01/2024 Forschung
©
 Adobe Stock
©
 Adobe Stock

Wie resilient sind wir?

Interview: Technologische Entwicklungen wie KI oder Quantenkommunikation bringen auch neue Bedrohungen. Ebenso wie die aktuellen weltpolitischen Ereignisse und Abhängigkeiten durch die Auslagerung ganzer Industrien. Mehr Investitionen in Cybersecurity, sichere Lieferketten und Resilienz sind gefragt.

von: Alfred Bankhamer

Sicherheit und Resilienz stehen wieder hoch im Kurs. In Österreich wird insbesondere in den großen Forschungsprogrammen KIRAS und FORTE intensiv dazu geforscht. Dabei geht es um die Sicherheit von IT-Systemen, der Energieversorgung und von Lieferketten bis hin zu Fake- News, Überwachungsdrohnen, Erdbeobachtungssatelliten oder die Abwehr von Cyberangriffen.

Cybersecurity und Quantenverschlüsselung

Austria Innovativ beschäftigt sich in dieser Ausgabe besonders mit den Bereichen Cybersecurity und Quantenverschlüsselung sowie den empfindlichen Lieferketten. AIT-Sicherheitsexperte Helmut Leopold nimmt zur aktuellen Cybersecurity-Lage Stellung. Unser China- und Hightech- Experte Bernhard Seyringer berichtet über verdächtige Software in Ladekränen, und Karl Neumayer, Geschäftsführer von KOGNOS Consulting, plädiert, dass in den Vorstandsetagen wieder mehr Gewicht auf Strategie und Foresight sowie Geopolitik gelegt werden sollte.

„Komplexität ist die größte Gefahr für die Cybersicherheit“

Helmut Leopold, Leiter des Center for Digital Safety & Security am AIT, im Gespräch mit Alfred Bankhamer über die aktuellen Sicherheitsherausforderungen, warum NIS2 auch kleine Unternehmen betrifft, den Cyber Resilience Act sowie aktuelle Projekte rund um die Quantenverschlüsselung.

---

Was sind heuer die großen Herausforderungen in Europa im Bereich Cybersecurity und Resilienz?

Helmut Leopold: Besonders im letzten Jahr haben internationale Konflikte sowie technologische Entwicklungen neue hybride Bedrohungen gebracht. Neben klassischer Cyberkriminalität, die mit Ransomware, Erpressung oder Industriespionage die Wirtschaft und Industrie weiterhin massiv attackiert, kommen nun staatliche Akteure immer stärker hinzu. Da geht es auch um terroristische Aktivitäten und neue Angriffsmöglichkeiten durch KI, die eine neue Bedrohungslage bringen.

Davon sind verstärkt auch österreichische Unternehmen und Organisationen betroffen?

Im Frühjahr war beispielsweise die Uni Innsbruck Angriffsziel. Es erwischt auch immer wieder große Organisationen und Unternehmen, weil bisherige Cybersicherheitsmaßnahmen nicht mehr ausreichen und das Thema IT-Sicherheit immer noch eine zu geringe Priorität hat. Da die Geschäftsprozesse im Geschäftsleben heute ohne digitale Systeme nicht mehr funktionieren, ist aber IT-Sicherheit ein sehr zentrales Thema.

Wie sieht es mit der Resilienz in Europa aus?

Diesbezüglich hat sich Europa in den letzten Jahren schon gut aufgestellt, um die Cybersicherheit deutlich zu erhöhen. Dafür haben wir auf allen Ebenen jede Menge an Governance-Vorgaben, zu denen besonders die NIS2-Richtlinie (Netzwerk- und Informationssicherheit in der zweiten Version) zählt, die heuer umgesetzt werden muss. Das bereitet vielen Unternehmen Stress, ihre Systeme nun entsprechend der Vorgaben absichern zu müssen.

