Digitale Disruption, Coronavirus, rechtliche Veränderungen, mangelnde Awareness … Zunehmende Unabwägbarkeit prägt die 20er Jahre des 21. Jahrhunderts. Gesellschaft, Gesetzgeber und Kunden haben steigende Erwartungen an die Umsetzung von Datenschutz und Datensicherheit in Unternehmen. Gleichzeitig halten datengetriebene Geschäftsmodelle, Home Office und Künstliche Intelligenz Einzug in die Infrastrukturen. Die Anforderungen von Seiten des Arbeitsrechts und im Bereich GRC und Cyber Security steigen, während immer mehr Arbeitnehmer remote Arbeitsplätze nutzen.
In diesem Confare Digital CIO ThinkTank ging Host und Confare Founder Michael Ghezzo zusammen mit den Security Experten von Otto Group, Emmi, Wienerberger, Zürcher Hochschule für Angewandte Wissenschaften und T-Systems wesentlichen GRC Fragen nach.
Michael Ghezzo,
Confare
Raus aus den Silos! Es ist Zeit für eine unternehmensweite Betrachtung von Risiken und Compliance!”
Wichtig ist es, aus den Silos auszubrechen und zu verstehen, dass GRC nicht nur die IT, sondern das ganze Unternehmen betrifft. Der erste Schritt ist, Awareness bei den MitarbeiterInnen zu schaffen.
Ricardo Nebot
Emmi Schweiz AG
Die unterschiedlichen Generationen haben auch ein unterschiedliches Verständnis für Sicherheit
Durch die Risiken die sich ständig verändern, entwickeln sich ebenso immer mehr technische Möglichkeiten, die auch angreifbarer werden.
Ein besonderer Unterschied wird bei den verschiedenen Generationen deutlich. Die Generation, die als Digital Natives aufgewachsen ist, hat eine andere Auffassung von Cyber Security. Für sie ist klar, dass sie nicht willkürlich Links in Emails oder auf Websites anklicken bzw. achten viel mehr darauf, dass ihre Dokumente ordnungsgemäß abgesichert sind. Die ältere Generation, die Digital Immigrants hingegen, tappen viel häufiger in eine Falle und öffnen dubiose Emails, die Viren enthalten und dem Unternehmen schaden.
Der erste Schritt bei einem erfolgreichen GRC-System
Technisch wird unser Zeitalter immer anspruchsvoller. Umso wichtiger ist es, dass man im ersten Schritt Verständnis bei den MitarbeiterInnen für Cyber Security schafft. Man kann viele Technologien einsetzen, um das Unternehmen und seine Daten zu schützen, jedoch bringen all diese Wunder-Programme nichts, wenn die MitarbeiterInnen keine Ahnung haben wieso sie diese benutzen sollen.
Bei der Emmi Group wird anhand von Praxisbeispielen geübt und mittels Tests das Erlernte abgeprüft. Dabei wird mit Test-Emails abgeprüft, ob erkannt wird, dass es sich um ein Phishing Mail handelt. In den meisten Fällen dauert es nur weniger als 5 Sekunden, bis ein Mitarbeiter sein Passwort eingegeben hat. Dies soll durch die gezielten Schulungen verhindert werden und für Awareness sorgen.
Volker Dohr
Zürcher Hochschule für Angewandte Wissenschaften
Investieren Sie in die Datensicherheit im ganzen Unternehmen, denn Datensicherheitsverletzungen machen fast 50% der Bußgelder aus.
Drei Jahre DSGVO – Auswertung zur IT
Ausgewertet wurden 750 zugängliche DSGVO Bußgeldverstöße aus 13 Ländern der EU im Jahr 2018 bis Januar 2021. Die Anzahl von bekannten DSGVO Verfahren pro Jahr ist in den letzten zwei Jahren rasant angestiegen, wobei eine enorme Dunkelziffer besteht, da nicht jeder Bußgeldverstoß veröffentlicht wird und sich mehr auf die hohen/großen Bußgeldverstoße konzentriert wird.
Datensicherheit ist ein häufiges und signifikantes Risiko
Der Anteil der Bußgelder aufgrund von Datensicherheitsverletzungen ist massiv angestiegen und macht 2020 bereits 44.7% aus. Dabei lag die Summe des Bußgeldes zwischen knapp 150 Millionen Euro und mehr als 300 Millionen Euro. Vergleichsweise lagen die Bußgelder 2018 bei rund 1 Millionen Euro.
Die Risikofelder der DSGVO liegen in der Datensicherheit, den Grundprinzipien und der Rechtmäßigkeit, die mehr als dreiviertel der Risiken ausmachen. Betroffenenrechte, Datenschutzerklärung und besonders schützenswerte Daten belaufen sich auf weniger als ein Viertel der Risikofelder.
Wichtig ist, in die Datensicherheit des ganzen Unternehmen zu investieren
Datensicherheitsverletzungen machen fast 50% der Bußgelder aus, deshalb ist ein IT Sicherheitsmanagement unerlässlich. Die Datensicherheitsverletzungen werden kaum durch die IT-Abteilung verursacht, weshalb sich eine Investitionen in die Datensicherheit auszahlt.
Make IT happen! Bei einem weitgreifenden Projekt wie die Implementierung eines Security Managements, muss man den Überblick behalten, auf die organisatorischen Strukturen der unterschiedlichen Standorte achten, Awareness bei den MitarbeiterInnen schaffen und vor allem mit einem guten Partner zusammenarbeiten.
