Alle 14 Tage aktuelle News aus der IT-Szene >
Die heimische IT-Branche tauschte sich diese Woche beim CIS Compliance Summit über Herausforderungen und Chancen von New Work und Digitalisierung aus.
Foto: Anna Rauchenberger Harald Erkinger, CIS - Certification & Information Security Services: „Ein All-in-one-Mix aus Sensibilisierung von Mitarbeitenden, fachlicher Schulung und höchsten Management- und Sicherheitsstandards sollte besser heute als morgen implementiert werden.“ Die Digitalisierung hat mit ihren kurzen Kommunikationswegen die Globalisierung beschleunigt und damit auch New Work befeuert. Das pandemiebedingte Remote Work hat Unternehmen und deren Angestellte nachhaltig in das „neue Normal“ katapultiert. Arbeitgeber und Arbeitnehmer*innen diskutieren nicht mehr über die VUCA-Welt – sie sind längst mittendrin. „Wenn wir über New Work sprechen, wird immer noch viel zu oft übersehen, dass die neuen flexiblen Arbeitsmodelle nicht nur den physischen Ort betreffen. Durch die Etablierung unterschiedlicher Remote Work Tools im betrieblichen Alltag eröffnen sich zahlreiche Einfallstore für Cyberangriffe, die geschlossen werden müssen“, sagte CIS-Geschäftsführer und Gastgeber Harald Erkinger im Rahmen des diesjährigen CIS Compliance Summit vor rund 250 Entscheidungsträger:innen aus dem In- und Ausland.
Handlungsbedarf sei dringend gegeben, so Erkinger weiter, denn laut einer Studie des amerikanischen Cybersicherheitsunternehmens Tenable richten sich mittlerweile rund 67 Prozent der geschäftsschädigenden Cyberangriffe gezielt gegen Personen, die remote tätig sind. „Ein All-in-one-Mix aus Sensibilisierung von Mitarbeitenden, fachlicher Schulung und höchsten Management- und Sicherheitsstandards sollte besser heute als morgen implementiert werden“, empfahl der Experte. Unternehmen, die für Mitarbeitende attraktiv bleiben wollen, müssen flexible und agile Arbeitsmodelle ermöglichen. Das stelle vor allem Arbeitgeber vor die Herausforderung, ihre Netzwerke und Daten zu schützen, gerade wenn sich Mitarbeitende über private oder sogar öffentliche WLANs einwählen. „Cloud Services, Apps, Mobile Working und der Zugriff auf sensible Daten müssen reguliert, gesichert und laufend auf den Prüfstand gestellt werden“, forderte der Geschäftsführer der Zertifizierungsorganisation.
Die neuen Arbeitsweisen betreffen nicht nur den physischen Ort, an dem Mitarbeiter:innen ihrem Job nachgehen. Längst geht es auch um KI, neue Kommunikationswege und -kanäle zu Kund:innen. Sämtliche, die Arbeit betreffende Aspekte gehören gesichert, riet Marlies Temper, Studiengangsleiterin Data Intelligence und Data Science und Business Analytics an der FH St. Pölten, in ihrem Vortrag. „Gerade beim Thema KI befinden wir uns in einem Entwicklungsprozess. Wie gehen wir damit um, wenn Mitarbeitende KI nutzen? Was tun wir, wenn sich Lieferanten auf KI verlassen? Und welche Probleme und Herausforderungen können durch die Nutzung von Programmen wie ChatGPT entstehen? Neben der Eigenverantwortung und dem Schaffen von Awareness sowie Know-how braucht es dringend verbindliche Regulierungen wie den geplanten AI Act“, forderte die Forscherin.
Um die Organisationsstrukturen flexibel zu halten, müssen Mitarbeitende geschult und sensibilisiert werden. Denn die meisten Probleme und Herausforderungen beziehen sich auf die interne IT, ergänzte Harald Erkinger. „Wir müssen zuerst intern unsere Mitarbeitenden schulen, die Community erweitern und so voneinander lernen, um uns anschließend vor externen Gefahren schützen zu können“, so Erkinger. In Hinblick auf neue Berichtspflichten wie NIS 2.0 sei das auch dringend notwendig. Nach dem Zero-Trust-Konzept müssen Unternehmen davon ausgehen, dass ihre Systeme immer kompromittierbar, also Angriffen von außen ausgesetzt sind. Im Fall von Angriffen oder Datenpannen müssen Sicherheitssysteme in einer vernetzten Welt zwangsläufig unternehmensübergreifend funktionieren.
Die Lösung der Herausforderungen und Gefahren von Digitalisierung und New Work müsse auf mehreren Ebenen gleichzeitig erfolgen, empfahl der CIS-Geschäftsführer. Eine wichtige konkrete Maßnahme sei die Netz- und Informationssicherheits-Richtlinie der EU, die vor allem Berichtspflichten für Unternehmen bringt: „Unternehmen sollten bereits jetzt dringend klären, inwieweit sie von der neuen NIS-Richtlinie betroffen sind. Ressourcen müssen rechtzeitig eingeplant und vor allem Verantwortlichkeiten geklärt werden. Es sollte eine Person im Unternehmen für die Umsetzung der Regelungen operativ hauptverantwortlich sein.“
Einigkeit herrschte bei den anwesenden Expert:innen, dass der Mensch im Mittelpunkt aller Maßnahmen stehen sollte. Denn Menschen sind Angriffsziel und Sicherheitsfaktor zugleich. KI-Systeme können dabei unterstützen, Netzwerkaktivitäten und Nutzungsverhalten zu beobachten und rasch auf ungewöhnliche Ereignisse zu reagieren. Regelmäßige automatische Sicherheitsupdates, Infrastruktur-Scans und Schwachstellenmanagement sollten Standard sein. Damit diese Maßnahmen greifen, brauche es Notfallpläne, die garantieren, dass Sicherheitsvorfälle umgehend bewältigt werden. Auch wenn KI sinnvoll eingesetzt und die Datensicherheit massiv erhöht wird, müssen vor allem menschliche Mitarbeitende aufgeklärt und sensibilisiert werden. Zuständigkeiten klären, Awareness schaffen und mit Unsicherheiten leben lernen – so lauteten die Empfehlungen im Rahmen des CIS Summit. „Regelmäßige Feuerübungen gehören in den meisten Unternehmen zum Standard. Genauso sollten Sicherheitsvorfälle geübt und mögliche Szenarien durchgespielt werden“, fasste Harald Erkinger zusammen.