New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Die führenden Unternehmen Österreichs tauschten sich beim diesjährigen CIS Compliance Summit am 19. September 2023 über Herausforderungen und Chancen von New Work und Digitalisierung aus. Rund 250 Entscheidungsträger*innen aus dem In- und Ausland folgten der Einladung von Harald Erkinger, CIS Geschäftsführer, und beleuchteten Maßnahmen zur Cybersecurity.

Die Digitalisierung hat mit ihren kurzen Kommunikationswegen die Globalisierung beschleunigt und damit auch New Work befeuert. Das pandemiebedingte Remote Work hat uns nachhaltig in das neue Normal katapultiert. Arbeitgeber und Arbeitnehmer*innen diskutieren nicht mehr über die VUCA-Welt – sie sind längst mittendrin. „Wenn wir über New Work sprechen, wird immer noch viel zu oft übersehen, dass die neuen flexiblen Arbeitsmodelle nicht nur den physischen Ort betreffen. Durch die Etablierung unterschiedlicher Remote Work Tools im betrieblichen Alltag eröffnen sich zahlreiche Einfallstore für Cyberangriffe, die geschlossen werden müssen“, sagte Harald Erkinger. Handlungsbedarf ist dringend gegeben, denn laut einer Studie des amerikanischen Cybersicherheitsunternehmens Tenable Inc. richten sich mittlerweile rund 67 % der geschäftsschädigenden Cyberangriffe gezielt an Personen, die remote tätig sind. „Ein All-in-one-Mix aus Sensibilisierung von Mitarbeitenden, fachlicher Schulung und höchsten Management- und Sicherheitsstandards sollte besser heute als morgen implementiert werden“, empfahl der Experte. Unternehmen, die für Mitarbeitende attraktiv bleiben wollen, müssen flexible und agile Arbeitsmodelle ermöglichen. Das stellt vor allem Arbeitgeber vor die Herausforderung, ihre Netzwerke und Daten zu schützen, gerade wenn sich Mitarbeitende über private oder sogar öffentliche WLANs einwählen. Cloud Services, Apps, Mobile Working und der Zugriff auf sensible Daten müssen reguliert, gesichert und laufend auf den Prüfstand gestellt werden.

KI – Freund oder Feind?

Die neuen Arbeitsweisen betreffen nicht nur den physischen Ort, an dem Mitarbeitende ihrem Job nachgehen. Längst geht es auch um KI, neue Kommunikationswege und -kanäle zu Kund*innen. Sämtliche, die Arbeit betreffende Aspekte gehören gesichert.

Um die Organisationsstrukturen flexibel zu halten, müssen Mitarbeitende geschult und sensibilisiert werden. Denn die meisten Probleme und Herausforderungen beziehen sich auf die interne IT. „Wir müssen zuerst intern unsere Mitarbeitenden schulen, die Community erweitern und so voneinander lernen, um uns anschließend vor externen Gefahren schützen zu können“, sagte Erkinger. In Hinblick auf neue Berichtspflichten wie NIS 2.0 ist das auch dringend notwendig. Nach dem Zero-Trust-Konzept müssen Unternehmen davon ausgehen, dass ihre Systeme immer kompromittierbar, also Angriffen von außen ausgesetzt, sind. Im Fall von Angriffen oder Datenpannen müssen Sicherheitssysteme in einer vernetzten Welt zwangsläufig unternehmensübergreifend funktionieren.

NIS 2.0 als Teil eines Maßnahmenpakets

Die Lösung der Herausforderungen und Gefahren von Digitalisierung und New Work muss auf mehreren Ebenen gleichzeitig erfolgen. Eine wichtige konkrete Maßnahme ist die Netz- und Informationssicherheits-Richtlinie der EU, die vor allem Berichtspflichten für Unternehmen bringt. „Unternehmen sollten bereits jetzt dringend klären, inwieweit sie von der neuen NIS-Richtlinie betroffen sind. Ressourcen müssen rechtzeitig eingeplant und vor allem Verantwortlichkeiten geklärt werden. Es sollte eine Person im Unternehmen für die Umsetzung der Regelungen operativ hauptverantwortlich sein“, empfahl Erkinger.