Dann kommt auch noch der Cyber Resilience Act …

… der noch nicht ganz fertig ist. Er sieht vor, dass jedes Produkt mit einem IT-Anteil eine Zertifizierung benötigt, die mit dem heutigen CEKennzeichen vergleichbar ist. Damit wird ein gewisser Grad an IT-Sicherheit garantiert. Diese Vorschrift betrifft eigentlich jeden Hersteller, da heute in fast allen Produkten eine digitale Komponente vorhanden ist. Durch die Zulieferketten wird es für jeden, auch kleineren Zulieferer, sehr relevant. Für den Großteil der Unternehmen sollte aber ein Selbstauskunftsverfahren genügen – auch das stellt schon ein gewisses Sicherheitsversprechen am Markt dar und gibt den Konsument:innen eine Orientierung.

Einige Branchen haben sich schon selbst Sicherheitsstandards gegeben.

Ja, im Automotiv-Sektor gibt es etwa eine Cybersicherheitsvorgabe für die herstellende Industrie, die auch für Zulassungen von Autos in der EU ausschlaggebend ist. Hier ist der Nachweis gefordert, dass die IT samt dazugehöriger Software entsprechend diesem Standard zertifiziert wurde. Die EU-Kommission unternimmt große Anstrengungen, um Kompetenzen durch Forschung laufend weiterzuentwickeln, und auch, dass entsprechende Kapazitäten für die unbedingt notwendige Ausbildung für die EU-Wirtschaft entstehen. Da spielt Österreich ebenfalls bereits eine wichtige Rolle, nachdem das AIT weltweit Cyber- Sicherheitstrainings für kritische Infrastrukturbetreiber im Auftrag der IAEA durchführt. Es ist also in letzter Zeit schon sehr viel passiert, um den heutigen Bedrohungen etwas entgegenzusetzen und die Resilienz des Standorts Europa zu erhöhen.

Für große Unternehmen mit eigenen IT- und Security- Abteilungen sind die neuen Regulierungen sicher leichter zu bewältigen als für die kleinen Unternehmen. Was kann hier getan werden?

Hier ist die Supply Chain das große Thema. Denn ob beim Bau eines Hauses oder Autos: der Letzte, der alles zusammenbaut, muss die gesetzlichen Vorgaben erfüllen. Deswegen werden alle großen Anbieter wie auch Energienetz- und Telekommunikationsbetreiber die Anforderungen in ihren Einkaufsbedingungen an ihre Zulieferer übertragen. Somit sind auch kleine Unternehmen gefordert, bei der Erfüllung der NIS2-Richtlinien mitzuwirken. Die Frage ist, wie wir es schaffen, Sicherheitslösungen kompetent einzubauen, zu betreiben und zu warten, damit auch Klein- und Mittelbetriebe ihre Systeme ohne großen Aufwand und Kosten schützen können. Das wird eine wichtige Frage für den europäischen Standort und eine Herausforderung für uns alle. Die Digitalisierung, Cloud Services und die Frage, wo man etwas speichern soll, sind schon lange große Themen in der Wirtschaft. Das Ziel ist nun, Daten so einfach wie Strom aus der Steckdose beziehen zu können, völlig egal, woher sie kommen. Dabei muss aber trotzdem die Kontrolle über die Daten, d. h. die Datensouveränität, behalten werden.

Dazu bedarf es auch klarer Spielregeln, wie wir mit diesen Daten umgehen.

Das ist an sich zwar kein klassisches Cybersecurity-Thema, aber ein wichtiger Punkt für die Datensouveränität. Also wie kann ich meine Daten an jemanden verkaufen, mit ihm teilen oder übergeben? Wie kann jemand die Daten für mich speichern? Und so weiter. All diese Themen müssen nach einem vereinbarten Sicherheitslevel behandelt werden, mit Fragen wie: Welche Daten dürfen die EU nicht verlassen, müssen vor Ort bleiben, wer darf die Daten weiterverwenden? Etc. Wir brauchen nicht nur rechtliche Forderungen, sondern moderne ITSysteme, welche diese Anforderungen „by design“ in den technischen Lösungen berücksichtigen.

Gerade beim Datenthema gibt es noch große Abhängigkeiten von den großen Technologiegiganten.

