Resilienz - wie Organisationen krisenfest werden (Teil 1: Cybersicherheit)

In einer Workshop-Runde diskutierten die Sprecher*innen technische, organsiatorische und soziale Herausforderungen für die Cybersicherheit in Unternehmen - inklusive rechtliche Anforderungen, die vor allem Geschäftsführer*innen betreffen.

Welche Faktoren spielen bei Cyberangriffen eine Rolle? Was kommt dabei gesetzlich auf Unternehmen zu? Bei einer Gesprächsrunde zum Thema Resilienz diskutierten am 13. November Hersteller, Dienstleister und Interessenvertretungen Herausforderungen für die Cybersicherheit vor allem kleinerer Unternehmen.

Die Gesprächsrunde zu Resilizenz mit dem Schwerpunkt Nachhaltigkeit (Teil 2) gibt es in diesem Nachbericht (Link).

Welche Faktoren spielen bei Cyberangriffen auf Unternehmen eine Rolle? Was empfehlen Sie präventiv?

Andreas Thorwartl, Leitung Public Sector & Healthcare Wien bei A1 Telekom Austria: »Regelmäßige Tests, Übungen und Schulungen wichtig«

»Die Digitalisierung unserer Wirtschaft hat vieles einfacher gemacht. Sie hat Geschäftsprozesse verändert und neue Geschäftsmodelle ermöglicht – aber sie macht Unternehmen auch angreifbar. Bei der Vorbereitung von Organisationen auf mögliche Attacken sind präventive Maßnahmen auf technischer Ebene zentral – etwa, um ein Netzwerk abzusichern –, aber es müssen auch die Mitarbeiter*innen sensibilisiert werden. Das benötigt Schulungen zum Beispiel für den Umgang auch mit E-Mails, die auf Schadseiten verlinken können, oder auch Verhaltensregeln für den Fall des Falles. Hat man auf Verdächtiges geklickt, ist bereits etwas passiert oder ist man einfach unsicher über mögliche Folgen, sollte dies transparent und ohne zu zögern kommuniziert werden. Das erfordert auch niederschwellige Meldestellen im Unternehmen. Nur so kann schnell reagiert, ein Angriff abgewehrt oder gar Schlimmeres verhindert werden.

Das Thema Resilienz verlangt nach regelmäßigen Tests und Übungen mit Securitysystemen wie etwa Backup und Restore. Wie schnell fahrt meine IT nach einem Stromausfall wieder hoch? Und funktioniert es überhaupt? So etwas zu testen, erfordert einen gewissen Aufwand. Wenn auch dafür keine Zeit mehr ist, fängt das Problem schon an. Es gibt durchaus Bereiche, in denen IT-Partner und Sicherheitsdienstleister oder auch Cyberversicherungen helfen können. Sich rechtzeitig mit dem Thema aber vor allem in der eigenen Organisation auseinanderzusetzen, ist die Klammer, die man über den Themenkreis Resilienz legen kann.

Mit dem A1 Marketplace bieten wir bereits eine Plattform für KMU-Services, um sich einfach und schnell Lösungen kaufen und auch umzusetzen können. Wie in einem Baukastensystem werden hier Basisprodukte geliefert, die dann auch weiterentwickelt werden können. Aber auch wir sind sicherlich gefordert, gerade im Sicherheitsbereich eine verständliche Sprache für jene zu finden, die selbst keine IT-Experten sind.«

Nicolai Czink, Geschäftsführer Bacher Systems: »IT-Sicherheit ist nicht nur ein Technologiethema«

»Cybersecurity kann nicht in der alleinigen Verantwortung der IT – oder noch schlimmer des einzigen Admins – liegen. Es ist die Aufgabe der Geschäftsführung. Denn es geht nicht um die Technologie alleine – Menschen, Prozesse und Technologien müssen zusammenspielen. Nur so kann sichergestellt werden, dass die eingesetzten Sicherheitsvorkehrungen auch funktionieren und genutzt werden. Zum Beispiel ist eine Firewall nur gut, wenn es auch die Prozesse gibt, diese auf letztem Softwarestand zu halten. Und Mitarbeitende müssen auch besser verstehen, auf welche Links sie besser nicht klicken sollten.

