Wegen des langen Wochenendes etwas später als sonst. Die kurze Zusammenfassung des CIO-Erfahrungsaustauschs vom 26.04.
Landeskriminalamt Niedersachsen warnt
Dirk Ockel, VOICE-Security-Spezialist berichtete unter anderem von der Veröffentlichung persönlicher Informationen von 4600 Nato-Beschäftigten auf Telegram durch die russische Killnet-Gruppe. Laut Killnet stammen die Daten aus dem Nato internen Webportal LAWFAS und der E-Learning-Plattform JADL. Außerdem gab er Warnungen des Bundesamts für Verfassungsschutz weiter, die verstärkte Aktivitäten der nordkoreanischen APT-Gruppe im Bereich Spear-Phishing beobachten. Außerdem warnte das Landeskriminalamt Niedersachen vor Phishing-Mails, die dem Bundesforschungsministerium nachempfunden sind und das Next Generation EU-Förderprogramm anbieten, aber auf falsche Webseiten weiterleiten. In Sachen Sicherheitslücken war die Schwachstelle im Service Location Protocol in der vergangenen Woche die gravierendste. Hieervon sind mehr als 2000 Organisationen und über 54000 SLP-Instanzen weltweit betroffen. Sie ermöglichen DDoS-Angriffe. Update sind teilweise verfügbar.
Oracle verärgert zahlende Jave-Kunden
Stephanie Riesebeck informierte über die Reaktionen auf Oracles Lizenzumstellung für ihr Produkt Java SE Universal Subscription. Wir erinnern uns Oracle hat die Software vereinheitlicht und das Lizenzmodell von Named User und Prozessorabhängigkeit auf alle Mitarbeiter inklusive externer Kräfte umgestellt. Das wirkt sich als eine sehr starke Preiserhöhung aus. Das VOICE Vendor Observer Competence Center (VOCC) hat deshalb die VOICE-Mitglieder nach ihrer Einschätzung gefragt. 65 Prozent der Befragten wollen Oracle Java durchkostenfreie Versionen und Derivate ersetzen. Neun Prozent wollen versuchen, den bestehenden Vertrag mit alter Metrik zu verlängern. 24 Prozent planen entweder ein Lizenzaudit durchzuführen, über die Lizenzmetrik zu verhandeln oder den Ramp Down von Oracle Java fortführen. Riesebeck kündigte an, dass sich das VOCC intensiv mit dem Thema Alternativen zu Oracle Java beschäftigen wird, unter anderem darum, welche Migrationsanforderungen zu beachten sind. Wer sich für das Thema interessiert, kann sich gern an den VOICE Kollegen Sebastian Kliem wenden.
Keine Digitalisierung ohne Security
Die Keynote des Abends hielt Dr. Walter Fraißler, CISO des österreichischen Energieversorgers VERBUND. Der Konzern ist drittgrößter Energieerzeuger und größter Stromversorger der Alpenrepublik. Er ist vor allem aufgrund seiner zahlreichen Wasserkraftwerke sehr stark im Bereich der erneuerbaren Energien. 93 Prozent seines Stroms erzeugt VERBUND aus Wasserkraft. Digitalisierung spielt eine zentrale Rolle in den Innovationsplänen des Konzerns. Wie ernst Security in diesem Zusammenhang genommen wird, beschreibt die seit 2019 geltende VERBUND-Maxime: Keine Digitalisierung ohne Security. Seitdem wird Sicherheit sehr viel größer geschrieben. Dazu haben die regulatorischen Vorgaben als KRITIS-Unternehmen genauso beitragen wie die zunehmende Zahl an Incidents und die Vergrößerung der Angriffsfläche durch die immer größere Bereiche des Unternehmens erfassende Digitalisierung. Der Energieversorger hat zunächst den eigenen Security-Reifegrad erhoben und auf dieser Basis Maßnahmen ergriffen, die die anvisierten Ziele erreichbar machen sollen. Zu den Zielen gehört unter anderem
- VERBUND ist innerhalb der österreichischen Energiebranche die treibende Kraft in der Information Security und stellt für andere Unternehmen im Sektor eine Leuchtturmfunktion dar.
- Die Verantwortung für Information Security wird von der obersten bis zur untersten Ebene des Unternehmens wahrgenommen. Infrmation Security ist aber vor allem eine Führungsaufgabe, welche vom Vorstand von VERBUND aktiv übernommen wird.
- hat den Anspruch, im Security-Bereich zu den besten Unternehmen in Europa zu gehören.
Zusammenarbeit zwischen IT, OT und Security verbessern
Fraißler entwickelte mit seinem Team daher einen Masterplan Information Security mit dessen Umsetzung die Ziele bis Ende 2024 erreicht werden sollen. In der ersten bis Ende 2021 abgeschlossenen Phase des Masterplans wurden bereits einige wichtige Meilensteine in Sachen Security erreicht. Zum Beispiel entwickelte VEBUND ein umfassendes Awareness-Programm, richtete eine umfassende Struktur für Security-Governance ein, zertifizierte sich nach ISO 27001 und NIS, nahm ein Security Operating Center in Vollbetrieb und erarbeitet Konzepte für Identiy Management, Endpoint Detection und Response, Data Leakage Prevention sowie Cloud Security. Sie werden in kommenden Projekten umgesetzt. Aber auf dem Erreichten will sich Fraißler keineswegs ausruhen. Bis 2024 stehen noch viele Aufgaben auf der Agenda. Unter anderem will er die Effektivität steigern, die Zusammenarbeit zwischen OT,IT und Security verbessern sowie Sicherheit in der Cloud optimieren.