Gefragt ist deshalb hier eine Data Sovereignty-Plattform, die wir heute noch nicht haben. Heute lagern wir alles bei den sechs oder sieben großen Cloud-Providern aus, die uns erklären, dass mit den Daten schon nichts passieren wird. Und wir vertrauen ihnen. Das ist eine Monopolsituation, die auf Dauer nicht sinnvoll ist und uns extrem abhängig macht. Das zweite große Thema ist der Aufbau eines fairen „federated data market“. Da sind wir mit Gaia-X, der europäischen Initiative für den Aufbau einer leistungs- und wettbewerbsfähigen, sicheren und vertrauenswürdigen Dateninfrastruktur in Europa aktiv. Wir wollen gemeinsame Datenräume und einen Datenmarkt für Europa etablieren.

Wie kann man nun die IT-Sicherheit erhöhen?

Ein wichtiges Thema ist hier Security by Design. Wir sollten aufhören, komplexe Systeme zu bauen, um dann mühsam zu versuchen, hintennach die komplizierteren Abläufe sicher zu gestalten, sondern von Anfang an sichere Systeme bauen. Der Resilience Act ist hierzu ein erster Ansatz. Das AIT bietet mit dem Cyber- Security-by-Design-Tool ThreatGet schon eine moderne Lösung für die Industrie an, die mittels KI-Applikationen ganze Systeme, wie etwa vernetzte Fahrzeuge, prüfen kann. Für Security-by-Design- Lösungen schreibt der Designer vom IT-System nicht einen Code, den er dann prüft, sondern definiert schon bei der Entwicklung der Architektur Funktionsblöcke, die mit einem Tool erstellt werden können. Sicherheitsstandards und Vorlagen sind da schon hinterlegt und werden automatisch berücksichtigt. Damit kann ein den aktuellen Regulierungen konformes Cyber-Sicherheitsmanagement-System rasch geschaffen werden.

Gibt es für Security-by- Design-Lösungen schon die nötigen Fachkräfte?

Da muss sich sicher noch einiges bei der Ausbildung an den Hochschulen ändern. Die nächste Generation wird schon mit entsprechenden Libraries und Werkzeugen aufwachsen. So werden in nächster Zeit auch sehr komplexe Systeme sicherer. Denn die Komplexität ist die größte Gefahr für die Cybersicherheit. Simplere Lösungen sind zudem besser verwendbar und kostengünstiger.

Beim Thema Security ist nicht nur die Ausbildung der IT-Spezialist:innen, sondern auch der User:innen wichtig. Was passiert hier?

Hier geht es um Capacity Building bei den Usern, also einer laufenden effektiven Aus- und Weiterbildung. Dabei geht es nicht nur etwa um eine klassisch akademische Ausbildung. Bei jedem User soll ein entsprechendes Bewusstsein für Sicherheit geschaffen werden, damit etwa nicht jeder Link in einer E-Mail einfach angeklickt wird. Leute, die im Bauwesen, Maschinenbau oder Gesundheitswesen arbeiten, müssen keine IT-Sicherheitsexpert:innen werden, aber wissen, dass Sicherheit ein wichtiges Thema ist, dass es Gesetze und Meldepflichten gibt. Damit sind ihre Systeme, Lösungen und Kunden von vornherein in ein sicheres Cybersecurity-Regelwerk eingebunden.

Was ist zu tun, wenn wirklich etwas passiert?

Es sollten schon zuvor die nötigen Abläufe wie bei der Feuerwehr trainiert werden. In diesem Bereich muss in den Unternehmen noch viel mehr passieren. Wir bieten auch Cybersecurity-Trainings, wie beispielsweise die Cyber-Planspiele, die wir gemeinsam mit dem Kompetenzzentrum Sicheres Österreich – KSÖ veranstalten, mit konkreten Übungsszenarien wie zuletzt im Haus der Digitalisierung in Tulln. Hier arbeiten Industrie, Netzbetreiber, Forscher:innen und Behörden eng zusammen, um im Zusammenspiel aller die Resilienz der österreichischen Infrastruktur zu erhöhen. Die ganze Sicherheitsthematik sollte generell viel ernster genommen werden. Es macht keinen schlanken Fuß, wenn jeder relativ einfach mitlauschen kann.