Für Unternehmen stellt sich ebenso die Frage der möglichst umfassenden Absicherung in einer Welt voller Cloudservices, in der die alten Grenzen etwa eines Rechenzentrums nicht mehr gelten. Die Absicherung eines Netzwerks ist immer noch wichtig, der neue Perimeter sind aber die Identitäten der Nutzer*innen. Statt der unsicheren Anmeldung nur mit Benutzernamen und Passwort wird heute zumindest auf einen zweiten Faktor gesetzt, der mich eindeutig identifiziert. Das kann zum Beispiel ein Code am eigenen Handy sein, der eine Verknüpfung zu den Login-Daten, die ich eingebe, herstellt.

Eine funktionierende Security ist der Herzschlag eines Unternehmens. Deshalb sollten Unternehmen regelmäßig den Stand ihrer Sicherheit überprüfen und mögliche Lücken finden. Hier gibt es Dienstleister, die das etwa mit Penetration Tests in gewissen Abständen prüfen. Das sind allerdings nur Momentaufnahmen. Sicherer wird es mit einem kontinuierlichem Security Monitoring, vergleichbar mit einer »Sicherheitszentrale«, um Einbrecher zu erkennen. Diese setzt man entweder selbst um, oder lagert sie an Partner aus – Stichwort »Managed Detection and Response« oder »SOC-as-a-Service« (Anm. »Security Operations Center«). In beiden Fällen wird das auch bei den Anforderungen bei Regularien wie NIS-2 helfen, grundsätzlich geht es aber um die Möglichkeit, bei Verdachtsfällen oder aus tatsächlichem Anlass überhaupt effektiv reagieren zu können.«

Aber ist Cybersicherheit nicht einfach auch eine Kostenfrage?

»Absicherung kostet Geld, das ist klar – aber es ist vor allem eine Frage des Risikos. Ähnlich wie bei Versicherungsprämien werden Unternehmen einschätzen müssen, mit welchem Aufwand sie ein gewisses Risiko eingehen wollen. Cybersicherheit erfordert eigentlich eine einfache Kostenabschätzung: Was würde passieren, wenn mein Unternehmen mindestens eine Woche lang stillsteht? Welche Systeme sind gegen einen solchen Stillstand besonders kritisch abzusichern und wo verkrafte ich das länger?«

Thomas Stubbings, Geschäftsführer Cyber Trust Services: »Verantwortung geht über das eigene Unternehmen hinaus«

»Wir bieten einen Nachweis für grundlegende Sicherheitsmaßnahmen – die so genannte »Baseline Security« – in Unternehmen. Manche haben bereits Zertifizierungen wie eine ISO 27001 und ähnliches, setzen aber zusätzlich auf das Cyber Trust Gütesiegel. Für viele kleinere und mittlere Unternehmen ist das Gütesiegel tatsächlich aber der erste Nachweis, den sie gegenüber Partnern in der Lieferkette und ihren Kunden nutzen können.

Ich glaube schon, dass Labels wie dieses wichtige Signale sind. Sie reduzieren die Komplexität des Themas Cybersicherheit, auf etwas Sichtbares: Die grundlegenden Hausaufgaben sind gemacht worden. Es ist kein Anspruch auf Perfektion, aber es zeigt, dass man sein Haus in Ordnung gebracht hat.

80 % aller ausgenutzten Schwachstellen beziehen sich auf Lücken, für die es seit mindestens drei Monaten Patches gibt. Bei 90 % aller erfolgreichen Einbrüche hat zumindest an einer Stelle der Faktor Mensch eine Rolle gespielt. Das zeigt deutlich, dass wir bei der Sicherheit zuerst nicht von Hightech-Maßnahmen sprechen müssen, sondern von Dingen, die jedes Unternehmen sofort umsetzen kann. Wenn es sich ein Unternehmen nicht leisten kann, seine Mitarbeiter zu schulen, dann wird es nicht im Markt bestehen können.

