Donnerstag, Mai 02, 2024

Unterstützung bei Sicherheitsfragen



Thomas Stubbings, Geschäftsführer von Cyber Trust Services, bietet mit einem Gütesiegel den Nachweis für Sicherheitsmaßnahmen in Unternehmen. Warum dies auch für nicht von NIS 2 betroffene Unternehmen spannend ist – darüber spricht er mit dem Report.

Welchen Stellenwert räumen Unternehmen dem Thema Cybersicherheit ein? Und wo setzen Sie hier mit Ihrer Arbeit an?

Thomas Stubbings: Die großen Unternehmen haben dahingehend eine starke Awareness und setzten bereits viele Maßnahmen um. Doch der Mittelbau, der auch das Rückgrat der Wirtschaft in Österreich ist, tut viel zu wenig. KMU haben all die Risiken, die die Großen auch haben – sie sind sich dessen aber oft nicht bewusst.
Ich bin seit über 20 Jahren im Bereich Cybersicherheit in verschiedensten Rollen tätig. Seit acht Jahren berate ich Unternehmen zu diesem Thema. Seit der Gründung des Unternehmens Cyber Trust Services beschäftige ich mich mit einem Gütesiegel für Cybersicherheit, der als Nachweis für eine Basissicherheit in Unternehmen und Organisationen dient. Daneben bin ich ehrenamtlich in Funktionen wie etwa im Vorsitz der Cybersicherheitsplattform der Bundesregierung tätig – mit der Zielsetzung, Österreich sicherer zu machen. Das Thema treibt mich seit Jahren an. 

Ist das eine Frage des Budgets, der fehlenden Fachkräfte oder einfach nur des mangelnden Know-hows? 

Stubbings: Es kommt alles zusammen. Zunächst fehlt in vielen Fällen das Bewusstsein, da sich die Geschäftsführung eines mittelständischen Unternehmen meistens nicht mit Cybersecurity auskennt und auch nicht dazu tendiert, Berater zu konsultieren. Man ist zumeist darauf reduziert, was man über die Medien erfährt. Das ist sicher nicht ausreichend. Dann ist Geld ein Faktor. KMU müssen jeden Euro zweimal umdrehen und haben 1.000 Dinge auf ihrer Agenda.

Nicht zuletzt fehlen die Personalressourcen. Es gibt zu wenige qualifizierte Fachkräfte in Österreich, um die Unternehmen im Bereich Cybersicherheit zu unterstützen. Man wird künftig deshalb verstärkt über Pooling und auch Outsourcing nachdenken müssen. Das ist aus meiner Sicht auch nicht falsch, denn nicht jedes kleinere Unternehmen braucht einen eigenen CISO (Anm. Chief Information Security Officer). CISO-Leistungen können zugekauft werden und das muss auch keine Vollzeitstelle sein. Wenn sich ein Externer zwei Tage in der Woche um das Thema kümmert, ist das immer noch besser, als gar keine Maßnahmen zu setzen.

Fehlende Ressourcen in Unternehmen für die Cybersicherheit bedeutet in der Regel, das Risiko dazu nicht beziffern zu können. Gehandelt wird oft erst nach einem erfolgreichen Angriff – wenn der Schaden bereits da ist. 

Stubbings: Üblicherweise gibt es kein strukturiertes Risikomanagement in KMU, ausgenommen vielleicht bei Unternehmen im Finanzdienstleistungsbereich. Daher gibt es auch kein Risikobewusstsein. Wenn ich ein Risiko nicht greifen kann, habe ich auch keinen Anlass, etwas dagegen zu tun. Aus meiner Sicht ist die größte Herausforderung für uns alle, die allgemeine Risikolage in der gesamten Unternehmenslandschaft bewusst zu machen. 

In der jüngsten Zeit gab es kaum Mangel an Berichten über Ransomware-Attacken in den Medien. Damit müsste doch ein Grundwissen darüber bestehen? 

Stubbings: Ja, aber offensichtlich reicht es nicht aus. Frei nach dem Floriani-Prinzip fühlen sich viele nicht selbst davon betroffen oder gefährdet. Man betrachtet sich vermeintlich als unwichtig – die klassische Lebenslüge. Denn Angreifer suchen sich nicht das teuerste oder das wichtigste Opfer, sondern jenes, das am einfachsten angegriffen werden kann – selbst dann, wenn man dort vielleicht nur 5.000 Euro abzocken kann. 

