Autor: Mag. Alexander Mitter, CEO Nimbusec, eine Tochterfirma des KSV1870
Vom Büro bis ins Kinderzimmer, von der Küche bis zum Stromkraftwerk: Informationstechnologie hat in den letzten Jahrzehnten fast alle Bereiche unseres beruflichen und privaten Lebens erreicht. Die Vorteile dieser Entwicklung sind unübersehbar und rückten speziell durch die COVID-19 Krise in den Mittelpunkt vieler Diskussionen. Nur durch die Digitalisierung war es uns möglich, große Teile unserer Wirtschaft innerhalb weniger Tage „kontaktlos“ zu gestalten. Langfristig hat dieser Megatrend aber andere Gründe: Damit unser Lebensstandard weiterhin hoch bleiben kann, müssen wir unsere begrenzten Ressourcen effizienter nutzen. Informationstechnologie ist der Schlüssel zu globaler Wettbewerbsfähigkeit.
Wo Licht, da ist auch Schatten.
Je wichtiger Computer für die Übernahme von Aufgaben werden, desto attraktiver sind diese digitalen Systeme für Kriminelle. Wir alle konnten in den letzten Jahren miterleben, wie Hacking-Angriffe immer professioneller wurden. Wo früher Idealisten oft nur technische Probleme aufgezeigt haben, entwickeln heute organisierte Gruppen und Geheimdienste zielgerichtet Attacken, die auf maximalen Schaden abzielen. Insbesondere das Phänomen des „Verschlüsselungstrojaners“ hat auch in Österreich schon unzählige Unternehmen getroffen. Ein aktueller Fall in einem deutschen Krankenhaus führte jüngst sogar zu einem Todesfall[1].
Die Digitalisierung hat also ein massives Sicherheitsproblem.
Wir erwarten von handelsüblichen IT-Lösungen oft einen Grad an Zuverlässigkeit, der ohne weitere Maßnahmen schlicht nicht erreichbar ist. Die Situation erinnert an die rasante Entwicklung der Luftfahrt Anfang des 20. Jahrhunderts: Tragische Flugunfälle zwangen Gesetzgeber und Industrie die Sicherheitsstandards massiv zu erhöhen. Erst als Flugzeuge zu den sichersten Verkehrsmitteln unseres Planeten avancierten, konnte die Industrie weltweit wachsen.
Sicherheitsstandards sind ein wesentlicher Bestandteil jeder kritischen Infrastruktur.
Genau diese Standards fehlen aber in den meisten Bereichen der Informationstechnologie. Insbesondere in kleinen Unternehmen sind die aktuell gängigen Ansätze von ISO27000, NIST800, IT-Grundschutz, etc. nur mit sehr hohem Aufwand umsetzbar. Das führt zu einem sehr niedrigen Durchdringungsgrad in unserer KMU-geprägten Wirtschaft – praxisorientierte Ansätze sind also notwendig.
25 Anforderungen, die IT-Risiken in jeder Organisation massiv senken können
Genau hier setze das Kuratorium Sicheres Österreich (KSÖ) gemeinsam mit dem KSV1870 an: Ein österreichisches Expertenteam, bestehend aus IT-Sicherheitsverantwortlichen der größten Unternehmen unseres Landes, entwickelte innerhalb von sechs Monaten 25 Anforderungen, die IT-Risiken in jeder Organisation massiv senken können. Diese 25 Anforderungen wurden im September 2020 als Cyber Risiko Schema des KSÖ[2] frei verfügbar veröffentlicht. Das Schema soll damit jedem Unternehmen als Richtlinie dienen, um das eigene IT-Risikomanagement bewerten zu können.
Das Assessment des CyberRisk Ratings by KSV1870
Nicht die Größe eines Unternehmens definiert die Anforderung an IT-Sicherheit, sondern das Risiko der übernommenen Aufgabe.
Der KSV1870 nutzt genau dieses Cyber-Risiko-Schema als Basis für das neue CyberRisk Rating. Kombiniert mit innovativen technischen Lösungen und zugeschnitten auf die Anforderungen von DSGVO[3], NISG[4] und sogar der europäischen Zentralbank EZB[5], wird dadurch weltweit die Messung des Cyber-Risikos beliebiger Unternehmen und Organisationen möglich. Diese breite Anwendbarkeit ist insbesondere dort notwendig, wo hunderte Lieferanten digital mit einer kritischen Infrastruktur eines Landes – wie zum Beispiel einem Krankenhaus – vernetzt sind. Durch die Vernetzung ergibt sich auch eine weitere Anforderung: Nicht die Größe eines Unternehmens definiert die Anforderung an IT-Sicherheit, sondern das Risiko der übernommenen Aufgabe. In der Praxis kann also auch ein Ein-Personen-Unternehmen jenen Verschlüsselungstrojaner in das Krankenhausnetzwerk einbringen, der den gesamten Gesundheitsbetrieb zum Erliegen bringt.
CyberRisk Rating by KSV1870 als praxisnahe Orientierungshilfe
Die Zukunft wird uns zeigen, wie sehr wir Sicherheitsstandards erhöhen müssen, um weiterhin erfolgreich die Digitalisierung voranzutreiben. Durch das CyberRisk Rating by KSV1870 haben wir eine praxisnahe Orientierungshilfe geschaffen, die laufend an neue technische Entwicklungen angepasst werden wird. Am Ende sind wir aber selbst in der Pflicht: Verschließen wir unsere Augen und hoffen auf das Beste, oder stellen wir uns entschlossen den neuen Herausforderungen?
Der KSV1870 hat eine klare Entscheidung getroffen: Mit der Entwicklung des CyberRisk Ratings sind wir gerüstet, um auch in der digitalen Wirtschaft weiterhin Wissen zu schaffen und Werte zu sichern.
Mag. Alexander Mitter ist CEO der Nimbusec GmbH, einer Tochterfirma des KSV1870. Das Linzer Unternehmen ist spezialisiert auf Sicherheits- und DSGVO-Compliance-Überwachung von Webseiten.
Weitere Infos rund um das Thema erhalten Sie im Webinar: CyperRisk Rating - digitale Risiken sichtbar machen am Freitag, 16. Oktober 2020, 10:00 Uhr.