Christoph Schacher
Wienerberger
Den Überblick behalten
Bei über 200 Standorten in 30 Ländern braucht es ein Tool, um Risiken schnellstmöglich zu erkennen, sie zentral einsehen zu können und vor allem Schäden zu verhindern. Erforderlich für den Projekterfolg des eingeführten GRC Cloud & Security Management, war die Datenschutzgrundverordnung. Mit dieser kam die Voraussetzung für das Tool. Wienerberger war es ein großes Anliegen, nicht nur ein Tool zu haben, um Risiken zu verwalten, sondern diese auch zentral prüfen zu können und zu auditieren.
Erfolg eines großen Changemanagements
Durch den Multiplikator-Effekt hat der größte Ziegelproduzent weltweit, die Wienerberger, ein so großes Projekt wie die Implementierung des GRC Cloud & Security Management Tool umsetzen können. Darunter wird verstanden, dass eine zentrale Informationssicherheit geschaffen wurde und es regionale Koordinatoren und lokale Ansprechpartner gibt. MitarbeiterInnen, die das Unternehmen sehr gut kennen wurden ausgewählt um als direkte Ansprechperson bei Fragen rund um das Tool zu agieren.
Sie arbeiten mit Reifegrad-Modellen, da die Anforderungen je nach Standort unterschiedlich sind. Die große Herausforderung dabei ist, gleichzeitig den Reifegrad des jeweiligen Standorts zu nutzen und Sicherheitsniveaus anzusetzen.
Kontrollkataloge müssen laufend angepasst werden, aber natürlich auch umgesetzt werden um den Reifegrad zu erfüllen. Dabei wird immer wieder deutlich, dass ein großer Redebedarf bzw. Diskussionsbedarf bei den MitarbeiterInnen besteht, bei denen es wichtig ist, immer wieder Awareness zu schaffen.
Wenn keine Awareness bei den MitarbeiterInnen geschaffen wird, kann auch kein Security Management Tool helfen. Bei Wienerberger arbeitet man ebenfalls mit Phishing-Trainings und simulierte unterschiedliche Alltagssituationen mit Hacker Emails.
Andre Jacubczik
Otto Group
Man muss einen konkreten Mehrwert für die MitarbeiterInnen bieten, sonst wird solch ein Tool nur als zusätzliche Arbeit angsehen.
Identische Risiken – Unterschiedliche Betrachtungsweisen
Vor der Einführung des Security Management Tools von T-Systems hatte die Otto Group das Problem, dass es länderübergreifend zwar identische Risiken gab, diese aber von dem bestehenden System unterschiedlich betrachtet wurden. Die Herausforderung war, zu erkennen wie hoch das Risiko wirklich ist.
Transparenz und Feedback
Die Sicht auf Risiken hat sich bei der Otto Group ganz deutlich geändert. Weg von der Top down Betrachtung und der Pi mal Daumen Einschätzung von Risiken, hin zum strukturieren Ansatz und der Bottom up Betrachtung. Früher waren die Risiken und Bewertungen intransparent, es gab kein Feedback und MitarbeiterInnen hingen in der Luft, ganz ohne Verständnis für die jeweiligen Prozesse. Seit der Einführung des GRC Cloud & Security Management Tools gibt es Feedback und der Austausch wurde transparent gestaltet, um die Awareness für die Risikobreite bzw. -tiefe zu verstärken. Der Austausch im Unternehmen ist noch intensiver geworden und lässt sich auch als Kulturwandel sehen. Durch das bewusste teilen von Risiken durch MitarbeiterInnen, wird Awareness geschaffen und Fragen zu Risiken beantwortet. So reicht die Kommunikation über mehrere Unternehmensbereiche hinweg.
So wird Akzeptanz der MitarbeiterInnen geschaffen: Feedback einholen und dieses auch schnell mit einbeziehen. Ein Security Management Tool ist unbrauchbar, wenn keine Akzeptanz vorhanden ist.
Heidelinde Rameder
T-Systems Austria
Existenzbedrohung des Unternehmens – Der Schlüssel ist Resilienz
Die Corona Pandemie kann als klassisches „Black Swan“ Ereignis betrachtet werden. Das bedeutet, dass die Eintrittswahrscheinlichkeit sehr gering eingeschätzt wird oder das Risiko überhaupt nicht bekannt ist. Somit identifizierten die wenigsten Unternehmen eine Pandemie als realistisches Risiko. Es ist aber auch nicht sinnvoll, alle möglichen, relativ unwahrscheinlichen Szenarien individuell zu betrachten.
Die Wahrscheinlichkeit, dass eines der vielen potentiellen „Black Swan“ Ereignisse eintritt, ist wiederum relativ hoch. Die Frage für Unternehmen ist damit, wie sie sich vor allen unvorhersehbaren Ereignissen, die oft existenzbedrohend sind, gesamtheitlich wappnen können.
Die Stärkung der Resilienz erfordert ein besseres, ganzheitliches GRC Management für die Organisation. Da Risiken stärker miteinander verbunden und schnelllebiger sind als je zuvor, müssen sich die Geschäftsleitung und die Vorstände intensiver mit dem Thema GRC beschäftigen. Dies geht auch aus einer Umfrage von Gartner unter CEOs hervor: Risikomanagement war das Thema, das zwischen 2019 und 2020 mit Abstand am meisten an Bedeutung gewonnen hat (39 Prozent).
Während Unternehmen die Corona Schocks des Jahres 2020 überstehen, wird deutlich, dass viele Organisationen ihre Resilienz stärken müssen, bevor das nächste „Black Swan“ Ereignis eintritt.
Wenn Sie keinen unserer Digital CIO ThinkTanks verpassen wollen, einfach den Confare Newsletter abonnieren. Wenn Sie an unseren Publikationen oder bei den Digital Confare CIO ThinkTanks mitwirken wollen, melden Sie sich bei melanie.vacha@confare.at