattung müssen heute das unternehmen auch aber auch der öffentliche bereich wirklich umdenken und auch immer wieder erwähnen es schulungen machen das ganze auch trainieren das kann man trainieren ja wir machen das laufend bei uns sind da vorteile das heißt wir lauf schulden laufen wir testen unsere mitarbeiter wir haben jetzt vor kurzem ein neues headquarter in sunnyvale im headquarter gegner dann kann natürlich ein e mail von unserem niveau hat eine virtuelle führung auf dem headquarter angeboten wurde das war ein test ja die draufgelegt haben da kommt dann eine auswertung das heißt wie viele leute drauf klicken die bekommen einen freund als wenn man wieder zeit für eine eigene schulung in unseren systemen ja aber das ist die realität der mensch ist wahrscheinlich noch immer da dass dadurch der angriffspunkt in den ganzen zusammenspiel die technologie und das hat vorteile einer der führenden player cyber security anbieter ist aber nur so gut wie in dem gesamtkonzept in dem es eingebettet ist und da musste ich um das muss das umdenken stattfinden in den konzepten von organisationen früher wurde seit juli dann als letzter teil doch irgendwo seitlich dran getoppt die unternehmen genauso wie die partner die mit den unternehmen und consultingunternehmen das machen und da gibt es veränderungen derzeit müssen endlich anfangen von security weg einen prozess eine organisation oder in einem eine umgebung aufzubauen und danach komplementär dazu toppen ich gesagt ja und das glaube ist da arbeiten wir mit unserem partner dran und dessen denken die am bus flug stattfinden muss weitergeführt werden also der mensch auch sicherlich ein schwachstellen die schwachstelle eine die wir schon seit vielen jahren eigentlich wissen alle und trotzdem also da ist es so schwierig da also will ich da eine verbesserung zu erzielen ich glaube da müssen wir dann auch noch weiter diskutieren danke wenn ich dich so anschaut governance risk und compliance was heißt es eigentlich so zu sagen was das betrifft ich da jetzt im moment wenn du wenn du auch schaust dir die vorfälle steigen bei der unternehmen also doch sehr massiv in die höhe viwis wie wie erlebt ihr das da sie zum einen zu beginn jedes unternehmen das einen wert hat wird ziel von angriffen werden und es ist irrelevant ob das unternehmen bekannt ist was das kerngeschäft ist wenn es werte gibt im unternehmen dann ist das potenzielles ziel von attacken hinsichtlich jessica kann es ja gut anknüpfen was du jetzt gerade gesagt hast es geht darum das security-management und daher machen wir das auch integriert mit jesse ganz oben ankommt in der unternehmensstrategie schon zu beginn also unternehmen muss ich sie töten gesamtheitlich betrachten bei der csu sind man sieht bei uns wir sind von vor fünf jahren es kommt mit dezenter mit 20 personen mittlerweile 120 personen im dachraum gewachsen wir betrachten diese die auch jetzt gesamtheitliche trend 55 und 60 grad 360 grad kühle es geht darum dass wir hier alle bereiche abdecken in einer der ersten schritte ist einfach mal auch ein risiko transparenz zu schaffen für die unternehmen darzustellen wo sind die maßnahmen priorisiert zu setzen und dahingehend wirklich auch die gezielten maßnahmen setzen zu können ein anderes thema ist natürlich auch unsere herausforderungen das gesäß fachkräfte bildung awareness hier ist auch zu sehen dass die bildung aus meiner sicht viel früher beginnen muss in den schulen auch schon die digitalisierung muss hier vorgetrieben werden und das muss hand in hand gehen wir schon unsere kinder das links und rechts schauen wenn sie über die straße gehen das uns verankert werden es muss viel früher passieren und letztendlich auch in den unternehmen hinsichtlich werden ist das muss der grund lädt es muss ein grundlegendes verständnis für eine basis für die für alle mitarbeitenden geben ein grundlegendes verständnis und awareness sagst du auch also auch das sgs fokussiert sich doch sehr sehr viel auf den menschen sage ich jetzt mal jetzt schaue ich mal nach münchen patrick wie sie es denn du die situation bei tech data es gibt ja auch sehr sehr viele bereiche sage ich musik höre die schlagend wird jetzt nicht nur auf den menschen fokussiert sondern ich möchte euch ziel jetzt de oder sag ich jetzt einmal auch verteilte systeme sind ja auch heute schon angesprochen wie siehst du die situation und was sind möglichkeiten sich zu schützen also grund grundsätzlich ist es so dass ich als älteste bruder natürlich sehr froh bin wenn ich technologie in den markt verkaufen kann das habe ich haben wir 22 jahre gemacht und immer wieder eine firewall oder eine technologie durch eine bessere ersetzt und dann immer erzählt dass jetzt die welt sicherer und besser geworden ist wir haben mittlerweile auch realisiert dass diese technologie nicht unbedingt immer zielführend ist und dann muss ich mich mal zwei vorrednern zu 100 prozent anschließen it security wird in vielen unternehmen momentan zu technologisch betrachtet und es gibt ein prozess bei vielen unternehmen der der eigentlich so ist wie it security unternehmen funktionieren sollte ist das qualitätsmanagement na das schützt vor verlust durch fehlt produktion und das zieht sich von der planung über den einkauf über die verschiedenen produktionsschritte über das qualitätsmanagement in den maschinen solch ein ganzes unternehmen und jeder mutter niemand verstanden wie wichtig seine arbeit für das zeug für die qualität der endprodukte sind und so muss sich unity auch gelebt werden da sind ist die verantwortung der mitarbeiter die von angesprochen haben da sind die prozesse im unternehmen drin die dafür sorgen dass sich unity gelebt wird und die ist diese diese unternehmensphilosophie und sieht diese dieses tiefe wissen wie wichtig dass ein freiheit des einzelnen und die ganzen prozesse im unternehmen sind verbunden mit der guten modernen technologie die wir ganz am anfang gehört haben das macht widerstandsfähigkeit und widerstandsfähigkeit ist vielleicht das wort over it security zukunft werden sollten denn sicher werden wir sicher so schnell nicht besonders nicht wenn wir in alle bereiche weiter digitalisiert das heißt die maschine plötzlich mitzunehmen oder oder geht die wahl sachen verkaufen die plötzlich auch meine it sind die vorher eigentlich noch analog warm und da bedarf es tatsächlich sehr viel umdenken in den unternehmen und das ist auch das was wir mit den partnern und endkunden den gesprächen hören da sind die in ihrem mindset noch nicht die it-security wie das qualitätsmanagement zu betrachten da frage ich war woran hapert es denn da oder was muss sich denn ändern damit sich eben dieses denken verbessert sag ich jetzt mal wie oft von dem reden wir schon seit vielen jahren es muss ein umdenken in den unternehmen aber muss immer erst was passieren bis dann ein umdenken da ist im prinzip ist es genau das qualitätsmanagement wird eingeführt werden das kaputt gegangen ist und it-security da geht ja nicht richtig was kaputt da wird max wenn man pech hat was kopiert das ist dann einfach weg also die kopie ist weg das original ist dann auch da das merkt man ja nicht wenn man dann richtung grenze mehr geht dann spielt natürlich schon den direkten schaden und behandeln die leute schon und da kommt ja auch dann die angst her also es muss tatsächlich bei jedem einzelnen das erleben kommen dass schaden produziert wurde dann ändert sich das mindset ok meine leber mit in die diskussion daher ich sehe schon da reißt schon einige aber davor doch vielleicht noch gern hat wie ich jedoch ganz ganz gern deine sicht hören wie du die derzeitige situation ist vielleicht doch was hat carola und die letzten eineinhalb jahre die uns ja alles sehr beschäftigt haben verändert oder verschärft oder wie siehst du die situation wieder richtig gesagt hat das ist sie litten so viele dinge schon gesagt worden wo man bei jedem einzelnen glaube ich bin ja jetzt schon sofort diskutieren kann ein paar dinge zu dem was gesagt und ist also euch beiden kann ich mich nur anschließen in bezug auf den punkt wenn es also da bin ich auch also aus meiner sicht was ich bei kunden sehe absolut der meinung dass er ist ein ganz wichtiger punkt ist immer nicht unterschätzen darf er oder den viel stärker fördern muss zum thema cyber security allgemein also du hast auch händel einleitend gesagt dass die an ein paar zahlen genannt werden mehr angriffe man muss aber schon auch sehen dass natürlich wie auch immer mehr it systeme haben ja also das ist ja im prinzip kein neues thema dass es angriffe gibt ja aber wir bekommen immer mehr it systeme und ich habe noch nie eine firma erlebte plötzlich weniger it systeme hat ja es wird vielleicht art gesorgt und mehr in die cloud oder was auch immer ja aber das system ist im jahr darauf sind da ja und egal wer auch immer der betreiber ist die firma die die dienstleistung in anspruch nimmt hat den schaden dann ja und das ist natürlich eine sache der geht hand in hand mehr it systeme heißt natürlich auch mehr mehr schaden ist möglich einfach rein statistisch betrachtet und das thema cyber security ist eigentlich ein altes jahr ein altes thema in wahrheit hat man fröhlich 2 was ich gesagt vor jahrzehnten schon hat sich einfach nicht ob yoga viren gegeben die man sich irgendwie über den bootloader oder sonst irgendwie geholt hat und haben mit einem simplen einfach bekämpfen konnte so richtig salonfähig und groß geworden ist das thema meiner meinung nach eigentliche märz 2013 subjektiv empfunden wieder etwas boden hier diese ende dokumente gelegt hat wo das dann plötzlich alle alle bereiche eben nicht nur die spezialisten sollen bis zur politik bis ins privatleben plötzlich betroffen hat und darüber diskutiert worden ist und die angriffe wäre natürlich besser es ist immer schon ein katz und maus spiel gewesen immer schon ist überlegen was er funken dann hat man eine gegenmaßnahme einen simplen vorgeschrieben und dann ist man darauf dass sollte angreifer daraufhin thema aushebeln unter druck und es ist gar zum beispiel haben wir bis heute und wir werden das weiterhin sehen ich glaube nicht dass es plötzlich irgendwann aufhören wird weil wir so geniale systeme bekommen die jetzt mit es wird auch jeder teilweise schon die entwicklung in richtung künstlicher intelligenz und so weiter aber auch das wird nicht plötzlich das beenden das