Wir haben im Rahmen einer Cybersecurity-Plattform-Arbeitsgruppe des Bundeskanzleramts, die auch mit Vertretern aus der Wirtschaft besetzt ist, und in Zusammenarbeit mit der Wirtschaftskammer diese Baseline Standards entwickelt. Vorlagen dazu werden in den nächsten Wochen auf der Website der WKO veröffentlicht werden. Unternehmen können dort bei Bedarf auch Berater*innen aus der IT Experts Group der Wirtschaftskammer kontaktieren. Mit diesen drei Säulen der kostenlosen Vorlagen, der bedarfsweisen Beratung und auch durch Förderprogramme wollen wir gemeinsam den Kleinen und Kleinsten helfen, fit in der Cybersicherheit ihrer Organisation zu werden.

Man darf nicht vergessen: Die Verantwortung für Cybersicherheit geht über das eigene Unternehmen hinaus. In unserer vernetzten Wirtschaft kann diese Verantwortung ein Geschäftsführer alleine nicht mehr übernehmen, ohne auch auf sein Kunden- und Partnernetzwerk zu achten.«

Alexander Mitter, Geschäftsführer KSV1870 Nimbusec: »Kleinunternehmen sind in Sicherheitsdiskussionen unterrepräsentiert«

»Die große Masse der Unternehmen – 98 % in Österreich – haben weniger als 50 Mitarbeiter. Für viele ist der Themenkreis Cybersicherheit schon von den Begrifflichkeiten her viel zu kompliziert. IT-Sicherheit ist heute etwas, das sich oft in einem engen Kreis hochspezialisierter Unternehmen abspielt. Mit neuen Sicherheitsgesetzen wie NIS-2 werden aber auch die Kleineren in den Lieferketten in die Pflicht genommen. Von diesen Unternehmen erwarten wir jetzt die gleich Reife, die in den Großunternehmen mit eigenen IT-Abteilungen und Sicherheitsspezialisten über die letzten zehn Jahre aufgebaut worden ist.

Ich sehe die Klein- und Kleinstunternehmen bei den Sicherheitsdiskussionen massiv unterrepräsentiert. Doch Sicherheit ist auch für diese Gruppe leistbar, es gibt dazu auch genügend Partner und eine Förderlandschaft. Die weit größere Herausforderung ist, diese überhaupt mit dem Thema zu erreichen. Wir dürfen hier das vielzitierte Rückgrat unserer Wirtschaft nicht alleine lassen – und brauchen endlich einen Standard für Cybersicherheit, der 80 % der Fälle mit 20 % des Aufwandes abdeckt und für den es auch Vorlagen gibt. Am besten ist es, wenn wir alle – Unternehmen, öffentliche Verwaltung und Interessensverbände wie die Wirtschaftskammer – gemeinsam daran arbeiten.

In Österreich gibt es einige hundert ISO-27001-Zertifizierungen, einige 1.000 Unternehmen, die von NIS-2 betroffen sein werden und einige 10.000, die in den Lieferketten dahinter sind. Das bedeutet aber einen großen Schwung, der auf die Securitybranche und Rating-Anbieter zukommen wird.

Eigentlich tappen wir alle auch im Dunkeln. Es gibt in Österreich keine Primärdaten zum Thema Cybersicherheit. Weder legen Unternehmen Cybersicherheitsbilanzen noch gibt es Standards, um dies überhaupt zu können. Der KSV prüft seit 153 Jahren die Zuverlässigkeit von Schuldnern, es gibt praktisch jahrhundertelange Erfahrung mit Bonität. Jetzt haben wir mit Cybersicherheit einen Faktor, der richtig kritisch ist. Unternehmen heute sind miteinander vernetzt. Ein Unternehmen kann in Wirklichkeit tausende andere Firmen mitreißen. Wie soll ein lokaler, kleiner IT-Dienstleister umfassende Securityservices liefern, wenn wir uns nicht einmal in Expertenrunden auf einen einheitlichen Standard einigen können? Wir brauchen auch hier eine Art Urmeter zum Vergleich.«

Hans Greiner, Geschäftsführer Cisco Österreich: »Technik muss einfacher werden«

»Die technischen Architekturen für die Cybersicherheit müssen viel einfacher einzurichten und zu nutzen sein – das ist eine Aufgabe für sicherlich alle Hersteller. Wir wollen dieses Thema auf Plattformen vorantreiben, für die Partner wie zum Beispiel A1, Bacher Systems oder andere dann Lösungen auch für Klein- und Kleinstunternehmen bauen könnten. Die Sicherheitstechnologien gibt es – jetzt müssen wie sie auch in der Breite nutzbar machen.

