20. Sep. 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Bild (v.l.n.r.): Christoph Mondl (Geschäftsführer Quality Austria), Marlies Temper (Studiengangsleiterin FH St. Pölten), Harald Erkinger (Geschäftsführer CIS GmbH) © Anna Rauchenberger

Die führenden Unternehmen Österreichs tauschten sich beim diesjährigen CIS Compliance Summit am 19. September 2023 über Herausforderungen und Chancen von New Work und Digitalisierung aus. Rund 250 Entscheidungsträger*innen aus dem In- und Ausland folgten der Einladung von Harald Erkinger, CIS Geschäftsführer, und beleuchteten Maßnahmen zur Cybersecurity.

Die Digitalisierung hat mit ihren kurzen Kommunikationswegen die Globalisierung beschleunigt und damit auch New Work befeuert. Das pandemiebedingte Remote Work hat uns nachhaltig in das neue Normal katapultiert. Arbeitgeber und Arbeitnehmer*innen diskutieren nicht mehr über die VUCA-Welt – sie sind längst mittendrin. „Wenn wir über New Work sprechen, wird immer noch viel zu oft übersehen, dass die neuen flexiblen Arbeitsmodelle nicht nur den physischen Ort betreffen. Durch die Etablierung unterschiedlicher Remote Work Tools im betrieblichen Alltag eröffnen sich zahlreiche Einfallstore für Cyberangriffe, die geschlossen werden müssen“, sagte Harald Erkinger. Handlungsbedarf ist dringend gegeben, denn laut einer Studie des amerikanischen Cybersicherheitsunternehmens Tenable Inc. richten sich mittlerweile rund 67 % der geschäftsschädigenden Cyberangriffe gezielt an Personen, die remote tätig sind. „Ein All-in-one-Mix aus Sensibilisierung von Mitarbeitenden, fachlicher Schulung und höchsten Management- und Sicherheitsstandards sollte besser heute als morgen implementiert werden“, empfahl der Experte. Unternehmen, die für Mitarbeitende attraktiv bleiben wollen, müssen flexible und agile Arbeitsmodelle ermöglichen. Das stellt vor allem Arbeitgeber vor die Herausforderung, ihre Netzwerke und Daten zu schützen, gerade wenn sich Mitarbeitende über private oder sogar öffentliche WLANs einwählen. Cloud Services, Apps, Mobile Working und der Zugriff auf sensible Daten müssen reguliert, gesichert und laufend auf den Prüfstand gestellt werden.

KI – Freund oder Feind?

Die neuen Arbeitsweisen betreffen nicht nur den physischen Ort, an dem Mitarbeitende ihrem Job nachgehen. Längst geht es auch um KI, neue Kommunikationswege und -kanäle zu Kund*innen. Sämtliche, die Arbeit betreffende Aspekte gehören gesichert.

„Gerade beim Thema KI befinden wir uns in einem Entwicklungsprozess. Wie gehen wir damit um, wenn Mitarbeitende KI nutzen? Was tun wir, wenn sich Lieferanten auf KI verlassen? Und welche Probleme und Herausforderungen können durch die Nutzung von Programmen wie ChatGPT entstehen? Neben der Eigenverantwortung und dem Schaffen von Awareness sowie Know-how braucht es dringend verbindliche Regulierungen, wie den geplanten AI Act“, sagte Marlies Temper, Studiengangsleitern Data Intelligence und Data Science und Business Analytics an der FH St. Pölten.

Um die Organisationsstrukturen flexibel zu halten, müssen Mitarbeitende geschult und sensibilisiert werden. Denn die meisten Probleme und Herausforderungen beziehen sich auf die interne IT. „Wir müssen zuerst intern unsere Mitarbeitenden schulen, die Community erweitern und so voneinander lernen, um uns anschließend vor externen Gefahren schützen zu können“, sagte Erkinger. In Hinblick auf neue Berichtspflichten wie NIS 2.0 ist das auch dringend notwendig. Nach dem Zero-Trust-Konzept müssen Unternehmen davon ausgehen, dass ihre Systeme immer kompromittierbar, also Angriffen von außen ausgesetzt, sind. Im Fall von Angriffen oder Datenpannen müssen Sicherheitssysteme in einer vernetzten Welt zwangsläufig unternehmensübergreifend funktionieren.

