Bei Cyberangriffen ist stets auch unsere Infrastruktur in Gefahr. Wie KI-Ethik im Schulterschluss mit Richtlinien und Zertifizierungsstandards Schutz bieten kann, stand im Mittelpunkt des diesjährigen CIS Compliance Summit in Wien.

Mehr als 250 Vertreter*innen der führenden Unternehmen Österreichs waren am 10. Oktober 2024 der Einladung von Harald Erkinger, Geschäftsführer der CIS – Certification & Information Security Services GmbH, gefolgt, um sich über die exponentiell steigende Bedrohung durch Cyberkriminalität und mögliche Verteidigungsstrategien auszutauschen. Längst gehe es angesichts der geopolitischen Konflikte in Nahost und der Ukraine bei den Angriffen nicht mehr rein um betrügerische Akte, sondern um die Gefährdung der Infrastruktur durch Terrorakte, betonte Erkinger: »Der Kreis der Cyber-Angriffsziele hat sich in den letzten Jahren massiv ausgeweitet. Angriffe betreffen nicht mehr nur einzelne Unternehmen, sondern gefährden in einer vernetzten Welt das ganze System.«

Ein gemeinsames Vorgehen aller Stakeholder sei deshalb unerlässlich. Regulierungen und Berichtspflichten wie der AI Act und die NIS-2-Richtlinie der Europäischen Union schaffen einen sicheren Rahmen. Die ISO 42001 bietet Unternehmen einen globalen Ansatz, um sichere und vertrauenswürdige KI-Lösungen zu entwickeln und zu betreiben.

Maßgeblich bei allen Versuchen, den Umgang mit Künstlicher Intelligenz zu regulieren, seien ethische Überlegungen, wie Sarah Spiekermann, Leiterin des Instituts für Informationssysteme & Gesellschaft an der WU Wien, ausführte: »KI kann, wenn sie wertethisch gestaltet und eingebettet ist, einen Mehrwert für die Gesellschaft und für Organisationen ermöglichen. Das geht aber nur, wenn man sich vom gegenwärtigen Feature-Wahn und amerikanischen Standardlösungen abwendet und stattdessen fragt: Welchen Wert wünsche ich mir eigentlich von dieser mächtigen Technologie und zu welchem Preis?« Aspekte wie Wahrheit, Transparenz, Datenschutz, Fairness, Sicherheit, Kontrolle und Stromverbrauch sollten in den Fokus der Entwicklung rücken – so könne auch das Vertrauen der Nutzer*innen gewonnen werden. Anhand des »Value-based Engineering« (ISO/IEC/IEEE 24748-7000) erläuterte Spiekermann, wie soziale Wertequalitäten in das IT-Design integriert werden können.

Zusammenarbeit aller Akteure
Mit einer praxisnahen Vorführung eines Live-Hackings zeigte Benjamin Böck, CEO des Informationssicherheitsdienstleisters xsec, höchst anschaulich, wie leicht innerhalb weniger Sekunden Zutrittsbeschränkungen umgangen werden können oder über Funkmäuse oder Keyboards die Fernsteuerung von Systemen möglich ist.

Die zukünftigen Anforderungen an Chief Information Security Officer (CISO) richten sich daher nicht nur an deren technische Kompetenzen und ihre Lösungsorientierung, sondern auch an ihre sozialen Fähigkeiten. Um Infrastruktur nachhaltig zu schützen, brauche es ein wechselseitiges Verständnis und vor allem die Zusammenarbeit alle Akteure, erklärte Andreas Tomek, Partner IT Advisory bei KPMG: »Die Verantwortlichen in den Unternehmen leisten oft Bemerkenswertes mit großem persönlichem Engagement unter schwierigsten Bedingungen. CISOs und ihre Teams sichern nicht nur interne Daten, sondern arbeiten vor allem für das Wohl einer sichereren Gesellschaft.«

Eine interessante Analogie zum Sport zog Fußball-Legende Toni Polster in seinem Schlussvortrag: »Ein Match gewinnt man nicht, wenn man die Verteidigung alleine im Regen stehen lässt. Der Sieg ist immer ein gemeinsamer und nur möglich, wenn das Team zusammenspielt. Jeder muss seine Rolle kennen und gleichzeitig das Gesamtgeschehen im Blick haben, sich auf die Bewegungen der anderen Teammitglieder einlassen, um darauf reagieren zu können.« Auch Technologieunternehmen und all jene, die Technologien betreiben, müssen sich an den Bedürfnissen der User*innen orientieren und gleichzeitig mögliche Gefahren im Blick behalten. Der Gesetzgeber schafft mit Richtlinien das Rahmenwerk, während die User*innen neue Technologien verantwortungsbewusst nutzen sollten.

Verleihung: CISO of the Year 2024

Bild: Jury-Vorsitzender Simon Tjoa mit den Preisträgern Richard Thron und Fabian Cholewa sowie CIS-Geschäftsführer Harald Erkinger (v.li.).

Einer der Höhepunkte der Fachveranstaltung CIS Compliance Summit war auch in diesem Jahr die Auszeichnung der besten Sicherheitsinformationsexperten (Chief Information Security Officer) der Branche. Heuer ging der begehrte Preis gleich an zwei Kandidaten: Richard Thron, Head of Information Security der Umdasch Group AG, und Fabian Cholewa, CISO der Software GmbH in Düsseldorf. »CISOs vollbringen oft Höchstleistungen voller Innovationskraft, Gedankenarbeit und Pragmatismus. Die Ironie der Rolle besteht darin, dass sie allzu oft unsichtbarer wird, umso erfolgreicher sie ausgeführt wird«, meint Harald Erkinger, Geschäftsführer der CIS – Certification & Information Security Services GmbH.

Unter Richard Thron als CISO hat die Umdasch Group AG eine starke Rolle in der Entwicklung innovativer Awareness-Ini­tiativen übernommen, die das Bewusstsein für Cybersicherheit schärfen und die Sicherheitskultur der Proaktivität fördern. Er führte monatliche Phishing-Simulationen im Unternehmen ein, implementierte Secure-Code-Trainings und verpflichtende Microlearning-Kurse, veranstaltete »Der-Hacker-ist-im-Haus«-Veranstaltungen und implementierte ein Informationssicherheits-Managementsystem nach ISO 27001.

Fabian Cholewa ist seit Anfang 2023 CISO der Software GmbH in Düsseldorf. Gleich nach seinem Eintritt startete er ein Harmonisierungsprojekt, das die bestehenden Managementsysteme in einem integrierten konzernweiten Managementsystem vereint. Durch Automatisierung der Prozesse, Vermeidung von Dopplungen und der Erstellung eines zentralen, automatisierten »Control Frameworks« konnten mehrere tausend Aufwandsstunden eingespart und die Kosten für bestehende Audits um bis zu 50 % reduziert werden.

Die Bewerbung für den »CISO of the Year 2025« ist bereits geöffnet: www.cis-cert.com/ciso