Während große Unternehmen bis zu einem gewissen Grad die Kraft haben, einige der Multi-Spektrum-Angriffe abzuwehren, können Sie KMUs Ratschläge geben, wie sie mit der sich ständig weiterentwickelnden Bedrohungslandschaft umgehen können?

Es gibt mehrere Ratschläge, welche KMUs befolgen können, um der ständig weiterentwickelnden Bedrohungslandschaft bestmöglich standzuhalten.

Die wichtigsten Ratschläge für KMUs in diesem Kontext sind für mich:

Verwendung von verwalteten Sicherheitslösungen, sog. „Managed-Lösungen“: Hier liegt der Vorteil darin, dass die dafür notwendigen, fehlenden internen Personalressourcen durch externe Teams kompensiert werden können. Man hat dadurch die Gewissheit, dass auch außerhalb der Bürozeiten auf Security-Alarme reagiert wird und diese entsprechend abgearbeitet werden bzw. eine Kommunikations-/Abarbeitungskette in Gang gesetzt wird.

Schulung der Mitarbeiter*innen: Mitarbeiter sind im Security-Kontext in den meisten Fällen das „schwächste Glied der Kette“. Hier ist es wichtig, diese für potenzielle Bedrohungen regelmäßig zu sensibilisieren und auf dem neuesten Stand zu halten.

Implementierung von Multi-Faktor-Authentifizierung: Multi-Faktor-Authentifizierung ist eine einfache und effektive Möglichkeit, die Sicherheit zu erhöhen. Die meisten Online-Dienste und Cloud-Lösungen unterstützen diese Technologie bereits in-place und es sollte in Betracht gezogen werden, diese auch entsprechend zu implementieren.

Regelmäßige Updates und Patches: Es ist wichtig, dass alle Komponenten regelmäßig aktualisiert werden, um bekannte Sicherheitslücken zeitnah zu schließen, vor allem bei Systemen welche direkt dem Internet ausgesetzt sind.

Regelmäßiges, funktionierendes und getestetes Backup: Aktuelle Backups sind die Grundvoraussetzung, um im Fall der Fälle eine Zahlung von Lösegeld im Rahmen von Erpressungsvorfällen vermeiden zu können. Hier ist vor allem essenziell, dass dieses auch regelmäßig getestet wird, um die Funktionsfähigkeit gewährleisten zu können.

Dokumentation: Eine aktuelle System- und Prozessdokumentation über die IT-Landschaft sollte vorhanden sein. Weiters ist empfehlenswert sich auch mit dem Vorgehen im Rahmen von IT-Notfällen zu beschäftigen, damit unter anderem Abhängigkeiten zwischen den einzelnen Systemen bekannt sind, um diese wieder geordnet in Betrieb setzen zu können.

Für KMUs ist daher ebenfalls von Bedeutung, IT-Sicherheit als integralen Bestandteil ihres Geschäfts zu betrachten und angemessene Schritte zum Schutz deren Systeme und Daten zu unternehmen.

Welche sind die wichtigsten Compliance- und Regulierung Trends in 2023? Worauf müssen CIOs jetzt achten?

Der wichtigste Compliance- und Regulierungs-Trend im Jahr 2023 ist die Novellierung der NIS-Richtlinie (Richtlinie für Netz- und Informationssicherheit).

EU NIS2 ist der europäische Rahmen für Betreiber kritischer Infrastrukturen und legt Cyber-Security Mindeststandards in der EU fest. NIS2 (EU 2022/2555) erweitert die Betroffenheit und Pflichten deutlich – ab 2024 müssen daher viele Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz Cyber-Security Maßnahmen entsprechend umsetzen.

Der große Vorteil dieser Novellierung für IT-Security Verantwortliche liegt darin, dass der Cyber-Security Mindeststandard vor allem im Bereich der kritischen Infrastrukturen EU-weit angehoben wird und damit die IT-Security Thematik in den Unternehmen noch mehr an Bedeutung und Wertschätzung gewinnt.

Hier ist es wichtig, sich als Unternehmen bereits frühzeitig mit dieser Thematik zu befassen, um spätestens zum Zeitpunkt der Umsetzung in nationales Recht (bis Oktober 2024) eine entsprechende Konformität zu erreichen. Ein entsprechendes Pre-Assessment gemeinsam mit einem geeigneten Umsetzungspartner ist daher absolut empfehlenswert.

Generell sollten sich CIOs laufend über die geltenden Compliance- und Regulierungsanforderungen informieren und sicherstellen, dass angemessene Maßnahmen in diesem Bereich ergriffen werden. Hier ist ein empfehlenswerter Weg, sich laufend mit Kolleg*innen aus dem gleichen Fachgebiet abzustimmen bzw. Networking auf div. zu diesem Themengebiet passenden Events/Fortbildungen zu betreiben.

In einer zunehmend digitalisierten Geschäftswelt sind Unternehmensdaten von unschätzbarem Wert. Daher ist es für Unternehmen von entscheidender Bedeutung, ihre IT-Infrastruktur vor potenziellen Sicherheitsbedrohungen zu schützen. Besonders im Fall von SAP-Systemen, die für die Verwaltung sensibler Unternehmensdaten verantwortlich sind, ist eine umfassende SAP-Sicherheitsstrategie von größter Wichtigkeit. Eigne der wichtigsten Maßnahmen zur Gewährleistung der SAP-Sicherheit sind:

1. Aktualisierung und Patch-Management

SAP-Systeme sind komplexe Softwarelösungen, die ständig weiterentwickelt werden, um Sicherheitslücken zu schließen. Es ist unerlässlich, dass Unternehmen regelmäßige Updates und Patches von SAP einspielen, um bekannte Sicherheitsrisiken zu beheben. Ein effektives Patch-Management stellt sicher, dass die SAP-Systeme auf dem neuesten Stand sind und potenzielle Schwachstellen minimiert werden.

2. Zugriffskontrolle und Berechtigungsmanagement

Das Zugriffskontrollmanagement ist von entscheidender Bedeutung, um unbefugten Zugriff auf SAP-Systeme zu verhindern. Unternehmen sollten sicherstellen, dass nur autorisierte Benutzer Zugang zu den Systemen haben und dass die Zugriffsrechte entsprechend den spezifischen Rollen und Verantwortlichkeiten der Mitarbeiter vergeben werden. Ein gesamtheitliches Identity- und Access-Management auch über SAP-Systeme hinaus, ist für eine sichere Zugriffskontrolle unerlässlich. Unterstützend schützt ein effektives Berechtigungsmanagement vor unbefugter Einsicht oder Manipulation sensibler Daten und hilft gesetzlichen Anforderungen an die Unternehmen nachzukommen.

