Sind offene Arbeitskulturen eine Gefahr für die Cybersicherheit? Nein, sagt CIS-Geschäftsführer Harald Erkinger - wenn »New Work« mit einem entsprechenden Reifegrad in Unternehmen umgesetzt wird.

Vor welchen Herausforderungen stehen Organisationen zwei, drei Jahre nach Beginn der Pandemie hinsichtlich Cybersicherheit?

Harald Erkinger: Wir sehen in vielen Büros mit dem Auflösen von fixen Arbeitsumgebungen – zusammengefasst unter dem Begriff »New Work« – auch besondere Anforderungen an die Cybersicherheit in Organisationen. Mit »Remote Work« und »Bring your own device« haben sich nicht nur die Arbeitswelten verändert, sondern es haben sich auch die Angreifer und ihre Methoden gewandelt. Attacken über Phishing sind stark angestiegen, denn das oft weniger gut geschützte IT-Netzwerk im Homeoffice und die privaten Endgeräte bieten größere Angriffsflächen. Unser nächster »CIS Compliance Summit« im September wird diese Themen im Programm haben.

Zusätzlich wurden in der Pandemie manche kleinere und mittlere Unternehmen von der Digitalisierung überrascht. IT wurde dort immer schon zugekauft und als Kostenfaktor gesehen. Viele dieser Unternehmen sind nach dem hastigen Basteln eines Digitalisierungsprogramms in den Pandemiejahren jetzt wieder in Richtung Vollzeitbüro unterwegs. Man möchte wieder so arbeiten, wie vor der Pandemie.

Allerdings hat sich in der Zwischenzeit einiges geändert. Die Erwartungen der Mitarbeiter an mehr Einbindung und Zusammenarbeit, der Wunsch nach einer Arbeitsmöglichkeit von zu Hause aus oder hybride Arbeitsumgebungen zeigen: Der Zugang zum Thema Arbeitsplatz ist bunter geworden: Manche fordern mehr Flexibilität vom Arbeitgeber ein, andere Personengruppen sind wieder froh, einander häufig im Büro zu sehen. 

Wie gelingt der Balanceakt zwischen einer sicheren Arbeitsumgebung und einer offenen Unternehmenskultur?

Erkinger: Eine offene Unternehmenskultur verstehe ich als kreatives Miteinander, als Möglichkeit, gehört zu werden, als Wertschätzung für alle Mitarbeitenden. Sie steht per se nicht im Gegensatz zu einer Informationssicherheit. Denn jede Art des Zusammenarbeitens benötigt ein Rahmenwerk auch in Bezug auf Sicherheitsfragen. Auch mit einer offenen Unternehmenskultur benötigen wir konkrete Richtlinien, die Erlaubtes festlegen und die Flexibilität ebenso wie Risiken behandeln. Je besser das durchgedacht wird, desto weniger Reibung wird es zwischen Sicherheit und Unternehmenskultur geben.

Meine Erfahrung ist: Werden Sicherheitsmaßnahmen klar und gut argumentiert, werden diese von den Mitatbeiter*innen auch angenommen. Eine offene und transparente Kommunikation sollte sowieso Standard in Unternehmen sein. Dazu gehören auch Informationen zu den Unternehmenszielen und Maßnahmen, diese zu erreichen. Den Mitarbeitenden müssen auch die Arbeitsmittel zur Verfügung gestellt werden, um kreativ und konstruktiv am Unternehmenserfolg mitarbeiten zu können. Auch auf Prozess­ebene ist Offenheit wichtig, um Ideen einbringen und Richtlinien mitunter auch hinterfragen zu können.

Oft gibt es auch keine Fehlerkultur in Unternehmen. Bei Sicherheitsvorfällen werden die Mitarbeiter und Informationssicherheitsverantwortlichen an den Pranger gestellt. Im Finanzbereich ist das anders: Wenn ein Bankräuber einen Überfall begeht oder Kriminelle online Geld stehlen, wird dafür nicht die Person am Schalter verantwortlich gemacht. 

Wie können Mitarbeitende in den Unternehmen für die Mitgestaltung bei Sicherheitsthemen gewonnen werden?

Erkinger: Gerade in einer »New Work«-Umgebung sollten Unternehmen ein starkes Sicherheitsbewusstsein bei ihren Mitarbeitenden fördern, indem sie Schulungen und Workshops zum Thema Cybersicherheit und Datenschutz anbieten. Aber es kann zum Beispiel auch mit einem Security-Champion-Programm das Bewusstsein für Cybersicherheit gefördert werden. Personen aus unterschiedlichen Fachbereichen werden zu »Security Champions« ernannt, die Sicherheitsthemen in ihren Bereichen unterstützen. In guten Programmen werden dann auch Vorschläge von den Sicherheitsverantwortlichen aufgegriffen und Prozesse angepasst. Das bedarf einer gewissen Flexibilität auf beiden Seiten. Diese reife Zusammenarbeit lohnt sich aber auf jeden Fall. 

