voest und Andritz unter global forschungsintensivsten Firmen Bild: voest und Andritz unter global forschungsintensivsten Firmen
EXPORT today online - 16/2024
Nehammer auf EU-Gipfel für Deregulierung der Wirtschaft Bild: Nehammer auf EU-Gipfel für Deregulierung der Wirtschaft
Höchststrafe in "Panama Papers"-Prozess gefordert Bild: Höchststrafe in
Kein Ende der Goldpreis-Rally in Sicht Bild: Kein Ende der Goldpreis-Rally in Sicht
NEW BUSINESS Guides - FACILITY MANAGEMENT-GUIDE 2024
US-Senat fordert von Boeing verbessertes Sicherheitskonzept Bild: US-Senat fordert von Boeing verbessertes Sicherheitskonzept
Italien wirbt um chinesischen Autokonzern Dongfeng Bild: Italien wirbt um chinesischen Autokonzern Dongfeng
EU-Datenschützer lehnen Bezahlmodell von Facebook ab Bild: EU-Datenschützer lehnen Bezahlmodell von Facebook ab
NEW BUSINESS Export - NB EXPORT 2/2023
Immobilienpreise 2023 gedämpft gestiegen Bild: Immobilienpreise 2023 gedämpft gestiegen
PV-Branche fordert schnelleren Netzausbau Bild: PV-Branche fordert schnelleren Netzausbau
Sie befinden sich hier:  Home  |  Mit Sicherheit gebildet

Mit Sicherheit gebildet

08. September 2020
Dr. Walter Seböck ist Leiter des Zentrums für Infrastrukturelle Sicherheit an der Donau-Universität Krems. © Donau-Universität Krems/Andrea Reischer

Mit der fortschreitenden Digitalisierung steigt auch der Bedarf an gut ausgebildeten Expertinnen und Experten in Sachen IT-Sicherheit.

Mit Lehrgängen, wie sie beispielsweise die Donau-Universität Krems ­anbietet, bleiben IT-Profis auf dem neuesten Stand der Dinge.

In kaum einem Wissensgebiet ist der Fortschritt so rasant und so offensichtlich wie in der Informationstechnologie. Doch dort, wo etwas so rasch wächst, können „Dehnungsstreifen“ auftreten, die wiederum weniger widerstandsfähig sind. In diesem Fall heißt der Schwachpunkt IT-Security, der nicht immer in gleichem Tempo mitwächst wie die Möglichkeiten, welche die neuen Technologien bieten. Forschung und Bildung lauten die Zutaten für das Rezept, um diesem Umstand entgegentreten zu können.

Dr. Walter Seböck ist Leiter des Zentrums für Infrastrukturelle Sicherheit an der Donau-Universität Krems, die unter anderem mit dafür sorgt, dass uns auch in Zukunft genügend Fachleute zur Verfügung stehen, um den digitalen Raum so sicher wie nur möglich zu machen. NEW BUSINESS hat mit dem anerkannten Experten auf dem Gebiet der Cybersicherheit über aktuelle Entwicklungen in dieser Thematik und über das entsprechende Bildungsangebot gesprochen.

Herr Dr. Seböck, in welche Richtung hat sich die Bedrohungslage in der IT entwickelt, und wie ist das in Ihre Lehrgänge eingeflossen?
Als wir 2001 mit dem Thema Sicherheit an der Donau-Universität Krems begonnen haben, hat es sich ausschließlich um das Thema IT-Security gehandelt. Die Absicherung von PCs und der Software stand damals im Mittelpunkt. Informationssicherung und Themen wie Data-Governance waren noch kein Thema. Da wir damals aber auch Entwicklungen in den Bereichen E-Government und E-Health betrieben haben, haben wir erkannt, dass die Daten der Unternehmen und der Behörden zur zentralen Kompetenz werden.

