Infosec Governance im Zusammenhang mit der KI-Verordnung. Interview mit Richard Neuwirth, ÖBB
Business Circle: Sehr geehrter Herr Ing. Mag. Neuwirth, bei Ihrem letzten Auftritt als Referent auf der PriSec waren Sie noch bei einem Handelsunternehmen tätig. Was ist der größte Unterscheid als Datenschutz und -sicherheitsmanager zwischen einem privatwirtschaftlichen Unternehmen und einem Unternehmen der öffentlichen Hand wie den ÖBB?
Richard Neuwirth: Ja, ich war damals in den Rollen des Legal Counsel, Compliance Officer, DPO und ISO bei Österreichs führendem Elektronikhandelsunternehmen tätig und bin seit Mitte 2023 nun Teil der Konzern Informationssicherheit der ÖBB. Der größte Unterschied liegt in meinem konkreten Fall wohl darin, dass auch im Bereich der Informationssicherheit besondere rechtliche Anforderungen bestehen, wenn man zum Beispiel an NIS-2 oder andere (sektor-)spezifische Vorgaben denkt. Aber darüber hinaus stelle ich im Großen und Ganzen fest, dass die Themenlage in der Praxis in diesen großen Organisationen in den genannten Bereichen ähnlich ist. Gerade das ist übrigens auch der Vorteil der PriSec - wir können bei dieser Konferenz trotz unterschiedlicher Branchen übergreifend voneinander lernen, weil wir vor ähnlichen Herausforderungen stehen. Natürlich bestehen bei jedem Unternehmen andere Betriebsrisiken und Stakeholdererwartungen. Aber da wie dort ist Informationssicherheit nicht Selbstzweck, sondern dient in erster Linie präventiv dazu, die Geschäftstätigkeit zu ermöglichen.
BC: Wie hat das Thema KI Ihre Arbeit als Information Security Governance Manager bei den ÖBB bisher beeinflusst?
Neuwirth: Wir haben uns zunächst die bestehenden internen Regelungen vor allem auch im Hinblick auf generative KI und die Verwendung durch Mitarbeiter:innen und möglichen Änderungsbedarf hin analysiert und festgestellt, dass diese vorhandenen Regelungen weitestgehend auf den Einsatz generativer KI übertragbar sind. Unser Ansatz war und ist, dass der Einsatz generativer KI ermöglicht und unterstützt werden soll, aber die spezifischen Risiken adressiert werden müssen, um die Organisation zu schützen. Dazu haben wir verschiedene Awarenessmaßnahmen gesetzt, auch weil die Präsenz von generativen KI Systemen in der Öffentlichkeit und die bereits bekannten Vorfälle bei anderen großen Unternehmen (insbesondere die Preisgabe von vertraulichen Informationen) nahelegten, dass wir unsere Mitarbeiter:innen auch verstärkt sensibilisieren wollen.
Parallel dazu haben wir die damals erst im Entwurf vorgelegene KI-Verordnung analysiert und herausgearbeitet, wie wir einen rechtskonformen Einsatz von KI begleiten können. Wir haben die bestehenden Abläufe um Aspekte des KI-Verordnungsentwurfs bzw. der KI-Verordnung erweitert und werden das auch regelmäßig evaluieren und gegebenenfalls anpassen. KI Governance ist allerdings ein Querschnittsthema und bedarf einer interdisziplinären Auseinandersetzung und auch einer Governance aus mehreren Perspektiven und für verschiedene Zielgruppenbedürfnisse. Dazu ist Kommunikation in alle Richtungen nötig, um vor allem auch die Anforderungen der Geschäftsfälle zu verstehen und nachhaltig berücksichtigen zu können und umgekehrt über Risiken, Möglichkeiten und Grenzen zu informieren. Klar ist, dass mit der KI-Verordnung weitere rechtliche Anforderungen auf sehr viele Unternehmen zukommen und man sich in unterschiedlichen Disziplinen darauf vorbereiten und miteinander abstimmen muss. Nach und nach werden sich Rechtsansichten und best practices herausbilden und wie in all diesen dynamischen Themen eine relativ häufige regelmäßige Evaluierung erfordern. Dieser Kommunikations- und Weiterentwicklungsaufwand muss in einer Organisation neben den eigentlichen Anforderungen berücksichtigt werden und ist mitunter in sehr großen Organisationen besonders hoch.
Verstärkte Angriffe mit Hilfe von KI sind besonders wahrscheinlich
BC: Wie bewerten Sie ganz allgemein das Risiko von Cyberangriffen, die speziell auf KI-Systeme abzielen?