ganze spielchen sondern es wird trotzdem einfach weitergehen und das thema cyber security ist eben jetzt groß geworden jetzt gibt es eben nichts und wer angriffe und so weiter aber ich glaube das liegt unter anderem daran weil weil es auch mehr computer systeme gibt und die firmen durch das auch gesagt absolut abhängig davon sein und um auf das zurückzukommen das gesagt was ich jetzt mit corona home office und so weiter das betrifft genau das ja wir sind dadurch ja eigentlich noch abhängiger geworden ja von dem ganzen ja plötzlich hat jeder zu hause in irgendeiner wlan umgebung von weiß kein mensch wie das funktioniert mit der firma kommunizieren müssen in die firma hinein und das ist natürlich eine zusätzliche schwachstelle war das immer beim endpoint dass wir bei den benutzer fehlende werne ist vielleicht und und ja und das ist natürlich eine zusätzliche store was auf einmal da ist was vielleicht auch hier und da uns geöffnet hat und was die security betrifft ist bei unternehmen so durch auch gesagt ja also die die unternehmen müssen mehr investieren und so weiter und sollen wir einen investieren also wir haben im unternehmen ja auch sage ich mal weg begleiten verschiedene unternehmen durch den vollen live seite sage ich mal so verschieden manche klassischen consulting was mit konzepten beginnt wo man darüber nachdenkt wie führt man sinnvolleres security maßnahmen bis hin zur incident response wohl schon längst was passiert ist und alles kaputt ist ja und also meine empfindung ist das durchaus hier wie glaube ich immer schauen die bandbreite sehr hoch ist es gibt unternehmen die sind sehr gut aufgestellt und sehr weit wo man auf teilweise akademischen niveaus schwachstellen finden und dann gibt es ein unternehmen wo wo man eher am anfang steht ja unter eben bei null beginnt ja und was wichtig ist was auch schon gefallen ist heute ist protection ist eine sache man meiner meinung man soll aber darauf achten dass man braucht ein gewisses qualitätsmanagement und eben eine gewisse vorbereitung mann soll davon ausgehen dass man irgendwann einmal betroffen ist und wenn ich davon ausgehe dass mir das passiert und ich die richtigen prozesse vorbereitet habe ja dann durch mir nachher sozusagen im ernstfall wenn es passiert natürlich wesentlich leichter als wenn ich einfach nicht sagt dann ja gut das thema mit davon ausgehen dass etwas passiert und sehr gut ist sicher auch dass der punkt abhängigkeit von der dieses thema immer größere abhängigkeit mehr von it-systemen und ich würde noch dazu führen verteilte systeme also auch die cloud orchestrierung ist keinesfalls leicht und sollte man auch nicht unterschätzen und auch bei microsoft 365 ist noch nicht gefallen gibt es auch durch als also möglichkeiten muss glaubt auch jeder das ist vielleicht so einfach ist es aber nicht ja also kmu soll sollen gewarnt sein vielleicht können auch danach ein ich weiß weiter elmar freue mich dass du hier bist von der fh fachhochschule und wie ist denn da deine sicht und vielleicht auch vielleicht auch die ausbildung sich bildung ist schon gefallen auch als als stichwort aber zuerst vielleicht einmal die allgemeine einschätzung der situation und dann wie ihr geht wie geht es mit dem thema um beelitz ja auch zukunftsfähig aus ja ist er gefällt vielen dank dass ich auch als vertreter einer bildungseinrichtung hier eingeladen bin in diese runde wir haben das thema digitalisierung dass das sehr rasch voranschreitet das wissen wir alle wir die ideen sind und auch alle anderen wissen mittlerweile seit den wir seit eineinhalb jahre im home office und ähnlichen sind und wir brauchen überall und michaela angesprochen wir brauchen fachkräfte und das ist ein großes thema wo wir auch fachhochschulen hier einen großen anteil haben dass wir junge menschen richtig ausbilden dass sie dann in diese bresche reinspringen können dass die systeme entwickelt gewartet betrieben werden können wir haben jetzt auch vielleicht so zwei gruppen von heidi hat das angesprochen dass man auch schon sehr früh in der schule in der bildung it-security ansprechen muss oder auch die erwehren dass alle mitarbeiter die affinität zum ergebnis haben wir bild nati fachkräfte aus im bereich it infrastruktur im bereich softwareentwicklung und deshalb dort diese personen die da haben sich um das ganze system kümmern und die damen und herren die eben machen also den anwender sehen sondern wirklich die systeme entwickeln auch hier ist es so dass die die it security noch nicht überall durchdrungen ist es ist so dass man jetzt auch wie in allen bereichen und dass die it so ein addon es wenn man dann fertig es gibt ein bisschen security drüber und auch in den ausbildungen ist das aktuell so dass die it security auch vielleicht so randthema ist es ist wichtig dass man die infrastruktur erstellen kann dass man software entwicklung kann und das interesse ist es am anfang schon requirements ist die it security wenn ihr dann fachkräfte habe die dann die it systeme entwickeln warten uns weiter die müssen das dann ließen bei uns ist das ein wichtiger punkt dass wir auch in den in den bachelor programmen schon das thema die security überall drinnen haben dass das auch so ein roter faden ist dass das jetzt nicht so am schluss irgendwo darüber gestreut wird sondern dass das in datenbank vorlesungen dass man sogar mal hier sichere abfrage von daten auch dass man in der netzwerk security schon weiß wo sie in ein falls möglichkeiten und dass jede besserung die ein studium beendet und sollte man zumindest meinen bachelor kunst studium beendet das thema it-security im bewusstsein hat dass das netz so thema ist dass das lernen später mal in einer spezialisierung oder erst im unternehmen sondern das ist etwas ab das muss ich einfach achten sowie wie das qualitätsbewusstsein dass ich sage wenn ich fit mache muss ich das immer im hinterkopf haben da keine sorge dass das können sich andere das haben wir die super spezialisten oder die die haben hacker schon und wir haben das in den bachelor programmen schon von anfang an verankert den in den in den verschiedenen fachbereichen wir gehen dann in den masterprogrammen wenn man die und masterstudium security hier fokussieren wir uns dann wirklich dann auf die themen die auch hier die beteiligten schon angesprochen haben wie schaut es aus mit infrastrukturen wie kann man die absichern was sind mögliche lücken auch beide seiten auch in der ausbildung einzunehmen dass man sich auch als angriff hat man sehen kann das ist somit so in dem unterricht eingebetteten capture der fleischer jedes system studenten dem hat so ein system das sehr aufbaut und das zweite auch an die können sich dann wirklich unter laborbedingungen gegenseitig angreifen natürlich auch verteidigen und das mitnehmen ein zweiter teil ist bei uns auch alle it infrastruktur zum einen und zum anderen auch die it software sowie die softwareentwicklung weil hier entsteht ja die software und viele dieser lücken die dann in den in den exploits vorkommen die entstehen ja nett wenn man das beim schwachstelle drinnen hat sondern das sind einfach fehler im system drinnen die irgendjemand baute software und entwickelte software und dann ist heute mal fehler drinnen und dass die software software ist leider voll von fehlern und und muss er versucht er dass das ausbessern es und diese fehler passieren und bei uns im masterprogramm ist ein ganz starker fokus dass man sich auf die softwarequalität konzentriert dass man schon fehler die in systemen drin sein können die dann vielleicht in ein zwei jahren zu einer sicherheitslücke werden schon auch schon im entwicklungsprozess also in der planung entwicklung und die beide seien wie credit bydesign dass man das auch schon sagt kerner rechenoperation vielleicht etwas schlampig aus implementiert kam dann zu einer großen lücke führen und das passiert ja auch das sollte diese bekannten buffer overflows die dann einfach mit ineffizienter entwicklung entstanden sind und dann komplettes system lahmlegen können okay danke damit dürfte und die fachkräfte von zu sagen hoffentlich in zukunft bei da sein wie viele bälle täter aus wir haben in bachelor programmen haben ungefähr 90 studierende in verschiedenen ab 180 studierende in verschiedenen jahrgängen mit berufsbegleitend fortschritt varianten und den master programme ungefähr 20 studierende pro jahr 43 masterstudierende im allgemeinen die wir uns in ausbildung sind und die auch alle gleich weg engagiert werden also ich könnte es durchaus expandieren nämlich eine könnte hier eine annahmestelle sollten sie alle wie die die abnahme ist ganz stark also jobchancen oder job schwierigkeiten am unsere absolventen aufgaben im fall schweiz weiter stefan geschafft auch schon stattlich und sozusagen wie siehst du die situation kennt der wirklich also schon seit vielen vielen jahren die die gegebenheiten bei den unternehmen wie siehst du es derzeit also kurz zu dem was ibm security macht wir haben ja eine software portfolio wo wir im garten quartal ganz gut aufgestellt sind und wir haben auch eine sehr große security services truppe die sowohl unsere eigenen lösungen als auch die lösung unser partner implementiert und auch betreibt für den kunden wenn das gewünscht ist und was wir im zuge dieser projekte gesehen haben ist wenn man so drei vier jahre zurückschauen war dort ein sehr starker fokus auf wie waren wir die firewalls auf endpoint security wie monitor wird das wie können wir einbringen identifizieren mit carbon als david zwei wesentliche änderungen gegeben muss sich vor augen halten im schnitt liegt die leute in kronen circa 15 zusätzliche user ids an diversen shopping websites etc da komme durchaus öfters auch auf ihre e mail adressen zur anwendungen 82 prozent der leute sagen sie verwenden ihre passworte wieder es ist also nicht überraschend dass hier sehr viel datenmaterial da ist das für angriffe auf unternehmen verwendet werden kann und unsere untersuchungen zeigen mittlerweile ist es so dass für 20 prozent der security vorfälle solche gestohlen anmeldeinformationen verantwortlich sind das heißt das unternehmen kann ich mich eigentlich nicht mehr darauf verlassen dass jemand der sich angemeldet hat auch wirklich der ist der er vorgibt zu sein und da gibt es noch eine andere und wirkliche entwicklung dazu 20 20 gab es erstmals in europa mehr security vorfälle als