Nicht erst seit der Corona-Krise gewinnt die IT-Sicherheit in Firmen an Bedeutung. Doch die Pandemie und das vermehrte Arbeiten im Homeoffice haben der betrieblichen Cybersicherheit, ebenso wie die Digitalisierung, neue Baustellen eröffnet.
Text: Markus Hinterberger
Vom Büro bis ins Kinderzimmer, von der Küche bis zum Stromkraftwerk: Digitale Technologien haben in den vergangenen Jahren fast alle Bereiche der Gesellschaft erreicht. Die Vorteile dieser Entwicklung sind unübersehbar, gleichzeitig werden Unternehmen wie Private aber auch angreifbarer. „Der zunehmende Grad der Digitalisierung sowie der coronabedingt vermehrte Einsatz von Homeoffice sorgen dafür, dass Kriminelle mehr Möglichkeiten haben, sich in Systeme zu ‚hacken‘“, erklärt Ricardo-José Vybiral, CEO der KSV1870 Holding AG. Waren es früher vor allem Idealisten, die technische Schwachstellen aufzeigen wollten, so setzen heute professionell organisierte Gruppen zielgerichtete Attacken, die häufig auf maximalen wirtschaftlichen Schaden abzielen.
Deutlich mehr Cyberangriffe seit der Pandemie
Laut der aktuellen KPMG-Studie „Cyber Security in Österreich 2021“ verzeichnen 38 % der Unternehmen eine Zunahme von Cyberangriffen seit der Corona-Krise. Insgesamt waren bislang sogar 60 % aller österreichischen Unternehmen Opfer eines derartigen Angriffs, der Großteil sogar mehrmals. Aber, und das ist das Positive daran: Zwei Drittel der Unternehmen geben an, dass die Pandemie die Bedeutung von Cybersecurity in ihrem Unternehmen verändert hat. Das zeigt sich auch an den Budgets: Während zahlreiche Betriebe zuletzt rückläufige Geschäftseinnahmen verzeichnet haben, wurde das Sicherheitsbudget nur in den seltensten Fällen reduziert.
Kriminelle haben heute mehr Möglichkeiten, sich in Systeme zu „hacken“.
Digitalisierung mit Sicherheitsproblemen
Eines ist klar: Unternehmen erkennen die digitale Gefahr und sind sich der Bedeutung von Cybersecurity bewusst. Doch handelsübliche IT-Lösungen können einen bestimmten Grad an Zuverlässigkeit oft gar nicht erreichen. Die Situation erinnert an die Entwicklung der Luftfahrt Anfang des 20. Jahrhunderts: Tragische Flugunfälle zwangen Gesetzgeber und Industrie, die Sicherheitsstandards massiv zu erhöhen. Erst als Flugzeuge zu den sichersten Verkehrsmitteln unseres Planeten avancierten, konnte die Industrie weltweit wachsen. Genau diese Standards fehlen jedoch in den meisten Bereichen der Informationstechnologie. Insbesondere in kleineren und mittleren Betrieben ist ein IT-Grundschutz nur mit sehr hohem Aufwand umsetzbar, was wiederum zu einem niedrigen Durchdringungsgrad in der KMU-geprägten österreichischen Wirtschaft führt.
Österreichischer Standard auf Basis der EU-NIS-Richtlinie
Genau hier setzt das Kuratorium Sicheres Österreich (KSÖ) gemeinsam mit dem KSV1870 an: Ein Expertenteam aus Industrie, Verwaltung und kritischer Infrastruktur entwickelte 25 Anforderungen, die IT-Risiken in jeder Organisation massiv senken können. Dieser Anforderungskatalog wurde als Cyberrisiko-Schema des KSÖ veröffentlicht und soll Unternehmen als Richtlinie dienen, das eigene IT-Risikomanagement bewerten zu können. Darauf aufbauend hat der KSV1870 das CyberRisk Rating entwickelt, wodurch es weltweit möglich wird, das Cyberrisiko von Unternehmen und Organisationen zu messen und digitale Risiken in globalen Lieferketten sichtbar zu machen. Diese breite Anwendbarkeit ist insbesondere dort notwendig, wo hunderte Lieferanten mit einer kritischen Infrastruktur – wie zum Beispiel einem Krankenhaus – digital vernetzt sind. „Nicht die Größe eines Unternehmens definiert die Anforderungen an IT-Sicherheit, sondern das Risiko der übernommenen Aufgabe“, erklärt Alexander Mitter, CEO der Nimbusec GmbH. Das Tochterunternehmen des KSV1870 hat das CyberRisk Rating umgesetzt.
Nicht die Größe eines Unternehmens definiert die Anforderungen an IT-Sicherheit, sondern das Risiko der übernommenen Aufgabe.
Gütesiegel für Cybersecurity
Immer mehr Unternehmen und Konsumenten achten darauf, dass ihre Lieferanten sicher und vertrauenswürdig sind. Mit dem Cyber Trust Austria® Label, das auf dem CyberRisk Rating des KSV1870 basiert, können Unternehmen nach außen hin sichtbar machen, dass sie essenzielle Mindestsicherheitsmaßnahmen für Cybersicherheit umgesetzt haben. Dazu müssen wesentliche technische und organisatorische Sicherheitsmaßnahmen vorhanden und Mitarbeiter geschult sein sowie praktikable Notfallkonzepte vorliegen. „Das Cyber Trust Austria® Label ist eine einzigartige Auszeichnung für Cybersicherheit in Organisationen. Es wurde entwickelt, um Unternehmen einen praktikablen und kostengünstigen Zugang zum Thema Cybersicherheit zu ermöglichen. Das Gütesiegel erlaubt kleinen wie großen Unternehmen, mit überschaubarem Aufwand die Umsetzung von Basissicherheitsanforderungen nachzuweisen und sich somit am Markt zu differenzieren“, erklärt Thomas Stubbings, Geschäftsführer von Cyber Trust Austria.
Dieser Artikel stammt aus dem Mitgliedermagazin forum.ksv 02/2021.