Neuwirth: Das Risiko von Angriffen auf eingesetzte KI-Systeme schätze ich ähnlich wie jenes von Angriffen auf sonstige Systeme ein. Im Bereich der generativen KI gibt es natürlich spezifische Risiken wie Prompt Injections usw., wobei meines Erachtens auch erhebliche Risiken für Organisationen im Zusammenhang mit der Verwendung bestehen, wo also kein Angriff vorliegen muss: Entwickler eines großen Technologieunternehmens kopierten Programmcodes in öffentliche Large Language Models und haben damit höchst vertrauliche Informationen faktisch veröffentlicht. Dass erzeugte Inhalte von Mitarbeiter:innen ungeprüft als Rechercheergebnis übernommen werden könnten und KI Halluzinationen oder verzerrte Ergebnisse zu Entscheidungsgrundlagen werden können, birgt ein weiteres Schadenspotenzial. Verstärkte Angriffe mit Hilfe von KI halte ich als besonders wahrscheinlich: Deep Fakes stellen insbesondere im Bereich des Social Engineering stärkere Bedrohungen dar als je zuvor so wie ganz allgemein KI Tools auch Angreifern helfen. Der Anruf mit einer gefakten Stimme ist nun leichter denn je, denn der Stimme oder dem Video wird stärker vertraut als einer Textnachricht. Der Schlüssel zum Erfolg in der Begegnung dieser Risiken in Organisationen wird in der Awareness liegen und ich würde auch vermehrte Aufklärungsarbeit und Bewusstseinsbildung in der Bevölkerung befürworten. Themen dieser Art sind auch für Privatpersonen sehr relevant.
BC: Daran anschließend: Welche Vorteile ergeben sich konkret für das Unternehmen und die Fahrgäste durch den Einsatz von KI-Technologien bei den ÖBB?
Neuwirth: KI ist ein breites Thema und auch wenn in letzter Zeit der Eindruck entsteht, dass KI etwas völlig Neues ist, beschäftigen sich in der ÖBB unterschiedliche Fachabteilungen schon seit Jahren mit Künstlicher Intelligenz. Die Einsatzgebiete sind vielfältig und bestehen zum Beispiel in den Themen der automatisierten Ressourcenplanung, Predictive Maintenance, Reiseplanung etc. Darüber hinaus gibt es auch sinnvolle Anwendungsgebiete von generativer KI. Der Vorteil besteht dabei in Effizienzsteigerungen, die sich am Ende für den Fahrgast in einem höheren Komfort und höherer Qualität der Leistungen niederschlagen.
BC: Was wollen Sie mit Ihrem Round Table beim Publikum erreichen, wofür möchten Sie eine besondere Awareness schaffen?
Neuwirth: Mein Hauptanliegen ist der Austausch aus der und für die Praxis. Ich behaupte, die meisten Unternehmen stehen am Beginn oder haben erste Erfahrungen gesammelt, das Thema in der eigenen Governance abzubilden und mein Anliegen ist es daher, dass wir voneinander lernen können: Was waren die ersten Erkenntnisse oder Stolpersteine bei der Vorbereitung des Unternehmens auf die Informationssicherheits- und Datenschutzrisiken, die mitunter durch die starke Themenpräsenz und einfache Zugänglichkeit insb. zu generativer KI nun auch zunehmen oder zumindest vermehrt in den Fokus rücken? Wie setzen Organisationen die Dokumentation der KI-Systeme auf? Wie nimmt die Organisation die Anforderungen auf? Diese und gerne auch weitere spannende Fragen diesbezüglich möchte ich interaktiv gerne diskutieren.
BC: Wie oben schon erwähnt, kennen Sie die PriSec ja schon aus eigener Erfahrung, wie hat Ihnen die Konferenz damals gefallen und wie würden Sie sie beschreiben, wenn Sie ein Datenschutz-Kollege danach fragt, ob man da hingehen solle?
Neuwirth: Was mir besonders gefallen hat war - natürlich neben den aktuellen und spannenden Fachvorträgen - die Offenheit der Teilnehmer:innen. Auch wenn sich viele Akteure schon lange kennen, wird man schnell integriert, nimmt Inspirationen und Motivation aus Vorträgen, Round Tables und Kaffeegesprächen mit und erkennt, dass man mit seinen Herausforderungen als Organisation aber auch als Mitarbeiter:in nicht "allein" ist.
BC: Sehr geehrter Herr Neuwirth, wir danken Ihnen für dieses Gespräch und freuen uns, Sie wieder zur PriSec zur begüßen!
Ing. Mag. Richard Neuwirth, BA LL.B. (WU) ist Unternehmensjurist und seit 2023 als Information Security Governance Manager in der Konzern Informationssicherheit der ÖBB tätig, wo er sich u.a. mit Rechtsnormen zum Thema Informationssicherheit und IT Recht befasst. Davor war er Legal Counsel, Compliance Officer, Information Security Officer und Datenschutzbeauftragter bei MediaMarkt Österreich und zuvor - nach verschiedenen Stationen innerhalb der Casinos Austria AG - u.a. CISO der Casinos Austria und Österreichische Lotterien Gruppe. Richard Neuwirth studierte Jus, Wirtschaftsrecht und Soziologie und bildete sich in unterschiedlichen Themengebieten mit entsprechenden Personenzertifizierungen als Qualitätsbeauftragter nach ISO 9001, Process Manager, Compliance Manager, ISMS-Manager und -Auditor nach ISO 27001 sowie als Datenschutzbeauftragter und der Zertifizierung als CRISC (ISACA) weiter. Im Rahmen der PriSec ist er am 15. Oktober 2024 Gastgeber eines Security-Roundtables zum Thema: „Infosec Governance im Zusammenhang mit der KI-Verordnung“.