NIS 2.0 als Teil eines Maßnahmenpakets

Die Lösung der Herausforderungen und Gefahren von Digitalisierung und New Work muss auf mehreren Ebenen gleichzeitig erfolgen. Eine wichtige konkrete Maßnahme ist die Netz- und Informationssicherheits-Richtlinie der EU, die vor allem Berichtspflichten für Unternehmen bringt. „Unternehmen sollten bereits jetzt dringend klären, inwieweit sie von der neuen NIS-Richtlinie betroffen sind. Ressourcen müssen rechtzeitig eingeplant und vor allem Verantwortlichkeiten geklärt werden. Es sollte eine Person im Unternehmen für die Umsetzung der Regelungen operativ hauptverantwortlich sein“, empfahl Erkinger.

Der Mensch im Mittelpunkt

Die Expert*innen beim CIS Summit waren sich einig, dass der Mensch im Mittelpunkt aller Maßnahmen stehen sollte. Denn Menschen sind Angriffsziel und Sicherheitsfaktor zugleich. KI-Systeme können dabei unterstützen, Netzwerkaktivitäten und Nutzungsverhalten zu beobachten und rasch auf ungewöhnliche Ereignisse zu reagieren. Regelmäßige automatische Sicherheitsupdates, Infrastruktur-Scans und Schwachstellenmanagement sollten Standard sein. Damit diese Maßnahmen greifen, braucht es Notfallpläne, die garantieren, dass Sicherheitsvorfälle umgehend bewältigt werden. Auch wenn KI sinnvoll eingesetzt und die Datensicherheit massiv erhöht wird, müssen vor allem menschliche Mitarbeitende aufgeklärt und sensibilisiert werden.

Die Expert*innen empfahlen, Zuständigkeiten zu klären, Awareness zu schaffen und mit Unsicherheiten zu leben lernen. „Regelmäßige Feuerübungen gehören in den meisten Unternehmen zum Standard. Genauso sollten Sicherheitsvorfälle geübt und mögliche Szenarien durchgespielt werden“, empfahl Erkinger. Vor allem sollten Mitarbeiter*innen in ihren Zuständigkeiten laufend geschult werden. CIS bietet u. a. akkreditierte Schulungen für Informationssicherheits-Manager*innen und -Auditor*innen sowie zum Thema Datenschutz und Cybersecurity an.

 

 

Geballtes Know-how und Expertise

Viele weitere Speaker*innen aus Praxis und Theorie beleuchteten das Thema "New Work" sowie dessen Chancen und Herausforderungen aus unterschiedlichen Blickwinkeln. Wir haben die wichtigsten Aussagen und Highlights des Tages für Sie zusammengefasst. Sie möchten mehr erfahren? Hier finden Sie im Abschnitt "Programm" die Präsentationen der Vortragenden zum Download!

 

Christoph Mondl, qualityaustria CEO, wandte sich in seinen eröffnenden Worten an die Kund*innen der CIS und Quality Austria. Er betonte dabei die gemeinsame DNA der beiden Betriebe und die Wichtigkeit, wertstiftende Inhalte mit Leidenschaft und viel Expertise an die Kund*innen weiterzugeben.

 

José Torre und Marco Kolbas von fiskaly GmbH erörterten in ihrer Präsentation die Relevanz von “Zero Trust-Modellen”, um das Arbeiten von überall zu ermöglichen. Als notwendige Hacks nannten sie unter anderem workflowbasierte Arbeitsabläufe, eine sichere Unternehmenskultur oder definierte Prozesse.

 

Bernhard Bachofner, Fiegl & Spielberger GmbH beleuchtete in seinem Vortrag „IT security in workplace service delivery“ das Thema „New Work“ aus unterschiedlichen Perspektiven: der User*innen-, Cardholder- und Facility Management-Perspektive. Damit einhergehende Vorteile wurden auch aus einer Security Perspektive genannten, wie z. B. die Integration bestehender IT und Unternehmensprozesse.

 

Michael Brunner, Certainty GmbH und Clemens Sauerwein, Universität Innsbruck beleuchteten u. a. den aktuellen Status des European Cyber Resilience Act (ECRA) sowie eine dahingehend durchgeführte Studie von KMUs. Der ECRA liegt aktuell als Gesetzesentwurf beim EU-Parlament vor, ist ein essenzieller Bestandteil der Security-Strategie der europäischen Union und eine Regulatorik, die Software und Hardware im Allgemeinen in die Pflicht nimmt.

