Das Jahr 2024 ist ein Jahr vol­ler Ent­wick­lun­gen für die Infor­ma­ti­ons- und Cyber­si­cher­heits­bran­che. Neue Regu­lie­run­gen hier, adap­tier­te Richt­li­ni­en dort. Zu den maß­geb­li­chen Regel­wer­ken zäh­len NIS‑2 (Netz- und Infor­ma­ti­ons­si­cher­heits­sys­tem­ge­setz), der Cyber Resi­li­ence Act (CRA), der Arti­fi­ci­al Intel­li­gence (AI) Act, der Digi­tal Ope­ra­tio­nal Resi­li­ence Act (DORA) und TISAX® (Trus­ted Infor­ma­ti­on Secu­ri­ty Assess­ment Exch­an­ge). Unter dem Mot­to des heu­ri­gen CIS Com­pli­ance Sum­mit: „Gemein­sam die Wel­le der Vor­schrif­ten meis­tern“ wur­den die zuneh­men­den Bedro­hun­gen durch Cyber­kri­mi­na­li­tät the­ma­ti­siert. Wäh­rend der Gesetz­ge­ber mit Rege­lun­gen wie dem AI-Act und der NIS-2-Richt­li­nie einen wich­ti­gen Rah­men schafft, tra­gen CIS­Os die Ver­ant­wor­tung für die Sicher­heit der Unternehmen.

Beim CIS Com­pli­ance Sum­mit am 10. Okto­ber stand im Mit­tel­punkt, wie KI-Ethik zusam­men mit Richt­li­ni­en und Zer­ti­fi­zie­rungs­stan­dards Euro­pa vor Cyber­an­grif­fen schüt­zen kann. Über 250 Ver­tre­te­rin­nen füh­ren­der öster­rei­chi­scher Unter­neh­men folg­ten der Ein­la­dung von Harald Erkin­ger, Geschäfts­füh­rer der CIS — Cer­ti­fi­ca­ti­on & Infor­ma­ti­on Secu­ri­ty Ser­vices GmbH. Exper­tin­nen wie Prof. Sarah Spie­ker­mann und Sport­le­gen­de Toni Pols­ter erklär­ten das kom­ple­xe The­ma anhand pra­xis­na­her Beispiele.

In einer ver­netz­ten Welt nimmt die Bedro­hung durch Cyber­kri­mi­na­li­tät zu

Ange­sichts des rus­si­schen Angriffs auf die Ukrai­ne, des Nah­ost­kon­flikts und mög­li­cher poli­ti­scher Ver­än­de­run­gen in den USA steht Euro­pa vor der Her­aus­for­de­rung, sei­ne Ver­tei­di­gungs­stra­te­gie zu über­den­ken. Cyber­an­grif­fe sind längst nicht mehr nur das Werk von Betrü­gern; sie gefähr­den unse­re Infra­struk­tur und kön­nen sogar als Ter­ror­ak­te auf­tre­ten. „In den letz­ten Jah­ren hat sich die Lis­te der mög­li­chen Zie­le für Cyber­an­grif­fe erheb­lich vergrößert.“

Die rasan­te Ent­wick­lung neu­er KI-Tech­no­lo­gien stellt eine Her­aus­for­de­rung dar, da Angrif­fe nicht mehr nur ein­zel­ne Unter­neh­men betref­fen, son­dern das gesam­te Sys­tem in einer ver­netz­ten Welt gefähr­den. „Des­halb müs­sen immer mehr Unter­neh­men von Regu­lie­run­gen und Berichts­pflich­ten erfasst wer­den“, beton­te Harald Erkin­ger in sei­nem Eröff­nungs­vor­trag. Er wies auf die Bedeu­tung der Zusam­men­ar­beit aller Stake­hol­der hin. Geziel­te Angrif­fe könn­ten Lebens­mit­tel­si­cher­heit, die Ver­sor­gungs­si­cher­heit oder das Gesund­heits­sys­tem gefähr­den und damit mas­si­ve Aus­wir­kun­gen auf die Infra­struk­tur haben.

