News
Aveniq Business Summit 2025

So stärken Unternehmen ihre Resilienz

Uhr
von Joël Orizet und dwi

KI am Arbeitsplatz, Cyberkriminalität und die Abhängigkeit von Technologiekonzernen – die Herausforderungen häufen sich. Wie Unternehmen in turbulenten Zeiten Risiken meistern und ihre Widerstandsfähigkeit stärken können, diskutierten die Teilnehmenden des diesjährigen Aveniq Business Summit.

Der Autor, Krisenexperte und ehemalige Spitzensportler Rüdiger Böhm sprach am Aveniq Business Summit über Resilienz. (Source: Netzmedien)
Der Autor, Krisenexperte und ehemalige Spitzensportler Rüdiger Böhm sprach am Aveniq Business Summit über Resilienz. (Source: Netzmedien)

Rund 200 IT-Entscheiderinnen und -Entscheider sind im Kongresszentrum Trafo in Baden zusammengekommen, um sich am Aveniq Business Summit über aktuelle IT-Themen und entsprechende Challenges auszutauschen. Zum Auftakt blickte Walter Lienhard, Head of Sales & Marketing bei Aveniq, nach vorne: "Ab Januar begrüsst sie bei uns jemand anderes", sagte er und spielte damit auf die Ernennung von Tom Kleiber zum neuen CEO an. Der designierte neue Chef des Badener IT-Dienstleisters, der aktuell noch als Geschäftsführer der Stiftung Switch fungiert, werde "spannende Erfahrungen sowie eine Passion für die Digitalisierung und die Schweiz" ins Unternehmen einbringen. 

Ein Expertentalk eröffnete die Veranstaltung und beleuchtete Herausforderungen und Lösungsansätze rund um die Kernthemen KI, Cybersecurity und Cloud. Tobias Castagna vom Nationalen Testinstitut für Cybersicherheit (NTC) sprach über die gravierenden Schwachstellen, die das NTC in den Klinikinformationssystemen Schweizer Spitäler entdeckt hatte. Von der mangelhaften IT-Sicherheit hiesiger Krankenhäuser zeigte sich Castagna wenig überrascht. Vielmehr habe das Ergebnis den ursprünglichen Verdacht bestätigt, der die Untersuchung erst ins Rollen gebracht hatte.

Geteilte Verantwortung, keine Verantwortung

Der schlechte Zustand der Cybersicherheit von Spitälern habe vielfältige Gründe, sagte Castagna. Er erwähnte insbesondere fehlende Anreize, mangelndes Know-how und das sozialpsychologische Phänomen der Verantwortungsdiffusion - also das Prinzip: Wo alle verantwortlich sind, ist es am Ende keiner. 

Drei Männer im Anzug stehen auf einer Bühne. Zwei weisse Stehtische mit weissen Tischtüchern, darauf je ein Glas Wasser. In der Mitte spricht einer ins Mikrofon, rechts steht ein weiterer Mann.

Tobias Castagna (2. v.l.), Head of Test Experts beim NTC, sprach darüber, warum die IT-Sicherheit in Schweizer Spitälern oftmals auf der Strecke bleibt. (Source: Netzmedien)

Auf die Frage, ob künstliche Intelligenz bezüglich der Prüfbarkeit von IT-Sicherheit Abhilfe schaffen könne, zeigte sich Castagna skeptisch. "Insbesondere in komplexen Bereichen, wenn beispielsweise IoT-Komponenten eine Rolle spielen, braucht es weiterhin Experten als Tester."

Öfter mal sich selbst hacken

Wie man solche Tests rigoros durchführt und dabei auch die Perspektive von Cyberkriminellen einbezieht - das weiss Luca Cappiello, seit Februar Head of Security bei Aveniq. In einer Break-out-Session referierte er unter dem Titel: "Den Ernstfall testen: Hack yourself - bevor es Angreifer tun." Zu Beginn räumte er mit einem weit verbreiteten Missverständnis auf: Wer glaubt, für kriminelle Hacker zu uninteressant zu sein, unterliegt einem gefährlichen Trugschluss. Denn "wenn ein Angreifer eine Chance erkennt, dann greift er auch an", sagte Cappiello. Es geht also nicht zwingend darum, wie attraktiv eine potenzielle Beute erscheint - vielmehr gilt das Motto: Gelegenheit macht Angreifer. 

Je nach Zielsetzung gibt es unterschiedliche Methoden, um die IT-Sicherheit eines Unternehmens zu prüfen, wie Cappiello ausführte. Penetration Testing hat einen klaren Scope, also eine enge Abgrenzung der zu testenden Systeme und Methoden. Auf dem Prüfstand steht beispielsweise eine Web-Applikation, die online gehen soll. Eine sogenannte Adversary Simulation - eine möglichst realitätsnahe Nachstellung der Methoden von Angreifern - dient hingegen dazu, das gesamte Sicherheitsdispositiv einer Organisation zu verbessern. 

