Beim CIS Compliance Summit 2023 waren sämtliche Mitarbeiter von SEC4YOU anwesend, einschließlich unserer neuen Teammitglieder Katharina Rom, Isabelle Wanderer und Michael Rainer.
What’s NEW by SEC4YOU
Auf unserem Informationsstand präsentierte SEC4YOU den Besuchern unsere neuesten Angebote und Dienstleistungen:
- Unser brandneues ISMS-Tool den “ISMS Compliance Manager” zur effizienten Implementierung eines ISMS gemäß ISO 27001:2022, NIS‑2 und DORA.
- Vorstellung unserer neue Dienstleistung: Das NIS‑2 Assessment (GAP-Analyse)
Folgen Sie dem blauen CISO-Hut, um bestens informiert zu sein!!! 
Folgen Sie dem blauen CISO-Hut, um bestens informiert zu sein!!! 
Beim CIS Compliance Summit 2023 für Entscheidungsträgerinnen stand das Thema “New Work: Der Mensch als Risikofaktor Nummer 1″ im Mittelpunkt. Die führenden Unternehmen Österreichs kamen am 19. September 2023 zusammen, um die Herausforderungen und Chancen im Bereich New Work und Digitalisierung zu diskutieren. Etwa 250 Teilnehmerinnen waren der Einladung von Harald Erkinger, dem Geschäftsführer von CIS, gefolgt, um Maßnahmen zur Stärkung der Cybersecurity zu beleuchten. Die Digitalisierung hat die Globalisierung beschleunigt und somit New Work gefördert, indem sie effiziente Kommunikationswege eröffnet hat. Die COVID-19-Pandemie und die damit verbundene Notwendigkeit des Remote Work haben uns abrupt in eine neue Normalität katapultiert. Arbeitgeber und Arbeitnehmer*innen befinden sich nicht mehr nur in Diskussionen über die VUCA-Welt, sondern sind längst mittendrin.
Harald Erkinger betonte: “Wenn wir über New Work sprechen, wird oft übersehen, dass die neuen flexiblen Arbeitsmodelle nicht nur den physischen Arbeitsort betreffen. Die Einführung verschiedener Remote-Work-Tools im betrieblichen Alltag eröffnet zahlreiche Einfallstore für Cyberangriffe, die dringend geschlossen werden müssen.” Tatsächlich zeigen Studien des amerikanischen Cybersicherheitsunternehmens Tenable Inc., dass mittlerweile etwa 67 % der schädlichen Cyberangriffe gezielt auf Personen abzielen, die remote arbeiten. Der Handlungsbedarf ist akut, und Erkinger empfahl: “Ein ganzheitlicher Ansatz, der Sensibilisierung der Mitarbeiterinnen, fachliche Schulungen und die Implementierung höchster Management- und Sicherheitsstandards kombiniert, sollte möglichst bald umgesetzt werden.” Unternehmen, die attraktiv für ihre Mitarbeiterinnen bleiben möchten, müssen flexible und agile Arbeitsmodelle ermöglichen. Dies stellt insbesondere Arbeitgeber vor die Herausforderung, ihre Netzwerke und Daten zu schützen, vor allem dann, wenn Mitarbeiter*innen sich über private oder öffentliche WLANs verbinden.
Die Regulierung, Sicherung und kontinuierliche Überprüfung von Cloud-Services, Apps, Mobile Working und dem Zugriff auf sensible Daten sind unerlässlich, um die Sicherheit zu gewährleisten.
KI: Verbündeter oder Bedrohung?
Die vielschichtige Beziehung zwischen Menschen und künstlicher Intelligenz „Die Veränderungen in unseren Arbeitsweisen betreffen nicht nur den physischen Arbeitsort der Mitarbeiterinnen, sondern reichen mittlerweile auch in Bereiche wie KI und neue Kommunikationswege und ‑kanäle zu Kundinnen. Alle Aspekte, die mit der Arbeit zusammenhängen, müssen sicher abgedeckt sein. “Insbesondere im Hinblick auf KI befinden wir uns in einem kontinuierlichen Entwicklungsprozess. Wie sollten wir reagieren, wenn Mitarbeiter*innen KI nutzen? Wie gehen wir damit um, wenn Lieferanten auf KI setzen? Und welche Probleme und Herausforderungen können durch die Nutzung von Programmen wie ChatGPT entstehen?”, stellte Marlies Temper, Leiterin des Studiengangs Data Intelligence und Data Science sowie Business Analytics an der FH St. Pölten, wichtige Fragen.