Mit dem AI-Act und der NIS-2-Richt­li­nie hat die Euro­päi­sche Uni­on bereits wich­ti­ge Grund­la­gen geschaf­fen. Die­se müs­sen jedoch kon­ti­nu­ier­lich an neue Ent­wick­lun­gen ange­passt wer­den. Erkin­ger erläu­ter­te: „Der AI-Act legt Anfor­de­run­gen auf EU-Ebe­ne fest, wäh­rend ISO 42001 Unter­neh­men einen glo­ba­len Ansatz bie­tet, um siche­re und ver­trau­ens­wür­di­ge KI-Lösun­gen zu ent­wi­ckeln und zu betrei­ben. Bei­de Rah­men­wer­ke sol­len sicher­stel­len, dass KI-Sys­te­me Cyber­be­dro­hun­gen pro­ak­tiv iden­ti­fi­zie­ren und minimieren.

Die Ethik spielt eine ent­schei­den­de Rol­le bei der Regu­lie­rung von KI. Prof. Sarah Spie­ker­mann, Lei­te­rin des Insti­tuts für Infor­ma­ti­ons­sys­te­me & Gesell­schaft an der WU Wien, erklärt: „Die zuneh­men­de Bedeu­tung der KI-Ethik ist vor allem dar­auf zurück­zu­füh­ren, dass Künst­li­che Intel­li­genz und Robo­tik in naher Zukunft mas­si­ve Aus­wir­kun­gen auf die Ent­wick­lung der Mensch­heit haben werden.

Die Wer­te einer KI sind wich­ti­ger als blo­ße Compliance-Vorgaben.

Die Ethik, die wir in KI-Sys­te­me ein­bau­en, zwingt uns, über unse­re Erwar­tun­gen und die Risi­ken, die wir ein­ge­hen wol­len, nach­zu­den­ken. Aspek­te wie Wahr­heit, Trans­pa­renz, Daten­schutz, Fair­ness, Sicher­heit, Kon­trol­le und Strom­ver­brauch soll­ten bei der Ent­wick­lung im Mit­tel­punkt ste­hen, um das Ver­trau­en der Nutzer*innen zu gewinnen.

Wenn wir KI sinn­voll nut­zen wol­len, müs­sen wir ihr ethi­sches Design ver­trau­en kön­nen. KI-Ethik ist aus Sicht der Nutzer*innen und der Gesell­schaft sogar wich­ti­ger als die recht­li­chen Vor­schrif­ten“, sagt Spie­ker­mann. Ein Weg, um Ver­trau­en auf­zu­bau­en, ist die prak­ti­sche Anwen­dung: „Wert­ethi­sche gestal­te­te KI kann sowohl der Gesell­schaft als auch Orga­ni­sa­tio­nen einen ech­ten Mehr­wert bie­ten. Dazu müs­sen wir uns jedoch von der Fixie­rung auf rei­ne Funk­tio­na­li­tät und gän­gi­gen ame­ri­ka­ni­schen Lösun­gen abwen­den und statt­des­sen fra­gen: Wel­chen Wert möch­te ich von die­ser mäch­ti­gen Tech­no­lo­gie und zu wel­chem Preis?

Die Ant­wort auf die­se Fra­ge kann durch Ent­wick­lungs­pro­zes­se wie das „Value-based Engi­nee­ring mit ISO/IEC/IEEE 24748–7000“ (VbE) gefun­den wer­den. Dies ist die ers­te welt­weit stan­dar­di­sier­te Metho­de für eine wert­ethi­sche Sys­tem­ge­stal­tung. Sie inte­griert mensch­li­che und sozia­le Wer­te in das IT-Design, basie­rend auf Kern­wer­ten und Wer­te­qua­li­tä­ten. Bei­spie­le für Wer­te­qua­li­tä­ten sind die Art der Anspra­che, die Berück­sich­ti­gung des sozia­len Sta­tus oder die Ableh­nung von unhöf­li­chem Ver­hal­ten. Mit dem VbE kön­nen Orga­ni­sa­tio­nen ein Wert­mo­ni­to­ring ein­füh­ren, das zeigt, wie sozi­al­ver­träg­lich ihre KI agiert und damit das Ver­trau­en der Nutzer*innen för­dert oder gefährdet.

