New Work: Der Mensch als Risikofaktor war Thema des CIS Compliance Summit 2023
- Himmelhoch GmbH
- 20.09.2023 10:23
Christoph Mondl (Geschäftsführer Quality Austria), Marlies Temper (Studiengangsleiterin FH St. Pölten), Harald Erkinger (Geschäftsführer CIS GmbH)
Wien (A) Die führenden Unternehmen Österreichs tauschten sich beim diesjährigen CIS Compliance Summit am 19. September 2023 über Herausforderungen und Chancen von New Work und Digitalisierung aus. Rund 250 Entscheidungsträger*innen aus dem In- und Ausland folgten der Einladung von Harald Erkinger, Geschäftsführer der CIS - Certification & Information Security Services GmbH, und beleuchteten Maßnahmen zur Cybersecurity.
Die Digitalisierung hat mit ihren kurzen Kommunikationswegen die Globalisierung beschleunigt und damit auch New Work befeuert. Das pandemiebedingte Remote Work hat uns nachhaltig in das neue Normal katapultiert. Arbeitgeber und Arbeitnehmer*innen diskutieren nicht mehr über die VUCA-Welt – sie sind längst mittendrin. „Wenn wir über New Work sprechen, wird immer noch viel zu oft übersehen, dass die neuen flexiblen Arbeitsmodelle nicht nur den physischen Ort betreffen. Durch die Etablierung unterschiedlicher Remote Work Tools im betrieblichen Alltag eröffnen sich zahlreiche Einfallstore für Cyberangriffe, die geschlossen werden müssen“, sagte Harald Erkinger. Handlungsbedarf ist dringend gegeben, denn laut einer Studie des amerikanischen Cybersicherheitsunternehmens Tenable Inc. richten sich mittlerweile rund 67 % der geschäftsschädigenden Cyberangriffe gezielt gegen Personen, die remote tätig sind. „Ein All-in-one-Mix aus Sensibilisierung von Mitarbeitenden, fachlicher Schulung und höchsten Management- und Sicherheitsstandards sollte besser heute als morgen implementiert werden“, empfahl der Experte. Unternehmen, die für Mitarbeitende attraktiv bleiben wollen, müssen flexible und agile Arbeitsmodelle ermöglichen. Das stellt vor allem Arbeitgeber vor die Herausforderung, ihre Netzwerke und Daten zu schützen, gerade wenn sich Mitarbeitende über private oder sogar öffentliche WLANs einwählen. Cloud Services, Apps, Mobile Working und der Zugriff auf sensible Daten müssen reguliert, gesichert und laufend auf den Prüfstand gestellt werden.
KI – Freund oder Feind?
Die neuen Arbeitsweisen betreffen nicht nur den physischen Ort, an dem Mitarbeitende ihrem Job nachgehen. Längst geht es auch um KI, neue Kommunikationswege und -kanäle zu Kund*innen. Sämtliche, die Arbeit betreffende Aspekte gehören gesichert. „Gerade beim Thema KI befinden wir uns in einem Entwicklungsprozess. Wie gehen wir damit um, wenn Mitarbeitende KI nutzen? Was tun wir, wenn sich Lieferanten auf KI verlassen? Und welche Probleme und Herausforderungen können durch die Nutzung von Programmen wie ChatGPT entstehen? Neben der Eigenverantwortung und dem Schaffen von Awareness sowie Know-how braucht es dringend verbindliche Regulierungen wie den geplanten AI Act“, sagte Marlies Temper, Studiengangsleiterin Data Intelligence und Data Science und Business Analytics an der FH St. Pölten. Um die Organisationsstrukturen flexibel zu halten, müssen Mitarbeitende geschult und sensibilisiert werden. Denn die meisten Probleme und Herausforderungen beziehen sich auf die interne IT. „Wir müssen zuerst intern unsere Mitarbeitenden schulen, die Community erweitern und so voneinander lernen, um uns anschließend vor externen Gefahren schützen zu können“, sagte Erkinger. In Hinblick auf neue Berichtspflichten wie NIS 2.0 ist das auch dringend notwendig. Nach dem Zero-Trust-Konzept müssen Unternehmen davon ausgehen, dass ihre Systeme immer kompromittierbar, also Angriffen von außen ausgesetzt sind. Im Fall von Angriffen oder Datenpannen müssen Sicherheitssysteme in einer vernetzten Welt zwangsläufig unternehmensübergreifend funktionieren.
NIS 2.0 als Teil eines Maßnahmenpakets
Die Lösung der Herausforderungen und Gefahren von Digitalisierung und New Work muss auf mehreren Ebenen gleichzeitig erfolgen. Eine wichtige konkrete Maßnahme ist die Netz- und Informationssicherheits-Richtlinie der EU, die vor allem Berichtspflichten für Unternehmen bringt. „Unternehmen sollten bereits jetzt dringend klären, inwieweit sie von der neuen NIS-Richtlinie betroffen sind. Ressourcen müssen rechtzeitig eingeplant und vor allem Verantwortlichkeiten geklärt werden. Es sollte eine Person im Unternehmen für die Umsetzung der Regelungen operativ hauptverantwortlich sein“, empfahl Erkinger.
Der Mensch im Mittelpunkt
Die Expert*innen beim CIS Summit waren sich einig, dass der Mensch im Mittelpunkt aller Maßnahmen stehen sollte. Denn Menschen sind Angriffsziel und Sicherheitsfaktor zugleich. KI-Systeme können dabei unterstützen, Netzwerkaktivitäten und Nutzungsverhalten zu beobachten und rasch auf ungewöhnliche Ereignisse zu reagieren. Regelmäßige automatische Sicherheitsupdates, Infrastruktur-Scans und Schwachstellenmanagement sollten Standard sein. Damit diese Maßnahmen greifen, braucht es Notfallpläne, die garantieren, dass Sicherheitsvorfälle umgehend bewältigt werden. Auch wenn KI sinnvoll eingesetzt und die Datensicherheit massiv erhöht wird, müssen vor allem menschliche Mitarbeitende aufgeklärt und sensibilisiert werden. Die Expert*innen empfahlen, Zuständigkeiten zu klären, Awareness zu schaffen und mit Unsicherheiten leben zu lernen. „Regelmäßige Feuerübungen gehören in den meisten Unternehmen zum Standard. Genauso sollten Sicherheitsvorfälle geübt und mögliche Szenarien durchgespielt werden“, empfahl Erkinger. Vor allem sollten Mitarbeiter*innen in ihren Zuständigkeiten laufend geschult werden. CIS bietet u. a. akkreditierte Schulungen für Informationssicherheits-Manager*innen und -Auditor*innen sowie zum Thema Datenschutz und Cybersecurity an.
Harald Erkinger (Geschäftsführer der CIS - Certification & Information Security Services GmbH)
Marlies Temper (Studiengangsleitern Data Intelligence und Data Science und Business Analytics an der FH St. Pölten)
CIS - Certification & Information Security Services GmbH
Salztorgasse 2/6/14, 1010 Wien
Österreich
+43 1 5329890-0