3. Verschlüsselung und Datensicherheit

SAP-Systeme enthalten eine Vielzahl von sensiblen Unternehmensdaten, wie zum Beispiel Kundendaten oder Finanzinformationen. Um den Schutz dieser Daten zu gewährleisten, sollten Unternehmen eine adäquate Verschlüsselungstechnologie einsetzen. Datenübertragungen innerhalb des SAP-Systems sowie zwischen SAP und anderen Systemen sollten verschlüsselt erfolgen, um sicherzustellen, dass Informationen nur von autorisierten Parteien gelesen werden können.

4. Sicherheitsüberwachung und -prüfung

Die Überwachung der SAP-Sicherheit ist ein kontinuierlicher Prozess. Unternehmen sollten Tools und Mechanismen implementieren, um potenzielle Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Dies umfasst die Überwachung von Logdateien, um verdächtige Aktivitäten zu identifizieren, sowie regelmäßige Sicherheitsaudits, um Schwachstellen u.a. in den Berechtigungsstrukturen zu erkennen und zu beheben. Diese Integration der SAP-Systeme in ein gesamtheitliches SIEM ist einer der aktuellen Megatrends im SAP-Security Segment und treibt ihr aktuell einige Innovationen voran.

5. Schulung und Sensibilisierung der Mitarbeiter

Die Mitarbeiter spielen eine entscheidende Rolle bei der Gewährleistung der SAP-Sicherheit. Unternehmen sollten ihre Mitarbeiter regelmäßig schulen und über bewährte Sicherheitspraktiken informieren. Dies umfasst die Sensibilisierung für Phishing-Angriffe, den sicheren Umgang mit Passwörtern, Vermeidung von Social Engineering-Taktiken und die Sensibilisierung für einen geringen Berechtigungsumfang. Je besser die Mitarbeiter für potenzielle Sicherheitsrisiken sensibilisiert sind, desto besser können sie dazu beitragen, diese zu verhindern.

Fazit

Das SAP-Sicherheit-Konzept ist ein Thema von existenzieller Bedeutung für Unternehmen. Durch die Implementierung geeigneter Maßnahmen wie regelmäßige Updates, Zugriffskontrolle, Verschlüsselung, Sicherheitsüberwachung und Mitarbeiter-Sensibilisierung können Unternehmen ihre SAP-Systeme vor Sicherheitsbedrohungen schützen. Ein proaktiver und umfassender Ansatz zur SAP-Sicherheit gewährleistet nicht nur den Schutz sensibler Unternehmensdaten, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern in die Sicherheit der Organisation.

Mit fortschreitender Digitalisierung durchdringt Informations- und Kommunikationstechnologie nahezu all unsere Lebensbereiche und wandelt sich vom herkömmlichen Automatisierungsinstrument zur universellen Geschäftstechnologie, die mittlerweile das Rückgrat in Wirtschaft, Gesellschaft, Forschung und Verwaltung bildet. Nicht verwunderlich, dass der ‚CyberSpace‘ damit einhergehend auch zum vorrangigen Aufmarschgebiet für Angreifer unterschiedlichster Herkunft und Zielsetzung wird. Doch warum ist dem so?

Um Kunden digitale Dienste großflächig anbieten, die zu Grunde liegenden Informations- und Transaktionssysteme koppeln und so Prozesse durchgängig end-to-end abwickeln zu können, bedarf es einer hohen Systemkomplexität und globalen Vernetzung, allem voran über das Internet. Digitale Systeme sind aber – wie analoge/physische übrigens auch – per se nicht 100 Prozent sicher, dies gilt sowohl für Hardware, Betriebssysteme, Netzwerkprotokolle als auch Applikationssoftware. Schwachstellen als Einfallstore für gezielte Attacken bleiben häufig längere Zeit unerkannt, während Angreifer blitzartig und quasi anonym weltweit operieren können, ohne sich dabei physisch exponieren zu müssen. Gleichzeitig winken den Angreifern hohe „Erfolgspotenziale“, sei es in finanzieller, gesellschaftlicher oder militärischer Hinsicht.

Sind wir dieser Bedrohung nun ohnmächtig ausgeliefert oder haben wir eine Chance, sie zu meistern?

Eine nähere Betrachtung dieser ‚Cyberrisiken‘ liefert uns wertvolle Hinweise: Cyberrisiken sind komplex, (nahezu) unsichtbar und schwer zu „greifen“, nicht deterministisch, schwer abgrenzbar und oft erst spät erkannte Folge langfristiger, gezielter Vorbereitungen. Und doch gibt es häufig verwendete und allgemein bekannte Angriffsmuster, Datenbasen mit zahlreichen bekannten Schwachstellen, Sicherheitsstandards, Methoden und Instrumente, welche uns ‚Good Practice‘ zur Hand geben. Der wichtigste Punkt dabei: Wir können in weiten Bereichen vorbeugen, analysieren, gegensteuern und so das Cyberrisiko beeinflussen.

Der Schlüssel dazu lautet: systematisches CyberRiskManagement.

Dabei geht es darum, die eigenen Dienste und Prozesse entlang der Wertschöpfungsketten im Unternehmen einschließlich sämtlicher Lieferketten durchgängig und systematisch auf mögliche Schadenspotenziale zu prüfen, den ‚Business Impact‘ (monetär) und die Eintrittswahrscheinlichkeit zu bewerten und so ein belastbares Risikoprofil zu gewinnen. Dieses dient als Basis für die individuelle Risikopositionierung und Ableitung einer geeigneter Sicherheitsstrategie.

Die Positionierung regelt, welche existenzbedrohenden Risiken unbedingt zu entschärfen sind, welche mit geeigneten Gegenmaßnahmen auf ein wirtschaftlich tragbares Schadensmaß reduziert werden sollen, welche (punktgenau) über eine Versicherung abgedeckt werden und welche verbleibenden Risiken einfach selbst getragen werden.