Nun haben wir die Kompetenz aus beiden Welten – der analogen als auch der digitalen Welt – im Haus kombiniert und vereinen diese in unseren Lehrgangsprogrammen. So erhalten die Teilnehmerinnen und Teilnehmer des Lehrgangs „Security & Safety Management“ einen breiten Überblick über die Konzepte und Managementmethoden aus den beiden Bereichen Security und Safety. Gleichzeitig haben wir in das Programm bereits die Brücke zur Cybersecurity und Informationssicherheit gelegt, sodass man gut die Nahtstellen der beiden Welten erfassen kann.
Gerade die bisherigen, traditionellen Sicherheitsmaßnahmen werden immer stärker von der digitalen Welt erfasst, und man benötigt dahingehend Persönlichkeiten, die sowohl zur physikalischen Security und Safety als auch zur Cybersecurity und Informationssicherheit einen ausgezeichneten Zugang haben. So können beide Welten kombiniert werden. Wichtig ist uns aber in jedem Fall, dass der Mensch im Mittelpunkt aller Betrachtungen steht.

Würden Sie sagen, dass sich die Unternehmen ausreichend auf die neue Lage eingestellt haben?
Die massiven Veränderungen durch die fortschreitende Digitalisierung haben dazu geführt, dass Arbeitsabläufe digital modifiziert wurden, IT-Prozessabläufe wurden immer stärker optimiert, und man erkannte, dass Wertschöpfungsketten verlängert werden können und somit neue Geschäftsmodelle entstanden sind.
Der damit verbundene Bewusstseinswandel hat sich aber anfangs ausschließlich auf die neuen Geschäftsmöglichkeiten konzentriert und nicht auf die damit verbundenen Risiken.

Woran fehlt es meistens? Ist es eher eine Technologiefrage oder doch eher eine Frage der Einstellung und Awareness der Unternehmen?
Diese Frage ist nicht einfach zu beantworten, da es anfangs eine reine Einstellungs- und Aware­nessfrage war, zwischenzeitlich aber zu einem technischen Problem wurde, da, trotz vorhandenen Bewusstseins der bedrohten Unternehmen, aufseiten der Kriminellen nicht nur eine Aufrüstung erfolgte, sondern mittlerweile auch professionelle Strukturen existieren.
Sie werden von der Konkurrenz oder von staatlichen Unternehmen beauftragt, Störungen zu verursachen. Das bedeutet, dass es Motivation, Geld und sehr professionelle Strukturen sind, die den Unternehmen gegenüberstehen. Script-Kids und einsame Hacker-Wölfe gehören der Vergangenheit an.

Wenn wir uns den Themen IoT und Industrie 4.0 zuwenden, haben Sie dann das Gefühl, dass die Security in diesen Bereichen heute den Stellenwert ­einnimmt, den sie einnehmen sollte?
Wenn man sich die Beschaffenheit der Umgebungen der Operational Technologies (OT), also der proprietären Systeme, ansieht, dann stellt man fest, dass sich diese durch das IoT stark verändert haben. Physische Geräte in Unternehmen und Industrien sind mit dem Internet und untereinander verbunden. Diese Form der Digitalisierung und Technologieentwicklung ermöglicht Innovationen und erhöht gleichzeitig die Verwundbarkeit vernetzter Systeme. Dieser Umstand führt zur Verbindung von OT und IT, und damit werden die als sicher eingestuften Umgebungen wie Maschinen oder Produktionsstraßen angreifbar.

Diese Veränderungen in Verbindung mit den permanenten technologischen Veränderungen bedeuten, dass die Security nicht nur einen deutlich höheren Stellenwert erhalten muss, sondern, dass Sicherheit nicht nur als laufender Qualitätsprozess und im Risikomanagement abgebildet wird, sondern dass diese Aktivitäten auch durch Vorstands- bzw. Geschäftsführungsfunktionen dargestellt werden müssen.
Denn Sicherheit muss letztlich lebbar sein und der Mensch stets im Fokus jeder Überlegung stehen. Daher müssen diese Aktivitäten in einer menschlichen Funktion abgebildet werden. Auf dieser Basis sind übrigens die berufsbegleitenden Universitätslehrgänge des Zentrums aufgebaut, die über eine optimale Verbindung von E-Learning und Präsenzphasen verfügen und sich an den beruflichen Bedürfnissen der ­Studierenden orientieren.