Nun startet bald das Zeitalter des Quantencomputing. Was kommt da auf uns zu?

Der Quantencomputer bietet riesige Chancen, ist aber zugleich auch eine High-End-Bedrohung, da er unsere aktuellen asymmetrischen Verschlüsselungen rasch entschlüsseln kann. Deshalb ist die Quantenverschlüsselung ein großes Zukunftsthema – besonders auch für den Standort Europa. Die Europäische Kommission hat hierzu das große Sicherheitsprogramm EuroQCI (European Quantum Communication Infrastructure) initiiert. Das Ziel dabei ist, den höchsten Sicherheitsstandard und die modernste Verschlüsselungstechnik in den Markt zu bringen. Die Basis dafür wurde schon geschaffen. Nun geht es darum, die erste europäische Industrielösung zu bauen. Das AIT arbeitet an diesem europäischen Projekt in allen Kernbereichen mit, um damit auch einen Beitrag für die digitale Souveränität zu leisten, die in Europa leider schon ein wenig verloren gegangen ist. Dazu muss ich im Sicherheitsbereich auch die Technik beherrschen, sie selbst bauen und auch richtig einsetzen können. Wir brauchen hier starke Anbieter mit hoher Kompetenz. Damit erreichen wir auch, dass europäische Anbieter auf gleicher Augenhöhe im globalen Wettbewerb mithalten können.

Kürzlich wurden in Österreich erstmals die „QCI Days Vienna 2024“ abgehalten, die Einblicke in die Entwicklung der Quantenkommunikation in Europa gaben, samt Vorstellung europäischer Quantenprojekte und -initiativen sowie Workshops rund um Themen wie der Implementierung der Euro-QCI-Architektur sowie Zertifizierungs- und Standardisierungsaktivitäten. Welche Rolle nimmt hier das AIT ein?

Als Veranstalter hatten wir eine sehr wichtige Rolle. Kurz zum Hintergrund. Das große Bedrohungsszenario, das in den letzten Jahren noch belächelt wurde und jetzt im Raum steht und immer wahrscheinlicher wird, da weltweit massiv investiert wird, sind wie schon gesagt die Quantencomputer. Auch in Österreich haben wir in dieser Zukunftstechnologie einige Start-ups wie etwa in Innsbruck. IBM, Google und viele andere IT-Größen arbeiten daran, natürlich auch China. Es gibt schon tausende Patente in diesem Bereich, die künftig ein ganz neues Rechnen erlauben. Auf der anderen Seite kann man die Quanteneffekte in der Physik aber auch dazu verwenden, um über Distanzen quantenphysikalisch gesicherte Schlüssel zu erzeugen. Das ist unser Schwerpunkt am AIT. Für die ersten Übertragungsexperimente hat Anton Zeilinger bekanntlich den Nobelpreis bekommen. Mittlerweile haben wir die Labortechnik der Quantenphysik am AIT zur Industriereife gebracht. Wir beherrschen heute „Photonics on the Chip“ und bieten Softwarelösungen für Systemhersteller der Quantentechnik an. Die Technik ist somit da. Ihr großer Vorteil: Bei der Quantenverschlüsselung wird kein Schlüssel im klassischen Sinne übertragen, sondern aufgrund der physikalischen Effekte direkt auf beiden Seiten generiert. Somit ist die Kommunikation absolut abhörsicher.

Wer kam zu den QCI-Days?

Wir haben die europäischen Projektkonsortien des EuroQCI-Programms aus den unterschiedlichen EU-Mitgliedstaaten eingeladen, damit sie der Community ihre Arbeit vorstellen. Die QCI-Days dienen vor allem dazu, dass sich Industrie, Behörden und Forschende untereinander austauschen können. Diese Art von Veranstaltung ist neu und war sofort ausgebucht. Österreich stand im Kontext der Frage der Umsetzung einer der modernsten Hochsicherheitstechnologien im Mittelpunkt der Welt. Wir sehen unsere Kernkompetenz vor allem auch in der Rolle als Brücke für die Wissenschaft und Industrie für die Anwendung neuer Technologien. Dazu bringen wir alle Stakeholder zusammen und können große Projekte aufsetzen.

