Meldung vom 08.05.2023
v.l.n.r.: Thomas Arnoldner, CEO A1 Group; Isabell Claus, Managing Director & Co-Founder thinkers.ai; Christine Wahlmüller-Schiller, verantwortlich Marketing & Communications am AIT Center for Technology Experience; Ronke Babajide, Manager Systems Engineering, Fortinet; Richard Malovic, CEO Whalebone; Klaus Steinmaurer, GF RTR Fachbereich Telekom & Post
© A1/APA/Juhasz Mai 2023
Beim gestrigen A1 Cyber Security Round Table diskutierten hochkarätige Expert:innen vor Fach- und Wirtschaftsjournalist:innen über die gesellschaftspolitischen und wirtschaftlichen Auswirkungen der exponentiell ansteigenden Cyberattacken auf Wirtschaft, Industrie und öffentliche Institutionen.
Unter dem Titel „Zero Trust – Warum Unternehmen die Stärkung ihrer Cyber Resilience vorantreiben müssen“ sprach Gastgeber Thomas Arnoldner, CEO A1 Group, mit Klaus Steinmaurer, GF RTR Fachbereich Telekom & Post, Richard Malovic, CEO Whalebone, Isabell Claus, Managing Director & Co-Founder thinkers.ai und Ronke Babajide, Manager Systems Engineering, Fortinet, unter Moderation von Christine Wahlmüller-Schiller, verantwortlich für Marketing & Communications am AIT Center for Technology Experience. Die Themen reichten von vielfältigen Bedrohungen im Netz, dem eklatanten Fachkräftemangel, Aufholbedarf beim Bewusstsein für Cyber Security, dem gestiegenen Gefahrenpotenzial durch den Einsatz von Künstlicher Intelligenz, regulatorischen Rahmenbedingungen und wie sich Unternehmen in Richtung Business Continuity aufstellen können. Eine robuste Cyber Resilience sichert die langfristige Wertschöpfung und Wettbewerbsfähigkeit von Unternehmen.
Allein von 2018 bis 2021 stiegen die Cybercrime Fälle in Österreich um 135% auf 46.179. 51% davon waren Phishing Attacken. Die durchschnittliche Verweildauer von Hacker:innen beträgt rund 48 Tage, davon werden 62% der Fälle von externen Stellen erkannt.
Die wichtigsten Aussagen
Thomas Arnoldner, CEO A1 Group: „Bei Cyber Security verhält es sich wie bei Compliance: es ist eine Frage der Haltung. Mitarbeiter:innen müssen profund geschult werden, was die technologischen Grundlagen anbelangt und sie müssen hinsichtlich Risikobewusstsein und Mindset sensibilisiert werden. Wir haben die Wichtigkeit des Themas erkannt und Security in der A1 Gruppenstrategie verankert.“
Klaus Steinmaurer, GF RTR Fachbereich Telekom & Post: „Wo es Licht gibt, da ist auch Schatten. Leider wird es im Internet immer schattiger. Network Security ist daher heute ein "must have" und kein „nice to have“ mehr. Wir müssen dabei auch zwischen unterschiedlichen Akteuren im virtuellen kriminellen Raum unterscheiden. Da gibt es private und staatliche Player, die Sicherheitslücken für ganz unterschiedliche Interessen nutzen. Gerade die Betreiber von Netzinfrastruktur trifft eine besondere Verantwortung in Fragen der Cybersicherheit, bei der es nicht nur um die Sicherheit einzelner Kund:innen geht, sondern Sicherheit und Integrität der Netze gleichzeitig auch von staatlichem Interesse sein muss. Als Telekomregulierer ist es dabei unsere Aufgabe die Einhaltung der vom Gesetzgeber verlangten Sicherheitsmaßnahmen in Netzen zu monitoren und gegebenenfalls auch einzugreifen, wenn es notwendig ist.“
Richard Malovic, CEO Whalebone: „Unsere Vision ist es, 1 Milliarde Kunden und Kundinnen zu schützen und wir glauben fest an unser Markenversprechen ´connected bedeutet protected´. Jeder einzelne vernetzte Nutzer verdient es, bestmöglich geschützt zu werden.“
Isabell Claus, Manager & Co-Founder, thinkers.ai: „Die rasanten Entwicklungen im Bereich KI müssen von umfassenden Sicherheitslösungen und Sicherheitswissen begleitet werden, die auf allen Ebenen der Wirtschaft, Politik und Gesellschaft etabliert werden müssen.“
Ronke Babajide, Manager Systems Engineering, Fortinet: „Eine der größten Sicherheitslücken ist gegenwärtig trotz aller Securitytechnik, die wir haben, immer noch der Mensch. 80 bis 90% aller erfolgreichen Angriffe sind dadurch erfolgreich, dass irgendjemand irgendwann einen Fehler gemacht hat. Ein weiteres großes Problem, das ebenfalls kein technisches ist, ist der Fachkräftemangel, der immer größer wird. Es fehlen uns die Menschen, die unsere Systeme betreiben damit wir uns schützen können. Das ist ein gesellschaftliches Thema, das meiner Meinung nach breit diskutiert werden muss.”