Die Sicherheitsstrategie wiederum legt den Maßnahmenplan zur Steuerung der Cyberrisiken fest, mit Fokus auf den ‚Faktor Mensch‘, Organisation/Prozesse und Technologie.

Auch hier leistet ein funktionierendes CyberRiskManagement einen entscheidenden Beitrag: Es lenkt den Sicherheitsfokus auf die gravierendsten Risiken, ermöglicht eine konkrete, monetäre Nutzenbewertung des ‚Impacts‘ der angedachten Sicherheitsmaßnahmen und liefert einen Nachweis über deren Wirksamkeit. Sicherheitsverantwortliche, vor allem aber die Unternehmensleitung, erlangen so Kontrolle über die Risikolage und -beeinflussung – der „Blindflug“ weicht einem „Sichtflug“.

In welchen Zeitabständen sollten Cyberrisiken analysiert und bewertet werden? Und wie muss ein wirksames CyberRiskManagement beschaffen sein?

Wenn Angreifer bestehende Sicherheitslücken statistisch betrachtet nach durchschnittlich 43 Tagen ausnützen, so ist offenkundig, dass eine jährlich einmalige Risikoanalyse zu kurz greift. Aufgrund der extrem hohen Systemkomplexität – meist sind Abertausende IT-Komponenten miteinander vernetzt – stößt eine händische Risikoanalyse an die Grenzen der Machbarkeit bzw. liefert nur ein auf Annahmen basierendes, unscharfes Risikobild. Zudem ist dieser Ablauf ineffizient und vergeudet kostbare Personalressourcen.

Zeitgemäßes, effektives CyberRiskManagement muss daher objektiv, kontinuierlich und somit automatisiert erfolgen und kann so „blinde Flecken“ und gefährliche zeitliche Lücken vermeiden helfen.

Leistungsfähige Digitaltechnologien wie die Künstliche Intelligenz leisten dabei einen entscheidenden Beitrag zur automatisierten Massendatenverarbeitung mit korrelierender Mustererkennung und liefern eine aussagekräftige Situationsanalyse (das Lagebild) nahezu in Echtzeit.

Derartige Systeme fallen nicht unter „Luxus“ oder „nice to have“, sondern sind mittlerweile unverzichtbare Instrumente für ein risikoadäquates, verantwortungsbewusstes Cybersicherheitsmanagement.

Welche Maßnahmen sind erforderlich, um eine adäquate Integration holistischer IT-Security Ansätze in Unternehmen zu gewährleisten?

Um holistische IT-Security Ansätze adäquat zu integrieren sind eine Vielzahl von Maßnahmen erforderlich. Es ist von großer Bedeutung sicherzustellen, dass sämtliche Maßnahmen effektiv und nachhaltig umgesetzt werden.

Für mich persönlich sind Visibilität und Vorbereitung die beiden Schlüsselwörter in der Welt der IT-Security.

Folgende Maßnahmen sind in diesem Kontext, vor allem betrachtet aus der holistischen Sichtweise von Bedeutung:

• Schulung und Sensibilisierung, da eine adäquate Integration von holistischen IT-Security Ansätzen eine breite Sensibilisierung und Schulung von Mitarbeiter*innen und Führungskräften erfordert.
• Analyse der Unternehmensanforderungen, damit im Rahmen des IT-Security Konzeptes die spezifischen Anforderungen des Unternehmens in Bezug auf IT-Security integriert/berücksichtigt werden.
• Regelmäßige Überprüfung und Aktualisierung, da IT-Security ein sich ständig veränderndes Feld ist und Unternehmen ihre Strategien regelmäßig überprüfen und aktualisieren müssen, um den neuesten Bedrohungen Stand zu halten.
• Implementierung von Technologien je nach Schutzvektor, da die Auswahl der richtigen Technologie und deren Integration in die bestehende IT-Infrastruktur ein wichtiger Schritt bei der Implementierung eines holistischen IT-Security Ansatzes ist.
• Zusammenarbeit mit externen Experten, um die IT-Infrastruktur laufend auf Schwachstellen zu testen sowie zu verbessern. Die Zusammenarbeit mit externen Experten kann auch dazu beitragen, aktuelle Best Practices und Technologien in die IT-Security Strategie einfließen zu lassen.
• Implementierung von Kontroll- und Überwachungsmaßnahmen, um sicherzustellen, dass die implementierten Technologien wirksam sind. Überwachung und Kontrolle können durch geeignete Tools und Prozesse gewährleistet werden, um Anomalien bzw. unerwünschte Aktivitäten zu erkennen und zu verhindern.

Die Integration von holistischen IT-Security Ansätzen erfordert daher ein umfassendes Verständnis der Bedrohungen, Risiken und Schwachstellen der IT-Infrastruktur des Unternehmens.

Welche Herausforderungen und Barrieren können bei der Integration holistischer IT-Ansätze in Unternehmen auftreten und wie können diese überwunden werden?

Die Integration von holistischen IT-Security Ansätzen stößt in Unternehmen immer wieder auf Herausforderungen/Barrieren verschiedenster Art. Hier ist es von Bedeutung, diese frühzeitig zu erkennen, um rechtzeitig mit Gegenmaßnahmen gezielt darauf einwirken zu können. Die größte Herausforderung ist meist ein Mangel an Ressourcen wie Zeit, Budget und Personal, da es schwierig sein kann, die dafür erforderlichen Ressourcen für eine effektive sowie effiziente Umsetzung bereitzustellen.

Hier kann entgegengesteuert werden, indem Prioritäten gesetzt werden und die Implementierung des holistischen Ansatzes schrittweise umgesetzt wird. In diesem Kontext ist die Unterstützung seitens der Geschäftsführung unbedingt erforderlich, wofür eine regelmäßige Kommunikation aktueller Themen und entsprechende Überzeugungsarbeit Grundvoraussetzung ist.

Weiters stellt die damit einhergehende Komplexität der IT-Infrastruktur des Unternehmens immer wieder Barrieren auf. Eine Möglichkeit, die Komplexität zu reduzieren, besteht darin, einen ganzheitlichen Ansatz unter Einbeziehung von externen Experten je nach Themengebiet zu verfolgen, da aufgrund des vorliegenden Fachkräftemangels ein interner Aufbau von Fachwissen für KMUs nicht in jedem Themengebiet in einer sinnvollen Art und Weise möglich ist.

