Von Spinnen, Brücken und Cyberangriffen

Aveniq hat nach Baden geladen. Im dortigen Kultur- und Kongresszentrum Trafo hielt der IT-Dienstleister seinen Business Summit 2023 ab. Thematisch bewegte sich Aveniq querbeet: von ESG und Nachhaltigkeit bis hin zur Cybersecurity.

Der Brückenbauer

Aveniq-Geschäftsführer Christophe Macherel begrüsste die Anwesenden und eröffnete den Event mit einer Anekdote aus seiner Jugend. Seine ganze Familie stamme aus dem Baugewerbe, sagte der CEO. Auf der Leinwand hinter sich zeigte er ein Viadukt in der Nähe seines Heimatorts im Kanton Freiburg, an dessen Bau sein Grossvater beteiligt gewesen war. Macherel selbst wollte die Familientradition weiterführen und irgendwann selbst etwas erbauen, wie er erzählte - vor allem Brücken hätten ihn fasziniert. Zwei linke Hände hätten ihn aber schliesslich dazu bewogen, sich auf den Brückenbau zwischen Mensch und Technologie zu spezialisieren.

Brücken sollten Macherel auch im weiteren Verlauf seines Vortrags als Metapher dienen. Die Schiefe Brücke, die Baden mit der Nachbargemeinde Ennetbaden verbindet, setzte er mit Brücken zwischen Unternehmen und ihrem Ökosystem gleich. Eine alte Steinbrücke stand symbolisch für die Alterung der Gesellschaft - dies werde in den nächsten Jahren nicht nur den Fachkräftemangel verstärken, sondern allgemein zu einem Mangel an Arbeitskräften führen. Einen Teil davon könne man mit der Migration kompensieren; das erfordere die Verbindung zwischen Menschengruppen, sagte Macherel, während eine hölzerne Fussgängerbrücke auf der Leinwand zu sehen war.

Spinnen und Ameisen in Unternehmen

Was dann folgte, liess wohl einigen Anwesenden einen kalten Schauer über den Rücken laufen. Macherel zeigte das Bild einer Nosferatu-Spinne. Spinnen hätten besondere Eigenschaften, sagte er dazu. Sie würden etwa ihre Infrastruktur mit eigenen Mitteln und unter unglaublichen Umständen erbauen. Sie würden komplett selbstständig arbeiten und stets ihre eigenen Interessen verfolgen. Ihr Netzwerk sei oft unsichtbar, verfüge aber über extrem viele Querfäden. Spinnen seien immer gut gesichert und auf keinen Fall zu unterschätzen. "Kennen Sie Menschen in Ihrem Unternehmen, auf die diese Eigenschaften zutreffen?", fragte Macherel schmunzelnd in die Menge. Vereinzeltes Kopfnicken bestätigte wohl seine These. Ein anderes Krabbeltier, das sich Attribute mit einigen Mitarbeitenden teile, sei die Ameise - Macherels persönliches Lieblingstier. Als zentrale Merkmale nannte er Fleiss, kollektive Intelligenz, Struktur und ständige Kommunikation. "Wir brauchen beides", sagte der Aveniq-CEO schliesslich - die Spinnen und die Ameisen. Was man noch brauche, seien Menschen - nämlich vor allem da, wo künstliche Intelligenz an ihre Grenzen stosse. Macherel nannte unter anderem emotionale Intelligenz, Selbstwahrnehmung und Empathie als wichtige Eigenschaften, um Mensch und Maschine zu verbinden.

ESG für Gross und Klein

In der ersten Breakout-Session des Nachmittags gaben Dijana Ignjic und Simon Renevey von Aveniq Einblicke in den "Status quo der ESG-Transformation". Die beiden haben ein entsprechendes Beratungsangebot für Kunden, aber auch für Aveniq selbst ausgearbeitet, wie sie erklärten. ESG steht für Environmental, Social und Governance - also Umwelt, Soziales und Unternehmensführung. Der Begriff werde oft vor allem mit Klimathemen, etwa der CO2-Bilanz eines Unternehmens, in Verbindung gebracht, sagte Renevey. Dabei umfasse ESG aber eben auch Themen wie Diversität, Lohngleichheit oder Menschenrechte.

Trotz allem sei der Klimawandel aber natürlich ein zentraler Treiber für die Relevanz von ESG. Dazu kämen Aspekte der Globalisierung, aber auch Entwicklungen in den Bereichen Future Work wie die Work-Life-Balance sowie technische Entwicklungen wie das Internet of Things.

