„Security beginnt mit den Basics“, sagt ORF-CISO Jörg Scheiblhofer

Business Circle: Sehr geehrter Herr Scheiblhofer, Sie sind CISO beim ORF, möchten Sie uns eingangs kurz einen Überblick über Ihren bisherigen Karriereweg geben der Sie bis hierher geführt hat?

Jörg Scheiblhofer: Ich habe meine Laufbahn im Landesstudio Oberösterreich begonnen, wo ich zunächst eng an den Produktionsprozessen tätig war. Anschließend wechselte ich in den IT-Bereich und kam ab etwa 2011 zunehmend mit Themen der IT-Sicherheit in Berührung. Seit 2021 habe ich nun die Verantwortung für die neu geschaffene Position des Chief Information Security Officer (CISO) im ORF übernommen.

BC: „Security beginnt mit den Basics.“ Was meinen Sie konkret mit der Forderung, sich wieder auf die klassischen „Hausaufgaben“ der Informationssicherheit zu besinnen?

Scheiblhofer: Meine Erfahrungen haben gezeigt, dass viele Angriffe nicht immer hochspezialisierter Natur sind, sondern auf Versäumnissen im Fundament zurückzuführen sind: fehlende Patches, unzureichende Zugangskontrollen, mangelnde Sensibilisierung der Mitarbeitenden. Deshalb plädiere ich dafür, die Basisthemen konsequent umzusetzen. Von systematischem Schwachstellen- und Patchmanagement über Netzwerksegmentierung bis hin zu klaren Rollen- und Berechtigungskonzepten. Erst wenn diese Grundlagen robust verankert sind, können komplexere Sicherheitsarchitekturen effektiv aufgebaut werden..

BC: Wie unterscheiden sich die Security-Anforderungen in verschiedenen Bereichen: Industrie, Banken, öffentliche Hand oder Ehrenamt. Wo liegen die größten Unterschiede in der Herangehensweise an IT-Sicherheit?

Scheiblhofer: Ich denke im Wesentlichen unterscheiden sich die regulatorische Dichte und der Reifegrad erheblich. Banken und Versicherungen bewegen sich in einem hochregulierten Umfeld, mit entsprechend starken Vorgaben und Prüfmechanismen. Industrieunternehmen stehen verstärkt vor der Herausforderung, klassische Produktions-IT mit modernen, vernetzten Architekturen zu integrieren. Öffentliche Einrichtungen tragen hohe Verantwortung in Bezug auf gesellschaftliche Resilienz, müssen aber oft mit limitierten Ressourcen arbeiten. Ehrenamtliche Organisationen schließlich verfügen in der Regel über eher geringe Budgets und stark heterogene Strukturen. Hier ist die Herausforderung, Informationssicherheit pragmatisch und individuell für Organisationen mit Augenmaß zu etablieren. Die Unterschiede liegen also weniger in den Bedrohungen, sondern vielmehr am regulatorischen Rahmen, in den Ressourcen und in der Sicherheitskultur der unterschiedlichen Organisationen.

BC: Daran anschließend: Gibt es Best Practices, die von einer Branche in die andere übernommen werden könnten – oder sind die Sicherheitskulturen zu unterschiedlich?

Scheiblhofer: Es gibt durchaus branchenübergreifende Best Practices: die Orientierung an internationalen Standards wie ISO/IEC 27001, die klare Verankerung von Rollen und Verantwortlichkeiten, die Etablierung von Incident-Response-Strukturen oder die Durchführung regelmäßiger Awareness-Maßnahmen. Auch die enge Verzahnung von Risiko-Management und Informationssicherheit ist universell übertragbar. Was sich aber unterscheidet, ist def. die Art der Implementierung: eine Bank wird bspw. dieselben Standards anders umsetzen als ein Verein oder eine öffentliche Institution. Erfolgreiche Modelle können adaptiert werden, müssen aber an die jeweilige Organisationskultur angepasst sein.

BC: Welche Aufgaben erfüllt die European Broadcasting Union (EBU) im Bereich Cybersecurity konkret? Betrifft die Arbeit der EBU ausschließlich öffentlich-rechtliche Anbieter oder auch private Rundfunkunternehmen?

