Im Gespräch mit Harald Erkinger und Christoph Mondl über New Work, Chancen und Risiken
Harald Erkinger, CEO der CIS und Christoph Mondl, Co-Geschäftsführer der Quality Austria, eröffnen den diesjährigen CIS Compliance Summit am 19. September 2023 rund um das Thema „New Work – Potenzial oder Provokation für Security und Privacy“.
Wir haben die beiden an einen virtuellen Roundtable geholt und zu New Work, Chancen und dahingehenden Tipps gesprochen.
„New Work“ – was genau steckt hinter dem Konzept und hat es wirklich Zukunft?
Harald Erkinger: Die Digitalisierung hat bekannterweise in vielen Bereichen Spuren hinterlassen – der Arbeitsmarkt ist hier nicht ausgenommen und „New Work“ ist definitiv gekommen, um zu bleiben. „New Work“ ist eine Art Sammelbegriff für viele Änderungen im beruflichen Alltag, die besonders von jungen Arbeitnehmer*innen mehr und mehr gefordert werden. Dazu zählen etwa flexibles, ortsunabhängiges Arbeiten, viel Selbstbestimmung und Entscheidungskompetenz sowie eine individuelle Pausengestaltung. Wollen Unternehmen am Arbeitsmarkt bestehen und bei der jungen Generation punkten, müssen sie mit den Forderungen bzw. dem Puls der Zeit mitgehen – besonders in aktuellen Zeiten des Fachkräftemangels.
Welchen Einfluss hat „New Work“ auf Cyber Security und Privacy?
Harald Erkinger: „New Work“ stellt mit der Abkehr von traditionellen Hierarchien, Arbeitszeiten und -orten viele Betriebe bzw. deren Informationssicherheitsverantwortliche oder CISOs (Chief Information Security Officer) vor Herausforderungen. Mitarbeitende sind hier Chance, aber auch Risikofaktor: Eine entsprechende Sensibilisierung, Bewusstseinsschaffung und Social Engineering auf allen Hierarchieebenen sind das A und O. Cyberangriffe bzw. Hacker*innen passen sich immer dem jeweiligen ‚Puls der Zeit‘ an, so wird z. B. auch jene Zeit, die Angreifer*innen benötigen, um in ein Netzwerk zu gelangen, immer kürzer (laut Global Threat Report waren das im Jahr 2022 durchschnittlich etwa 1 Minute und 24 Sekunden).
Aber auch eine entsprechende Sicherheitskultur, die beispielsweise durch Managementsysteme und Standards wie ISO 27001 für Informationssicherheit, ISO 27701 für Datenschutz oder ISO 27017 bzw. ISO 27018 für Cloud-Dienste systematisch untermauert wird, helfen Optimierungspotenziale aufzudecken und sich laufend weiterzuentwickeln.
BYOD (Bring your own device) wird ebenfalls häufig in einem Atemzug mit zukunftsfähigen Konzepten genannt. Wie sehen Sie das, welche Vorteile aber auch Risiken ergeben sich dadurch, wenn Mitarbeitende ihre eigenen Endgeräte nutzen?
Christoph Mondl: Die Abkürzung „BYOD“ steht für „Bring your own Device“ und meint, dass Personen auf ihren Privatgeräten und nicht auf von Unternehmen bereitgestellten Devices arbeiten. Für Mitarbeitende bedeutet das zwar einerseits mehr Flexibilität, wenn sie auf den ihnen gewohnten Geräten arbeiten können, andererseits wird es auf betrieblicher Seite schwieriger, wenn viele unterschiedliche Privatgeräte genutzt werden und gespeicherte Daten dadurch letztendlich nur schwer kontrollierbar sind.
Ein Mittelweg wäre etwa „COPE“ (Corporate Owned, Personally Enabled) oder CYOD (Choose Your Own Device) – bei denen die Geräte zwar Eigentum der Unternehmen bleiben, diese aber auch für private Zwecke genutzt werden können – diese Methode würde sozusagen das Beste aus beiden Welten vereinen.
Unabhängig davon, welche technischen Maßnahmen in Bezug auf Datenschutz getroffen werden, letztendlich kommt es immer auf den Faktor Mensch an. Hierbei ist es vor allem wichtig, eine Sicherheitskultur zu schaffen und das gesamte Team regelmäßig mit Informationen zu den aktuellen Bedrohungen und Sicherheitsmaßnahmen auf dem Laufenden zu halten.
Welche Basic-Tipps sollten Betriebe puncto Cyber Security beachten?
Christoph Mondl: Wir sprechen häufig vom kontinuierlichen oder fortlaufenden Verbesserungsprozess, also eine Art regelmäßige Bestandsaufnahmen: wo stehen wir als Unternehmen bzw. unsere Prozesse aktuell? Wo wollen wir hin, was sind unsere Stärken aber wo liegen etwa unsere Schwachstellen? Genauso wichtig ist es, eine gesunde Skepsis und Awareness zu verbreiten. Das geht Hand in Hand mit dem Prinzip „think, then click!“.
Mitarbeitende, aber auch Führungskräfte, müssen ein Bewusstsein für Gefahren im Netz haben und lernen, mit diesen umzugehen. Eine proaktive Maßnahme – sollte es doch mal zum Ernstfall kommen – ist ein Notfallplan, dies erreicht man am leichtesten durch die Implementierung eines Business Continuity Managements nach ISO 22301.
In etwas weniger als zwei Monaten findet erneut der CIS Compliance Summit 2023 statt. Was ist Ihr diesjähriges Konzept bzw. worauf freuen Sie sich bei der Fachveranstaltung am meisten?
Harald Erkinger: Am 19. September wird beim CIS Compliance Summit das Thema „New Work – Potenzial oder Provokation für Security und Privacy“ vielfältig aufgerollt. Von Theorie über Praxis, vom Deutschen ins Englische, von altbewährten Systemen zu innovativen, neuen Methoden; auch diesmal ist bestimmt wieder für jede Person etwas dabei! Vor allem die Zweisprachigkeit ist ein großer Schritt Richtung Internationalität und zeigt die zukünftige Ausrichtung des Unternehmens.
Zudem findet auch wieder der „CISO of the Year“ Bewerb statt. Mit dem Award wird die Bedeutung des Berufsbilds von Chief Information Security Officer (CISO) unterstrichen. Dabei handelt es sich oft um die „stillen Helden und Heldinnen im Hintergrund“, gleichzeitig nehmen sie in Zeiten von vermehrten Cyberattacken eine immer wichtigere Rolle ein – weswegen ich mich hier besonders auf die Präsentationen der Siegerprojekte freue.
Für mich ist es auch der erste CIS Compliance Summit in der Rolle als Geschäftsführer, somit freue ich mich sehr darauf, viele Leute vor Ort begrüßen und kennenlernen zu dürfen. Die Anmeldung läuft noch bis Anfang September!