Dijana Ignjic und Simon Renevey behandelten in ihrer Breakout-Session die ESG-Transformation. (Source: Netzmedien)

Nicht "ob", sondern "wann"

Renevey blickte zurück in das Jahr 2020, als die Konzernverantwortungsinitiative am Ständerat scheiterte. Infolgedessen trat der Gegenvorschlag in Kraft: Das Obligationenrecht (OR) 964. Es verpflichtet grosse Unternehmen ab 2024 dazu, parallel zu ihrem jährlichen Geschäftsbericht auch einen Bericht vorzulegen, der nicht-finanzielle Belange behandelt. Dies betrifft Unternehmen von öffentlichem Interesse, Firmen mit 500 oder mehr Vollzeitstellen sowie jene mit einem Jahresumsatz von mehr als 40 Millionen Franken. Kleinere Betriebe sind damit aber nicht aus dem Schneider, wie Renevey weiter erklärte: So könne ein KMU beispielsweise Teil der Lieferkette eines Grosskonzerns sein und damit ebenfalls unter Druck geraten sein, zu ESG-Themen zu berichten. In der EU gelte dies ab 2026 gar für alle Unternehmen mit mehr als zehn Mitarbeitenden. "Es stellt sich nicht mehr die Frage, ob man (zu ESG-Themen, Anm.) Bericht erstatten muss, sondern wann und in welchem Umfang", ergänzte Ignjic.

Für kleine Unternehmen sei es jedoch oftmals schwierig, einen solchen Bericht zu erstellen, sagte Renevey. Es herrsche Verwirrung über die benötigten Standards, Templates oder Frameworks. Dazu komme ein Ressourcenproblem: Den Betrieben fehle es an Zeit, Geld und Know-how. Als Beispiel nannte Renevey eine IT-Firma mit 45 Mitarbeitenden, mit der er zusammengearbeitet habe. Dem Unternehmen habe es vor allem an den Ressourcen gemangelt, sich in das Thema einzulesen. Zusammen habe man schliesslich Metriken festgelegt und Massnahmen ausgewählt, etwa den Einsatz von Bewegungssensoren, um Strom zu sparen. Zudem habe man festgelegt, wer im Betrieb künftig für ESG zuständig sein werde.

Dass das Thema an Bedeutung gewinnt, zeigte die anschliessende Abstimmung. 60 Prozenten der Anwesenden gaben an, ihr Unternehmen habe bereits ESG-Aspekte implementiert; ebenso viele würden planen, einen ESG-Bericht zu erstellen.

Ein Cyberangriff live auf der Bühne

Der Vortrag von Ivan Indic und Tom Mattmann widmete sich der Cybersecurity. Live auf der Bühne demonstrierten die beiden einen Malware-Angriff. Die Angreiferin, im Beispiel Laura genannt, schickte Tom Mattmann, in der Demo Tom genannt, via Microsoft Teams einen Link auf einen OneDrive-Ordner mit Bewerbungsunterlagen. Tom lud die .zip-Datei  herunter und entpackte diese auf seinem Computer. Im enthaltenen Arbeitszeugnis schlummerte die Schadsoftware. Beim Versuch, die vermeintliche PDF-Datei zu öffnen, erschien auf Toms Bildschirm eine Warnung von Windows: "Wollen Sie diese Datei wirklich ausführen?" Der fiktive Tom klickte auf "trotzdem ausführen" - schliesslich habe jeder schon einmal eine solche Warnung ignoriert, erklärte der echte Tom. 

Tom Mattmann demonstrierte den Phishing-Angriff. (Source: Netzmedien)

Mattmann wechselte daraufhin das Fenster und zeigte, was Laura sah, nämlich den Online-Service, über den sie den Angriff durchführte. Das Programm zeigte ihr an, dass die Malware erfolgreich zugestellt worden war. Es sei kein besonders ausgefeilter Angriff, sagte Mattmann, aber Windows reagierte nach der ersten Warnung nicht mehr auf die Bedrohung im Hintergrund.

Keine hundertprozentige Sicherheit

Dann wiederholte der Experte den Angriff, nur dass auf dem PC des Opfers diesmal eine Endpoint-Security-Lösung installiert und der entsprechende Malware-Schutz aktiviert war. Nach dem Download der Datei klickte Tom wieder auf das Arbeitszeugnis, doch die Software blockierte die Ausführung der Datei. Sie hatte bösartiges Verhalten entdeckt. 

Mattmann zeigte nun das Dashboard des Security-Analysten der Firma hinter der Software. Dort wurde prompt ein Security Incident mit hohem Schweregrad gemeldet. Ausserdem konnte der Analyst die Art des Vorfalls sowie eine Timeline des Angriffsversuchs sehen. Laura, die Angreiferin, sehe in diesem Fall übrigens nichts, erklärte Mattmann - sie erhalte keine Informationen mehr über einen Erfolg ihrer Masche.

Ivan Indic von Aveniq (Source: Netzmedien)

"Cyberangriffe passieren ständig, jede und jeder kann Opfer werden", bilanzierte Ivan Indic. Einen hundertprozentigen Schutz gebe es nicht, die Standard-Schutzmechanismen des Betriebssystems würden aber jedenfalls nicht ausreichen. Am sichersten sei wohl die Kombination aus Tools für die Endpoint Protection und dem Know-how von SecOps-Experten - also die Zusammenarbeit zwischen Mensch und Technologie.

Übrigens: Aveniq gab Anfang 2023 bekannt, eine neue Niederlassung in Rumänien zu eröffnen - hier erfahren Sie die Hintergründe für die Expansion.