in amerika also 31 prozent der vorfälle weltweit waren jetzt mittlerweile europa und das ist darauf zurückzuführen dass bei uns sekuhrity vorfeld der insider zurück zu führen sind in 2020 explodiert sind also mit 3 16% der vorfälle in europa sind insider zurückzuführen das ist doppelt so viel wie amerika und asien zusammen das heißt wenn sich jemand anmeldet und muss ich noch überlegen macht ja endlich definiert ihr tun soll oder greift in der nacht daten ab oder größere datenmenge wer hier gibt es mechanismen die im moment noch relativ wenig adressiert sind das heißt ich muss heutzutage davon ausgehen dass potenziell user dies oder mein netzwerk kompromittierte sich entsprechend aufstellen das ist die eine richtung in die wir jetzt mehr und mehr nachfrage von den kunden sehen das thema kommt also stärker und stärker weil das langsam bewusst wird wie schütze ich meine daten wie meine anwendung das war er vorher wie schreibe ich dir schon richtig damit das nicht ausgenutzt werden kann wie schütze ich meine user dies meine administratoren zum beispiel als der eine bereich den wir stärker kommen sehen und der andere ist 2020 sind die angriffe auf die produzierende industrie explodiert 2009 10 waren die noch an achter stelle also kaum beachtet 2020 waren die an zweiter stelle nach der finanzindustrie und das kommt zu einem großen teil aus angriffen auf produktions steuerungssysteme die um 50 prozent explodiert sind und das ist auch naheliegend wenn ich dort mit einer reizung der angriff die produktion stilllegen kann dann sind die schäden im regelfall dramatisch und dann fällt es den unternehmen sehr schwer hier nicht zu zahlen und diese dinge mit dieser komplexen it in der produktion das lässt sich auch deutlich schwerer wiederherstellen und das den tief zwei szenarien die aus meiner sicht so über die letzten ein zwei jahre kroner zeit neu entstanden sind über die wir uns wesentlich mehr gedanken machen müsste und zum uns hier auch sicher aufzustellen danke für die zahl genannt hast zahlen passiert ich bin auch in zahlen ich brauche also über zahlen die produzierende industrie ist tatsächlich ein großes thema salzburg weg zum beispiel fragen was passiert ist also sind einige fälle in letzer vergangenheit die also durchaus also für aufsehen gesorgt haben und vielleicht kommen auch jetzt mehr fälle zu tageslicht ich glaube die dunkelziffer ist dürfte noch ein erhebliches höher sein aber inzwischen ist es doch schon so dass die unternehmen selbst auch natürlich rechtlich verpflichtet sind ihre vorfälle anzuzeigen daher also haben wir da auch eine deutliche zunahme zu verzeichnen ich gebe dir vollkommen recht die zahl ist auf alle fälle gestiegen das würde jetzt ganz gern diskutieren und wieso zu sagen könnte eine eine langfristig tragbare security strategie dann aussehen weil wir wissen von vielen unternehmen oder ich weiß von vielen unternehmen dass das einfach doch sehr komplex ist und die security strategie dann also eher stiefmütterlich behandelt wird aber wie siehst du das ich frage möchte ich mich ja ich wollte noch mal ich komme gleich weil ich ja mal passieren nur vielleicht das thema ist ja ich schicke euch mein artikel nach war vor drei wochen in der neuen zürcher zeitung am sonntag und dagegen um diesen 630 millionen datenklau oder crypto währungen diebstahl und eigentlich das thema war das in den 60er jahren gab es diesen großen tunnel bau und und und und eine riesenaufregung und überall über jeden schritt wurde was geschrieben und heute taucht das gar nicht auf und wohl die mine weil es versteht es niemand und das sich ich denke das ist das das größte thema krypta währungen und keiner weiß was da genau abläuft und darum kommen diese diese dinge auch gar nicht so haben die oberfläche wie früher jeder hat so passiert wie lange das die dort gegraben haben und ich glaube das war vorher so ein bisschen ist für alle so schwer greifbar diese thematik das wollte ich einfach noch einbringen es zu bestaunen der artikel wir verstehen uns einfach zu wenig und wir sind ja in der branche und die leute überraschen aber die kunden die mitarbeiter die erwärmung thematik es ist so für viele so schwer ja also ich glaube ich hab’s schon einmal am anfang ein bisschen angeschaut ich ich ich denke es wurde viele auch schon von wir gesprochen die protection ist natürlich das eine und wir glauben einfach dass in vielen unternehmen die visibilität fehlt überhaupt über das gesamte und die gesamte umgebung überhaupt zu sehen was überhaupt vorgeht auch bei einem vorfall ist da noch was verfügbar ist noch nie jemand im netzwerk viele unternehmen haben glaube ich die tools und lösungen überhaupt darauf zu reagieren oder zu agieren wenn dann mal was passiert ist ich glaube dass die große das große thema was wir auf security hersteller wirklich auch versuchen zu kommunizieren oder mit diesen mit jedem server ist es ja das ist für uns ganz ein großes thema und da sind wir natürlich mit mit den kunden daran diese diese dinge zu analysieren zusammen mit dem partner die wir haben was kann man da zusätzlich zu leben neben der endpunkt protection neben der netzwerk protection gibt es ganz viele lösungen von euch von uns von allen anderen auch aber ich glaube da braucht es mehr bermes ausbildung der mitarbeiter ich glaube da müssen wir ansetzen ausbildung macht sie ja einiges fertig wir haben auch in der bildung wir versuchen eigentlich schon bei den kindern wir haben seinen internet sicherheits programm für kinder wir gehen auch in die schulen aus ich mache das selber auch ob es auch schon in wien gemacht gehen in die schulen und versuchen eigentlich dauer erstens die leute für das thema zu gewinnen die kinder die brauchen wir in der zukunft und das zweite ist eben die auf 1 zu generieren wieso dein passwort aussehen wie viel man muss sich das wechseln was für gefahren lauern da draußen man kann es ganz schlimm beschreiben wenn man einem kind eine waffe geben würde würde man sagen du hast das musst du beachten aber man gibt dem kind ein mobilgerät und sagt nichts dazu und das versuchen wir erreichen ein bisschen aufzuweichen und und auch etwas mitzugeben kommt sehr gut an wir versuchen dass unser ziel ist es in den nächsten 3 und 10.000 kinder durch dieses programm in schweiz österreich durchzuführen weltweit waren es schon über drei millionen ein weltweites programm auch an andere hersteller auch ich glaube das sind themen die wir gemeinsam angehen müssten ich glaube aber im bildungssystem braucht ja auch noch mehr dass da mehr kommt er ist leider in der schule nur ein ganz kleines thema sich freuen in der schweiz medienkompetenz dann geht man kurz durch und dann ist es vorbei und auch viele eltern sind einfach komplett überfordert wir haben das glück dass wir eigentlich mit diesen technologien arbeiten und ich glaube das ist für mich ein ganz zentrales thema selbst gehen dass er von haus weiß jeder von uns spricht danke für diesen fünf beleuchtung bildungsthema es glaube ich ein ganz wichtiges thema werden hat und das wird die eltern sind über sind vermutlich überfordert ja das stimmt aber vermutlich auch die lehrkräfte sage ich mal zumindest wenn man die grundschulausbildung denkt er die da wahrscheinlich auch nicht ja alles wissen nicht bei weitem nicht so viel wir natürlich um auf das thema hin zu gehen das gesagt er niemand versteht das was da eigentlich abgeht und so weiter ja das stimmt aber ich stelle die frage müssen die leute das überhaupt verstehen wenn ich jetzt ein sehr banalen vergleich bringt es wirklich mal fahrzeugsicherheit ich muss nicht wissen wie ein abs funktioniert und wie ein was sie sich was da für sicherheitssysteme gibt und ich muss auch nicht wissen warum der gurt nicht abreißt wenn ich in einem fall muss immer richtig benutzen ja es ist eine kombination aus vernunft natürlich das ist das thema wie alles was mann gehabt haben wir aber die besten fahrzeug sicherheitssystem retten mir nicht das leben wenn ich wissen wir alle mit 200 gegen eine mauer fahre aber dennoch muss ich nicht im detail wissen wie das fahrzeug funktioniert eigentlich meine große unterschied zwischen fahrzeuge sind sehr banal vergleich ist das wird dort sage ich mal nur mit physik zu tun haben die gewissen gesetzen folgt angreifer folgen keinen gewissen grundgesetzes stehen ja aber im prinzip glaube ich schon dass es in diese richtung gehen muss also sozusagen das wir spezialisten sicherheitssysteme schaffen müssen die einfach irgendwie da sag ich einmal und die leute benutzen selbstverständlich müssen die das mit ihren dann auch benutzen die dinge ja weil auch wie gesagt bei dem fahrzeug ist es ist auch das einzugehen während der fahrt das thema passwort sicherheit also das ist passwörter senior seit jahrzehnten eigentlich ein thema und wir können also ich meine die aktuelle antwort auf das ist eigentlich und wir selber können da auch den trend erkennen und die nachfrage ist definitiv gestiegen zu multi faktor authentifizierung zum beispiel die das ganz stark entschärft das passwort das ist es nicht es ist noch immer ein thema natürlich aber wir sind stärker für das problem und wir spüren das auf jeden fall ist wir haben definitiv da viele nachfragen viele kunden wollen das einführen oder erkundung ultimate multi faktor authentifizierung um eben dieses leidige passwort thema sozusagen zu eliminieren und des problems ist hier schauen muss man wieder sagen menschen nicht dass bass oder das konzept des passworts ist kein schlechtes ist sicherlich ein gutes konzept nur es werde eben falsch benutzt sagen immer so naja es ist zu wenig komfortabel aber auch das wäre eine empfehlung oder es gibt ja verschiedene diskussionen zu diesem passwortes er aufgefordert jeden monat also unabhängig jetzt ein multi faktor also meine persönliche empfehlung ist absolut passwort-manager passwort-manager passwortmanager und rändern passwörter verwenden die brauchen nicht 200 zeichen lang sein das ist egal wir müssen nun wirklich zu verändern sein und heute eine gewisse extra mal 12 14 16 18 jetzt kann man sagt hatte mich untersuchen wie viel wirklich aber ich sage mal aber der kern der sache ist einen passwort-manager zu benutzen und wenn ich 20 webshops habt dann habe ich 20 verschiedenen ländern passwörter die da gespeichert sind ja er hat kann man natürlich darüber diskutieren was wie sich aus