Aktuell befinden wir uns in Österreich und in Europa in einer Rezession. Da stellt sich für viele verständlicherweise auch die Kostenfrage für ihre IT. Doch spätestens bei einem Security-Vorfall und Schaden sieht man Leistbarkeit und Kosten von Investitionen in die Sicherheit in einem ganz anderen Licht. Das erfordert eine Bewusstseinsbildung bei allen, die noch nicht von Attacken wissentlich betroffen waren. Diese Wissensvermittlung ist ein essenzieller Teil, um für dieses Thema auch die kleineren Unternehmen zu gewinnen.«

Ein solcher Marktplatz müsste bestmöglich die Produkte mehrerer Hersteller im Angebot haben, um so eine echte Serviceplattform zu gestalten.

»Auch ich möchte hier kein Monopol eines Unternehmens, sondern offene Standards, die Verknüpfungen auch von Lösungen und Produkten unterschiedlicher Hersteller und Dienstleister ermöglichen. Mit diesen offenen Standards können Fachleute ein Angebot auf einer Plattform einfach gestalten und bauen. Klarerweise sind die größeren Unternehmen in Sachen Cybersicherheit recht weit, doch auch sie kämpfen mit der Komplexität von Technologie. Auch sie wünschen sich eine Konsolidierung, ein besseres Zusammenwirken von Systemen.

Viele kleinere Unternehmen – beispielsweise ein Weingut, das seine Verkaufsprozesse beim Ab-Hof-Verkauf komplett über Tablets abwickelt – beschäftigen sich bereits stark mit Digitalisierung. Die sind da sehr innovativ und haben auch großen Spaß daran. Nur darf der Sicherheitsaspekt nicht vernachlässigt werden. Gerade sie brauchen einfach implementierbare Lösungen.«

Katharina Bisset, Rechtsanwaltskanzlei Bisset: »Das Erfüllen von Sorgfaltspflichten geht sich auch für kleinere Unternehmen aus.«

Was kommt im Cybersicherheitsbereich gesetzlich auf Unternehmen zu?

»Auch im rechtlichen Bereich gibt es die ganze Bandbreite von Unternehmen mit unterschiedlichem Vorwissen und Aufmerksamkeit bei IT- und Sicherheitsthemen – meist ist das auch keine Frage der Größe. Viele, die bereits die EU-Datenschutz-Grundverordnung ernst genommen haben, werden sich auch bei Regelungen wie NIS-2, Cyber Resilience Act für den Bereich Software oder dem Lieferkettengesetz (siehe Infokästen) leichter tun. Ich empfehle jedenfalls, rechtzeitig Spezialist*innen zu kontaktieren. Wenn das Audit von der Datenschutzbehörde bereits in 14 Tagen vor der Tür steht, wird es mühsam – und tendenziell kostspielig.

Ich bin als Unternehmerin Mitglied der Rechtsanwaltskammer, die mit Anforderungen an die anwaltliche Geheimhaltung sogar über die DSGVO hinausgeht. Aus eigener Erfahrung aber kann ich sagen: das Erfüllen dieser Sorgfaltspflichten geht sich auch für kleinere Unternehmen aus. Aber bitte proaktiv handeln und sich Zeit für Beratung und Umsetzung nehmen – nicht erst, wenn es brennt.

Bei all den verschiedenen Rechtsakten herrscht bei mir schon die Sorge vor extra angepassten Österreich-Lösungen, die dann nicht lange halten werden. Wichtig wäre ein einheitlicher Standard im EU-Raum. Prinzipiell passen diese rechtlichen Rahmen auch gut zusammen und sind sinnvoll. Wenn ich mir etwas wünsche, dann wäre das eine einheitliche Ansprechstelle bei den Meldepflichten im Falle von Sicherheitsverletzungen in Unternehmen. Auf Behördenebene ein One-Stop-Shop, der Meldungen einer Datenschutzverletzung oder eines Sicherheitsvorfalls an die jeweiligen Stellen weiterleitet – das würde einiges vereinfachen, gerade wenn sich Unternehmen ohnehin in einer kritischen Situation befinden.