Der Mensch im Mittelpunkt

Die Expert*innen beim CIS Summit waren sich einig, dass der Mensch im Mittelpunkt aller Maßnahmen stehen sollte. Denn Menschen sind Angriffsziel und Sicherheitsfaktor zugleich. KI-Systeme können dabei unterstützen, Netzwerkaktivitäten und Nutzungsverhalten zu beobachten und rasch auf ungewöhnliche Ereignisse zu reagieren. Regelmäßige automatische Sicherheitsupdates, Infrastruktur-Scans und Schwachstellenmanagement sollten Standard sein. Damit diese Maßnahmen greifen, braucht es Notfallpläne, die garantieren, dass Sicherheitsvorfälle umgehend bewältigt werden. Auch wenn KI sinnvoll eingesetzt und die Datensicherheit massiv erhöht wird, müssen vor allem menschliche Mitarbeitende aufgeklärt und sensibilisiert werden.

Geballtes Know-how und Expertise

Viele weitere Speaker*innen aus Praxis und Theorie beleuchteten das Thema "New Work" sowie dessen Chancen und Herausforderungen aus unterschiedlichen Blickwinkeln. Wir haben die wichtigsten Aussagen und Highlights des Tages für Sie zusammengefasst. Sie möchten mehr erfahren? Hier finden Sie im Abschnitt "Programm" die Präsentationen der Vortragenden zum Download!

Christoph Mondl, qualityaustria CEO, wandte sich in seinen eröffnenden Worten an die Kund*innen der CIS und Quality Austria. Er betonte dabei die gemeinsame DNA der beiden Betriebe und die Wichtigkeit, wertstiftende Inhalte mit Leidenschaft und viel Expertise an die Kund*innen weiterzugeben.

José Torre und Marco Kolbas von fiskaly GmbH erörterten in ihrer Präsentation die Relevanz von “Zero Trust-Modellen”, um das Arbeiten von überall zu ermöglichen. Als notwendige Hacks nannten sie unter anderem workflowbasierte Arbeitsabläufe, eine sichere Unternehmenskultur oder definierte Prozesse.

Bernhard Bachofner, Fiegl & Spielberger GmbH beleuchtete in seinem Vortrag „IT security in workplace service delivery“ das Thema „New Work“ aus unterschiedlichen Perspektiven: der User*innen-, Cardholder- und Facility Management-Perspektive. Damit einhergehende Vorteile wurden auch aus einer Security Perspektive genannten, wie z. B. die Integration bestehender IT und Unternehmensprozesse.

Michael Brunner, Certainty GmbH und Clemens Sauerwein, Universität Innsbruck beleuchteten u. a. den aktuellen Status des European Cyber Resilience Act (ECRA) sowie eine dahingehend durchgeführte Studie von KMUs. Der ECRA liegt aktuell als Gesetzesentwurf beim EU-Parlament vor, ist ein essenzieller Bestandteil der Security-Strategie der europäischen Union und eine Regulatorik, die Software und Hardware im Allgemeinen in die Pflicht nimmt.

Gerlinde Macho, IT-Unternehmerin und Michael Bendl, COO, MP2 IT-Solutions gingen auf die Anforderungen und Herausforderungen der aktuellen VUKA-Welt (Volatilität, Unsicherheit, Komplexität und Ambiguität) ein. Das VUKA-Modell beschreibe die zunehmende Veränderung der heutigen Welt hinsichtlich u. a. agilem Management und Leadership sowie einem gesamtheitlichen agilen Informationssicherheitsmanagement.

„Security governance in fast-growing environments” lautete der Vortragstitel von Nikola Dinic, CISO, Convotis Group. Er deckte beispielhaft einige Maßnahmen auf, die es zu erkennen, umzusetzen oder auch vermeiden gilt, um letztendlich schneller und besser reagieren zu können. Darunter Maßnahmen wie z. B. Kommunikation, klare Verantwortlichkeiten, eine umfassende Cyberstrategie und Security Management.

Stefan Hofbauer, Information Security Manager der Volksbank Wien AG gab zunächst einen Überblick über aktuelle Vorfälle puncto Cyber Security – darunter auch der ENISA Threat Landscape Report 2022 – mit Top-Bedrohungsszenarien wie Ransomware und Malware und Social Engineering Threats. Als Handlungsempfehlungen nannte er u. a. Awarenesstrainings, keine Offenlegung von Firmendaten durch Mitarbeitende sowie im Zweifelsfall eine rasche Kontaktaufnahme mit der IT-Security oder der jeweiligen Strafverfolgungsbehörde.

Abschließend gab Robert Jamnik, Head of Audit Services der CIS ein Update hinsichtlich Informationssicherheit. Ab 31. Oktober 2023 sind nur noch Zertifizierungen nach ISO 27001:2022 möglich. Zertifikate nach ISO 27001:2013 verlieren am 1. November 2025 ihre Gültigkeit. Bei Rückfragen hierzu steht das CIS-Team jederzeit zur Verfügung.