Donnerstag, Oktober 31, 2024
Navigieren im Cyber-Meer
Sarah Spiekermann, Leiterin des Instituts für Informationssysteme & Gesellschaft an der WU Wien. (Fotos: Anna Rauchenberger)

Bei Cyberangriffen ist stets auch unsere Infrastruktur in Gefahr. Wie KI-Ethik im Schulterschluss mit Richtlinien und Zertifizierungsstandards Schutz bieten kann, stand im Mittelpunkt des diesjährigen CIS Compliance Summit in Wien.

 

Mehr als 250 Vertreter*innen der führenden Unternehmen Österreichs waren am 10. Oktober 2024 der Einladung von Harald Erkinger, Geschäftsführer der CIS – Certification & Information Security Services GmbH, gefolgt, um sich über die exponentiell steigende Bedrohung durch Cyberkriminalität und mögliche Verteidigungsstrategien auszutauschen. Längst gehe es angesichts der geopolitischen Konflikte in Nahost und der Ukraine bei den Angriffen nicht mehr rein um betrügerische Akte, sondern um die Gefährdung der Infrastruktur durch Terrorakte, betonte Erkinger: »Der Kreis der Cyber-Angriffsziele hat sich in den letzten Jahren massiv ausgeweitet. Angriffe betreffen nicht mehr nur einzelne Unternehmen, sondern gefährden in einer vernetzten Welt das ganze System.«

Ein gemeinsames Vorgehen aller Stakeholder sei deshalb unerlässlich. Regulierungen und Berichtspflichten wie der AI Act und die NIS-2-Richtlinie der Europäischen Union schaffen einen sicheren Rahmen. Die ISO 42001 bietet Unternehmen einen globalen Ansatz, um sichere und vertrauenswürdige KI-Lösungen zu entwickeln und zu betreiben.

Maßgeblich bei allen Versuchen, den Umgang mit Künstlicher Intelligenz zu regulieren, seien ethische Überlegungen, wie Sarah Spiekermann, Leiterin des Instituts für Informationssysteme & Gesellschaft an der WU Wien, ausführte: »KI kann, wenn sie wertethisch gestaltet und eingebettet ist, einen Mehrwert für die Gesellschaft und für Organisationen ermöglichen. Das geht aber nur, wenn man sich vom gegenwärtigen Feature-Wahn und amerikanischen Standardlösungen abwendet und stattdessen fragt: Welchen Wert wünsche ich mir eigentlich von dieser mächtigen Technologie und zu welchem Preis?« Aspekte wie Wahrheit, Transparenz, Datenschutz, Fairness, Sicherheit, Kontrolle und Stromverbrauch sollten in den Fokus der Entwicklung rücken – so könne auch das Vertrauen der Nutzer*innen gewonnen werden. Anhand des »Value-based Engineering« (ISO/IEC/IEEE 24748-7000) erläuterte Spiekermann, wie soziale Wertequalitäten in das IT-Design integriert werden können.

Zusammenarbeit aller Akteure
Mit einer praxisnahen Vorführung eines Live-Hackings zeigte Benjamin Böck, CEO des Informationssicherheitsdienstleisters xsec, höchst anschaulich, wie leicht innerhalb weniger Sekunden Zutrittsbeschränkungen umgangen werden können oder über Funkmäuse oder Keyboards die Fernsteuerung von Systemen möglich ist.

Die zukünftigen Anforderungen an Chief Information Security Officer (CISO) richten sich daher nicht nur an deren technische Kompetenzen und ihre Lösungsorientierung, sondern auch an ihre sozialen Fähigkeiten. Um Infrastruktur nachhaltig zu schützen, brauche es ein wechselseitiges Verständnis und vor allem die Zusammenarbeit alle Akteure, erklärte Andreas Tomek, Partner IT Advisory bei KPMG: »Die Verantwortlichen in den Unternehmen leisten oft Bemerkenswertes mit großem persönlichem Engagement unter schwierigsten Bedingungen. CISOs und ihre Teams sichern nicht nur interne Daten, sondern arbeiten vor allem für das Wohl einer sichereren Gesellschaft.«

Eine interessante Analogie zum Sport zog Fußball-Legende Toni Polster in seinem Schlussvortrag: »Ein Match gewinnt man nicht, wenn man die Verteidigung alleine im Regen stehen lässt. Der Sieg ist immer ein gemeinsamer und nur möglich, wenn das Team zusammenspielt. Jeder muss seine Rolle kennen und gleichzeitig das Gesamtgeschehen im Blick haben, sich auf die Bewegungen der anderen Teammitglieder einlassen, um darauf reagieren zu können.« Auch Technologieunternehmen und all jene, die Technologien betreiben, müssen sich an den Bedürfnissen der User*innen orientieren und gleichzeitig mögliche Gefahren im Blick behalten. Der Gesetzgeber schafft mit Richtlinien das Rahmenwerk, während die User*innen neue Technologien verantwortungsbewusst nutzen sollten.

