IT Security : Der Erfahrene: Andreas Steiner, AT&S

Andres Steiner ist seit mehr als 21 Jahren bei AT&S. In dieser Zeit ist er vom einfachen IT-System- und Netzwerk-Administrator zum Head of IT Security & IT Infrastructure des Leiterplattenspezialisten AT&S aufgestiegen. Initialzündung war eine Weiterbildung im Schulungszentrum Fohnsdorf, die den damaligen Facharbeiter zum System– und Netzwerkadministrator machte. „Ich hatte dann das Glück gleich bei AT&S anfangen zu können“, erinnert er sich. Seine jetzige Position als Head of IT Security & IT Infrastructure hat er seit einem Jahr.

Nie mehr die wichtigsten News aus Österreichs Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in Ihrer Inbox. Hier geht’s zur Anmeldung!

Der Unterschied zu seinen vorigen Tätigkeiten?

„Der CISO ist nicht Teil der IT“, sagt er. Während sich die IT eher um den technischen Teil der Sicherheitslösungen, wie etwa Router oder Firewalls kümmert, liege seine Aufgabe in den strategischen Planungen. „CIA, also Confidentiality, Integrity und Availability, das ist die Sprache des CISO“ erklärt Steiner. Bei seiner Arbeit spielt die State-of-the-Art-Thematik eine große Rolle.

Lesen Sie dazu auch: Lohnt sich eine Cyberversicherung?

„Wir haben hier im Unternehmen viele unterschiedliche Betriebssysteme. Und wie in wohl jedem größeren Produktionsbetrieb gibt es auch ältere Systeme, für die keine Patches mehr erstellt werden.“ Da wird jede Wartung zum Risiko, zumal oft Fernwartung eingesetzt wird. Diese Systeme brauchen einen besonderen Schutz, etwa eine strikte Netzwerksegmentierung. Dabei gilt es aber auch eine Balance zu finden.

Die Restriktionen dürfen nicht so einschneidend werden, dass die Mitarbeiter und Mitarbeiterinnen nicht mehr arbeiten können. „Es gibt eine Awareness für die Sicherheitsprobleme und auch eine Unterstützung durch das Management. Aber natürlich müssen wir uns immer wieder auch mit dem Operationsmanager abstimmen, der auf seine Agenden achtet“, sagt Steiner und schmunzelt.

Daneben geht es in seinem Job auch immer wieder darum, Schwachstellen zu finden und zu eliminieren. Steiner setzt hierzu auch ein „Vulnerability Management“ ein, um Schwachstellen zu erkennen und schnell darauf reagieren zu können. „Und natürlich müssen wir uns Gedanken darüber machen, was passiert, wenn wir wirklich von einem Angriff getroffen werden.“ Daneben kommen auch immer wieder neue gesetzliche Vorgaben wie z.B. die NIS2 Richtlinie auf Unternehmen zu. Was sich Steiner, der im Mai in den USA seinen MBA-Abschluss macht, für die Zukunft wünscht? „IT-Security sollte ein Teil der Firmenkultur werden“, hofft er.

Lesen Sie dazu auch: Industrielle Cyber Security: das müssen Sie für Ihr Unternehmen wissen