Beim Schaffen des Bewusstseins dafür sehe ich auch die Standesvertretungen in den Branchen in der Pflicht. Wenn Information zu Cybersicherheitsthemen und Gefahren über die Peer-Group verbreitet werden, ist das besonders effektiv. Ein Logistikunternehmen, das mit einem Partner-Unternehmen aus demselben Sektor über einen Sicherheitsvorfall spricht – da hat man einen besonderen Bezug.

Darüber hinaus gibt es in Österreich bereits wenige Branchen-CERTs (Anm. Computer Emergency Response Team) – wie etwa für die Energiewirtschaft –, die bereits hervorragende Arbeit machen und auf einem Niveau sind, von dem andere nur träumen können. Sie beschäftigen sich mit aktuellen Bedrohungen und Schwachstellen, informieren dazu und geben auch Hilfestellungen. Auch CERT.at ist eine sehr gute Infodrehscheibe, aber sie ist nicht die Kavallerie, die bei jeder Verschlüsselung bei einem KMU einmarschiert. Dazu sind die CERTs auch nicht personell aufgestellt.

Warum sollten Unternehmen auf ein Gütesiegel für Cybersicherheit setzen? 

Stubbings: Das Cyber Trust Austria Gütesiegel wurde vor zwei Jahren in Zusammenarbeit mit dem Kompetenzzentrum Sicheres Österreich und dem KSV1870 geschaffen, um Transparenz im Bereich Cybersicherheit zu schaffen und Unternehmen den Nachweis ihrer Sicherheit zu erleichtern. Grundlegend wäre es ausreichend, die dazu geforderten Maßnahmen umzusetzen. Aber wir leben in einem vernetzten Markt mit Partnern und Kunden, die in einer Zusammenarbeit ebenfalls auf ihre Wahl des Partners achten.

Einen aktuellen Rechtsrahmen bildet NIS 1, das in Österreich rund 100 Unternehmen reguliert. Diese sind verpflichtet, eine Sorgfaltspflicht gegenüber Lieferanten anzulegen. Mit NIS 2 wird das Thema »Partner Risk Management« explizit in die Breite gebracht. Die Wirtschaftskammer geht derzeit von 3.000 bis 4.000 Unternehmen aus, die ab Oktober 2024 unter die neue Regelung fallen werden. Auch diese Unternehmen in Österreich werden dann verpflichtet, einen Nachweis zu ihrem Lieferantenrisiko in geeigneter Weise zu erbringen. Das kann eine Zertifizierung wie ISO 27001 sein, die mit Stand vor zwei Jahren aber eine verschwindende Minderheit von nur 170 Unternehmen in Österreich hatten. Weiters ist ein Nachweis durch Audits der Lieferanten und Partner möglich, was aber naturgemäß aufwendig ist.

Und dann gibt es einen neutralen Qualitätsnachweis wie das »Cyber Trust Austria«-Gütesiegel. Damit erfüllen die Unternehmen validierte Mindestsicherheitsmaßnahmen und dieser Nachweis wird auch von den zuständigen Behörden im Rahmen des Lieferantenrisikomanagements akzeptiert werden. Betreibt dann ein Betreiber nach NIS 2 wesentlicher oder wichtiger Dienste ein Risikomanagement und fordert das Gütesiegel von seinen Lieferanten ein, wird dies bei einer Prüfung positiv angerechnet. 

Wie aufwendig ist die Qualifikation für das Gütesiegel?

Stubbings: Anders als eine ISO-Zertifizierung, deren Kosten sich mindestens in einem fünfstelligen Euro-Bereich bewegen, kostet das Cyber Trust-Standardlabel 890 Euro. Kriterien hier sind beispielsweise ein Ansprechpartner für Cybersicherheit intern oder extern, eine Policy für den Umgang mit Sicherheit im Unternehmen, die Schulung von Mitarbeitenden das Testen von Notfallplänen und technische Grundvoraussetzungen wie Patchmanagement, Antivirus, Firewall und Nutzerauthentifizierung.

Wenn diese Anforderungen erfüllt werden – die wahrlich keine Raketenwissenschaft sind –, ist das Gütesiegel in ein bis zwei Wochen machbar. Wir sind von der Win-win-Situation überzeugt: Der Kunde, der Auftraggeber bekommt einen Nachweis in NIS-gültiger Form. Der Lieferant macht den Nachweis einmal und kann ihn gegenüber allen Kunden und Partnern vorweisen.

An wen richten Sie ihren Service vorrangig?