 

Verleihung: CISO of the Year 2024

Bild: Jury-Vorsitzender Simon Tjoa mit den Preisträgern Richard Thron und Fabian Cholewa sowie CIS-Geschäftsführer Harald Erkinger (v.li.).

Einer der Höhepunkte der Fachveranstaltung CIS Compliance Summit war auch in diesem Jahr die Auszeichnung der besten Sicherheitsinformationsexperten (Chief Information Security Officer) der Branche. Heuer ging der begehrte Preis gleich an zwei Kandidaten: Richard Thron, Head of Information Security der Umdasch Group AG, und Fabian Cholewa, CISO der Software GmbH in Düsseldorf. »CISOs vollbringen oft Höchstleistungen voller Innovationskraft, Gedankenarbeit und Pragmatismus. Die Ironie der Rolle besteht darin, dass sie allzu oft unsichtbarer wird, umso erfolgreicher sie ausgeführt wird«, meint Harald Erkinger, Geschäftsführer der CIS – Certification & Information Security Services GmbH.

Unter Richard Thron als CISO hat die Umdasch Group AG eine starke Rolle in der Entwicklung innovativer Awareness-Ini­tiativen übernommen, die das Bewusstsein für Cybersicherheit schärfen und die Sicherheitskultur der Proaktivität fördern. Er führte monatliche Phishing-Simulationen im Unternehmen ein, implementierte Secure-Code-Trainings und verpflichtende Microlearning-Kurse, veranstaltete »Der-Hacker-ist-im-Haus«-Veranstaltungen und implementierte ein Informationssicherheits-Managementsystem nach ISO 27001.

Fabian Cholewa ist seit Anfang 2023 CISO der Software GmbH in Düsseldorf. Gleich nach seinem Eintritt startete er ein Harmonisierungsprojekt, das die bestehenden Managementsysteme in einem integrierten konzernweiten Managementsystem vereint. Durch Automatisierung der Prozesse, Vermeidung von Dopplungen und der Erstellung eines zentralen, automatisierten »Control Frameworks« konnten mehrere tausend Aufwandsstunden eingespart und die Kosten für bestehende Audits um bis zu 50 % reduziert werden.

Die Bewerbung für den »CISO of the Year 2025« ist bereits geöffnet: www.cis-cert.com/ciso

Meistgelesene BLOGS

Mario Buchinger
07. August 2024
Der Ruf nach Resilienz in den Lieferketten wird lauter. Nach den Erfahrungen einer weltweiten Pandemie und den immer deutlicheren Auswirkungen der Klimakrise scheint das sinnvoll. Doch was macht eine ...
Nicole Mayer
05. Juli 2024
Im Juni wurden am qualityaustria Excellence Day und der Verleihung Staatspreis Unternehmensqualität die Preisträger*innen 2024 verkündet. Die Sieger*innen im Überblick• Staatspreis Unternehmensqualitä...
Nicole Mayer
19. August 2024
Am qualityaustria Excellence Day im Juni wurde nicht nur das AMS Kärnten mit dem Staatspreis Unternehmensqualität 2024 ausgezeichnet, sondern auch drei weitere exzellente Unternehmen zum Staatspreis n...
Marlene Buchinger
09. August 2024
CSRD, ESRS, CBAM – Nachhaltigkeitsbegriffe schnell erklärt. Nachhaltigkeit wird immer mehr Teil der Führungsarbeit. Daher lohnt ein Blick auf die wichtigsten Begriffe. Wie in jeder Fachdisziplin gibt ...
Redaktion
10. Juli 2024
Ende April wurde das EU-Lieferkettengesetz verabschiedet. Dieses ambitionierte Gesetz verpflichtet Unternehmen mit mehr als 1000 Beschäftigten und einem Umsatz von über 450 Millionen Euro, Menschenrec...
Marlene Buchinger
07. August 2024
Was bedeutet Nachhaltigkeit und warum ist das Thema so wichtig? Der Begriff Nachhaltigkeit und die damit verbundenen Veränderungen werfen bei vielen Führungskräften noch Fragen auf. Aus diesem Grund e...
Marlene Buchinger
07. August 2024
Schulungsangebote und ESG-Tools schießen wie Pilze aus dem Boden. Doch anstelle das Rad neu zu erfinden, sollten bestehende Strukturen neu gedacht werden. Die Anforderungen an Unternehmen punkto Verbe...
Firmen | News
08. Juli 2024
Eine neue Studie zum Thema Online-Shopping in Österreich enthüllt, dass immer mehr Österreicher gern im Internet einkaufen. Das tun sie immer häufiger per Smartphone. Ein Großteil der Käufe erfolgt al...

Log in or Sign up