Erfolg basiert immer auf Teamarbeit

Um die KI-Ethik und eine effek­ti­ve Cyber­se­cu­ri­ty erfolg­reich zu eta­blie­ren und wei­ter­zu­ent­wi­ckeln, sind alle Betei­lig­ten gefor­dert. Fuß­ball-Legen­de Toni Pols­ter bringt es auf den Punkt: „Man gewinnt ein Spiel nicht, indem man die Ver­tei­di­gung im Regen ste­hen lässt. Der Sieg ist immer das Ergeb­nis einer gemein­sa­men Anstren­gung, und das Team muss gut zusam­men­ar­bei­ten. Jeder muss sei­ne Rol­le ken­nen und das gro­ße Gan­ze im Auge behal­ten. Man muss auf die Bewe­gun­gen der ande­ren Team­mit­glie­der reagie­ren kön­nen. Ähn­lich ist es in der Wirt­schaft: Hier müs­sen Tech­no­lo­gie­un­ter­neh­men und alle, die Tech­no­lo­gien nut­zen, sich an den Bedürf­nis­sen der Nut­zer ori­en­tie­ren und gleich­zei­tig poten­zi­el­le Gefah­ren im Blick haben.

Der Gesetz­ge­ber legt mit Regu­lie­run­gen wie dem AI-Act und der NIS-2-Richt­li­nie die not­wen­di­gen Grund­la­gen für den siche­ren Umgang mit neu­en Tech­no­lo­gien. Gleich­zei­tig sind die Nutzer*innen gefor­dert, ver­ant­wor­tungs­be­wusst damit umzu­ge­hen. In die­sem Zusam­men­hang spie­len Chief Infor­ma­ti­on Secu­ri­ty Offi­cers (CIS­Os) eine zen­tra­le Rol­le. „Die Ver­ant­wort­li­chen in den Unter­neh­men leis­ten oft Außer­ge­wöhn­li­ches und set­zen sich per­sön­lich stark ein, selbst unter schwie­ri­gen Bedin­gun­gen. CIS­Os und ihre Teams schüt­zen nicht nur inter­ne Daten, son­dern tra­gen auch aktiv zu einer siche­re­ren Gesell­schaft bei“, erklärt Andre­as Tomek, Part­ner IT Advi­so­ry bei KPMG. Um die Infra­struk­tur lang­fris­tig zu sichern, ist es wich­tig, dass alle Akteu­re ein gegen­sei­ti­ges Ver­ständ­nis ent­wi­ckeln und zusammenarbeiten.

Herz­li­chen Dank an alle Vor­tra­gen­den für ihre wert­vol­len und infor­ma­ti­ven Bei­trä­ge, die die­se Ver­an­stal­tung berei­chert haben. Ein beson­de­res Dan­ke­schön auch an das Team des Aus­tria Trend Hotel Savoy­en für die exzel­len­te Betreu­ung und Bewir­tung – Ihre Gast­freund­schaft hat maß­geb­lich zum Erfolg der Ver­an­stal­tung beigetragen!

Gra­tu­la­ti­on an die bei­den CISO of the Year 2024

Richard Thron ist seit 2018 Head of Infor­ma­ti­on Secu­ri­ty und Group CISO der Umd­asch Group AG, einem der füh­ren­den Anbie­ter in der Bau- und Einzelhandelsbranche.

Fabi­an Cho­le­wa ist seit Anfang 2023 CISO der Soft­ware GmbH in Düs­sel­dorf. Das Unter­neh­men ver­folgt das Ziel, Unter­neh­men digi­tal und sicher zu vernetzen.