Fazit
Cyber Security geht uns alle an! Durch die zunehmende Vernetzung von Geräten im Internet der Dinge und die rasante technologische Entwicklung steigt das Bedrohungspotenzial und die Anforderung an Unternehmen im Bereich Cyber Security. Flächendeckende Maßnahmen sind teils aufwändig, kostenintensiv und schwer umzusetzen. Umso wichtiger ist es, Mitarbeiter:innen und Kund:innen zu schulen, sensibel auf die Thematik zu machen und entsprechende Maßnahmen wie Services oder Consulting einzusetzen. Cyber Security hat sich von einem IT-Thema auf die Managementebene verlagert und ist strategische Führungsaufgabe. Das geht einher mit entsprechenden Schulungsmaßnahmen und Investitionen, die auch von staatlicher Seite gefördert werden sollten. Die handelnden Akteure sollten sich damit auseinandersetzen, wie das Gefahrenpotenzial minimiert und für ausreichend Resilienz gesorgt werden kann.
Glossar
Malware: Kurz für „malicious (bösartige) Software", daher oftmals auch als Schadsoftware bezeichnet.
Cybercrime-as-a-Service: Online-Abzocke auf Bestellung. Ransomware-Akteure haben mittlerweile einen IT-Betrieb wie ein Unternehmen am Laufen.
FluBot ist ein Spam-Bot, der sich im Zuge einer Smishing Kampagne verbreitet und automatisiert Malware ausspielt. Die Malware soll Login-Daten zum Online-Banking von Smartphones stehlen.
Fraud Call ist die Nutzung von Telekommunikationsprodukten oder -diensten mit der Absicht, illegal Geld von einem Telekommunikationsunternehmen oder dessen Kunden zu erlangen oder nicht zu bezahlen.
Call-Bots: Computerprogramme, um potenzielle Opfer anzurufen und sie mit einer Tonbandaufnahme, meist in Englisch, zu konfrontieren. Die Nummer, die auf dem Display der Angerufenen erscheint, ist mit technischen Mitteln gefälscht („Spoofing“) und daher nicht rückverfolgbar.
Phishing: Versand gefälschter E-Mails. Phishing-Mails zielen häufig darauf, z.B. an Finanzinformationen, Zugangsdaten oder andere sensible Daten zu kommen oder den Nutzer z.B. zur Ausführung einer schädlichen Aktion zu bewegen.
Social-Engineering: Zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.
Ransomware: Von englisch ransom für „Lösegeld“. Sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Private Daten werden auf fremdem Computer verschlüsselt oder Zugriff auf sie verhindert, um für Entschlüsselung oder Freigabe Lösegeld zu fordern.
Brute-Force-Angriff: Versuch, ein Passwort oder einen Benutzernamen zu knacken oder eine verborgene Webseite oder den Schlüssel zu finden, mit dem eine Nachricht verschlüsselt wurde. Dabei wird mit maschineller Unterstützung nach dem Trial-and-Error-Prinzip vorgegangen, die gewünschten Informationen irgendwann zu erraten.