der passwort-manager war aber trotz immer so dass sich sozusagen auf informellem auf das zurückzukommen das nicht vorher was ist jetzt die empfehlung sei es so die empfehlung strategie für die zukunft ja ich glaube das hängt ganz stark davon ab auf welchem stand das unternehmen ist das jeweilige natürlich ja aber ein wichtiger punkt ist auf jeden fall meiner meinung nach juli zu einem zu einem thema zu machen und zwar top down ja also ich darf nicht ich sage ich mal als geschäftsführer der beauftragung ja du machst security sondern dass die geschäftsführung muss dran glauben und der geschäftsführer muss bewusst sein was das eigentlich bedeutet und wie gefährlich das ist und muss das thema leben wenn das nicht gelebt wird dann kommt dabei nicht heraus ja dann kommt sie immer zu allen möglichen dingen ja also das ist glaube ich mal das allerwichtigste was man darüber sagen okay dann gemeint gewesen ist wird eine kletter und dann die ganze thema wohl anschließen ja das ist gottlob die dachrinne und hat noch viel produzierendes gewerbe ioc sei eine unserer größten wachstumstreiber auch mein persönliches hobby hat vielleicht mit meinen maschinenbau hintergrund auch etwas zu tun ist aber relativ einfach erklärt diese netze sind alle digitalisiert und meistens historisch gewachsen das heißt das ist auch nicht immer das aktuellste equipment verbaut und das bietet natürlich angreifern sehr sehr viele möglichkeiten auf den alten weg brechen oder er irgendwann hat seinen lustigen artikel gegeben über eine amerikanische schule mit glaube 20 schulen der liga 2000 dann gesucht haben weil auf der aus dem betriebssystem die gesamte außerdem betrieb sind die gesamte haustechnik ließ wir erleben es immer wieder dass alte infrastruktur verbaut das historisch gewachsene und du hast in den unternehmen leider noch eine trennung zwischen der eu und den produktions verantwortlichen die haben ganz andere herausforderung gerade hat eine andere aussagen wir fahren seit der produktions verantwortlicher muss natürlich sagen die maschinen müssen laufen die müssen eigentlich produzieren müssen review generieren so zu sagen ich glaube die unternehmen müssen ja auch umdenken hat dieser grenze die de facto da es bei unternehmen aufzulösen hier synergien zu nutzen die noch sehr sehr löchrigen die netze einfach hier zu integrieren und ich habe gerade mit 5 g steht eine veränderung bei unserem markt wo jede menge sensoren und wenn sie händlers devices in den markt kommen ins web kommen digitalisiert werden aber auch angegriffen werden können wie oft hört man eben dass angriffe auch über ein kamerasystem kommen ja sie haben keine also das muss dann in ein netzwerk und eine dahinter liegende infrastruktur muss diese elemente auch mit einführen viele unternehmen haben noch nicht verstanden dass es hier dass ich angegriffen werden das passiert wieder auch hier wäre es bei hätten jeweiligen verantwortlichen zu machen und danach ist es eigentlich nicht rocket science ja das ist gibt es ein paar stufen programm das erste so meine installed base sagt ich muss eigentlich mal abfragen was habe ich überhaupt an equipment an sensoren an protokollen was wurde eigentlich dringend in einem netzwerk da gibt spezielle unternehmen die das einfach auch in zwei drei wochen einfach mal wirklich abfragen danach muss ich mir anschauen kommunikationswege wer redet waren womit man sehr oft wissen die unternehmen gar nicht wann eine wartungsfirma jetzt auf dieses die auf dieser produktionsanlage zu kräften dh wenn die zugreifen kann kann aber jemand anderem auch auf die ganze anlage zugreifen und auf basis dieser kommunikationswege muss man danach anfangen eventuell wir nennen das segment ihren das heißt auch wirklich teile in der produktion von einander trennen das aus dem wenn ein einteiler eventuell angegriffen werden kann darf das nicht gleich über das gesamte netzwerk sich verstreuen also wir haben nur mit lustigen fall gehabt wo immer eines unserer firmen die eben solche analysen machen bei einem großen unternehmen wenn wir so eine analyse gemacht um eigentlich außer gefunden haben dass das längst verseucht war dieses netzwerk her dass aber teilweise die rechner so alt waren um mit der schadsoftware umzugehen das heißt sowohl david berechnete heute die mall wird nichts damit anfangen können ein fakt ist aber das netzwerk ist verseucht das heißt drei stufen ist stand der heben kommunikationswege 20 juli mit segmentierung machen es ist nicht rock it science man muss sie einfach wirklich zwei welten zusammenbringen dem produktions verantwortlichen auch diese wichtigkeit vor augen führen dann wären auch meistens budgetfrage macht ja weil dann verstehen man auch dass man hier wirklich mit dem feuer spielt ja das kind so ein angriff genauso die produktion für tage wochen oder außer kraft setzen können das genauso und den schritt müssen viele unternehmen erst noch gehen auch für diese sichtweise der stufenweise vorgang als glaube ist ganz wichtig also erheben sich alle hände ich nehme jetzt einmal den brink daran weil sonst erst mal finden münchen wie sie ist denn der situation ich kann mich da anschließend war gerade bei der produzierenden industrie ist auch total spannend dass das eine komplett abgeschlossen hat industriemarkt ist noch die sich in richtung entwickeln und das sind alles gute ingenieure und die kaufen sich keine security lösung von einem klassischen security-anbieter die tendieren eher dazu gerade die steuerungshersteller sich eine zu bauen jetzt fehlen die natürlich nur 20 30 jahre angriffs und verteidigungsfragen von ihren netzen und wenn man mal auf diesen messen aus den sps der sps in nürnberg über die messehallen läuft beschäftigen sich alle schon damit aber dass ein stellenweise total spannende ansätze ich hatte mit einem gesprochen auf der messe der hatte ein einzig unity 5g device am start und meinte das wäre super gut weil man dann an der it vorbei direkt in die cloud die wertschöpfung der analytics sich sein unternehmen holen kann aber sie hätten ja ein vpn auf ihrem gateway das sind so das ist marktführer in dem bereich für steuerungselektronik gewesen das war jetzt nicht irgendwie nur so eine kleine bude und da merkt man dass diese ganze industrie zwar weiß wo sie hin will die will die wertschöpfung der industrie 4.0 hebelprodukte bessere produktions eigenschaften sind all die ganzen schlagwörter die darum sind aber den leidensweg den wie in der it seit jahrzehnten machen der unsere unsere systeme unserer einstellung geschäft und unseren sonst uns gerettet hat das ist dann noch gar nicht angekommen da geht mit kindlicher freude eine ganze industrie ins internet und freut sich wie schön analytics funktioniert mit mit mit einem brutalen einsatz und da gibt es natürlich auch hat leute die das schon ganz gut merken aber da ist sicherlich eine riesengefahr weil die leute ganz andere werte systeme haben an die sich ran gehen wenn wir die mit dem über siege reden denkt er einen roboterarm werden mitarbeiter zermatscht nämlich safety das sind ganz andere werte konstrukte die da sind und das ist ein ganz ganz intensive harte arbeit die wir leisten müssen und mit den leuten ins gespräch zu kommen und ich freue mich dass man vorreiter da schon zu gute vorarbeit leistet und das ist wirklich wirklich wichtig dass wir mit der produktion reden außerdem ist das geld ja also produktion mit sicherheit vorher war auch vom management muss der focus kommen und aus unserer sicht muss das mensch einmal definieren was ist denn besonders schützenswerte in unseren unternehmen welche daten darf nichts passieren weil die ein wettbewerbsvorteil sein oder welche produktion darf auf keinen fall stillstehen weil es dann zu massiven schäden kommt potenziell sagt man die drei stammwerk gemessen funktionieren kleinere produktionsstätten nicht und das müssen dann vorgaben seien aus denen die eigentlichen security maßnahmen abgeleitet werden und dann kann man diskutieren machen wir dort segmentierung zum beispiel dass die produktion geschützt ist mach ich spezielles monitor in der datenbanken wenn ich das intuitive kunden in form wenn der online-händler etc die kundendaten besonders stützen oder gesundheitsbereich es wahrscheinlich dass union auf das den gesundheitsdaten nichts passiert und ich muss überlegen was tue ich damit die auf keinen fall das unternehmen verlassen und daraus muss dann die security die entsprechenden maßnahmen ableiten aber die vorgaben was ist für das unternehmen überlebenswichtig die müssen eigentlich aus dem top-management kommen sie müssen verstehen was ist für die existenz des unternehmens wichtig sie können sehr wohl sagen wenn ich die gesundheitsdaten verliere dann droht eine klage die das unternehmen ruiniert das kann schon vorgegeben werden was muss die security dann machen damit das nicht passiert das muss die securitys entscheiden oder produktion stimmig also vollkommen zu ist das thema muss bearbeitet werden ist noch sehr viel zu tun weil die wärme zum teil nicht da ist und wirklich der fokus auf es muss klaglos laufens darf keine störung geben ist und daran wird die produktion auch gemessen und deshalb tun wir uns dann auch so schwer in verständnis für die security zu entwickeln wir alles was irgendwie die produktion stören könnte wird natürlich dann sofort wenig beobachtet wie siehst du das das thema was ich spannend finde ist eben warum es weil es vorher gesagt warum setzt 2013 sein warum sind hier die dinge jetzt die sich so stark bewegen im thema security aus meiner sicht ist es das hat die digitalisierung lord vernetzung wirklich wirklich rasant vonstatten gegangen ist und wenn man vergleiche mit automobilindustrie gehabten als gesellschaft einfach viel mehr zeit um uns darauf einzustellen und es ist langsam gewachsen und das thema er die digitalisierung hier gibt es änderungen die thematik rasant sind und das wissen der menschen richtig mit umzugehen kommt hier nicht mit und dann habe ich die situation auch in der selbst im business und letztendlich ist es nicht immer ein spiegel der gesamtgesellschaft wenn wir das jetzt auch ansehen mit social media können die menschen wirklich richtig damit umgehen und wirklichkeit haben und die demokratie gefährden den bewegungen und das spiegelt sich in das business hinein also das heißt er ist einfach das bewusstsein noch nicht oder es