Der diesjährige CIS Compliance Summit stand unter dem Motto „New Work – Potenzial oder Provokation für Security & Privace“. Flexible und agile Arbeitsmodelle erfordern modernste Sicherheitsmechanismen. 

Rund 250 Entscheidungsträger*innen aus führenden Unternehmen tauschten sich am 19. September 2023 im Hotel Savoyen in Wien über Herausforderungen und Chancen aus, die sich durch die Veränderungen der Arbeitswelten ergeben. Die pandemiebedingte Beschleunigung der Digitalisierung hat auch für neue Angriffspotenziale gesorgt. Einer Studie des US-Sicherheitsunternehmens Tenable Inc. zufolge richten sich rund 67 Prozent der Cyberangriffe gezielt an Personen, die remote tätig sind.

„New Work“-Tools ohne entsprechende Security- und Privacy-Standards können somit neue Eintrittstore für Attacken auf die betriebliche Infrastruktur öffnen. „Wenn wir über New Work sprechen, wird immer noch viel zu oft übersehen, dass die neuen flexiblen Arbeitsmodelle nicht nur den physischen Ort betreffen“, umriss Harald Erkinger, Geschäftsführer der CIS – Certification & Information Security Services GmbH, in seinem Eröffnungsstatement die Problematik. „Ein All-in-one-Mix aus Sensibilisierung von Mitarbeitenden, fachlicher Schulung und höchsten Management- und Sicherheitsstandards sollte besser heute als morgen implementiert werden.“ Flexible und agile Arbeitsmodelle werden von attraktiven Arbeitgebern erwartet – für die Unternehmen bedeutet das, den Zugriff auf sensible Daten zu regulieren, zu sichern und laufend zu prüfen.

KI als Freund und Feind

Der Mensch bleibt Risikofaktor Nr. 1. Allerdings sind es nicht nur die Mitarbeiter*innen, die im Mittelpunkt des Sicherheitsmanagements stehen: Auch Kund*innen und Lieferant*innen sollten einbezogen werden. Beim Thema Künstliche Intelligenz kommt diesem Aspekt besondere Bedeutung zu, wie Marlies Temper, Studiengangsleiterin Data Intelligence and Business Analytics an der FH St. Pölten, ausführt: „Gerade beim Thema KI befinden wir uns in einem Entwicklungsprozess. Wie gehen wir damit um, wenn Mitarbeitende KI nutzen? Was tun wir, wenn sich Lieferanten auf KI verlassen?“ Die Expertin forderte neben mehr Eigenverantwortung und Awareness „dringend verbindliche Regulierungen wie den geplanten AI Act“.

KI-Systeme sind in der Lage, ungewöhnliche Netzwerkaktivitäten und Schwachstellen frühzeitig zu erkennen sowie automatisch Notfallmaßnahmen einzuleiten, um Schlimmeres zu verhindern. Dennoch entbinden sie nicht davon, Mitarbeiter*innen für den sicheren Umgang mit Daten zu sensibilisieren und zu schulen. Gleichzeitig nutzen auch Cyberkriminelle KI-Technologie für ihre Zwecke und sind Schutzmechanismen oftmals einen Schritt voraus.

Marlies Temper, FH St. Pölten, warf neue Fragestellungen auf, die sich durch den Einsatz von KI im Arbeitsalltag ergeben: „Wie gehen wir damit um, wenn Mitarbeitende KI nutzen? Was tun wir, wenn sich Lieferanten auf KI verlassen?“ (Foto: Anna Rauchenberger)

Nach dem „Zero Trust“-Prinzip müssen Unternehmen grundsätzlich davon ausgehen, dass ihre Systeme angreifbar sind. In einer vernetzten Wirtschaftswelt sollten Sicherheitssysteme daher unternehmensübergreifend funktionieren. Die Netz- und Informationssicherheitsrichtlinie NIS 2.0 der EU bringt Berichtspflichten für Unternehmen, schafft aber auch rechtliche Klarheit. „Unternehmen sollten bereits jetzt dringend klären, inwieweit sie von der neuen NIS-Richtlinie betroffen sind“, empfahl CIS-Geschäftsführer Erkinger. „Ressourcen müssen rechtzeitig eingeplant und Verantwortlichkeiten festgelegt werden. Es sollte eine Person im Unternehmen für die Umsetzung der Regelungen operativ hauptverantwortlich sein.“

