Nachlese zur CMG-AE Tagung

Sensible Systeme:
Betriebssicheres Design und Management

18.10.2016, 9.00 – 14.00 Uhr, Ericsson Austria GmbH, Ernst-Melchior-Gasse 24, 1020 Wien


Die Funktionsfähigkeit Sensibler IKT-Systeme hat entscheidenden Einfluss auf das Geschäft der Anwender und ihr Ausfall stellt ein erhebliches Risiko dar. Andererseits sind Sensible Systeme über das Vorhandensein sie betreffender spezifischer Datensicherheits- und Datenschutzregelungen definiert (Fertigungssteuerungen, Kundendatenverwaltung,...). Ihre Robustheit gegen Cyberangriffe ist durch Entwicklung neuartiger Angriffsszenarien in Gefahr. Bei der CMG-AE Tagung am 18.10.2016 wurden aktuelle und zukünftige Lösungen anhand aktueller Angriffsszenarien diskutiert um Sensible Systeme bestmöglich vor Cyberangriffen und vor Ausfällen zu schützen. Dabei wurde auf verschiedenste Anwendungsbereiche Bezug genommen und mögliche Angriffsrisiken an Hand praktischer Beispiele erörtert.

Aktuelle Forschungsergebnisse der TU Wien zu „Verdeckte Kommunikation bei Cyber Attacken: Wie Angreifer verhindern, entdeckt zu werden“ wurden einleitend von Univ.Prof. DI Dr. Tanja Zseby dargestellt. Erweiterte Cyberangriffe benötigen Kommunikation. Für unautorisierten Transfer von Daten, von Kommando- und Steuerstrukturen sowie für den Zugriff auf andere Geräte durch Malware müssen Daten gesendet und empfangen werden. Weil in Kommunikationsnetzen ungewöhnliches Verhalten immer mehr Methoden erkennen, wird Malware-Kommunikation immer ausgeklügelter. Heutige Malware-Kommunikation ist nicht nur verschlüsselt und authentifiziert, sondern sie benutzt auch Methoden um von Standardanwendungen unerkannt zu bleiben, Techniken um die Art der Kommunikation zu verschleiern oder sogar Netz-Steganografie. Der Beitrag stellte die Entwicklungen bei Malware-Kommunikation und einige Ansätze für Gegenmaßnahmen dar.

Mit Internet of Things (IoT), dem Internet der Dinge in Verbindung mit Big Data und Cloud Computing, zeichnet sich eine fundamentale technologische Wende ab, möglicherweise ein industrieller Tsunami. Jedenfalls steht dabei das Business-Continuity-Management auf dem Prüfstand, wie Prof. Mag. Dr. Manfred Wöhrl, R.I.C.S. EDV-GmbH, erklärte.

In letzter Zeit hört man immer öfter über erfolgreiche, gezielte Angriffe auf die Infrastruktur von Unternehmen oder Organisationen – wie beispielsweise auf das Stromnetz der Ukraine, dem Cyber-Bankraub oder dem Angriff auf Sony Pictures. Daraus kann man inzwischen schon fast so etwas wie ein „How to“ ableiten, wie man am besten die IT-Infrastruktur eines Unternehmens angreift – oder aber sich ansehen was man aus diesen Angriffen für den Schutz der eigenen Systeme lernen kann. Genau das war das Ziel des Vortrags „How to hack your critical infra-structure…“ von Thomas Bleier, B-SEC better secure KG, bei welchem auch eine eindrucksvolle Live-Hacking-Demo eingebaut war.

Die Gestaltung von wirksamen und spielerischen Interventionsmaßnahmen zur Erhöhung der Informationssicherheit wurde von Michaela Reisinger, AIT – Austrian Institute of Technology, erläutert. Ausgangspunkt waren human factors in der Informationssicherheit, Analyse und Vorhersage von Einstellungen und Verhalten sowie die Erforschung, Entwicklung und Evaluierung von mensch-zentrierten Maßnahmen zur Abwehr von Social Engineering Attacken. Der Lösungsweg dazu geht über Spaß und inzidentelles Lernen und Personalisierung.

Mit dem Ziel das Bewusstsein für die Informationssicherheit zu stärken und dadurch die Risi-ken für juristische und natürliche Personen zu senken, baute der Beitrag „Lernt der Mensch aus der Geschichte? Angriffe auf die Infrastruktur und wie wir Blackouts verhindern können“ auf Stromnetzangriffe in der Ukraine durch die Gruppe Sandworm auf. Durch eine verpflichtende Überprüfung der Webseiten können beispielsweise Water-Hole-Attacks verhindert und Schwachstellen einschränkt werden. Thomas Pfeiffer, B.Sc. M.Sc., LINZ AG TELEKOM, forderte auch zum Setzen technischer und organisatorischer Maßnahmen (TOMs) auf, und sich dabei so gut wie möglich an Standards, Frameworks und GoodPractice zu halten. Der Slogan war: “Sag niemals nie zur Informationssicherheit.“

Welche aktuellen Anforderungen beim praktischen Einsatz des Internets der Dinge für ein End-to-End Sicherheitsmanagement, hinweg über alle an der Kommunikation beteiligten Geräte und Funktionalitäten, bestehen, wurde von Edgar Odenwalder, einem Kollegen des Gastgebers unserer Veranstaltung, Ericsson Austria GmbH, eindrucksvoll dargestellt.

Der abschließend geplante Beitrag über die nachhaltige Etablierung von Cyber Defense Centern musste wegen Erkrankung der Referenten leider entfallen. Das Thema wird bei einer weiteren CMG-AE Veranstaltung nachgeholt.

Die in angenehmem Rahmen abgehaltene praxisnahe CMG-AE Tagung war gut besucht. Die eifrig diskutierte Problematik wird an der nächsten Sitzung des CMG-AE Themenpanel IT-Security am 24.10.2016 weiter vertieft und die Tagungsteilnehmer wurden eingeladen, daran teilzunehmen.


ZURÜCK ZUR ÜBERSICHT