 

Gerlinde Macho, IT-Unternehmerin und Michael Bendl, COO, MP2 IT-Solutions gingen auf die Anforderungen und Herausforderungen der aktuellen VUKA-Welt (Volatilität, Unsicherheit, Komplexität und Ambiguität) ein. Das VUKA-Modell beschreibe die zunehmende Veränderung der heutigen Welt hinsichtlich u. a. agilem Management und Leadership sowie einem gesamtheitlichen agilen Informationssicherheitsmanagement.

 

„Security governance in fast-growing environments” lautete der Vortragstitel von Nikola Dinic, CISO, Convotis Group. Er deckte beispielhaft einige Maßnahmen auf, die es zu erkennen, umzusetzen oder auch vermeiden gilt, um letztendlich schneller und besser reagieren zu können. Darunter Maßnahmen wie z. B. Kommunikation, klare Verantwortlichkeiten, eine umfassende Cyberstrategie und Security Management.

 

Stefan Hofbauer, Information Security Manager der Volksbank Wien AG gab zunächst einen Überblick über aktuelle Vorfälle puncto Cyber Security – darunter auch der ENISA Threat Landscape Report 2022 – mit Top-Bedrohungsszenarien wie Ransomware und Malware und Social Engineering Threats. Als Handlungsempfehlungen nannte er u. a. Awarenesstrainings, keine Offenlegung von Firmendaten durch Mitarbeitende sowie im Zweifelsfall eine rasche Kontaktaufnahme mit der IT-Security oder der jeweiligen Strafverfolgungsbehörde.

 

Abschließend gab Robert Jamnik, Head of Audit Services der CIS ein Update hinsichtlich Informationssicherheit. Ab 31. Oktober 2023 sind nur noch Zertifizierungen nach ISO 27001:2022 möglich. Zertifikate nach ISO 27001:2013 verlieren am 1. November 2025 ihre Gültigkeit. Bei Rückfragen hierzu steht das CIS-Team jederzeit zur Verfügung.

Save the date

Nächstes Jahr findet der CIS Compliance Summit am 10. Oktober 2024 wieder in Wien statt.

Weitere News & Events

Immer topaktuell informiert

31. Jan. 2025

Die Verpflichtungen der EU- Verordnung für Künstliche Intelligenz

EU AI Act ab 02. Februar 2025

Mehr erfahren
16. Jan. 2025

CISO of the Year: Inspiration von den Besten holen

Wertvolle Tipps für Ihre Einreichung

Mehr erfahren
09. Jan. 2025

CISO of the Year: Strategisch Sicherheit von morgen schaffen

Insights vom Gewinner

Mehr erfahren
23. Dez. 2024

ISO 27001: Aufwand, Nutzen und Erfolgsfaktoren

Erfolgreicher Aufbau eines Informationssicherheitsmanagements

Mehr erfahren
11. Dez. 2024

Neue Zertifizierung für grüne Rechenzentren auf dem Markt

Österreichisches Umweltzeichen UZ 80

Mehr erfahren
28. Nov. 2024

ISO 27001: Vorteile der Zertifizierung für Ihr Unternehmen

Insights zertifizierter Unternehmen

Mehr erfahren
11. Nov. 2024

6 Schritte zur erfolgreichen ISO 42001 Implementierung

Die Einführung der ISO 42001 erfordert einen strukturierten Ansatz, sorgfältige Planung und Struktur.

Mehr erfahren
06. Nov. 2024

6 Vorteile einer ISO 42001 Zertifizierung

Standards für die verantwortungsvolle und effektive Nutzung von Künstlicher Intelligenz

Mehr erfahren
04. Nov. 2024

ISO 27001 erhöht Informations­sicherheit bei 81 % der zertifizierten Unternehmen

Umfrage

Mehr erfahren
22. Okt. 2024

CIS verleiht erstes ISO 42001 Zertifikat für österreichisches Unternehmen

neue Maßstäbe für die sichere und transparente Entwicklung von KI

Mehr erfahren
16. Sep. 2025

Event:CIS Compliance Summit 2025

Security | Privacy | Continuity

Mehr erfahren
14. Okt. 2024

„CISO of the Year“ kürt zwei Innovatoren, die das Cyber-Leben sicherer und einfacher machen

Einer der Höhepunkte am CIS Compliance Summit war auch in diesem Jahr die Auszeichnung

Mehr erfahren
+43 1 532 98 90