Ein weiterer, wichtiger Punkt ist auf Widerstand gegen Veränderungen zu achten, da dies ein häufiges Problem bei der Integration von holistischen IT-Security Ansätzen in Unternehmen darstellt. In diesem Punkt ist oftmals Unwissenheit bzw. fehlendes technisches Grundverständnis der Auslöser. Es ist daher wichtig, die Bedeutung von IT-Sicherheit zu kommunizieren und die Mitarbeiter*innen entsprechend zu schulen bzw. zu sensibilisieren. Ein schrittweiser Ansatz kann dazu beitragen, den Widerstand gegen Veränderungen zu reduzieren, vor allem dann, wenn die Mitarbeiter*innen in den Implementierungsprozess miteinbezogen werden.

Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hochdynamischen Umfeld. Wie lässt sich das mit Forderungen nach Stabilität, Widerstandsfähigkeit und Cyber-Security unter einen Hut bringen und wie halten Sie die Balance zwischen Produktivität und Sicherheit in Ihrem Unternehmen?

Die Herausforderung besteht darin, eine Ausgewogenheit zwischen Agilität, Kundenorientierung und Geschwindigkeit einerseits und Stabilität, Widerstandsfähigkeit und Cyber-Security andererseits zu finden. Hier kann mit einem ganzheitlichen IT-Security Konzept, welchem eine angemessene Risikobewertung zu Grunde liegt, entgegengesteuert werden. Ein risikobasiertes IT-Security Konzept berücksichtigt die spezifischen Risiken des Unternehmens und priorisiert die Sicherheitsmaßnahmen entsprechend. Es ist wichtig, die Ressourcen dort einzusetzen, wo sie am dringendsten benötigt werden, um eine angemessene Balance zwischen Produktivität und Sicherheit zu erreichen.

Hier gibt es verschiedene Ansätze, welche angewendet werden können, um die Balance zwischen Produktivität und Sicherheit auf ein optimales Gleichgewicht zu bringen:

Zuallererst ist es wichtig, dass Sicherheit als integraler Bestandteil der Unternehmenskultur betrachtet wird. Sicherheitsrichtlinien und Maßnahmen sollten transparent und leicht verständlich sein, um Akzeptanz und Umsetzung zu fördern.

Weiters können automatisierte Sicherheitskontrollen helfen, die Sicherheit zu verbessern, ohne die Produktivität der IT-Mannschaft stark einzuschränken. Externe Experten können hier zusätzlich unterstützen, die Sicherheitsrisiken des Unternehmens zu verstehen und die Implementierung von Sicherheitsmaßnahmen zu begleiten.

Letztendlich geht es darum, eine zum Unternehmen passende Herangehensweise an die IT-Sicherheit zu finden, welche die Bedürfnisse des Unternehmens bestmöglich berücksichtigt.

Der Wetterbericht des CyberRisikos

Das Wetter ist ein bisschen wie das CyberRisiko: Beides können wir nur bedingt beeinflussen – aber wir können Maßnahmen und Vorkehrungen treffen, um für uns die Situation günstig zu beeinflussen. Dass wir bei vorhergesagtem Regen die Musikanlange nicht im Freien aufbauen, sagt uns der berühmte Hausverstand, und die meisten Leser dieses Textes werden auch ganz genau wissen, dass bei hohen Risiken, etwa durch eine schwerwiegende Sicherheitslücke, schnell gepatcht werden sollte.

Wer liefert uns das Wissen, um unsere Handlungen zu planen und Maßnahmen zu setzen? So wie der Wetterbericht uns täglich mit aktuellen Messdaten zu Temperatur, Windgeschwindigkeit und Niederschlagswahrscheinlichkeit versorgt, ist das CyberRisiko-Lagebild eine wichtige Informationsquelle für CEO, CIO, CISO oder IT-Manager.

Im Cyber Risk-Management werden Risiken identifiziert, analysiert und bewertet – und in der bildlich gesprochenen Management Zentrale kommt das CyberRisiko-Lagebild zum Einsatz: Es gibt Managern eine klare Vorstellung von den Bedrohungen und eine Einschätzung zur Wahrscheinlichkeit ihres Eintretens. Mit diesem Wissen können bessere Entscheidungen getroffen werden, wenn es darum geht, wo sich finanzielle Mittel und Zeitressourcen konzentrieren sollen.

Welche Anforderungen soll ein Lagebild zum CyberRisiko nun erfüllen? Wir haben, aufbauend auf unserer Erfahrung in der Arbeit, mit CyberRisk-Experten 10 Qualitätskriterien für ein CyberRisiko-Bild ausgearbeitet, von denen wir hier die TOP 3 verraten dürfen:

1. Objektive Risiko-Kennzahlen
   Ein Lagebild wird erst aussagekräftig, wenn es Kennzahlen zum Risiko liefert. Um Entscheidungen nicht „aus dem Bauch heraus“ treffen zu müssen, braucht es Messgrößen, die aktuell, objektiv, belastbar und vergleichbar sind.
2. Außen- und Innensicht
   Die Verknüpfung von internem Wissen und extern gemessenen Daten zu validen Kennzahlen ist entscheidend, um ein umfassendes Bild zum Risiko auf mobilen Devices, Clients und Systemen (MDM, Server) zu erhalten.  Während die Innensicht Daten über eigene Systeme, Prozesse und eingesetzte Geräte liefert, steuert die Außensicht Information zu möglichen externen Bedrohungen bei, etwa durch Schwachstellen in Betriebssystemen oder eingesetzten Geräten.
3. Big Picture für das Unternehmen
   Je größer ein Unternehmen, desto komplexer oft die Strukturen und desto zahlreicher die Vielfalt der eingesetzten Systeme. Für das Management ist es ein großer Vorteil, wenn das Gesamtrisiko in einem gemeinsamen Dashboard ersichtlich ist – unabhängig von Systemen und über unterschiedliche Gesellschaften und Niederlassungen im Konzern hinweg.

Was können Unternehmen aus anderen Ländern von Chinas digitaler Transformation, vor allem im B2B Bereich, lernen bzw. wo liegen mögliche Hindernisse?