ist noch nicht so entwickelt dass wir eine kultur geschafft vorhaben richtig damit umzugehen und auf der anderen seite haben wir angreifen das wird sich da in der letzten zeit getan die angriffe haben sich professionalisiert in der vergangenheit ist vielleicht mehr mit der schrotflinte geschossen worden das sind mittlerweile zu schneidern geboren wir sehen ganz klar angreifer gehen mittlerweile gezielt auf unternehmen vor sie evaluieren es gibt viel was sind das für unternehmen was muss ich tun um dieses unternehmen mitglied müsste man sich das wissen dann einfach eine entsprechende business impact analyse dann hätte man das gleich als unternehmen vor ort und würde wissen was die christen kritischen geschäftsprozesse sind weil die angreifer wissen und gewissen dann auch genau wie viel sie verlangen müssen das ist gerade nicht existenzgefährdend das ist der größte schaden den ich an richten kann was kann ich verlangen kosten-nutzen-analyse passt und so wird dann vorgegangen und damit ist niemand mehr sicher weil sobald ich einen wert habe das unternehmen das sieht dann greifen genauso es ist unheimlich professionalisiert worden auf der anderen seite haben die gesellschafter die business ist die es nicht sind die teilweise chaotisch folien also was brauchen wir müssen voran treiben dass es einen verantwortungsvollen umgang gibt es ein strukturiertes besser professional ist hier umgang mit der security gibt wenn das wissen der geschäftsführung nicht da ist dann muss das wissen ins unternehmen kommen sei es durch experten das heißt durch partner sei es in das unternehmen durch die wissenden und dann muss evaluiert werden strukturiert was sind die kritischen geschäftsprozesse business impact analyse und dann wirklich strukturiert die maßnahmen hier auf basis risiko evaluierungsstudie risikoüberlegungen und auf der anderen seite kann das ganze aber auch zum wettbewerbsvorteil werden dann wenn ich das richtige mache ich kann in wirklichkeit ja auch chancen nutzen denn wenn ich als hersteller auch in der industrie sicherstellen kann und ich werde angegriffen dan browns gewissens mittlerweise trocken die frage bekommen und nichts mehr stehen aber wenn ich die entsprechende residieren das unternehmen habe und entsprechend dann auch meine investition in situ jungen vielfaches günstiger ist als das was ich dann zu bezahlen habe und mein unternehmen zu retten dann habe ich einen kern wettbewerbsvorteil geschaffen danke für den bildungs wird denn und die sicher kommen als viele hin ich hoffe dass ich noch gemeldet und dann weitere etwas was auch die kernaussage haben uns gesagt wenn es zu schaffen für die vom zero bis zu den mitarbeitern die werden auch hingehen muss dass die it security sehr aufwendig ist also die digitalisierung sollte uns das leben leichter machen und durch die cloud und alle dinge und internet office und muss man weniger tun und das kostet weniger aber das ist ja genau ein fehler wir haben wenn es sagt die produktion der sus die it security abteilung dieser bill gegeneinander arbeiten weil die produktion will halt kosteneffizient arbeiten auch wenn man sich persönlich vielleicht der zug steht ein einfaches passwort ist für mich kosteneffiziente weil muss man nur was das passwort 123 merkel und nicht irgendwer an wert oder zusätzliches tool haben und auch in der auf der firmen leitungsebene musste sein dass security was kostet also dieses ergebnis schulung zu machen sondern und das dass jeder macht diese dinge sind ja eh da oder die technologie sei eigentlich dauert diese dieser zusatzaufwand oder wie du gesagt hast diese diesen das begegnen der professionellen angreifer dann muss ich sehr professionell begegnen und es ist auch aufwendig also dass ich kann jetzt da diese risikoanalyse die kann jetzt sollen neben beiden wochen am freitagnachmittag bei der zeit ist und das braucht man es nur im home office ist ist auch dass sie jetzt das ist ein kernthema und wenn er sagt zur produktionsanlage in der industrie da gibt es ganz wichtige kernprozesse auf die das fokussiert wird also autoindustrie da muss die das laufband muss laufen das darf nicht stehen und in der stahlindustrie enten das wird hochofen wird einmal im jahr abgeschaltet und sonst nie und diese prozesse ist das ist extrem extrem wichtiger werden dass alle maßnahmen runter gemacht die industrie damit diese produktion aufrechterhalten bleibt aber die security da ist dass dieses zusatzaufwand der ist nicht sichtbar und das ist noch diese diese ergebnis arbeit die auch in richtung sieht die offensiv ausgehen muss auch von security spezialisten sagt macht diesen extra meter es ist ein begriff sagt ist ein wettbewerbsvorteil soll aber gott welt wollen auch qualitätsmanagement angesprochen weil es und industrie also das qualitätsmanagement und ich habe da jetzt eine zahl jetzt erst gestern wieder gesehen also ist sehr sehr also angekommen also gibt es ganz ganz viele unternehmen die qs zertifiziert ja aber für it security oder informationssicherheit iso 27001 oder die die spezial moment ist ergibt gibt’s eigentlich viel weniger oder business content management habe zuletzt 2700 unternehmen sind nur da also zertifiziert das heißt braucht es dann noch mehr bewusstsein hat etwas bringen den zertifizierungen aus eurer sicht und im industriebereich patrick du wolltest das sagen ja ich glaube dass diese diese diese diese normen bei uns in der gesellschafter der beiden unternehmen wie sonst noch schwerer haben wenn man sich die iso denn bsi oder nissen ist anschaut sind das alles standards die im prinzip sicherheit in unternehmen schaffen genauso wie wir es besprochen haben da ist dann jemand verantwortlich dann wären die mitarbeiter geschult dann habe ich meine human resources und griff kriegt den access control habe meine daten verschlüsselt das steht da alles ganz genau stück für stück drin aber viele unternehmen dann kriegen bei compliance schweißausbrüche weil sie alt denken sie müssen jetzt unendlich viele prozesse und dokumente machen aber aber die struktur die da drin steckt in diesen dokumenten das sind das sind bei iso sind da sind das 18 unter punkte diddy diddy mit leben füllen müssen je nachdem wie groß ihr unternehmen ist wenn sie sich an diesen strukturen wenigstens mal lange handeln würden stück für stück sich entwickeln würden würden sie widerstandsfähiger werden also es gibt diese richtlinien es gibt diese ansätze es traut sich nur keiner ran weil sie in ihrer grundform brutal abstrakt geschrieben sind und nicht so einfach zu verstehen wenn man wenn wir als fachkräfte diese bisher leichter verpacken würden und transportieren würden würde es wahrscheinlich bei den kunden draußen auch leichter adaptiert und die strukturen und die ansätze sind alle da sie müssten nur übernommen gelebt und von uns in leicht verständlicher sprache transportiert wenn man leicht verständlich so nicht getätigt oder beleidigend sein sondern so dass es ein maschinenbauer versteht oder jemand der sich mit druckerpressen auseinandersetzt auch dass die die sich nicht mit icq tief erstrecken diese prozessschritte einfach für sich verinnerlicht und verstehen das ist unsere aufgabe und dann wird dieser gerecht werden glaube ich müssen wir die fragen vorher gar nicht mehr so intensiv besprechen weil dann wird schon mehr widerstandsfähigkeit in den unternehmen eingehen und das ist unsere aufgabe ja absolut ich sehe das auch so dass viele von diesen dokumenten eben ja auch entsprechend viele seiten sozusagen beinhalten ich glaube dass man den unternehmen vielleicht das sagen muss an dieser stelle es gibt firmen consultants die einem dabei helfen er es muss ja nicht so sein dass sich jetzt der armati leiter hier diesen 500-seitigen aktie vornehmen muss sondern es gibt eben firmen die das curling spezialisiert sind auf das ja also wir machen das zum beispiel und es ist soja und und ich dieses know how und die hilfe dabei also die firmen müssen dass es selbst machen im endeffekt ich kann nicht entscheiden welche systeme wichtig sind aber ich kann ihnen dabei helfen und die fragen stellen uns auf das macht meine analyse was ist für dich wichtig muss die produktion laufen oder ist es die persönlichen daten was man falsch erklärt haben und so weiter und unterstützen die firmen dabei zwei punkt glaube ich der ganz wichtig ist und zwar die frage nach der it-security und produktion ist im raum gestanden die produktion wird gemessen am aufbau der produzieren die am tag draußen oder 2 oder 4000 oder wie auch immer stück vom irgendetwas und das kann ich sehr einfach messen und an zahlen ablesen also dafür brauche ich jetzt kein wissenschaftler seien ja it security hat den charakter einer versicherung und das macht es glaube ich so schwierig es ist etwas wo man etwas investiert wie bei einer versicherung versichere ich mein fahrzeug um soundsoviel oder um mehr oder meinen fuhrpark aber sonst irgendwas das habe ich vor einer entscheidung ist sicherlich sein bauchgefühl wo ich sage okay buch viele schmeiße ich da jetzt rein weil hoffentlich wird man die versicherungen wahrheit ja nie brauchen das ist aber dass die kühe die auch so ich war uns allen klar dass wenn wir völlig ohne sicherheit ohne security heute arbeiten ohne auf weiteres die firma nicht lange überlebt ja also zu sagen so weit sind wir schon glaube ich dass das ist ein gewisses grundniveau an sicherheit zu haben ja wie viele dass avatar alice ist doch schon sehr schwierig zu beurteilen obwohl es natürlich da auch möchte ich dazu sagen dass das auch schon gesagt natürlich ansätze gibt wie bewährte exekutive wie kann ich dadurch gehen und so weiter aber das ist doch schon sehr abstrakt und auch hilfe gibt es natürlich dann leute die einen dabei beraten ja dass ich den sport und unkte selbst weil es geht eher darum braucht es ein umdenken in bezug auf den punkt denn du gesagt hast dich bewährte ist und sage euch meine versicherung eine hausratversicherung ich habe die zahl bei mir im team da hat dem haus überschwemmt oder bewährt jetzt mittlerweile das anders und ich lese jeden tag neue meldungen über securid token bei meinem einem konkurrenten bei meiner nachbarn viermal ich mache trotzdem nichts oder zu wenig und wir haben letztes mal darüber gesprochen churchill gesagt ich lese jeden tag in der zeitung dass ich nicht rauchen sollte als schädlich ist dann höre