Integrierte Lösungen

Weitere Speaker*innen beleuchteten das Thema aus unterschiedlichen Blickwinkeln. José Torre und Marco Kolbas vom österreichischen Start-up fiskaly erörterten in ihrer Präsentation die „Sieben Hacks für Zero Trust“ – unter anderem workflowbasierte Arbeitsabläufe, eine sichere Unternehmenskultur und einfache, definierte Prozesse. Bernhard Bachofner, Managing Partner bei Fiegl & Spielberger, ging in seinem Vortrag auf Zutrittsgenehmigungen aus der Sicherheitsperspektive ein: Hier bieten integrierte IT-Prozesse Lösungsmöglichkeiten, indem z.B. bei der Buchung eines Meeting-Raumes gleichzeitig die nötige Zutrittsberechtigung erteilt wird.

Michael Brunner, Certainty GmbH, und Clemens Sauerwein von der Universität Innsbruck informierten über den aktuellen Status der European Cyber Resilience Act (ECRA), der derzeit dem EU-Parlament als Gesetzesentwurf vorliegt. Sie ist essenzieller Teil der Security-Strategie der Europäischen Union und nimmt Hersteller, Händler und Importeure von Hard- und Software sowie Datenverarbeitungslösungen künftig in die Pflicht. Wie eine Umfrage unter KMU ergab, verwenden nur etwa die Hälfte der befragten Unternehmen moderne Verschlüsselungsmechanismen für sensible Daten.

Sicherheitsstrategie anpassen

Gerlinde Macho, Gründerin und Geschäftsführerin von MP2 IT-Solutions, und Michael Bendl, COO des Unternehmens, nahmen das Publikum anschließend auf eine Reise in die VUKA-Welt mit. Das Akronym (Volatilität, Unsicherheit, Komplexität und Ambiguität) beschreibt die zunehmenden Veränderungen der Arbeitswelt, die insbesondere auch ein agiles Informationssicherheitsmanagement erfordert. Nikola Dinic, CISO der Convotis Group, erläuterte anschaulich anhand einzelner Maßnahmen wie Kommunikation, klare Verantwortlichkeiten oder Risikomanagement, wie stark wachsende Unternehmen ihre Sicherheitsstrategie laufend anpassen können.

Stefan Hofbauer, Information Security Manager der Volksbank Wien AG, gab Einblick in die Top-Bedrohungsszenarien, mit denen Betriebe weltweit konfrontiert sind. Der ENISA Threat Landscape Report nennt u.a. Ransomware- und Malware-Attacken sowie Social Engineering Threats, die im vergangenen Jahr auch ABB, Magenta oder Rosenberger teilweise lahmlegten. Ob Lösegeld bezahlt werde oder nicht, müsse das Unternehmen im Ernstfall letztlich selbst entscheiden – damit es gar nicht so weit kommt, seien Maßnahmen wie Awarenesstrainings, sorgfältiger Umgang mit Kundendaten und die enge Einbindung der IT-Security unerlässlich. 

CISO of the Year

(V.l.n.r.): Juryvorsitzender Simon Tjoa mit der CISO of the Year - Gewinnerin Bettina Thurnher (Gebrüder Weiss), Gewinner Marcel Lehner (MM Group) und Harald Erkinger (CIS). (Foto: Anna Rauchenberger)

Im Rahmen der Fachveranstaltung CIS Compliance Summit 2023 wurden zum zweiten Mal die besten Chief Information Security Officer (CISO) Österreichs gekürt. Bettina Thurnher von Gebrüder Weiss und Marcel Lehner von MM Group erhielten heuer die begehrte Auszeichnung. Bettina Thurnher implementierte u.a. ein Data Protection Managementsystem und ein IT-Notfallmanagementsystem im Betrieb und entwickelte ein umfassendes Sicherheits-Curriculum für alle Mitarbeitenden. Marcel Lehner konnte durch die Einführung eines Informationssicherheitsmanagementsystems an den 71 Standorten die Sicherheitsvorfälle um 25 Prozent reduzieren und die Erkennungszeit halbieren. Erstmals wurde auch ein Sonderpreis für „Lifetime Achievement“ vergeben. Thomas Schober, CISO der Allianz Gruppe in Österreich, erhielt die Auszeichnung für sein besonderes Engagement für Informationssicherheit seit mehr als 30 Jahren.