Welche Programme gibt es in der EU zur Quantenkommunikation- und verschlüsselung?

Da gibt es einmal EuroQCI, dass die terrestrische Seite abdeckt. Da werden etwa die Landeshauptstädte in Österreich über Glasfaser nun an ein Quantenkommunikationsnetzwerk angeschlossen. Bei großen Distanzen benötigt man hingegen Satellitenübertragungen. Dazu dient das neue europäische Satellitennetz IRIS² für hochsichere Kommunikation. Aktuell wird schon an unterschiedlichen Einsatzmöglichkeiten und Use Cases für die Quantenkommunikation gearbeitet.

Für die Einführung sind wohl auch neue Standards erforderlich?

Für eine hochsichere Kommunikation, etwa zwischen den Behörden in der EU, bedarf es hochsicherer, zertifizierter Systeme. Dazu sind Geräte und Chips erforderlich, die nachweislich nicht kompromittiert sind, was bei irgendwo zugekauften Produkten nicht garantiert werden kann. Für die Zertifizierung im Hochsicherheitsbereich muss der Hersteller darlegen, wie er das Produkt gebaut hat und wie und nach welchen Vorschriften es getestet worden ist. Auch wenn etwa mit vorhandenen asiatischen Produkten vieles rascher ginge, brauchen wir im Hochsicherheitsbereich Produkte „made in EU“. Hierzu wurden bereits erste Projekte auf EU-Ebene gestartet, damit die notwendigen Kompetenzen in der EU aufgebaut werden können. Auch dabei spielt das AIT eine wichtige Rolle in der EU. Mittlerweile ist die erste Generation solcher Quanten- Geräte in der Testphase. Mit dem österreichischen EU-Projekt QCI-CAT leistet das AIT einen Beitrag, bei dem unsere Behörden und Betreiber kritischer Infrastruktur eingebunden werden, um erste Anwendungen konkret zu erproben. Da geht es nicht mehr um Forschung, sondern darum, wie man die Technik für die IT-Security einsetzt. Hier gibt es noch einige Fragen zu klären.

Die Europäische Kommission hat kürzlich ein Konsortium, das sich Nostradamus nennt, zum Aufbau einer Testinfrastruktur für Quantenkommunikation in der EU beauftragt. Mit dabei sind neben der Deutschen Telekom als Leiter und Thales auch das AIT. Was ist hier geplant?

Es geht um den Aufbau einer Testinfrastruktur für die Quantenschlüsselverteilung (QKD) und die Evaluierung von QKD-Geräten. In diesem Pilotprojekt werden Geräte von Herstellern und Zulieferern aus der EU genommen, in die IT-Systeme bei uns und in den Ministerien eingebettet, um sie zu prüfen und Kriterien für eine Zertifizierung zu finden. Die Frage ist, welche Punkte wirklich wichtig sind. Wir gehen dabei alle möglichen theoretischen Angriffsszenarien durch. Das sind schon ein paar 100. Diese werden analysiert, evaluiert und Testprozeduren dafür entwickelt. Wenn das Produkt alle Angriffsszenarien bestanden hat, wird es zertifiziert. Es geht also um den Aufbau eines Test- und Validierungszentrums für Europa. In Summe steht hier die ganze europäische Quantenkommunikations-Community dahinter.

Ein großes Thema, auch in der Sicherheit, ist KI. Was ändert sich dadurch?