ich auf zeitung zu lesen und die frage ist eben unterstützt aus den kunden wenn jeden tag diese meldungen kommen im sender warum hier ist was passiert hier passiert etwas dann beginnt das umdenken was müssen wir tun das was du was ich meine das ist diese bewertung und für viele kunden wie war es nicht mehr darauf hin dass auch das noch tun du solltest das noch tun er macht es dann nicht und er macht es nicht mit dem konkurrenten von der macht einfach nicht so ganz hinaus bis dann mal was passiert und das ist für mich die zentrale frage was muss passieren damit das richtige um weg neben passiert wie bewährte mäßig etwas was nicht passiert und was passiert weil dann weiß ich was der schaden ist und dann wird man auch die maßnahmen treffen aber das ist natürlich die stichworte mir auch sehr gut gespielt im sinne von zertifizierungen um auch darauf noch einmal kurz zurück zu kommen und frameworks und das zu ihnen die kinder es geht genau darum diese zertifizierung das sind frameworks mich als unternehmen in wirklichkeit dabei unterstützen sollen hier strukturiert und effizient das allgemeine sicherheitsniveau wiederum zu höheren und genau das ist unser kerngeschäft im unternehmen dahingehend zu unterstützen wie man diese frameworks sinnvoll implementieren kann was ist immer etwas kritisch sehe ist wenn man zertifizierung rein aus weil ich diese defizite auch weil ja mein kunde will verlangt die zertifizierung will dann wird es immer als oberhaid gesehen und dann wird es immer ist verhinderung angenommen aber es gibt die möglichkeit diese standards und frameworks auf eine effiziente art und weise im unternehmen zu integrieren und das erhöht dann den wert und man kann es auch beispielsweise dann mit dann wollen die qualitätssicherung management integrieren und dann verschiedene standards auf eine effiziente art und weise ausrollung dann der schritt ist dann muss man muss ja nicht alles sofort zu setzen auf eine granulare art und weise es macht doch keinen sinn sondern auch beginnt aber heilbar und erweiterten sukzessive den reifegrad und das ist letztendlich langfristig gesehen auch das effizienteste bietet dann wir haben viel über kultur wellness etc gesprochen das hebt das ganze gibt dem ganzen auch die zeit die es benötigt um wirklich tief in die qualität hineinzugehen da kann ich nur anschließen ich habe die unternehmen die zertifizierung irgendwelchen lieferbedingungen oder so brauchen iso 27001 zum beispiel ja sehen den wert von dem ganzen noch nicht das heißt eigentlich ist dahinter ein qualitätsmanagement das heißt wir haben wir haben einen partner der das sehr viel macht und immer wieder sagt ich habe jetzt ein unternehmen zertifiziert und in zwei jahren drei jahren muss ich muss muss rezertifizierung machen auf dem weg zur rezertifizierung hat der kunde nichts gemacht also der hat keine dieser eigentlich auch empfohlenen qualitätssicherung und weiterentwicklung maßnahmen eigentlich gemacht oder den wert sehen und dann oder eben genau immer schon vorhin gesagt haben dass nur als budget kostenpunkt gesehen aber nicht mehr wettgemacht und ebenda hintergrund auch nicht security systeme oder so weiterentwickelt ich glaube da wird dann für mich bei großen organisationen zukünftig die rolle des jesus noch viel viel wertiger werden ja ich glaube auch dass die rolle wesentlich weiter in mittelständischer und kleinerer unternehmen einfließen muss ja nicht jedes unternehmen wird sich das leisten können aber es gibt natürlich auch die möglichkeit von externen beratern des ganzes also service auf einer gewissen stunden basis ohne gewissen manntage basis kaufen die gerade dieses trainieren dieses laufende man sportler trainiert auch die ganze zeit einen notruf organisation die genannte zum notfall hin und schauen dem handbuch was jetzt zu tun ist wie eine herzdruckmassage geht sondern das muss man einfach laufen trainiert wenn und die hauptrolle des jesus also gibt es einen schönen khartum wo man sieht sie level bord und dann siehst du einen an einen zweiten titel im schatten wo er kinder sitzen und da sitzt sie so und dann kommt jemand glaubt uns auf die schulter und sagt ob jetzt darfst du im tiefschnee groß zu sitzen ja das glaube ich ganz gut sind bildlich wo der csu sich hin entwickeln muss nämlich wirklich einerseits als neutrale rolle dass der sollte auch ton text von der technologie und von ganzen dingen entkoppeln dann muss das auch challenge und natürlich dann muss das immer wieder auch kritisch hinterfragen und da sehe ich und da ist eben für mich oder qualitätsmanagement in einer zertifizierung ein gutes mögliches vehikel dazu und da müssen unternehmen speziell kleineren mittelständischen unternehmen noch viel investiert und das darf und das ist dann auch wieder beim während es beim geschäftsführer beim beim eigentümer vielleicht ja das darf nicht das kostenpunkt und man es wirklich wirklich interpretiert werden weil das passt alles zusammen eigentlich es schwer zu sagen ich hab keine ahnung ja die frage ist passiert denn wirklich nichts oder passiert schon was also weil zumindest ich persönlich habe es so empfunden du hast das vorher als auch noch einmal gesagt 2013 adwords haben war sicher einen bombeneinschlag sowie zumindest empfunden und große aufschrei und ich habe dann angenommen natürlich jetzt wird sich alles ändern ob sich tatsächlich alles geändert weiß ich eigentlich nicht es ist schwer zu messen ich glaube er allerdings schon dass sich etwas geändert hat ja und wenn man in österreich bleiben haben wir jetzt ein trotzdem war letztes jahr immer wieder so einige fans mbh anfälle vorfälle gehabt ja ich glaube schon dass in jedem fall was passieren wird teilweise ist es vielleicht eine frage des generationswechsels in der idee das durchaus gerade in österreich klassischen mittelständischen unternehmen in irgendwelchen industriezweigen jetzt ist völlig egal noch immer agieren wie vor 20 jahren einfach weil sozusagen das meint seit das einer anderen generation kommt das wird sich klarerweise aber ändern einfach ja weil jeder wird älter die die nachkommende generation die die posten übernimmt ja ist ja mit computern aufgewachsen das sind viel das sehen wir schauen ja aus verschiedenen unternehmen aber es gibt genügend leute die kommen noch aus der vorzeit und sind aus verschiedenen gewachsenen gründen einfach geworden ja aber da ist das meint ein anderer ist und das wird sich natürlich auch erinnern nur ganz kurze muss ich auch interessant was passiert was ich interessant finde ist natürlich auch die politik die mittlerweile auch maßnahmen gesetzt das auch bis sind ich muss es gibt jetzt einen ist richtlinie es gibt seit längerem die datenschutz grund verordnung und dabei sieht auch was würde passieren empfindliche strafen also das ist ja schon mal gut auch dass hier die politik anfängt hier mehr zu tun ich würde mir erwarten was ihr noch mehr passiert ich glaube das ist das was alle security menschen denken oder alle die in der branche in halbwegs so zu sagen warum warum geht das nicht schnell aber so wie sie es eben ein langsamer prozess der ihm über jahrzehnte einfach dauerte bis das in alle ebenen durchgedrungen ist und verstanden worden ist und so weiter und ich werde eines professionell autos vorhergesagt professionelles irgendwie alle haben einen job weil alles professioneller geworden ist in dieser branche so zu sagen ja natürlich auch die angreifer der mittlerweile ja für uns vielleicht auch noch ein bisschen wie eine steigende stephan visy steinmeier also ich kann leider aber muss leider bestätigen die meisten unternehmen machen erstmals ein wirklich was passiert ist was ich aber auch sehr und das stimmt vollkommen es kommt mehr mehr regulatorisch wo die unternehmen etwas machen müssen das ist ein treiber ich sehe aber auch durch das durch die digitalisierung das kraut thema das security thema viel mehr an bedeutung gewinnt weil wenn jemand unternehmen überlegt gehe ich in die cloud werden wenn ich anwendungen in die cloud dann wird dort security schon jedes mal auch diskutiert und damit geht das thema auch viel stärker in die breite und hat dann in weiterer folge natürlich auch auswirkungen auf die traditionelle it also das ist ein trigger den ich schon sehe wo ich glaube dass die unternehmen von sich aus ohne externen druck über regulatorisch stärker und stärker in die richtung security gehen also als regulatorische vorgaben auch berichte der gesetzliche vorgaben einheitlich laut auch dort ist immer das thema welche verantwortung übernimmt der cloud provider welche security aufgaben muss das unternehmen übernehmen das muss ausdiskutiert werden muss definiert werden und damit setzen sich die unternehmer in vielen themen dann schon dramatisch auseinander das lässt sich dann nicht mehr vermeiden lässt dich an qualitätsmanagement zertifizierungen wie stehst du dazu oder hast du das auch ein fließt in die ausbildung werde vielleicht erst mal auf die ausbildung gehen und dann auf die zertifizierungen das top angesprochen aus dieser generationswechsel form von city aus das ist ganz entscheidender faktor glaube ich dass man heute digital native cent das sind begriff mittels strapazieren die schon mit dem thema aufgewachsen sind kommen dann in den handlungsspielraum und haben die möglichkeit diese dinge die sie schon etwas mehr verinnerlicht haben auch umzusetzen wenn ich an meine ausbildung zurück ich habe öfter unikat security oder service oder zumindest belegt dass auch damals kein thema war sowieso breit bis jetzt ist in die richtung also in der ausbildung muss das direkt einfließen dass man sagt die it leiter von foto von übermorgen wir haben das schon auch gelernt und haben hier auch schon in einer ausbildung einen viel höheren wertes level also nicht dieses standard mitarbeiter sondern noch 12 drüber musste also vorhanden sein was man sagt mittel paranoia schadet also nicht weil es einfach was einfach hilft das ganze zu machen zertifizierungen sind als super teil der auch mit ausbildungen kombiniert man kann ist mit den zertifizierungen oft wirklich so auf die art weil ausbildungen ändert sich auch nicht so schnell zertifizierungen zu schnell an zumindest nicht so schnell wie die wie die wie die angreifer sich ändern leider aber man hat hier ein 1 1 ein thema das sich extrem schnell ändert also zertifizierungen ausbildungen das