Die wichtigsten Learnings aus China beziehen sich vor allem auf das Mindset, das für die Digitalisierung und für Entwicklungen unabdingbar ist. In China spielen Agilität und Flexibilität eine große Rolle. Auf der einen Seite wird sehr langfristig geplant, beispielsweise mit den Fünf-Jahres-Plänen der Regierung oder den Zehn-Jahres-Initiativen wie Made in China 2025. Auf der anderen Seite treten im Laufe der Umsetzung oft Planänderungen ein, während das Hauptziel immer im Auge behalten wird. Das Zusammenspiel aus langfristigen Visionen, flexiblen Anpassungen und Einfach-Machen-Mentalität führt dazu, dass sich die chinesische Digitalwelt kontinuierlich weiterentwickelt. Agilität ist nicht nur ein Buzzword, sondern sie wird im Alltag wirklich gelebt.

Außerdem ist man in China bei der Gestaltung von Produkten und Dienstleistungen eher pragmatisch als perfektionistisch. Für einen Launch wird nicht gewartet, bis das Ergebnis perfekt ist, sondern ein Minimum Viable Product (MVP) wird einfach auf den Markt gebracht und anhand von Kundenfeedback verbessert und erweitert. Während einige Produkte dabei keinen Erfolg haben, wird aus Fehlern schnell gelernt und es werden wieder neue Produkte und Services entwickelt. Wenn es um Technologien geht, kann in China beobachtet werden, wie wichtig das Thema Video ist und wie es aus dem Geschäftsleben, auch im B2B-Bereich, nicht mehr wegzudenken ist. Dabei gibt es zahlreiche Best Practices aus dem E-Commerce Livestreaming, in dem beispielsweise Maschinenbauunternehmen in China über einen einzigen Video-Livestream mehrere Tausend Bagger, Mobilkräne oder Gabelstapler verkaufen können.

Auch das Recruiting von Personal läuft immer mehr über Video-Apps wie Kuaishou oder Douyin ab, in denen Livestream-Hosts vakante Stellen präsentieren und die ersten Schritte im Einstellungsprozess oder sogar im Onboarding übernehmen. Messen und Veranstaltungen finden ebenfalls zunehmend über digitale Plattformen statt und es hat sich in den letzten Jahren eine starke Annäherung der B2B- und B2C-Bereiche herauskristallisiert, insbesondere im Marketing und Verkauf.

Natürlich kann nicht alles 1:1 von China übernommen werden. Zum Beispiel breitet sich das Liveshopping in Europa zwar kontinuierlich aus, doch es steckt immer noch in den Kinderschuhen. TikTok hat im letzten Sommer seine Pläne auf Eis gelegt, eine Liveshopping-Funktion für Europa einzuführen, weil der große Erfolg in Großbritannien ausgeblieben ist. Für viele Trends sind die europäischen User noch nicht bereit. Wichtig ist allerdings, sich in der eigenen Branche als Early Adopter zu positionieren, indem man schnell und konstant neue Trends ausprobiert. Nach dem Motto „done is better than perfect“ schauen, was die eigene Zielgruppe interessieren könnte und wie man sie für Neues begeistern kann. Denn das ist das, was Unternehmen von Chinas digitaler Transformation in erster Linie lernen können: flexibel und agil sein, einfach machen und dranbleiben.

Warum es Sinn macht, sich als CIO oder Führungskraft mit einem neuen Arbeitsverständnis auseinanderzusetzen

Nicht einmal, wenn die Entwicklung sich errechnen lässt und damit gefühlt vorhersehbar scheint, wie es beim demografischen Wandel der Fall ist, lassen sich Auswirkungen vollständig aufzählen. Und noch weniger gibt es einen Blueprint, wie Unternehmen damit bestmöglich umgehen sollen. Es gilt, Fragen zu beantworten wie „Was bedeutet der Arbeitskräftemangel für uns?“, „Wie sollen mehrere Generationen in einer Organisation geführt werden?“ oder „Wie wird man den Anforderungen der GenZ gerecht?“

Die neue Arbeitswelt bringt jedoch auch Entwicklungen, die nicht vorhersehbar sind. Denn wer hätte sich noch vor ein paar Jahren mit Productivity Paranoia auseinandergesetzt?

Nach dem Microsoft Work Trend Index (https://www.microsoft.com/en-us/worklab/work-trend-index/hybrid-work-is-just-work) haben 80% deutscher Führungskräfte die Sorge, dass ihre Mitarbeiter:innen im Home Office nicht produktiv sind. Die Folge ist ein Boom von Überwachungstools, mit denen Führungskräfte die Online-Aktivitäten ihrer Teams verfolgen können – bis hin zur Cursorbewegung. Die kontraproduktive Auswirkung davon ist, dass Mausbeweger entwickelt wurden und zum Einsatz kommen. Noch einfacher kann Aktivität durch ein laufendes (und stummes) YouTube-Video simuliert werden.

Diese oder ähnliche Entwicklungen wird kein(e) Unternehmer:in hilfreich finden.

Wie kann es also gelingen, die große Chance, die in der neuen Arbeitswelt steckt, zu nutzen?

Der Aufbruch in ein neues Arbeitsverständnis kommt um die Auseinandersetzung „Vertrauen oder Kontrolle“ nicht aus. Bei der Allianz Versicherungs-AG sind die flexiblen Arbeitszeiten ein fixer Bestandteil des hybriden Arbeitens. Doch das ist nur der halbe Teil der Miete. Tatsächlich ist das neue Arbeiten ein Denkmodell, eine Haltung, wie man gemeinsam zusammenarbeitet. Dabei kann die Orientierung „so viel Individualisierung und Flexibilität wie möglich und Standardisierung wie nötig“ hilfreich sein. Damit zollen Unternehmen nicht nur dem Megatrend der Individualisierung (Vgl. Matthias Horx, „Zukunftsreport 2023“, S. 51) ihren Tribut, sondern kann das auch eine Entscheidungshilfe sein, wenn Vereinbarungen der Zusammenarbeit definiert werden.

Mit den nachfolgenden Fragen, die die wichtigsten New Work Konzepte umreißen, können Sie einen Selbsttest für Ihr Unternehmen machen.