In welcher Weise unterstützen Managementsysteme für die Informationssicherheit auch kleinere Unternehmen? Werden die Systeme zunehmend breit eingesetzt?

Erkinger: Wir sehen den Einsatz von Managementsystemen bereits in Unternehmen mit einer Stärke von zehn Mitarbeiter*innen, meist aber in größeren Organisationen. Insbesondere große Unternehmen werden von Kunden und Partnern mit Fragenkatalogen zu ihrer Informationssicherheit überhäuft. Die Fragen werden immer ein bisschen anders gestellt, zielen aber grundsätzlich auf das Gleiche ab.

Alternativ kann aber einfach ein Zertifikat als Antwort genutzt werden, oder es wird bei Ausschreibungen verlangt. Möchten dann auch kleinere Unternehmen mitbieten, ist ebenfalls eine Investition in ein Informationssicherheitsmanagementsystem und eine Zertifizierung interessant. Die großen Unternehmen haben sich bereits vor zehn Jahren mit dem Thema beschäftigt, jetzt ziehen die kleineren Unternehmen nach. Es geht auf jeden Fall in die Breite. 

Welche zehn Mitarbeiter starke Firma beschäftigt sich mit einer Zertifizierung?

Erkinger: Das wären zum Beispiel Softwareentwickler, die für Unternehmen in der Finanzbranche oder im öffentlichen Dienst tätig werden wollen, die eine Bestätigung für ihre Informationssicherheit verlangen. Das kann aber auch bereits ein Drei-Mann-Betrieb sein, der technische Zeichnungen für die Automobilindustrie liefert, oder ein kleines Unternehmen, das für das Erstellen von Berichten auf die Daten eines Automobilbetreibers zugreifen muss. Das reicht bereits aus, um eine Anforderung nach TISAX zu erhalten, dem Informationssicherheitsstandard der Automobilbranche.

Mit der Umsetzung von NIS 2 werden weit mehr Wirtschaftsbereiche als kritische Infrastrukturen eingestuft. Wie viele Unternehmen werden von der neuen Cybersicherheits-Richtlinie betroffen sein?

Erkinger: Derzeit warten alle noch auf die nationale gesetzliche Umsetzung, und die Schätzungen der Anzahl der betroffenen Unternehmen liegt in den Tausenden. Aber eines ist klar: Die Anforderungen an die Führungsriege der Unternehmen für das Vorweisen von Schulungen und auch das Risiko persönlicher Haftungen für Leitungsfunktionen werden auf jeden Fall kommen. Direktiven wie NIS 2 fördern natürlich die Informationssicherheit in der Wirtschaft – mit verwandten Vorteilen wie mehr Einsicht, Transparenz und auch besseres Reporting. Die Unternehmen, die bei NIS 1 betroffen waren, wissen bereits um die nicht unerheblichen Sicherheitsanforderungen. Wir empfehlen, sich schon jetzt mit den Anforderungen auseinanderzusetzen.

Was haben Sie sich in der Geschäftsführung der CIS vorgenommen?

Erkinger: Wir wollen Unternehmen weiterhin helfen, deren Informationssicherheit gegenüber ihren Kunden und Partnern hervorzuheben und nachzuweisen. Da wir Niederlassungen in mehreren europäischen Ländern haben, wollen wir mit dem »CIS Compliance Summit« am 19. September auch eine größere Plattform international bieten. Dieser wird erstmalig zweisprachig abgehalten. Mit der Auszeichnung des ­»CISO of the Year« werden wir wieder die besten Chief Information Security Officers küren. Weiters bauen wir unseren Trainingsbereich aus.

Im Audit-Bereich bietet CIS bereits Akkreditierungen nach 27001 ebenso wie für Derivate. Wir rechnen mit steigenden Anfragen zu NIS, TISAX und auch einer Akkreditierung für Rechenzentren, die EN 50600. Wir prüfen bereits nach dieser Norm für elektrische Sicherheit, Klimaanlagen, physische Sicherheit und weitere Bereiche im Rechenzentrum. Hier auch ein akkreditiertes Zertifikat anbieten zu können – noch in diesem Jahr –, ist das Ziel.