Samstag, April 20, 2024
Der Mensch als Risikofaktor 
Harald Erkinger, Geschäftsführer der CIS, wies in seiner Eröffnungsrede auf die Sicherheitsrisiken von New Work hin - sensible Daten müssten besser geschützt werden. (Credit: Anna Rauchenberger)

Der diesjährige CIS Compliance Summit stand unter dem Motto „New Work – Potenzial oder Provokation für Security & Privace“. Flexible und agile Arbeitsmodelle erfordern modernste Sicherheitsmechanismen. 

Rund 250 Entscheidungsträger*innen aus führenden Unternehmen tauschten sich am 19. September 2023 im Hotel Savoyen in Wien über Herausforderungen und Chancen aus, die sich durch die Veränderungen der Arbeitswelten ergeben. Die pandemiebedingte Beschleunigung der Digitalisierung hat auch für neue Angriffspotenziale gesorgt. Einer Studie des US-Sicherheitsunternehmens Tenable Inc. zufolge richten sich rund 67 Prozent der Cyberangriffe gezielt an Personen, die remote tätig sind.

„New Work“-Tools ohne entsprechende Security- und Privacy-Standards können somit neue Eintrittstore für Attacken auf die betriebliche Infrastruktur öffnen. „Wenn wir über New Work sprechen, wird immer noch viel zu oft übersehen, dass die neuen flexiblen Arbeitsmodelle nicht nur den physischen Ort betreffen“, umriss Harald Erkinger, Geschäftsführer der CIS – Certification & Information Security Services GmbH, in seinem Eröffnungsstatement die Problematik. „Ein All-in-one-Mix aus Sensibilisierung von Mitarbeitenden, fachlicher Schulung und höchsten Management- und Sicherheitsstandards sollte besser heute als morgen implementiert werden.“ Flexible und agile Arbeitsmodelle werden von attraktiven Arbeitgebern erwartet – für die Unternehmen bedeutet das, den Zugriff auf sensible Daten zu regulieren, zu sichern und laufend zu prüfen.

KI als Freund und Feind

Der Mensch bleibt Risikofaktor Nr. 1. Allerdings sind es nicht nur die Mitarbeiter*innen, die im Mittelpunkt des Sicherheitsmanagements stehen: Auch Kund*innen und Lieferant*innen sollten einbezogen werden. Beim Thema Künstliche Intelligenz kommt diesem Aspekt besondere Bedeutung zu, wie Marlies Temper, Studiengangsleiterin Data Intelligence and Business Analytics an der FH St. Pölten, ausführt: „Gerade beim Thema KI befinden wir uns in einem Entwicklungsprozess. Wie gehen wir damit um, wenn Mitarbeitende KI nutzen? Was tun wir, wenn sich Lieferanten auf KI verlassen?“ Die Expertin forderte neben mehr Eigenverantwortung und Awareness „dringend verbindliche Regulierungen wie den geplanten AI Act“.

KI-Systeme sind in der Lage, ungewöhnliche Netzwerkaktivitäten und Schwachstellen frühzeitig zu erkennen sowie automatisch Notfallmaßnahmen einzuleiten, um Schlimmeres zu verhindern. Dennoch entbinden sie nicht davon, Mitarbeiter*innen für den sicheren Umgang mit Daten zu sensibilisieren und zu schulen. Gleichzeitig nutzen auch Cyberkriminelle KI-Technologie für ihre Zwecke und sind Schutzmechanismen oftmals einen Schritt voraus.

Marlies Temper, FH St. Pölten, warf neue Fragestellungen auf, die sich durch den Einsatz von KI im Arbeitsalltag ergeben: „Wie gehen wir damit um, wenn Mitarbeitende KI nutzen? Was tun wir, wenn sich Lieferanten auf KI verlassen?“ (Foto: Anna Rauchenberger)

Nach dem „Zero Trust“-Prinzip müssen Unternehmen grundsätzlich davon ausgehen, dass ihre Systeme angreifbar sind. In einer vernetzten Wirtschaftswelt sollten Sicherheitssysteme daher unternehmensübergreifend funktionieren. Die Netz- und Informationssicherheitsrichtlinie NIS 2.0 der EU bringt Berichtspflichten für Unternehmen, schafft aber auch rechtliche Klarheit. „Unternehmen sollten bereits jetzt dringend klären, inwieweit sie von der neuen NIS-Richtlinie betroffen sind“, empfahl CIS-Geschäftsführer Erkinger. „Ressourcen müssen rechtzeitig eingeplant und Verantwortlichkeiten festgelegt werden. Es sollte eine Person im Unternehmen für die Umsetzung der Regelungen operativ hauptverantwortlich sein.“

Integrierte Lösungen

Weitere Speaker*innen beleuchteten das Thema aus unterschiedlichen Blickwinkeln. José Torre und Marco Kolbas vom österreichischen Start-up fiskaly erörterten in ihrer Präsentation die „Sieben Hacks für Zero Trust“ – unter anderem workflowbasierte Arbeitsabläufe, eine sichere Unternehmenskultur und einfache, definierte Prozesse. Bernhard Bachofner, Managing Partner bei Fiegl & Spielberger, ging in seinem Vortrag auf Zutrittsgenehmigungen aus der Sicherheitsperspektive ein: Hier bieten integrierte IT-Prozesse Lösungsmöglichkeiten, indem z.B. bei der Buchung eines Meeting-Raumes gleichzeitig die nötige Zutrittsberechtigung erteilt wird.