Auf einer Skala von 1 – 10: Wie zufrieden sind Sie in Ihrem Unternehmen mit den folgenden Bereichen (10 = sehr zufrieden):

• Dezentrales Arbeiten: Wie gut unterstützen die technischen Tools das dezentrale Arbeiten? Gibt es ein Regelwerk, wer wie oft im Home Office arbeitet?
• Community Building: Wie gut gelingt es in Ihrem Unternehmen, ein Zugehörigkeitsgefühl zu schaffen? Welche Maßnahmen setzen Sie? Wie stark fühlen Sie sich an Ihr Unternehmen gebunden?
• Selbständiges Arbeiten: Wie stark ist die Arbeitskultur durch Eigeninitiative und Übernahme von Verantwortung geprägt? Es gibt einen Unterschied von selbstbestimmt und selbstüberlassen.
• Work-Life-Blending: Wie viel Freiheit besteht, um sich die eigene Arbeitszeit frei und selbst einzuteilen? Die Grenze von Arbeits- und Freizeit verschwimmt. Es gibt eine Zeit, die gilt es, wertzuschätzen, und zwar für den Arbeitgeber. Das bedeutet aber auch, dass dafür der/die Arbeitnehmer:in verantwortungsvoll mit der Zeit umzugehen hat.

Die Arbeitswelt von heute ist die gute alte Zeit von morgen. Zeit ist kostbar, also gestalten wir sie mit Zuversicht und im gegenseitigen Austausch.

Es ist finster geworden. Ist das der immer wieder kommunizierte Blackout oder nur ein Stromausfall im Grätzl?

Notwendige Informationen dazu erhält man im Radio. Der ORF hat einen gesetzlichen Auftrag, den Sendebetrieb für 72 Stunden aufrecht zu halten. Die beste Quelle für Hinweise ist Ö3.

Was ist nun ein Blackout? Ein Blackout ist ein großflächiger, überregionaler, auch mehrere Länder umfassender, länger andauernder Strom- sowie Infrastruktur- und Versorgungsausfall. Hilfe von außen (anderen Orten, anderen Ländern) ist, anders als bei einem lokalen Stromausfall, nicht möglich.

Es wird unmittelbar finster und die meisten der selbstverständlichen Services stehen ansatzlos nicht mehr zur Verfügung. Wenn bis dahin keine Vorkehrungen für den Fall eines Blackouts getroffen wurden, können diese nun nicht mehr nachgeholt werden. Das unterstreicht die Aussage: „Vorbereitung ist der Königsweg für die erfolgreiche Bewältigung des Blackouts“.

Die Dauer eines Blackouts wird mit maximal 72 Stunden angenommen. In den Einzelgesprächen mit Experten pendelt sich die Einschätzung im Bereich zwischen 12 und 36 Stunden ein.

Was passiert im Detail – ein Überblick

Die bekannte Kommunikation über Mobilfunk, Internet (auch drahtgebunden), aber auch die Festnetztelefonie wird sehr rasch, voraussichtlich schon nach 30 Minuten, ausfallen.

Die Mobilität (außer fußläufig, Scooter oder Räder, ev. Motorräder) bricht durch den Ausfall von Ampeln, Schrankenanlagen, Bahn und Straßenbahn zusammen. Im ländlichen Bereich wird die Individualmobilität möglicherweise mit Einschränkungen funktionieren, in Ballungsräumen ist ein langanhaltendes Verkehrschaos zu erwarten.

Die Versorgung, egal ob Handel, Supermärkte, Tankstellen, Banken, Bankomaten, Apotheken bricht zusammen; ferner stehen ganze Lieferketten und Produktionsprozesse – auch von Lebensmitteln –still.

Logistik und Warenverkehr werden sehr rasch (abhängig von einer vorhandenen Notstromversorgung) ausfallen. Auf Grund des Zusammenbruchs der Mobilität werden Transporte nicht möglich sein.

Schlüsselpersonal, egal ob im Sicherheitsbereich, in der IT, im Gesundheitswesen, im Bildungsbereich oder im öffentlichen Verkehr, bei der Polizei und anderen Blaulichtorganisationen, wird bei Eintritt eines Blackouts und in der Zeit danach vermutlich alles tun, um zu eigener Familie, Kindern, Eltern oder pflegebedürftigen Familienmitgliedern zu kommen.
Solange sich die Versorgungs- und Sicherheitslage nicht wieder einem verträglichen Zustand annähert, werden sie voraussichtlich ihren beruflichen Verpflichtungen nicht oder nur eingeschränkt nachkommen.

Aufgrund der zusammengebrochenen Versorgung wird sich die Sicherheitslage rasch, innerhalb von wenigen Tagen, verschlechtern. Der Schutz durch Polizei und Bundesheer ist begrenzt (siehe Schlüsselpersonal). In Ballungsräumen ist mit Plünderungen und teils chaotischen Zuständen zu rechnen (Herbert Saurugg, Blackout Artikel „heute“ vom 23.04.2022). Auch Ausgangssperren sind vorstellbar oder in Planung.

Ob die Wasserver- und Abwasserentsorgung funktioniert, ist lokal unterschiedlich und nicht immer gesichert. In Wien dürfte sie nahezu überall gesichert sein. (Wiener Zeitung 21.08.2022)

Der Strom ist wieder zurück. Ist alles wieder in Ordnung?

Bedauerlicherweise bedeutet die Tatsache, dass Strom wieder verfügbar ist nicht, dass wieder alles seinen gewohnten Gang gehen kann. Eine Fülle an Services wird über relevante Zeiträume nicht oder nur sehr eingeschränkt zur Verfügung stehen. Mit welchen wesentlichen Themen müssen wir rechnen?

Mit einem Ausfall von elektronischen Geräten ist zu rechnen, da der Zusammenbruch und das Einschalten der Stromnetze zu Spannungsspitzen von mehreren tausend Volt (über sehr kurze Zeiträume), Phasen und Frequenzverschiebungen führen kann. Ebenso betroffen sind dauerlaufende Geräte (Geräte, die 24 Stunden 7 Tage ununterbrochen laufen). Bei diesen Geräten besteht das Risiko, dass sie nach der Wiederverfügbarkeit des Stroms nicht mehr funktionieren (vgl. ausgetrocknete Kondensatoren, blockierte Lager). In der heutigen höchst integrierten digitalen Hochleistungsgesellschaft bedeutet die Möglichkeit solcher Ausfälle ein erhebliches Risiko.

Da auch die Lieferketten wenigstens teilweise zusammenbrechen (Logistik und Produktion) und nicht sicher ist, ob das erforderliche kritische Personal (Schlüsselpersonal) zur Fehlerfindung und -behebung zur Verfügung steht, ist mit massiven Beeinträchtigungen zu rechnen, bis diese Blackout Phase behoben werden kann.