Kann man nachträglich ein ausreichendes Maß an Sicherheit herstellen, oder müsste man „zurückspulen“ und bei vielen Dingen von vorn beginnen, mit mehr Gewicht auf IT-Security?
Ich denke nicht, dass diese Überlegungen zielführend sind, da man das Leben oder einzelne Entscheidungen, so gern man das manchmal tun würde, auch nicht zurückspulen kann.
Grundsätzlich lässt sich ein ausreichendes Maß an Sicherheit herstellen, wobei die damit verbundenen Kosten natürlich vom jeweiligen Bereich abhängen. In der Produktion nicht an die verbundenen Sicherheitsrisiken zu denken und diese auch nicht in die Zukunft zu denken, grenzt an Fahrlässigkeit.
Im Gegensatz zum Safety-Bereich, in dem nahezu alle Bereiche durch Normen abgedeckt sind, betritt man in der Cybersecurity oft neue Wege. Hier ist besondere Sensibilität erforderlich, und nachdem viele der neuen Geschäftsmodelle und Prozesse digitalisiert aufgesetzt sind, ist es nicht unwahrscheinlich, sehr bald ins Visier von Cyberkriminellen zu kommen. Wenn nun die Entwicklung durchgeführt wurde, ohne die Sicherheitsfaktoren mitzudenken, dann wird der Aufwand der Absicherung entsprechend höher sein, und möglicherweise werden auch bereits Schäden eingetreten sein.
Die Botschaft ist aber klar: Die Sicherheit ist bei allen Dingen von vornherein in wesentlich höherem Ausmaß mitzudenken und zu kalkulieren, sodass alle relevanten Komponenten zusammenarbeiten. Cybersecurity muss in allen geschäftlichen Prozessen eingebunden sein, ist in der digitalen Welt das Rückgrat und die grundlegende Rahmenbedingung, innerhalb der die Dinge funktionieren, und nicht irgendeine nachgeordnete Frage, die man irgendwann berücksichtigt.

Welchen Wert hat Weiterbildung im Sicherheitsbereich?
Weiterbildung wurde in den vergangenen 20 Jahren zum Erfolgsfaktor, sowohl persönlich als auch für das Unternehmen. Weiterbildung im Sicherheitsbereich ist eine unabdingbare Notwendigkeit. Wer sich in diesem Bereich nicht weiterbildet, kann in diesem extrem dynamischen digitalen und Sicherheitsumfeld nicht lange bestehen. Die erworbenen Kompetenzen sind sowohl eine Verbesserung des individuellen, persönlichen „Marktwerts“ als auch eine Verbesserung des Know-hows des Unternehmens. Weiterbildung hilft, Ineffizienz und Ineffektivität abzustellen, sie hilft, innovativ zu sein und damit einen Marktvorteil zu haben, und sie unterstützt das Unternehmen nachhaltig.

Idealerweise verteilen diese Mitarbeiterinnen und Mitarbeiter das Wissen innerhalb des Unternehmens. Damit wiederum wird Wissen und Weiterbildung als Alleinstellungsmerkmal des Unternehmens, die Mitarbeiterbindung und das Image des Unternehmens gestärkt. Die Masterthesen der Programme „Security & ­Safety Management“, „Fire Safety ­Management“ als auch des „Executive Management in Security Business, MBA“ sollen zu einem unternehmensrelevanten Thema verfasst werden, sodass Unternehmensprozesse und -projekte nicht ausschließlich betriebsblind konzipiert werden, sondern auch durch eine kritische akademische Brille betrachtet und beurteilt werden.

Ein weiterer, wesentlicher Faktor ist die Netzwerkbildung. Vermutlich ist es nirgends so leicht und schnell möglich, gute und funktionierende Netzwerke aufzubauen und zu halten. Die Dauer des Programms von vier Semestern reicht aus, um Personen gut kennenzulernen und eine funktionierende Vertrauensebene herzustellen, die in den meisten Fällen dann über viele Jahre stabil bleibt und in sehr vielen Fällen ausgebaut wird. Da die Studierenden mitten im Berufsleben stehen, wissen sie auch sehr genau, wie wichtig ein breites und funktionierendes Netzwerk ist. Das ist einer der unschätzbaren Vorteile eines Weiterbildungsstudiums. (RF/red.)

www.donau-uni.ac.at