muss sie eigentlich mit einander ergänzen dass man sagt man geht auf persönlicher ebene schafft personen er weiß dass man sich auch zertifizierte themenbereichen dass man sich ausbildet und auch weiter bildet also bei 4 man also wieder gesagt dass dieses man hat zwei jahren nichts getan auch als person wenn ich mich mit security beschäftige ich kann jetzt keinen abschluss machen auf einer hochschule und sagen jetzt werden abschluss mit security und dass du ja mal zwei jahren nichts und dann schau mal an er habe das gemeinsame gelernt das ist ein themenbereich das erinnert sich so rasch dass man hier wirklich immer eigentlich zu spät ist also das ist ja auch dieses das dilemma wenn es sagt die angreifer sind jedem unternehmen immer einen schritt voraus weil die einfach nur eine lücke finden müssen und der verteidiger weiß nicht wo er verteidigen muss oder man muss und man ist immerhin nach und das muss man auch schauen in der ausbildung in der weiterbildung vor allem dass man hier stetig was tut stetig dazu lernt das thema mobile security was was macht sie dazu geld es ist ja auch ein immer größeres thema mobiles arbeiten arbeiten von überall ja mobile security also muss man sagen die zwei großen betriebssysteme sind mal vom grundstruktur der grundstruktur sehr sicher aufgebaut wenn man so so legacy systeme anschaut dann ist ein modernes ios modernes android-betriebssystem relativ sicher aufgebaut auf der anderen seite ist es der markt der nahezu explodiert also für alles gibt es sätze für industrieanlagen gibt es wahrscheinlich bald eine app dazu die app ist ja einfach zu bedienen dass das jeder machen kann aber die komplexität jetzt herr stock versteckt und ich habe eben auch diese also die komplexität jetzt versteckt sich aber auf das ist im hintergrund die greifer industrieanlage zurückgreifen shop system zurückgreifen auf irgendeine große infrastruktur zu und dort habe ich über all diese diese schnittstellen diese themen wie security er ganz großes thema ist auf meiner meinung eine taste oder kaufen und dann ist das erledigt oder anlage steuern und wir haben auch diesen großen markt von vielen apps von vielen vielen geräten die die komplexität jetzt dann nicht nur multiplizieren sondern vielmehr potenzieren weil ich habe im bereich 3 millionen unterschiedliche apps sie habe jedes monat zig millionen downloads von apps ich habe zig millionen geräte die dazu kommen auch alte geräte noch irgendwo vorhanden sind und wenn jetzt zeige ich hab jetzt da eine dass sie einen server oder server zentrum und der datenbank und einer industrieanlage das ist so schön abgesichert und die mobilen geräte und die verteilten gerettet ist ja der ganzen welt verteilt alles in online immer online und hier sind zwar relativ sichere systeme aber es multipliziert sich und wenn ich irgendwo eine lücke habe dann kam das potenziell holz über angreifen es gab vor ein oder zwei jahren gab es das riesengroße whatsapp lücke also ein exploit das ein fehler war und da waren dann einfach 200 millionen user betroffen oder noch mehr weil einfach die verbreitung so groß ist also wenn man kommt um sps anlagen diese so eine industrieanlage die gibt’s nicht so oft da gibt’s keine 200 millionen oder 500 millionen user von einer industrieanlage unterhalt sehr viel mehr fokus auf die sicherheit und bei einer kleineren sagt er das ist nur eine app habe ich halt die die breite basis die breite masse an vielen vielen nutzern und vielen geräten und das multipliziert die security problem massiv wir könnten uns jetzt noch mindestens vier stunden über mobile security wette unterhalten auch in the day wird das ist eine riesen war auch ehrlich gesagt ja auch cloud security wurde vorher noch angesprochen und auch industrie und maschinenbau und produktion co2 haben wir besprochen also sind ganz viele themen nicht zu vergessen die wären es die wir also auch also gleichsam also auch der faktor mensch nicht zu vergessen eben auch die prozesse es ist so für mich so ein dreieck prozesse menschen technologie ja also dieses dieses dreiecks zusammenzubringen ist glaube ich das wichtigste das sollten medizin vielleicht noch einmal mit geben aber wir wollen es nochmal in die kurze schlussrunde starten damit wir also alle sehr dann noch einmal mitnehmen und nicht mit einer mit leeren händen so zu entlassen sondern auch mit botschaften oder vielleicht mit kleinen handlungsempfehlungen was möglich ist oder was getan werden kann wo sie vielleicht auch investieren sollte in zukunft oder sie aufpassen sollten ich fange wieder mit ihren mitteln also vieles wurde vorher bereits gesorgt ich glaube die strategie von ganz oben an ist ein wichtiges thema wir glauben partner bestätigt dass auch eine der top themen in cyber security ist die konsolidierung von systemen weil die leute hatten oder die firmen haben in der vergangenheit mit pflaster mechanismus einfach die protection überall gemacht und ich glaube das ist heute nicht mehr zielführend ach wenn es wenn man davon ausgehen muss dass eben etwas passiert also wir logischerweise gehen darf wir versuchen den kunden eine ein trend sicherheitslösung ob die jetzt von kaymer für die haben andere meisters noch was auch das einfach uns dafür einzusetzen weil wir glauben es ist wichtig eine visibilität zu haben nicht nur ein point oder ein netzwerk oder die cloud auch die e-mails alters zusammenzubringen zu überwachen und daneben besser gewappnet zu sein wenn was passiert mit einem guten partner und ich glaube das ist dort wichtige jeder produkt entscheiden was früher so das thema war partner sicherlich ein wichtiger punkt gut da schaue ich weiter so die lokale wie siehst du das oder was würdest du denn her noch mitgeben wollen relativ einfach man das ist so ein bisschen martialisch ausgespielt aber es ist ein krieg naja dann krieg zwischen gut und böse und die kunden sollen sich immer nicht im geschäft denken das ist jetzt eine bande von studenten die in einer garage im hinterhof hacken sondern das ist eine industrie das ist eine baldige milliardenschwere industrie ja früher war die gießkanne durch das schon gefragt es diese social engineering das schon sehr gezielt das angreifen mit sehr gezielten analysen den krieg kann man nicht gewinnen und das ist ein wettlauf das heißt meine mein appell an die kunden ist wirklich das auch als prozess zu sehen dass marathon zu sehen die digitale transformation ist ja auch ein marathon unter mustafa security einfach enthält ein sein es kommen neue technologien auf unserer seite dazu es ist halt noch nicht so gekommen das ganze machine learning das heißt auch wirklich künstliche intelligenzen das prädiktive voraussehen auf basis von modellen geben nur das beispiel du kriegst den link mit einem mit einem bild also ein e mail dass durch die sandbox durch das ganze durch geht mit einem link der ist am freitagabend noch nicht versorgt am montag in der früh ist aber versorgt ja das heißt hier können modelle hier keine künstliche intelligenz auch helfen das schon vorab zu erkennen also das ist das nächste step ja wirklich hier auch den fachkräftemangel den wir einfach haben und den wir mal weiterhin haben da brauchen wir uns nicht irgendwo etwas vorlügen ja auch durch modell also durch machine learning durch künstliche intelligenzen und durch immer stärker während der auch technologische systeme unterstützen aber muss man sagen muss sich bewusst sein dass man permanent angegriffen werden kann jeder kann angegriffen werden jeder wird in einer angegriffen und muss dafür eben schon auch die massnahmen treffen wenn man angegriffen wird und man hat vor einem plan kommt man vielleicht ein bisschen mit weniger schaden raus wenn man gar kein plan hat dann wird’s teuer und wird lange dauern ja und hat das wirkliche blockieren leute schockieren und sich wirklich bewusst sein dass ich das als sport betreiben wo es mit einem laufenden training und einer laufenden weiterentwicklung der wettbewerb wird dann heute vielleicht aber ein angriff sein und den kann ich da gewinnen wenn ich vorher gut vorbereitet bin sicherlich ein wichtiger punkt der wettlauf und das ständige wirklich up to date bleiben das ist also wirklich ein ende ein ständiger ein ständiges laufen dass man sozusagen nicht abstellen kann guter wichtiger punkt auch gut dass du keine künstliche intelligenz machine learning angebracht dass darüber haben wir leider heute einfach derzeit noch gar nicht diskutiert könnte man wirklich auch einen eigenen raum zu machen wie siehst du das was würdest du noch mitgehen wollen das thema das auf der sich fokussieren möchte ist wir benötigen die expertinnen und experten zum thema das ist eine der herausforderungen der zeit die unternehmen die wir begleiten wir heuer stark an es ist denke ich die beste zeit derzeit in security einzusteigen oder sogar vielleicht sich zu überlegen einen karrierewechsel zu machen das ist auch möglich die auftragsbücher sind gut gefüllt es ist vielleicht auch noch ein bisschen klischeehaft wie sie gesehen wird das möchte ich auch gerne mitgeben es ist ein unheimlich abwechslungsreiches fällt es sitzen security expert den sexy experte nicht im keller sondern es gibt sehr unterschiedliche themen es ist auch sehr sozial es bedarf überzeugungskraft mehr arbeitet mit vielen unterschiedlichen menschen zusammen und nicht zuletzt möchte ich auch erwähnen es ist ein ausgezeichnetes fällt auch für frauen wir möchten hier natürlich mehr frauen dazu bringen in das fänden einzugehen ist es auch ein sehr innovatives und kreatives fans danke für diesen stich und ich gibt es gleich weiter an die sehr und sie erinnern sagen sie ihren kindern die security ist wirklich spannend schicken sie sich entsprechende schulen und vor allem mädchen hat wirklich die allerbesten chancen weiß ich aus allen gesprächen mit ganz vielen herstellern dienstleistern wo auch immer man hinschaut die security expert innen sind massiv gefragt im moment damit gebe ich jetzt weiter und ich bernhard und dann den patrick ja also was soll man tun muss die große frage wenn mich jemand fragt dann sag ich bereitet sich auf den ernstfall vor also wir haben genügend braucht man hinter beispiel in österreich gehabt in den letzten ein zwei jahren von konkreten samwer angriffen es muss ja nicht immer einsam wer sein aber das ist bestimmt einer der schlimmsten fälle die man sich