20. Sep 2023

Das war der CIS Compliance Summit 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Bild (v.l.n.r.): Christoph Mondl (Geschäftsführer Quality Austria), Marlies Temper (Studiengangsleiterin FH St. Pölten), Harald Erkinger (Geschäftsführer CIS GmbH) © Anna Rauchenberger

Die führenden Unternehmen Österreichs tauschten sich beim diesjährigen CIS Compliance Summit am 19. September 2023 über Herausforderungen und Chancen von New Work und Digitalisierung aus. Rund 250 Entscheidungsträger*innen aus dem In- und Ausland folgten der Einladung von Harald Erkinger, CIS Geschäftsführer, und beleuchteten Maßnahmen zur Cybersecurity.

Die Digitalisierung hat mit ihren kurzen Kommunikationswegen die Globalisierung beschleunigt und damit auch New Work befeuert. Das pandemiebedingte Remote Work hat uns nachhaltig in das neue Normal katapultiert. Arbeitgeber und Arbeitnehmer*innen diskutieren nicht mehr über die VUCA-Welt – sie sind längst mittendrin. „Wenn wir über New Work sprechen, wird immer noch viel zu oft übersehen, dass die neuen flexiblen Arbeitsmodelle nicht nur den physischen Ort betreffen. Durch die Etablierung unterschiedlicher Remote Work Tools im betrieblichen Alltag eröffnen sich zahlreiche Einfallstore für Cyberangriffe, die geschlossen werden müssen“, sagte Harald Erkinger. Handlungsbedarf ist dringend gegeben, denn laut einer Studie des amerikanischen Cybersicherheitsunternehmens Tenable Inc. richten sich mittlerweile rund 67 % der geschäftsschädigenden Cyberangriffe gezielt an Personen, die remote tätig sind. „Ein All-in-one-Mix aus Sensibilisierung von Mitarbeitenden, fachlicher Schulung und höchsten Management- und Sicherheitsstandards sollte besser heute als morgen implementiert werden“, empfahl der Experte. Unternehmen, die für Mitarbeitende attraktiv bleiben wollen, müssen flexible und agile Arbeitsmodelle ermöglichen. Das stellt vor allem Arbeitgeber vor die Herausforderung, ihre Netzwerke und Daten zu schützen, gerade wenn sich Mitarbeitende über private oder sogar öffentliche WLANs einwählen. Cloud Services, Apps, Mobile Working und der Zugriff auf sensible Daten müssen reguliert, gesichert und laufend auf den Prüfstand gestellt werden.

KI – Freund oder Feind?

Die neuen Arbeitsweisen betreffen nicht nur den physischen Ort, an dem Mitarbeitende ihrem Job nachgehen. Längst geht es auch um KI, neue Kommunikationswege und -kanäle zu Kund*innen. Sämtliche, die Arbeit betreffende Aspekte gehören gesichert.

„Gerade beim Thema KI befinden wir uns in einem Entwicklungsprozess. Wie gehen wir damit um, wenn Mitarbeitende KI nutzen? Was tun wir, wenn sich Lieferanten auf KI verlassen? Und welche Probleme und Herausforderungen können durch die Nutzung von Programmen wie ChatGPT entstehen? Neben der Eigenverantwortung und dem Schaffen von Awareness sowie Know-how braucht es dringend verbindliche Regulierungen, wie den geplanten AI Act“, sagte Marlies Temper, Studiengangsleitern Data Intelligence und Data Science und Business Analytics an der FH St. Pölten.