Scheiblhofer: Die EBU übernimmt im Cybersecurity-Kontext eine wichtige koordinierende Rolle. Sie entwickelt Leitlinien, Empfehlungen, organisiert Austauschformate und fördert die Zusammenarbeit der Sicherheitsverantwortlichen im europäischen Rundfunkumfeld. Ziel ist es, die Widerstandsfähigkeit der gesamten Branche zu stärken und zwar von der klassischen Rundfunkinfrastruktur über Cloud-Services bis hin zu Produktions- und Distributionsketten. Auch wenn die EBU traditionell die öffentlich-rechtlichen Anbieter vertritt, profitieren aus meiner Sicht zunehmend auch private Unternehmen und Partner von den dort entwickelten Initiativen, etwa durch Best Practices oder auch insgesamt durch Entwicklungen im Broadcastmarkt.

„Cybercrime-as-a-Service“

BC: Wie sieht aus Ihrer Sicht der „typische Hacker“ heute aus – vom klassischen Einzelkämpfer bis hin zu staatlich unterstützten Gruppen? Was treibt diese Akteure an?

Scheiblhofer: Das Bild vom „typischen Hacker“ ist längst überholt. Heute haben wir es mit einer großen Bandbreite an Akteuren zu tun: von opportunistischen Einzelpersonen über organisierte Cybercrime-Gruppen bis hin zu staatlich gelenkten Akteuren. Die Motivation reicht von finanziellen Interessen über politisch-ideologische Ziele bis zu gezielter Spionage und Desinformation. Besonders kritisch ist die Professionalisierung: viele Angreifer agieren arbeitsteilig, verfügen über tlw. hochprofessionalisierte Supportstrukturen und bieten ihre Dienste sogar als „Cybercrime-as-a-Service“ an. Das macht die Bedrohungslage für Unternehmen und öffentliche Einrichtungen gleichermaßen komplexer.

BC: Wofür möchten Sie in dem von Ihnen gehaltenen Panel das Bewusstsein im Publikum schärfen? Welche Botschaft möchten Sie vermitteln?

Scheiblhofer: Mir ist wichtig, das Bewusstsein für die Notwendigkeit einer starken Sicherheitskultur zu stärken. Technologie allein löst keine Probleme, wenn die Organisation nicht mitzieht. Informationssicherheit muss als Führungsaufgabe verstanden werden und darf nicht als rein technisches Randthema behandelt werden. Meine Kernbotschaft lautet: Resilienz entsteht durch konsequente Umsetzung der Basics, durch klare Verantwortlichkeiten und durch einen offenen Austausch über Vorfälle und Lessons Learned. Nur so können wir die notwendige Robustheit gegen die stetig wachsenden Bedrohungen aufbauen. Der Kampf gegen die Bedrohungen kann aus meiner Sicht nur gemeinsam gelingen, es müssen alle an einem Strang ziehen und das naturgemäß sowohl Organisations-intern als auch über die Organisationsgrenzen hinweg, denn die Angreifer arbeiten schließlich auch zusammen.

BC: Sie werden zum ersten Mal bei uns vortragen (Glückwunsch dazu): Worauf freuen Sie sich bei der PriSec am meisten?

Scheiblhofer: Ich freue mich besonders auf den intensiven Austausch mit Kolleginnen und Kollegen aus unterschiedlichen Branchen. Solche Konferenzen sind für mich immer eine hervorragende Gelegenheit, voneinander zu lernen, aktuelle Entwicklungen zu reflektieren und das eigene Vorgehen kritisch zu hinterfragen. Gerade der Blick über den Tellerrand hinaus und weg von branchenspezifischen Routinen hin zu einem breiteren Diskurs, ist für mich ein zentraler Mehrwert, den ich ausdrücklich unterstütze.

BC: Sehr geehrter Herr Scheiblhofer, vielen Dank für diese spannenden Einblicke! Wir freuen uns, Sie live auf der PriSec zu begrüßen!

‍