Wenn man es noch nicht getan hat, empfehle ist, nicht scheu zu sein und sich zu Sicherheitsthemen zu informieren. Nur so bekommen auch Kleinunternehmen eine Idee, was vielleicht dringend zu tun ist. Im Technischen gilt es ebenso wie im Rechtlichen und in Organisationen: Zuerst die Leute, dann die Prozesse und dann die Technik. Nur mit einem entsprechenden Überblick und Wissen über die Prozesse im eigenen Unternehmen können gezielt dort Maßnahmen getroffen werden, so sie wirklich notwendig sind.«

Ursula Illibauer, Wirtschaftskammer Österreich, Bundessparte Information und Consulting: »Wir wünschen uns bei Anforderungen wie NIS-2 keinesfalls Panik.«

»Wir müssen eine Sprache in der IT finden, die alle verstehen. Die Bundessparte Information und Consulting der Wirtschaftskammer arbeitet bereits seit Jahren an dem Thema Cybersecurity. In dem Projekt it-safe.at haben eine große Zahl an Expert*innen gemeinsam Inhalte für Unternehmen entwickelt. Hier geht es um eine verständliche Aufbereitung von Begriffen und um niederschwellige Informationen zu rechtlichen Anforderungen im Bereich Sicherheit auch für kleinere Firmen und Ein-Personen-Unternehmen. Dazu werden Rechtstexte möglichst ohne Paragrafen formuliert, oder komplexe Sachverhalte werden auf die wichtigsten Punkte gekürzt. Wir wünschen uns bei Sicherheitsthemen und Anforderungen wie NIS-2, die im Oktober 2024 schlagend werden, keinesfalls Panik, sondern Unternehmen, die sich sorgfältig darauf vorbereiten und Maßnahmen setzen. Auf Seiten wie wko.at/nis2 sind alle Informationen aufbereitet, mit einer FAQ-Liste und einigen Webinaren. Wir arbeiten dazu auch an Mustern, die dann von vielen umgesetzt werden können.«

Interessieren sich die Unternehmen dafür?

»Das kann mich mit einem klaren »Ja« beantworten. Der erste Ratgeber zum Thema Anwendbarkeit von NIS-2 hat schon über 5.000 Zugriffe verzeichnen können, mehrere 1.000 haben bereits durchgespielt, ob sie von dem Gesetz betroffen sind.

Wichtig ist sicher, dass Behörden ähnlich wie die Datenschutzbehörde am Anfang auf Beraten statt Strafen setzen. Wir brauchen sicherlich eine Form von Beratungsstruktur bei der Behörde und vielleicht auch verbindliche Feststellungsbescheide für den Anwendungsbereich – etwa bei unterschiedlichen Themen und Strukturen in Konzernorganisationen. Hier ist bei NIS-2 vieles noch nicht klar, daher ist auch die Kommunikation mit den Behörden wichtig.«

Bild: Im Anschluss an die Workshoprunde brachten gemeinsam mit Moderator Martin Szelgrad, Report Verlag, Andreas Thorwartl, Nicolai Czink und Katharina Bisset die wichtigsten Themenpunkte aber auch rechtliche Anliegen auf die Bühne. Zum Publikumsgespräch kam Clemens Möslinger von Bundeskanzleramt hinzu.

Clemens Möslinger, Bundeskanzleramt Österreich, Leiter der Abteilung Cyber Security, NIS-Büro: »Nicht abzuwarten, um sich vorzubereiten«

»Es gibt bereits sehr viele Rechtsakte, die EU wird auch nicht müde, neue Akte auszuhandeln – etwa auch DORA (Anm. »Digital operational resilience Act«) für die IT-Sicherheit von Finanzunternehmen. Wir versuchen natürlich nicht unnötig viele unterschiedliche Stellen auf Behördenseite einzurichten, manchmal lässt es sich einfach nicht vermeiden. So wollen wir bei NIS-2 und DORA ein gemeinsames Portal für Meldungen vorschalten. (Ergänz. der Red.: Unternehmen müssen aber stets entweder einen Vorfall nach NIS2 oder nach DORA melden).