Die Dauer der Ausfälle wird im Bereich von wenigstens Wochen, manchmal auch Monaten erwartet.

Die Kommunikation (Internet, Telefonie [Festnetz und Mobil]) wird voraussichtlich im Bereich von Tagen ausfallen. Es können aber auch an manchen Orten wesentlich längere Ausfälle drohen, sofern elektronische Komponenten ausfallen, die nicht kurzfristig ersetzt werden können.

All das bedeutet, dass weder Kunden, noch Lieferanten, noch Mitarbeiter erreichbar sind. Ebenso stehen Kommunikationen zu Banken, zentralen Systemen außerhalb des Unternehmens sowie aller Cloud gestützten Services nicht zur Verfügung (Mail, Datenspeicher, Services (Virenscanner)).

Die Mobilität wird weiter massiv behindert bleiben, solange (im städtischen Bereich) die Straßen nicht nutzbar sind oder solange die mobilitätsrelevanten Schlüsselarbeitskräfte (Lokführer, Zugbegleiter, Piloten, Busfahrer, Straßenbahnfahrer, Infrastrukturpersonen, IT, etc.) nicht in ausreichender Zahl zur Verfügung stehen. Die Dauer der Beeinträchtigungen wird wenigstens im Bereich von Tagen erwartet.

Die Versorgung ist nicht sichergestellt. Die Kassenterminals von Supermärkten, Tankstellen, Trafiken, Bankomaten etc. sind mit den dazugehörigen zentralen Rechenzentren verbunden. Solange die Kommunikation ausgefallen ist, bleiben diese Einrichtungen geschlossen und damit die Versorgung dramatisch limitiert. Die Dauer von massiven Beeinträchtigungen wird in diesem Bereich von Wochen erwartet.

In der Produktion und Logistik können möglicherweise manche Einrichtungen gar nicht (Glasindustrie, Kunststoffverarbeitung,) oder nur mit großem Aufwand (Papierindustrie, Molkerei, Lebensmittelproduktion…) wieder gestartet werden. Zusätzlich werden alle Unternehmen vom Ausfall von Internet, Kommunikation und IT-Systemen, aber auch der Nicht-Verfügbarkeit von Daten und Services der Cloud sowie Headquarters, dezentralen Produktionen und Lagern in ihrer hoch integrierten Leistungserbringung massiv betroffen sein.

Die Ausfälle werden im Bereich von Logistik, Produktion und Lieferketten erheblich sein und wenigstens Wochen dauern.

Die Schlüsselarbeitskräfte (Feuerwehr, Rettung, Polizei, Ärzte, Pfleger, Spezialisten, Techniker, Handwerker, etc.) werden erst wieder zur Verfügung stehen, wenn die Versorgungs- und Sicherheitslage zumindest einiger Maße wiederhergestellt ist. Sollten diese Personen auch Mobilität für den Weg zum Arbeitsplatz oder für die Ausübung ihrer Tätigkeit benötigen, werden sie zusätzlich bis zu deren Verfügbarkeit keine Möglichkeit haben, ihre Dienststellen zu erreichen bzw. ihren Tätigkeiten nachzukommen.

Die Sicherheitslage bleibt während des Ausfalls von Mobilität, Kommunikation und Versorgung oder der Beeinträchtigung von Wasserver- und Abwasserentsorgung angespannt. In Ballungsräumen ist mit höheren Beeinträchtigungen zu rechnen als in ländlichen Gebieten.

Wie man sich auf ein Blackout vorbereiten kann und worauf dafür im persönlichen Bereich zu achten ist, folgt im nächsten Blog.

ChatGPT hat den Hype um AI („Artificial Intelligence“, oder Deutsch KI – künstliche Intelligenz) ausgelöst – nun ist das Thema allgegenwärtig. So neu ist KI aber nicht: schon lange nutzen Cyber Defense Analysten Werkzeug mit Artificial Intelligence. Nun kommt AI aber auch auf der Gegenseite zum Einsatz: denn auch Hacker nutzen den neuen Trend.

Viele Hersteller brüsten sich schon lange damit: Artificial Intelligence bei der Abwehr von Cyber Angriffen. Ob es nun „Machine Learning“ oder echte „künstliche Intelligenz“ ist, zahlreiche Tools haben Mechanismen eingebaut, die Anomalien erkennen und es den Sicherheitsexperten und Analysten einfacher machen. Denn es gilt, Angriffe zu erkennen und abzuwehren und dafür oft gewaltige Datenmengen zu durchforsten – eine Suche nach der Nadel im Heuhaufen, nach dem einen Datenpunkt, der ein bisschen anders ist, als all die anderen. Vielleicht ist es der eine Benutzer, der sich aus einem selten bereisten Land einloggt, oder aber ein Gerät, mit dem noch nie zuvor gearbeitet wurde, vielleicht in Kombination mit einer verdächtigen IP Adresse oder zu ungewöhnlicher, nachtschlafener Stunde. Wo Analysten früher langwierig nach Korrelationen suchten, können KI-gestützte Tools nahezu in Echtzeit Besonderheiten hervorheben, oder – wenn gewünscht – auch Gegenmaßnahmen einleiten: so können Useraccounts deaktiviert, Netzwerkadressen gesperrt oder Geräte in Quarantäne gesetzt werden. Dabei werden KI-Tools Analysten nicht ersetzen können, denn eine manuelle Nachkontrolle bzw. eine Prüfung auf Fehlalarme (‚false positives’) wird stets benötigt. KI-Tools können aber den Analysten-Job bedeutend einfacher und auch schneller machen – und das werden wir auch brauchen!

Die dunkle Seite der Macht

Denn auch die Gegenspieler rüsten auf – auch auf der dunklen Seite der Macht kommt zusehends Artificial Intelligence zum Einsatz.  Denn ebenso wie Sicherheitsforscher beschäftigen sich auch Hacker seit geraumer Zeit mit den Vorteilen der künstlichen Intelligenz. Aus der Vergangenheit kennt man Videos aus dem Internet, wo Großrechner an Universitäten Barack Obama oder anderen Prominenten auf künstlich gerenderten Videos eigentlich nie gesagte Sätze in den Mund legten (https://youtu.be/AmUC4m6w1wo). Schon ab iOS 11 begannen die Apple Emojies bzw. Memojies zu sprechen – zuerst im Chat und dann auch in Facetime. Wem aber Comic-Eule, Einhorn, oder der legendäre „Pile of Poo“ nicht genug sind: Heute genügt die Rechenleistung jedes Mobiltelefons, um Deep Fakes mit Personen zu generieren, und die Software dazu ist auch schon erhältlich.