Ein Mann im Anzug steht auf einer Bühne und zeigt mit beiden Händen auf eine Folie. Darauf ein Balken mit den Stufen „Penetration Test“, „Attack Simulation“, „Purple Teaming“, „Red Teaming“. Vor ihm sitzen Zuhörer, links ein Rednerpult, rechts ein Stehtisch mit Wasserglas.

Luca Cappiello, Head of Security bei Aveniq, erklärte unterschiedliche Ansätze zur Überprüfung der IT-Sicherheit von Organisationen. (Source: Netzmedien) 

Blaue, rote und purpurne Teams

Eine Variante dieses Ansatzes nennt sich Red Teaming. In diesem Rahmen simuliert ein Expertenteam fortgeschrittene Angriffe respektive Advanced Persistent Threats - typischerweise handelt es sich um schleichende, langfristige Attacken, bei denen die Täter über Monate oder gar Jahre unentdeckt im System bleiben. Solche Simulationen dauern in der Regel mindestens sechs Wochen, wie Cappiello sagte. Ziel ist es, die Reaktionsfähigkeit des Blue Teams - der firmeninternen Verteidiger - zu testen.

Beim sogenannten Purple Teaming verfolgt man einen anderen Ansatz. Hier arbeiten Angreifer (Red Team) und Verteidiger (Blue Team) nicht gegeneinander, sondern Hand in Hand, um die Abwehr live zu optimieren. Der Vorteil dieses Ansatzes besteht laut Cappiello darin, dass man Silos aufbricht - sowohl Purple als auch Red Teaming setzen allerdings ein Blue Team voraus. 

Unabhängig vom gewählten Ansatz sollte der Zweck eines Security-Programms darin bestehen, die Präventions-, Erkennungs- und Reaktionsfähigkeiten einer Organisation zu testen - und zwar über Menschen, Prozesse und Technologien hinweg. Und schliesslich riet Cappiello den Gästen, eine "Assume Breach"-Mentalität zu entwickeln: Es gehe nicht um die Frage, ob man gehackt werde, sondern wann - und vor allem, wie man im Ernstfall reagiere. 

Drei Tipps für mehr Widerstandskraft

Den Abschluss der Veranstaltung bildete eine Keynote von Rüdiger Böhm. Der Autor, Krisenexperte und ehemalige Spitzensportler verlor bei einem schweren Verkehrsunfall beide Beine, kam nur knapp mit dem Leben davon und kämpfte sich wieder zurück. Resilienz, sagte er dem Publikum, sei eine geistige Fähigkeit, die man nicht aus Büchern lerne. Vielmehr müsse man sich schwierigen Situationen stellen und sie meistern.

Ein Mann in schwarzem Shirt und grauer Hose steht auf einer Bühne und spricht. Hinter ihm eine grosse Folie mit dem Text „Resilienz – Der Schlüssel zum Erfolg“ und dem Namen „Rüdiger Böhm“. Rechts vorne auf der Bühne steht eine Vase mit bunten Blumen.

Rüdiger Böhm, Experte für Krisen, Motivation und Veränderung, gab den Gästen Tipps zur Entwicklung von Resilienz mit auf den Weg. (Source: Netzmedien)

Die meisten Veränderungsprozesse scheitern, weil die Menschen das Gefühl haben, sich ändern zu müssen, anstatt es wirklich zu wollen. Doch wie kann man Mitarbeitende dazu bringen, etwas zu wollen? Böhms Antwort darauf war entwaffnend einfach: durch die Erzeugung von Emotionen. "Es liegt an Euch, bei Euren Leuten ein Feuer zu entfachen", rief er den Gästen zu. 

Der Schlüssel dazu liegt laut dem Experten in drei einfachen Schritten: Erstens sollte man den Leuten einen klaren Sinn vermitteln, also den konkreten Nutzen einer Veränderung aufzeigen. Zum Beispiel: KI kann mühselige Routinearbeiten abnehmen und dadurch wertvolle Zeit für die Kernaufgaben freigeben. Zweitens: Autonomie ermöglichen. Menschen akzeptieren Veränderungen viel eher, wenn sie das Gefühl haben, mitgestalten und sich persönlich entfalten zu können. Und drittens: Wertschätzung. Mitarbeitende, die sich und ihre Arbeit respektiert fühlen, sind weitaus eher bereit, Veränderungsprozesse aktiv zu unterstützen.

 

Übrigens: Warum KI die Bedrohungslage massiv verändert, weshalb Technik allein nicht genügt und wie er Sicherheit bei Aveniq als interdisziplinäres Thema verankern will, erklärte Luca Cappiello im Interview

Zum Thema
Tags
Events
Aveniq
Resilienz
Cybersecurity
ki
Künstliche Intelligenz
Webcode
QHV8Vr72
Back to top