Teilweise werden diese Stellen auch für freiwillige Meldungen genutzt, beispielsweise im Rahmen von Cybersicherheitsübungen von Unternehmen. Man testet so den Ernstfall, welche Personen auf welche Weise auch gegenüber den Behörden aktiv werden müssen.

Wir werden mit der Richtlinie NIS-2 rund 5000 Unternehmen in Österreich haben, die davon betroffen sind und es werden sicherlich auch KMU darunter sein. Dagegen ist zu halten, dass wir mit dieser Regelung für ein bestimmtes Cybersicherheitsniveau durchaus auf dem richtigen Weg sind. Wenn auch kleinere Unternehmen einen essenziellen Service für Konsument*innen oder Bürger*innen in Österreich erbringen, sollten sie dies Daten auch ausreichend schützen. Wahrscheinlich ist der Server unterm Schreibtisch nicht die beste Wahl als sicherer Speicherort. Der Geschäftsführer wird immer die Verantwortung tragen und kann diese auch nicht einem IT-Leiter oder an Lieferanten abgeben. Wenn er oder sie sich nicht um die Sicherheit kümmert, drohen hohe Geldstrafen oder das Innenministerium kann sogar per Bescheid feststellen, dass die Person künftig nicht mehr in der Geschäftsführung tätig sein darf.

Wir versuchen so gut es geht, auch Unternehmen mit den unterschiedlichen CERTs (Anm. »Computer Emergency Response Teams«) zu unterstützen, doch eine Behörde kann bestenfalls wie eine Feuerwehr agieren. Diese hilft bei der unmittelbaren Brandbekämpfung, die Schäden aus einem Vorfall wird sie nicht reparieren. Eines ist klar: NIS-2 wird eins zu eins in österreichisches Recht umgesetzt werden, ohne Änderungen. Man braucht also nicht abzuwarten, um sich vorzubereiten.

Jeder kann den Gesetzestext auf der Homepage des Europäischen Parlaments herunterladen. Auch an der Selbstauskunft der Unternehmen, wer davon betroffen ist, wird sich nichts ändern. Anders wäre das bei der großen Zahl der Unternehmen bei uns personell gar nicht möglich.«

Hintergrund: Recht

NIS-2
Die NIS2-Richtlinie (»Sicherheit der Netz- und Informationssysteme«) ist am 16. Jänner 2023 in Kraft getreten, die Mitgliedstaaten müssen die Richtlinie bis 17. Oktober 2024 umsetzen. Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 auf einen weit größeren Teil der Wirtschaft ausgeweitet. Betroffene Einrichtungen müssen geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen und unterliegen Meldepflichten.

Cyber Resilience Act
Die Europäische Kommission hat im September 2022 den Entwurf eines Cyber Resilience Act vorgelegt, mit dem sie die Cybersicherheit von Produkten verbessern will (»Security by Design«). Unternehmen werden gefordert sein, im Design, der Entwicklung und Produktion sowie während der Nutzung risikoangemessene Cybersecurity-Maßnahmen zu etablieren. Der Gesetzestext liegt im fortgeschrittenen Entwurfsstadium vor. Er soll zwei Jahre nach dem Inkrafttreten ohne weitere Übergangsfrist gelten.

Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung (DGSVO) ist seit dem 25. Mai 2018 die Grundlage des allgemeinen Datenschutzrechts in der EU und Österreich. Sie enthält Bestimmungen zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen, besondere Sorgfaltspflichten und Verantwortungen, sowie Meldepflichten bei Datenschutzverletzungen und Haftungen mit Strafen, die von der Datenschutzbehörde verhängt werden können.

Lieferkettengesetz
Lieferkettengesetze gibt es bereits in mehreren Ländern, darunter in Deutschland. Sie verpflichten Unternehmen zu prüfen, ob und wo bei ihren Zulieferern Menschenrechte missachtet oder Umwelt zerstört wird. Damit nicht in jedem Land unterschiedliche Lieferkettengesetze gelten, wird derzeit auf EU-Ebene ein allgemeines Gesetz erarbeitet. Sobald die Richtlinie fertig verhandelt ist, wird auch Österreich innerhalb von zwei Jahren ein nationales Lieferkettengesetz umsetzen.