freuen kann und den auch jeder versteht also da etwas das eigentlich heißt ja bereite dich auf das vor dass dir das passiert und dann kann ich sozusagen maßnahmen ableiten und sagen okay ich gehe davon aus es ist passiert wie bringe ich das schnellstmöglich wieder zum wie bringe ich mein system schnellstmöglich wieder zu laufen und was stellt sich vielleicht auf die frage na ja und was muss ich dann nach wie viel geld man sich dafür ausgeben und im rahmen dieser vorbereitung komme ich dann zu dieser fragestellung und du hast das schon erwähnte einmal dass das management eine entscheidung treffen muss darüber was ist eigentlich in meinem unternehmen wirklich wichtig und was macht den höchstmöglichen größtmöglichen schaden ist für mich wichtig dass die produktion zum beispiel in dem spot läuft oder ist es für mich wichtig dass irgendwelche persönlichen daten geschützt werden oder oder oder magath wird nicht alles sozusagen auf einmal lösen können sondern step by step und da kann ich das entscheiden und sagen okay für mich ist die produktion wichtig und dann setze ich maßnahmen die das team schritt 1 sozusagen eben sichern und ich kann davon natürlich auch ein budget ableiten ja was kostet mich das was kostet mich der stillstand der produktion eine stunde und sozusagen das kann jeder dann relativ plakativ ausrechnen was das eigentlich dann bedeutet und ja und das ist das was ich sozusagen mitnehmen mitgeben möchte sie hier so auf das vorzubereiten und man muss nicht alles alleine machen es gibt experten alleine hier am tisch sitzen experten die in dieser branche tätig sind ja die den unternehmen genau bei diesen fragen helfen mit verschiedenen methoden natürlicher aber ihnen dabei helfen sozusagen hier diese fragen zu beantworten und zu einer höheren sicherheit zu kommen um neben diesen ernstfall dann gut zu überwachen dass er soll also die gute nachricht sie können ihre security durchaus steigern es gibt möglichkeiten was wir dazu sagen christian hilft auf jeden fall patrick damit frage ich dich ja viele schon gesagt worden dann muss man nicht nichts mehr dazu machen was hat passiert ist die ganze welt geht in richtung haiti wo wir früher nur ein bürogebäude oder ein bisschen handy oder oder laptop überall die nachgedacht haben gerade so im privaten und kamen nur umfeld alle bereiche gehen langsam richtung motivierten zwar mit der produktion gesprochen wir gesehen dass bei fahrzeugen wir sehen dass bei allen steuerungsanlagen für unser alltägliches leben leben und wenn alles richtung alte geht dann braucht man neue ansätze und man hat natürlich auch für die vielen vielen jungen leute viele viele neue arbeitsplätze also ich glaube dass neue gedanken neue konzepte neue lebensarten unbedingt nötig sind um echte um nicht in einem desaster zu enden muss man fast sagen wenn alles digital ist und wir so weitermachen wie wir es in der vergangenheit gemacht werden dann ist das wahrscheinlich ähnlich dramatisch wie die klimaerwärmung und wir werden im chaos enden also bitte bitte bitte denkt über struktur nach wäre es verantwortlich auch zuhause für die it security und macht schafft euch fähigkeiten drauf und verständnis für die situation danke für diesen appell aus münchen wunderbaren immer mit das thema ausbildung denke ich ein wichtiger punkt wenn man so angriffe haben die jetzt da passieren für das haben wir aktuell jetzt schon zu wenig fachkräfte in zukunft wird es wahrscheinlich noch mehr werden und wir brauchen noch mehr fachkräfte und ich glaube das ist ein großes thema und vor allem auch dass dieser themenbereiche die security aber spannend es ist also dass es ist auch mittel sachlich her auf diese die hacker sitzen im keller mit dem kapuzenpullover und pullovern und die die security spezialisten so ähnlich und von dem was ein bisschen weg geben dass das thema in der ausbildung also schaut auch schon in schulen ankommt dass es wichtig ist dass es in höheren ausbildungen dann auch noch vertieft wird und vor allem dass es auch was gezeigt wird dass das sehr attraktiv ist so wie du auch das gesagt hat das ist nicht nur eine gesuchte position sondern auch eigentlich eine attraktive wird ein attraktives arbeitsfeld dass man auch sehr gut sehr lange machen kann spannend ist und auch mit spannenden neuen technologien also immer am ball dann sozusagen am punkt gebracht stefan damit frage ich dich noch also ich glaube es gibt ein gewisses grundverständnis dass die chöre die nicht nur optional ist und dass jedes unternehmen etwas machen muss aus meiner sicht besonders wichtig sind sind die mitarbeiter mit der wärme schulung auch training wäre ich im ernstfall weil nur weil das auf papier steht wird das nicht funktionieren die mitarbeiter sind extrem wichtig und da sollte jedes unternehmen schauen dass da die entsprechenden schulungen eines maßnahmen passiert werden der zweite punkt ist muss von oben die vorgaben geben was ist zu schützen das vieh über das man das security aber das muss dann passieren das unternehmen muss für sich entscheiden was ich machen möchte und der dritte punkt mir wichtig ist ich glaube wir werden das resource problem nicht lösen auf absehbarer zeit es ist so eine nachfrage des security-spezialisten müsste man auch viele schulen gründen damit da der bedarf gedeckt wird wir sehen eine möglichkeit das zu adressieren im thema sagt magneten mehr in richtung plattformen wo security werkzeug integriert werden das macht das leben einfach ich komme mit weniger mitarbeitern aus potenziell das könnte die situation etwas entschärfen und versus hunderte einzelne tools wo jedes mal jemanden brauche der sich darum kümmert das wäre also auch ein einsatz wie immer die ressourcen situation etwas entschärfen kann weil das sehe ich keine lösung auf absehbare zeit mit danke ich allen das war ein bissel fort so pessimistisch wie optimismus es gibt möglichkeiten würde ich mal sagen etwas zu tun nutzen sie diese möglichkeiten und ich danke allen meiner sprecherin meinen sprechen hier für die absolut spannende diskussion dreieinhalb stunden wir haben wieder viel mitgenommen glaube ich hoffe ich auch alle für alle seherinnen und auch für uns selber und die zusammenfassung erscheinen der gewürze welt ausgabe 15 die ende september im 21ten september erscheint bis zum nächsten mal auf wiedersehen
Management Summary zur Diskussion über IT-Sicherheit und Cyber Security
Einleitung
Bei unserem runden Tisch zum Thema IT-Sicherheit und Cyber Security wurde deutlich, dass Unternehmen einer signifikanten Herausforderung gegenüberstehen. Mit zunehmenden Cyberangriffen und einem Anstieg der Vorfälle um 26,2 Prozent in den letzten Jahren haben wir festgestellt, dass es an der Zeit ist, Sicherheitsstrategien neu zu überdenken und anzupassen.
Notwendigkeit der Neubewertung
Die aktuelle Bedrohungslage zeigt, dass niemand, unabhängig von Unternehmensgröße oder -branche, vor Cyberangriffen sicher ist. Vorfälle, wie der letzte Angriff auf 34 Unternehmen in Österreich, verdeutlichen, dass Sicherheitsmaßnahmen dringender denn je überarbeitet werden müssen. Cyber Security ist nicht mehr nur eine technische Herausforderung, sondern erfordert ein ganzheitliches Konzept, das Menschen, Technologien und Prozesse einbezieht.
Die Rolle des Menschen in der Cyber Security
Es wurde betont, dass die menschliche Komponente eine der größten Schwachstellen darstellt. Daher ist es entscheidend, Mitarbeiter zu schulen und ein Bewusstsein für Sicherheitsrisiken zu schaffen. Initiativen in Schulen zur Vermittlung von IT-Sicherheit sind notwendig, um zukünftige Generationen besser vorzubereiten.
Technologische Entwicklungen
Die Diskussion beleuchtete auch den Einfluss neuer Technologien, wie Cloud-Computing und KI. Unternehmen müssen sicherstellen, dass ihre Sicherheitsarchitektur mit der sich schnell entwickelnden Technologielandschaft Schritt hält. Die Integration neuer Technologien muss mit einem fokussierten Ansatz für IT-Sicherheit einhergehen.
Strategien zur Verbesserung der IT-Sicherheit
Übersichtlichkeit schaffen: Unternehmen sollten ihre Sicherheitslandschaft konsolidieren und alle Aspekte von IT-Sicherheit ganzheitlich betrachten, um ein umfassendes Schutzkonzept zu erstellen.
Prozessoptimierung: Sicherheitsprozesse sollten nicht als „Add-On“ betrachtet, sondern in die tägliche Arbeit integriert werden. Eine kontinuierliche Risikoanalyse und -bewertung sind erforderlich.
Top-Down-Ansatz: Die Geschäftsführung muss das Thema ernst nehmen und prioritär behandeln. Sicherheitsstrategien müssen Teil der Unternehmensstrategie sein und erfordern Engagement und Ressourcen.
Einsatz neuer Technologien: Die Anwendung von Künstlicher Intelligenz und Machine Learning kann helfen, Sicherheitsvorfälle präventiv zu erkennen und die Effizienz der Sicherheitsmaßnahmen zu steigern.
Expertise aufbauen: Der Fachkräftemangel ist akut. Unternehmen sollten investieren, um Talente zu gewinnen und die vorhandenen Mitarbeiter weiterzubilden.
Zertifizierungen und Normen
Die Rolle von Zertifizierungen wie ISO 27001 wurde diskutiert. Sie bieten einen strukturierten Rahmen für das Management von IT-Sicherheit, der jedoch aktiv gelebt werden muss. Die Herausforderung besteht darin, diese Standards in einfacher, nachvollziehbarer Sprache an alle Mitarbeiter zu kommunizieren und in die Unternehmenskultur zu integrieren.
Fazit
Zusammenfassend lässt sich sagen, dass Unternehmen sich heute proaktiv für Cyber-Sicherheit wappnen müssen. Es ist von entscheidender Bedeutung, ein Bewusstsein für Risiken zu schaffen, Schulungen durchzuführen und sicherzustellen, dass Sicherheitsmaßnahmen in das gesamte Geschäftsmodell integriert werden. Durch einen ganzheitlichen Ansatz, der Mensch, Technologie und Prozesse vereint, können Unternehmen nicht nur ihre Sicherheitslage verbessern, sondern auch einen wertvollen Wettbewerbsvorteil gewinnen.
Handlungsaufruf
Unternehmen sollten unverzüglich einen Plan entwickeln, um ihre Sicherheitsstrategien zu überarbeiten und anzupassen. Der erste Schritt könnte eine gründliche Risikoanalyse sein, gefolgt von der Identifizierung kritischer Assets und der Implementierung von Sicherheitslösungen, die auf die spezifischen Bedürfnisse zugeschnitten sind. Die Zukunft der Cyber-Sicherheit liegt in der kontinuierlichen Anpassung und dem ständigen Lernen, um der sich entwickelnden Bedrohungslage gerecht zu werden.