Um die Organisationsstrukturen flexibel zu halten, müssen Mitarbeitende geschult und sensibilisiert werden. Denn die meisten Probleme und Herausforderungen beziehen sich auf die interne IT. „Wir müssen zuerst intern unsere Mitarbeitenden schulen, die Community erweitern und so voneinander lernen, um uns anschließend vor externen Gefahren schützen zu können“, sagte Erkinger. In Hinblick auf neue Berichtspflichten wie NIS 2.0 ist das auch dringend notwendig. Nach dem Zero-Trust-Konzept müssen Unternehmen davon ausgehen, dass ihre Systeme immer kompromittierbar, also Angriffen von außen ausgesetzt, sind. Im Fall von Angriffen oder Datenpannen müssen Sicherheitssysteme in einer vernetzten Welt zwangsläufig unternehmensübergreifend funktionieren.

NIS 2.0 als Teil eines Maßnahmenpakets

Die Lösung der Herausforderungen und Gefahren von Digitalisierung und New Work muss auf mehreren Ebenen gleichzeitig erfolgen. Eine wichtige konkrete Maßnahme ist die Netz- und Informationssicherheits-Richtlinie der EU, die vor allem Berichtspflichten für Unternehmen bringt. „Unternehmen sollten bereits jetzt dringend klären, inwieweit sie von der neuen NIS-Richtlinie betroffen sind. Ressourcen müssen rechtzeitig eingeplant und vor allem Verantwortlichkeiten geklärt werden. Es sollte eine Person im Unternehmen für die Umsetzung der Regelungen operativ hauptverantwortlich sein“, empfahl Erkinger.

Der Mensch im Mittelpunkt

Die Expert*innen beim CIS Summit waren sich einig, dass der Mensch im Mittelpunkt aller Maßnahmen stehen sollte. Denn Menschen sind Angriffsziel und Sicherheitsfaktor zugleich. KI-Systeme können dabei unterstützen, Netzwerkaktivitäten und Nutzungsverhalten zu beobachten und rasch auf ungewöhnliche Ereignisse zu reagieren. Regelmäßige automatische Sicherheitsupdates, Infrastruktur-Scans und Schwachstellenmanagement sollten Standard sein. Damit diese Maßnahmen greifen, braucht es Notfallpläne, die garantieren, dass Sicherheitsvorfälle umgehend bewältigt werden. Auch wenn KI sinnvoll eingesetzt und die Datensicherheit massiv erhöht wird, müssen vor allem menschliche Mitarbeitende aufgeklärt und sensibilisiert werden.

Die Expert*innen empfahlen, Zuständigkeiten zu klären, Awareness zu schaffen und mit Unsicherheiten zu leben lernen. „Regelmäßige Feuerübungen gehören in den meisten Unternehmen zum Standard. Genauso sollten Sicherheitsvorfälle geübt und mögliche Szenarien durchgespielt werden“, empfahl Erkinger. Vor allem sollten Mitarbeiter*innen in ihren Zuständigkeiten laufend geschult werden. CIS bietet u. a. akkreditierte Schulungen für Informationssicherheits-Manager*innen und -Auditor*innen sowie zum Thema Datenschutz und Cybersecurity an.

 

 

Geballtes Know-how und Expertise

Viele weitere Speaker*innen aus Praxis und Theorie beleuchteten das Thema "New Work" sowie dessen Chancen und Herausforderungen aus unterschiedlichen Blickwinkeln. Wir haben die wichtigsten Aussagen und Highlights des Tages für Sie zusammengefasst. Sie möchten mehr erfahren? Hier finden Sie im Abschnitt "Programm" die Präsentationen der Vortragenden zum Download!

 

Christoph Mondl, qualityaustria CEO, wandte sich in seinen eröffnenden Worten an die Kund*innen der CIS und Quality Austria. Er betonte dabei die gemeinsame DNA der beiden Betriebe und die Wichtigkeit, wertstiftende Inhalte mit Leidenschaft und viel Expertise an die Kund*innen weiterzugeben.

 

José Torre und Marco Kolbas von fiskaly GmbH erörterten in ihrer Präsentation die Relevanz von “Zero Trust-Modellen”, um das Arbeiten von überall zu ermöglichen. Als notwendige Hacks nannten sie unter anderem workflowbasierte Arbeitsabläufe, eine sichere Unternehmenskultur oder definierte Prozesse.