Und der eine oder andere soll sich dabei sogar in eine Katze verwandelt haben (https://youtu.be/j3M_Ki5U3TE). Dazu liefern nun ChatGPT und Co den perfekten Text zum Betrugsversuch, in einer beliebigen Sprache: Denn strotzten früher die auf englisch angekündigten Erbschaften des Prinz von Zamunda oder das Bittschreiben der swegalesischen Diktatorenwitwe noch von Rechtschreib- und Grammatikfehlern, so kommen betrügerische E-mails und Anrufe heute in perfektem Deutsch, akzent- und fehlerfrei.

Betrugsversuche mit KI

Die wahre Gefahr geht jedoch weit darüber hinaus: Kamen Betrugsanrufe früher aus dem Callcenter und gezielt an einzelne Personen, kann eine KI eine Vielzahl von Mitarbeitern gleichzeitig anrufen. Sie kann in weiterer Folge dynamisch in Echtzeit auf Situationen reagieren (Anruf 1 scheitert, weil Mitarbeiter XY auf Urlaub ist => Anruf 2: „ich wende mich an Sie, weil Mitarbeiter XY ja auf Urlaub ist“). Was schon auf der menschlichen Seite mit Social Engineering erschreckend ist, wird auf der technischen Seite nicht besser. Angreifer können dynamisch auf Schwachstellen reagieren. Potentielle Opfer können in Echtzeit analysiert werden,  ob sich ein Angriff lohnt und welches finanzielle Potential sich durch eine Attacke realisieren lässt. Und Schadcode kann gezielt on-the-flye generiert werden. Nicht umsonst warnt Gartner, dass bei Angriffen die Zeit von der Kompromittierung eines Unternehmens bis zur Ausnutzung erbeuteten Zugangs dramatisch zurück geht. Eine Tendenz, der auch die SOC Analysten Rechnung tragen werden müssen. Speed is key.

Denn: In vielleicht gar nicht allzu weit entfernter Zukunft werden sich Angriff und Verteidigung in Sekunden, wenn nicht Sekundenbruchteilen, abspielen. Dann zählt nicht die menschliche Analyse und Reaktion im Angriffsfall, sondern es wird zählen, wie gut die Verteidiger ihre Systeme und KIs auf den Angriff vorbereitet haben.

Die Ergänzung menschlicher und künstlicher Intelligenz

Menschliche und künstliche Intelligenz werden sich also in Zukunft ergänzen müssen. Heutige KIs – wie ChatGPT – lernen zum Glück noch vorwiegend aus der Vergangenheit. Und nicht nur darum liegen sie manchmal gewaltig falsch. Es braucht also Kontrolle und Korrektur, die natürliche, menschliche Intelligenz bleibt gefragt: der Job des Cyber Analysten ist keinesfalls gefährdet. Ganz im Gegenteil: hervorragende Analysten werden noch mehr gefragt sein, als bisher. Einige davon vielleicht auch im neuen Job Cyber-Defense-AI-Trainer. In jedem Fall wird sich aber Ihre Art zu arbeiten ändern – wie so vieles andere auch, im Zeitalter der künstlichen Intelligenz.

Nur sektorspezifische Regelung für Fahrzeugdaten sichert fairen Wettbewerb

Vielen von uns ist nicht bewusst, dass in Autos Daten gesammelt und mittlerweile oft auch direkt an den Hersteller gesendet werden. Es handelt sich dabei um Daten bzw. Fehlermeldungen, die von einzelnen Steuergeräten produziert werden – und mittlerweile auch um Informationen zum Fahrverhalten bzw. zu Geopositionen.

Auf EU-Ebene wurde in den vergangenen Jahren versucht, den Umgang und die Zugänglichkeit zu den Fahrzeug- bzw. Mobilitätsdaten zu regeln. Im Data Act, dem neuen Datengesetz, werden der Umgang und die Zugriffsrechte für Daten aus allen vernetzten Geräten festgehalten. Diese Regelungen sind naturgemäß sehr allgemein gehalten, sodass sie für smarte Haushaltsgeräte ebenso wie für Fahrzeuge gelten können. 

Breite Allianz für freien Zugang zu Fahrzeugdaten

Speziell im Bereich der Fahrzeugdaten ist diese Regelung allerdings viel zu unspezifisch: Im Rahmen einer breiten Allianz mit 60 Mobilitätsclubs, Organisationen und Unternehmen aus unterschiedlichen Branchen (z. B. Versicherungen, Leasing und Fuhrparkmanagement, Reparatur) hat sich der ÖAMTC bereits an die Europäische Kommission gewandt, um im sogenannten EU Data Act auf die Dringlichkeit einer sektorspezifischen Regelung speziell für Fahrzeuge hinzuweisen.

Freier Zugang zu Fahrzeugdaten und damit faire Bedingungen für alle Beteiligten sollen weiterhin möglich sein. Neutrale Stellen könnten den Zugang zu Fahrzeugdaten ermöglichen und sicher verwalten. Eine Initiative, die dies mit sicherheitsrelevanten Daten umsetzt, ist zum Beispiel SERMI (vehiclesermi.eu).

Sichere und transparente Datenverwendung

Die grundsätzlichen Technologien für Data Sharing und Datenweitergabe sind in der EU ja bereits vorhanden: So unterstützen die Initiativen rund um Gaia-X eine sichere und transparente Datenverwendung. Jetzt gilt es, im Sinne der Initiative „my car, my data“, den freien Zugang zu Fahrzeugdaten weiter zu gewährleisten – denn Dienstleister brauchen Zugang zu Funktionen und Ressourcen aus dem Fahrzeug, um ihre Services entsprechend anbieten zu können. Nur dann werden weiterhin konsument:innenfreundliche Preisen möglich sein und nur dann ist fairer Wettbewerb gesichert. Daher setzt sich der ÖAMTC gemeinsam mit anderen europäischen Mobilitätsclubs weiter klar für eine zusätzliche, sektorspezifische Regelung speziell für Fahrzeuge ein.