Die Künstliche Intelligenz verschärft das Bedrohungsszenario massiv. Man kann wahrscheinlich ChatGPT überlisten und fragen, wie ich ein bestimmtes Unternehmen am besten erpressen kann. Irgendwo stehen die Schwachstellen solcher Systeme beschrieben. Es wird also dem Angreifer noch einfacher gemacht. Anleitungen, wie man Unternehmen angreift, hat es im Grunde schon immer gegeben. Jetzt hat aber eine Demokratisierung der Angriffstechnik stattgefunden. Ein weiterer Punkt ist, dass nun täuschend echt gefälschte E-Mails möglich sind, bis hin zu mittels Deep Fake manipulierten Bildern.

Was kommt da auf uns zu?

Insbesondere neue hybride Bedrohungen, um Unternehmen oder Behörden lahmzulegen. Hier werden die klassischen Angriffe etwa mit einer Fake-News-Kampagne begleitet. Dadurch bekommt Cyberkriminalität eine neue Dimension. Bislang waren vor allem Unternehmen betroffen. Nun müssen sich auch Staaten darauf vorbereiten. Eine gezielte Verschwörungskampagne, die überall in den Medien auftaucht, kombiniert mit einem kleinen Cyberangriff, der die Tankstellen lahmlegt, kann in einem ganzen Staat ein Chaos auslösen. Das sind neue Formen der Bedrohung.

Ist das Thema Sicherheit in den Unternehmen schon angekommen?

Offensichtlich nicht immer ausreichend. Sicherheit sollte allen mehr wert sein. Was hilft es, wenn man Geräte und Systeme zum halben Preis einkauft, aber sich nicht darauf verlassen kann, was mit den Daten passiert oder ob man abgehört wird? Wenn wir hohe Standards in Europa schaffen, kostet dies sicher etwas. Mit den neuen Initiativen wollen wir uns vom globalen Markt nicht abschotten, sondern einen Mindeststandard an Sicherheit schaffen. Hier kann der Rest der Welt natürlich mitmachen und anbieten, wenn er die Kriterien erfüllt. Eines sollte auch dem Endkunden bewusst sein: Eine höhere Sicherheit kostet zwar etwas, ist es das aber auch wert.

Lesen Sie diesen Artikel ab Seite 9 der aktuellen Ausgabe 1-24 oder am Austria Kiosk!


Green Energy Lab visualisiert die Energiezukunft

Der Umstieg auf nachhaltige und zukunftssichere Energielösungen ist zentraler Faktor im Kampf gegen den Klimawandel. Das Innovationslabor Green Energy…

Weiterlesen

Grüne Synergien in Mobilität, Industrie und Energieversorgung

Die nachhaltige Transformation - Das primäre Ziel der Wasserstoffinitiative Vorzeigeregion Austria Power and Gas, kurz WIVA P&G, ist, die…

Weiterlesen

8. Wiener Innovationskonferenz

„In Zeiten des Umbruchs bestehen - Transformation mit Innovation“ - Die 8. Wiener Innovationskonferenz widmet sich den aktuellen Umbrüchen am…

Weiterlesen

FlexModul – Saisonale Speicherung von Solarenergie

© Barbara Krobath

Die Volatilität (Schwankungen) von erneuerbaren Energien bringt einen hohen Bedarf an Energiespeichern mit sich. Nur so kann auch zu Zeiten geringer…

Weiterlesen

Zum dekarbonisierten, leistbaren Wohnraum

© Canva/Illionaire

Die Weiterentwicklung von privaten Zinshäusern zu vertraglich abgesicherten Gemeinschaftsprojekten samt baubehördlicher Genehmigung für die umfassende…

Weiterlesen

Patricia Neumann: Neue Vorstandsvorsitzende der Siemens AG Österreich

© Siemens

Mag. Patricia Neumann (51) ist seit Anfang Mai 2023 Vorstandsvorsitzende der Siemens AG Österreich. Die neue CEO ist für die Dauer von fünf Jahren…

Weiterlesen

Abonnement und Mediadaten

Sie wollen die führende österreichische Fachzeitschrift kennen lernen?
Sie wollen sich über Erscheinungstermine, Schwerpunkte und Werbemöglichkeiten informieren?

Hier sind Sie richtig.  

Abonnement

Mediadaten