 

Bernhard Bachofner, Fiegl & Spielberger GmbH beleuchtete in seinem Vortrag „IT security in workplace service delivery“ das Thema „New Work“ aus unterschiedlichen Perspektiven: der User*innen-, Cardholder- und Facility Management-Perspektive. Damit einhergehende Vorteile wurden auch aus einer Security Perspektive genannten, wie z. B. die Integration bestehender IT und Unternehmensprozesse.

 

Michael Brunner, Certainty GmbH und Clemens Sauerwein, Universität Innsbruck beleuchteten u. a. den aktuellen Status des European Cyber Resilience Act (ECRA) sowie eine dahingehend durchgeführte Studie von KMUs. Der ECRA liegt aktuell als Gesetzesentwurf beim EU-Parlament vor, ist ein essenzieller Bestandteil der Security-Strategie der europäischen Union und eine Regulatorik, die Software und Hardware im Allgemeinen in die Pflicht nimmt.

 

Gerlinde Macho, IT-Unternehmerin und Michael Bendl, COO, MP2 IT-Solutions gingen auf die Anforderungen und Herausforderungen der aktuellen VUKA-Welt (Volatilität, Unsicherheit, Komplexität und Ambiguität) ein. Das VUKA-Modell beschreibe die zunehmende Veränderung der heutigen Welt hinsichtlich u. a. agilem Management und Leadership sowie einem gesamtheitlichen agilen Informationssicherheitsmanagement.

 

„Security governance in fast-growing environments” lautete der Vortragstitel von Nikola Dinic, CISO, Convotis Group. Er deckte beispielhaft einige Maßnahmen auf, die es zu erkennen, umzusetzen oder auch vermeiden gilt, um letztendlich schneller und besser reagieren zu können. Darunter Maßnahmen wie z. B. Kommunikation, klare Verantwortlichkeiten, eine umfassende Cyberstrategie und Security Management.

 

Stefan Hofbauer, Information Security Manager der Volksbank Wien AG gab zunächst einen Überblick über aktuelle Vorfälle puncto Cyber Security – darunter auch der ENISA Threat Landscape Report 2022 – mit Top-Bedrohungsszenarien wie Ransomware und Malware und Social Engineering Threats. Als Handlungsempfehlungen nannte er u. a. Awarenesstrainings, keine Offenlegung von Firmendaten durch Mitarbeitende sowie im Zweifelsfall eine rasche Kontaktaufnahme mit der IT-Security oder der jeweiligen Strafverfolgungsbehörde.

 

Abschließend gab Robert Jamnik, Head of Audit Services der CIS ein Update hinsichtlich Informationssicherheit. Ab 31. Oktober 2023 sind nur noch Zertifizierungen nach ISO 27001:2022 möglich. Zertifikate nach ISO 27001:2013 verlieren am 1. November 2025 ihre Gültigkeit. Bei Rückfragen hierzu steht das CIS-Team jederzeit zur Verfügung.

Save the date

Nächstes Jahr findet der CIS Compliance Summit am 18. September 2024 wieder in Wien statt.

Weitere News & Events

Immer topaktuell informiert

04. Apr 2024

Exklusives Führungskräfte­training für NIS 2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
26. Mrz 2024

Verlängerte Einreichfrist: jetzt bis 30. April 2024 anmelden!

Österreichs “CISO of the Year 2024” gesucht

Mehr erfahren
29. Feb 2024

Die Zukunft von KI und Data Ownership

KI und Datenschutz: Neue Unsicherheiten

Mehr erfahren
27. Feb 2024

Verlieren wir durch Künstliche Intelligenz (KI) die Kontrolle über unsere Daten?

Ein Balanceakt zwischen KI, Informationssicherheit und Data Ownership

Mehr erfahren
15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
+43 1 532 98 90