Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH, warnt heimische Unternehmen vor der steigenden Gefahr der Cyberattacken und rät, sich rechtzeitig auf die neue Cybersicherheits-Richtlinie NIS2 vorzubereiten.
Interview: Markus Mittermüller
Cybersicherheit ist entscheidend, um digitale Attacken abzuwehren. Doch was bedeutet Cybersicherheit genau?
Cybersicherheit bedeutet schlichtweg, dass man volle Kontrolle über die eigene IT und die eigenen IT-Prozesse behält. Das ist insbesondere heute wichtig, weil wir noch nie so viel Digitalisierung wie heute hatten. Gleichzeitig leiden wir unter einem Kontrollverlust, weil wir mit Technologien arbeiten, die niemand mehr vollends durchblickt. Durch diese Vernetzung reicht eine einzige gute Idee von einem Hacker, und er kann weltweit alle Systeme erfolgreich angreifen, die die gleiche Software betreiben. Wenn diese Software, die weltweit im Einsatz ist, eine Sicherheitslücke hat, kann ich auf einmal Milliarden von Devices angreifen, und das automatisiert.
Wer ist von diesen Cyberattacken betroffen? Nur die großen Konzerne, oder trifft es auch mittelständische Unternehmen?
Die Hackergruppen machen sich mittlerweile nicht einmal mehr die Mühe, individuelle Unternehmen anzugreifen und dann mit den gestohlenen Daten zu erpressen. Sondern sie erpressen einfach global alle, die eine gewisse Software im Einsatz haben. Seit vielen Jahren schon kennen wir zum Beispiel die Erpressungstrojaner, bei denen die Daten wirklich verschlüsselt werden. Dessen können sich Unternehmen, die in IT-Sicherheit investiert haben, mittlerweile ganz gut erwehren. Aufwendig ist es trotzdem, da die Ausgaben für kreative Backup-Systeme gestiegen sind. Aber kleinere und mittlere Unternehmen sind dem noch immer schutzlos ausgeliefert, da sie meist keine Person im Unternehmen haben, die sich mit Cybersecurity auskennt.
Hackergruppen machen sich mittlerweile nicht einmal mehr die Mühe, individuelle Unternehmen anzugreifen […], sondern sie erpressen einfach global alle, die eine gewisse Software im Einsatz haben.
Wie sollen sich die Unternehmen davor schützen?
Die Europäische Union hat jetzt mit der neuen Cybersicherheits-Richtlinie NIS2 ein Regularium massiv erweitert, das ursprünglich nur für die kritischsten Organisationen gedacht war, nämlich NIS1. Dieses hat in Österreich rund 100 Unternehmen betroffen. Da reden wir von den ganz großen Energieunternehmen, Krankenhausbetreibern oder Banken, die essenzielle Dienste des Landes bereitstellen. Die Europäische Union hat gesehen, das reicht nicht, wir müssen das Netz deutlich weiter spannen. Wir erwarten auf Basis von Aussagen der zuständigen Behörden, dass unter NIS2 definitiv mehr als 4.000 Unternehmen in Österreich fallen werden, erstmals auch die öffentliche Hand. Und wir haben dabei eine Strafandrohung bis zu zehn Millionen Euro und persönliche Haftungen für Führungspersonal, wenn Pflichten im Bereich IT-Sicherheit nicht umgesetzt werden. Die Quintessenz der Anforderungen ist: Ich muss meine IT unter Kontrolle haben und risikobasiert alles, was nach dem Stand der Technik dafür erforderlich ist, auch umsetzen. Aber in Wirklichkeit ist 2024 vor allem das Jahr, in dem sich alle Unternehmen Österreichs mit Cybersicherheit auseinandersetzen müssen. Denn sonst werden sie Aufträge verlieren.
Warum müssen sich alle Unternehmen damit auseinandersetzen?
Die Großunternehmen wollen jetzt natürlich keine implizite Haftung für ihre Lieferanten übernehmen, sondern durch die Sicherheitserklärungen der Lieferanten die Verantwortung im Zuge der Auftragsvergabe auch in deren Richtung verlagern. Denn die Lieferanten haben meist auch Zugriff auf Netz- und Informationssysteme. Und „Zugriff auf“ kann man relativ weit interpretieren, weil schon durch das Senden eines Mails habe ich effektiv Zugriff auf ein Netz- und Informationssystem. Der erste Schritt ist meistens, dass man eine Sicherheitsrichtlinie vom Auftraggeber unterschreiben muss, sonst bekommt man keinen Auftrag. Und im zweiten Schritt ist zu prüfen, ob die Lieferanten das auch wirklich tun, eine Unterschrift allein ist zu wenig. Daher braucht man jetzt auch einen Sicherheitsnachweis. Da bemühen wir uns, dass wir mit dem CyberRisk Rating den besten und auch effizientesten Weg für die österreichische Wirtschaft zur Verfügung stellen, dieser aber jedenfalls immer alle Vorschriften der prüfenden Behörden erfüllt.
Wie genau funktioniert das CyberRisk Rating?
Es gibt genau 25 Anforderungen, die ersten 14 davon sind zu einem Basisrating zusammengefasst, die auch von Einzelunternehmern machbar sind. Das CyberRisk Rating des KSV1870 stellt einen standardisierten Prozess dar, um diese Anforderungen zu erfüllen. Cyberrisiken in globalen Lieferketten werden transparent und können so zielgerichtet verringert werden. Das CyberRisk Rating teilt sich in zwei Bereiche: einerseits den CyberRisk Manager, eine Plattform zum Cyberrisiko-Management für alle Lieferanten weltweit, und andererseits einen Prozess zur effizienten Assessmentdurchführung für bewertete Unternehmen.
Das heißt also, ein Unternehmen, das diese 25 Anforderungen des CyberRisk Rating erfüllt, ist safe?
Es ist nach Stand der Technik bestmöglich vorbereitet. Das ist wieder das Problem in der ganzen Sicherheitsbranche. Das ist wie beim Brandmelder und bei der Feuerbeschau. Natürlich kann noch irgendwas brennen. Aber ich bin gut vorbereitet. Erstens ist die Chance, dass es brennt, kleiner. Und falls es doch brennt, dann weiß ich, wie so ein Feuerlöscher zu bedienen ist. Und genau das Gleiche gilt für das CyberRisk Rating. Letztendlich zielen alle diese Fragen drauf ab: Habe ich die wesentlichen Vorkehrungen getroffen? Und falls trotzdem etwas danebengeht: Kann ich mir helfen? Zum Beispiel mit einem Notfallplan, anhand dessen ich auf einen IT-Sicherheitsvorfall reagiere. Bitte aber auf Papier – nicht auf dem dann funktionslosen Computer. Wichtig ist auch, die Nutzung der IT-Systeme zu protokollieren, um Sicherheitsvorfälle nachvollziehbar zu machen. Das sind genau die Dinge, die man dann braucht, falls etwas passiert.
Aus dem KSV1870 Magazin forum.ksv - Ausgabe 1/2024.