Stubbings: KMU sind unsere Hauptzielgruppe, aber wir haben im Moment das interessante Phänomen, dass überdurchschnittlich viele große Unternehmen ein Gütesiegel im höheren Silber- oder Gold-Level durchführen – wie zum Beispiel Siemens, Hornbach oder PwC. Auch hier zeigt sich, dass das Bewusstsein bei den Großen da ist. Wir erwarten, dass größere Unternehmen künftig das Gütesiegel auch von ihren kleineren Partnern einfordern werden. Damit werden indirekt auch die Lieferanten der unter NIS 2 fallenden Unternehmen reguliert.
Genaue Zahlen gibt es dazu nicht, aber die IKT-Branche (Anm. Wirtschaftskammer-Sparte Information und Consulting) wird von rund 100.000 Unternehmen in Österreich gebildet.

Gemäß einer Studie der Industriellenvereinigung generieren zwei Drittel der österreichischen KMU zumindest ein Drittel ihres Umsatzes mit den österreichischen Leitbetrieben. Diesen Unternehmen wollen wir das Angebot des Gütesiegels machen. Es ist niederschwellig, leistbar und behördlich anerkannt.

Meistgelesene BLOGS

Firmen | News
01. März 2024
Deutsch-Österreichisches Technologieforum: Transformation der Wirtschafts- und Energiesysteme
Unter dem Motto „Mission Zukunft - Transformation der Wirtschafts- und Energiesysteme" veranstalten die Deutsche Handelskammer in Österreich in Kooperation mit Fraunhofer Austria Research das Deutsch-...
Read More
Nicole Mayer
26. Jänner 2024
Jetzt einreichen: Staatspreis sucht exzellente Betriebe
Der Bewerb um die höchste staatliche Auszeichnung für Unternehmensqualität in Österreich ist eröffnet. Gemeinsam mit dem Bundesministerium für Arbeit und Wirtschaft (BMAW) sucht Quality Austria wieder...
Read More
Firmen | News
25. März 2024
Copilot für Microsoft 365: Die Zukunft der Arbeit durch nahtlose KI-Integration
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Read More
Firmen | News
14. März 2024
Letzte Chance: Sind Sie Österreichs „CISO of the Year"? Anmeldungen noch bis 29. März 2024 möglich
Bereits zum dritten Mal verleiht die auf Informationssicherheit spezialisierte Zertifizierungsinstanz CIS - Certification & Information Security Services GmbH die begehrte Personenauszeichnung „CI...
Read More
Alfons A. Flatscher
26. Jänner 2024
Neues statt sparen
Ganz oben auf der Agenda unserer Leser*innen steht: Neues schaffen! Wir haben gefragt, 150 Leser*innen haben uns qualifizierte Antworten geliefert. (Zum Artikel: Chancen überall, nicht erst ab 2025) D...
Read More
Katharina Bisset
07. Februar 2024
Digital Services Act: neue Pflichten für Plattformen, Marktplätze und Co.
Ab 14. Februar 2024 müssen alle Pflichten des Digital Services Act von betroffenen Unternehmen umgesetzt werden – aber was bedeutet dies konkret? Der Umfang der Pflichten hängt davon ab, welche Dienst...
Read More
Mario Buchinger
22. Jänner 2024
Braucht die Organisationsentwicklung noch Coaching und Consulting?
In der Consulting- und Coaching-Branche gibt es sicher einige Leute, die kompetent Organisationen unterstützen können. Aber viele der Coaches und Consultants nützen meist nur sich selbst. Worauf Unter...
Read More
Alfons A. Flatscher
21. März 2024
Kritisch & kreativ
 Mit KI-Technologien bleibt kein Stein auf dem anderen. Ganze Berufsstände, die sich bisher unangreifbar fühlten, geraten plötzlich in eine Krise. Legionen von Programmierern arbeiten gerade an d...
Read More

REPORT | Meistgelesen

A1 übernimmt NTT Austria

Apr..04

Die Rechtsform des Vertrauens

Apr..17

MAWEV: Ein Event zum Anfassen & unsere Highlights

Apr..09

Aufstieg in die Chefetage

Apr..10

GenAI: der nächste Sprung – nicht nur technisch

Apr..12

Expertengespräch: Zukunft der Mobilität

Apr..24

Best of Stahlbau

Apr..24

Wohnbau: Viele offene Fragen …

Apr..26

Von der IT lernen: Stand-up Meetings

Apr..19

Die besten Arbeitgeber der Branche

Apr..17

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon
Suche

Selected Filters

Open Filters
Geek ElasticSearch powered by JoomlaGeek.com