Neben der Förderung von Eigenverantwortung und der Schaffung von Bewusstsein und Fachwissen betonte sie die dringende Notwendigkeit verbindlicher Regulierungen wie den geplanten AI Act. Um die Flexibilität der Organisationsstrukturen aufrechtzuerhalten, ist es entscheidend, die Mitarbeitenden zu schulen und für Sensibilisierung zu sorgen. Die meisten Probleme und Herausforderungen beziehen sich nämlich auf die interne IT. “Wir müssen zuerst unsere Mitarbeitenden intern schulen, die Gemeinschaft erweitern und voneinander lernen, um uns dann vor externen Bedrohungen schützen zu können”, betonte Erkinger. Dies wird angesichts neuer Berichtspflichten wie NIS 2.0 noch dringender.
Unternehmen sollten nach dem Zero-Trust-Konzept davon ausgehen, dass ihre Systeme ständig gefährdet sind und daher Angriffen von außen ausgesetzt sein können. Im Falle von Angriffen oder Datenpannen müssen Sicherheitssysteme in einer vernetzten Welt notwendigerweise unternehmensübergreifend funktionieren.
NIS 2.0: Ein Teil eines umfassenden Maßnahmenpakets in der Netz- und Informationssicherheit – Ein Schlüsselstück im Maßnahmenpaket der Zukunft der NIS 2.0
Die Bewältigung der Herausforderungen und Gefahren im Zusammenhang mit Digitalisierung und New Work erfordert gleichzeitige Maßnahmen auf verschiedenen Ebenen. Eine wichtige konkrete Maßnahme ist die Netz- und Informationssicherheitsrichtlinie der EU, die insbesondere zusätzliche Berichtspflichten für Unternehmen einführt. Erkinger empfahl: “Unternehmen sollten bereits jetzt dringend klären, inwiefern sie von der neuen NIS-Richtlinie betroffen sind. Ressourcen müssen rechtzeitig eingeplant und vor allem klare Verantwortlichkeiten festgelegt werden. Es sollte eine Person im Unternehmen geben, die operativ hauptverantwortlich für die Umsetzung der Vorschriften ist.
Der Mensch im Blickpunkt: Schlüsselrolle in der Cybersecurity und New Work Ära, warum Menschen das Herzstück der Sicherheitsstrategie sind
Die ExpertInnen beim CIS Summit waren sich einig, dass der Mensch im Zentrum aller Maßnahmen stehen sollte. Menschen sind sowohl das Ziel von Angriffen als auch ein entscheidender Sicherheitsfaktor. KI-Systeme können dazu beitragen, Netzwerkaktivitäten und Nutzungsverhalten zu überwachen und schnell auf ungewöhnliche Vorkommnisse zu reagieren. Es sollte zur Norm gehören, regelmäßige automatische Sicherheitsupdates durchzuführen, Infrastruktur-Scans durchzuführen und ein effektives Schwachstellenmanagement zu etablieren. Um sicherzustellen, dass diese Maßnahmen wirksam sind, sind Notfallpläne erforderlich, die sicherstellen, dass Sicherheitsvorfälle unverzüglich bewältigt werden können. Trotz sinnvoller Anwendung von KI und erheblicher Steigerung der Datensicherheit ist es von entscheidender Bedeutung, menschliche Mitarbeiterinnen aufzuklären und zu sensibilisieren.
Neben dem Schaffen eines Informationssicherheits-Bewusstseins, empfahlen die ExpertInnen klare Verantwortlichkeiten zu definieren und den Umgang mit Unsicherheiten zu erlernen. “Regelmäßige Sicherheitsübungen sind in den meisten Unternehmen Standard. Gleiches sollte auch für die Schulung und das Üben von Sicherheitsvorfällen gelten, bei denen mögliche Szenarien durchgespielt werden”, betonte Erkinger. Vor allem sollten Mitarbeiterinnen kontinuierlich in ihren jeweiligen Verantwortungsbereichen geschult werden. CIS bietet akkreditierte Schulungen für Informationssicherheits-Managerinnen und ‑Auditorinnen sowie Schulungen zu Datenschutz und Cybersicherheit an.
ZeroTrust
Wie entsteht Zero Trust und wie kann es erfolgreich in Unternehmen implementiert werden? In ihrem Vortrag beim CIS Summit 2023 beleuchteten Jose Torre, ISM, und Marco Kolbas, Senior System Administrator bei fiskaly, das Thema Sicherheit in der New Work Umgebung. Zero Trust hat sich als Antwort auf die neuen Sicherheitsanforderungen entwickelt, die mit der Remote-Arbeit und der Nutzung von Cloud-Diensten einhergehen. Es ist jedoch wichtig zu betonen, dass Zero Trust eher als Rahmenkonzept, denn als festes Rezept zu verstehen ist, dem man folgen sollte.
Unter anderem:
Glückwünsche an die Gewinner des CISO of the Year-Titels zur Verleihung!
Wir möchten uns für die faszinierenden Präsentationen der Referenten sowie die herzliche Gastfreundschaft des Teams im Austria Trend Hotel Savoyen in Wien bedanken!
Und zu guter Letzt freuen wir uns auf ein Wiedersehen beim nächsten CIS Summit am 18. September 2024 in Wien!