Michael Brunner, Certainty GmbH, und Clemens Sauerwein von der Universität Innsbruck informierten über den aktuellen Status der European Cyber Resilience Act (ECRA), der derzeit dem EU-Parlament als Gesetzesentwurf vorliegt. Sie ist essenzieller Teil der Security-Strategie der Europäischen Union und nimmt Hersteller, Händler und Importeure von Hard- und Software sowie Datenverarbeitungslösungen künftig in die Pflicht. Wie eine Umfrage unter KMU ergab, verwenden nur etwa die Hälfte der befragten Unternehmen moderne Verschlüsselungsmechanismen für sensible Daten.

Sicherheitsstrategie anpassen

Gerlinde Macho, Gründerin und Geschäftsführerin von MP2 IT-Solutions, und Michael Bendl, COO des Unternehmens, nahmen das Publikum anschließend auf eine Reise in die VUKA-Welt mit. Das Akronym (Volatilität, Unsicherheit, Komplexität und Ambiguität) beschreibt die zunehmenden Veränderungen der Arbeitswelt, die insbesondere auch ein agiles Informationssicherheitsmanagement erfordert. Nikola Dinic, CISO der Convotis Group, erläuterte anschaulich anhand einzelner Maßnahmen wie Kommunikation, klare Verantwortlichkeiten oder Risikomanagement, wie stark wachsende Unternehmen ihre Sicherheitsstrategie laufend anpassen können.

Stefan Hofbauer, Information Security Manager der Volksbank Wien AG, gab Einblick in die Top-Bedrohungsszenarien, mit denen Betriebe weltweit konfrontiert sind. Der ENISA Threat Landscape Report nennt u.a. Ransomware- und Malware-Attacken sowie Social Engineering Threats, die im vergangenen Jahr auch ABB, Magenta oder Rosenberger teilweise lahmlegten. Ob Lösegeld bezahlt werde oder nicht, müsse das Unternehmen im Ernstfall letztlich selbst entscheiden – damit es gar nicht so weit kommt, seien Maßnahmen wie Awarenesstrainings, sorgfältiger Umgang mit Kundendaten und die enge Einbindung der IT-Security unerlässlich. 


CISO of the Year

(V.l.n.r.): Juryvorsitzender Simon Tjoa mit der CISO of the Year - Gewinnerin Bettina Thurnher (Gebrüder Weiss), Gewinner Marcel Lehner (MM Group) und Harald Erkinger (CIS). (Foto: Anna Rauchenberger)

Im Rahmen der Fachveranstaltung CIS Compliance Summit 2023 wurden zum zweiten Mal die besten Chief Information Security Officer (CISO) Österreichs gekürt. Bettina Thurnher von Gebrüder Weiss und Marcel Lehner von MM Group erhielten heuer die begehrte Auszeichnung. Bettina Thurnher implementierte u.a. ein Data Protection Managementsystem und ein IT-Notfallmanagementsystem im Betrieb und entwickelte ein umfassendes Sicherheits-Curriculum für alle Mitarbeitenden. Marcel Lehner konnte durch die Einführung eines Informationssicherheitsmanagementsystems an den 71 Standorten die Sicherheitsvorfälle um 25 Prozent reduzieren und die Erkennungszeit halbieren. Erstmals wurde auch ein Sonderpreis für „Lifetime Achievement“ vergeben. Thomas Schober, CISO der Allianz Gruppe in Österreich, erhielt die Auszeichnung für sein besonderes Engagement für Informationssicherheit seit mehr als 30 Jahren. 

Meistgelesene BLOGS

Nicole Mayer
26. Jänner 2024
Der Bewerb um die höchste staatliche Auszeichnung für Unternehmensqualität in Österreich ist eröffnet. Gemeinsam mit dem Bundesministerium für Arbeit und Wirtschaft (BMAW) sucht Quality Austria wieder...
Firmen | News
01. März 2024
Unter dem Motto „Mission Zukunft - Transformation der Wirtschafts- und Energiesysteme" veranstalten die Deutsche Handelskammer in Österreich in Kooperation mit Fraunhofer Austria Research das Deutsch-...
Alfons A. Flatscher
02. Jänner 2024
... das Alte geht. Die Welt ist im Wandel. Wir wandeln uns mit. Der REPORT ist im Wandel und erscheint in neuem Kleid: Mit neuem Layout, auf besserem Papier und mit einer Weiterentwicklung des inhaltl...
Firmen | News
25. März 2024
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Katharina Bisset
07. Februar 2024
Ab 14. Februar 2024 müssen alle Pflichten des Digital Services Act von betroffenen Unternehmen umgesetzt werden – aber was bedeutet dies konkret? Der Umfang der Pflichten hängt davon ab, welche Dienst...
Alfons A. Flatscher
26. Jänner 2024
Ganz oben auf der Agenda unserer Leser*innen steht: Neues schaffen! Wir haben gefragt, 150 Leser*innen haben uns qualifizierte Antworten geliefert. (Zum Artikel: Chancen überall, nicht erst ab 2025) D...
Mario Buchinger
22. Jänner 2024
In der Consulting- und Coaching-Branche gibt es sicher einige Leute, die kompetent Organisationen unterstützen können. Aber viele der Coaches und Consultants nützen meist nur sich selbst. Worauf Unter...
Nicole Mayer
30. Jänner 2024
Durch den rasanten Fortschritt der digitalen Transformation und den zunehmenden Einsatz von Informationstechnologien wird die (Informations-) Sicherheit sensibler Unternehmensdaten immer wichtiger. Or...

Log in or Sign up