CyberRisk Report - IT-Security Die Security-Landschaft von Österreichs kritischer Infrastruktur im Überblick. Datenschutz Im Gespräch mit OMV ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
CyberRisk Report DER JÄHRLICHE REPORT ZUM ÖSTERREICHISCHEN CYBERRISK RATING AUSGABE 2022 IT-Security Datenschutz Die Security-Landschaft von Österreichs Im Gespräch mit OMV Datenschützer kritischer Infrastruktur im Überblick. Manfred Spanner.
IMPRESSUM: Medieninhaber: KSV1870 Nimbusec GmbH, 4020 Linz, Fadingerstraße 15;
www.nimbusec.com/www.cyberrisk-rating.at
Herausgeber: Alexander Mitter; Verlagsort: Linz; Chefredaktion: Elisabeth Hentscholek; Autoren dieser Ausgabe: Alexander Janda,
Alexander Mitter, Alen Kocaj, Elisabeth Hentscholek, Gerald Hübsch, Thomas Stubbings, Walter Fraißler; Layout: Elisabeth
Hentscholek; Lektorat: Johannes Payer
Hinweis: Aus Gründen der Lesbarkeit wird darauf verzichtet, geschlechtsspezifische Formulierungen zu verwenden.
Soweit personenbezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen sie sich auf alle Geschlechter.
4
Editorial
Wir leben und arbeiten in einer Welt, die uns dank immer standort perfekt warten, absichern und überwachen? Und
effizienterer Technologie den höchsten Lebensstandard der – wenn diese Herausforderung für unsere größten Unter-
Menschheitsgeschichte ermöglicht. nehmen bereits riesig ist – wie sollen Österreichs Klein- und
Egal, in welche Richtung man blickt: Informationstechno- Mittelunternehmen sie bewältigen?
logie ist allgegenwärtig. Satellitennavigation leitet unse-
re Verkehrsströme auf den Straßen, am Wasser und in Diese Fragen bewegten nicht nur die EU-Kommission, als
der Luft. EDV-Systeme stellen unsere Röntgenbilder und sie die NIS-Richtlinie1 verabschiedete, und unsere Minis-
Krankheitsgeschichten Ärzten in Originalqualität zur Ver- terien, als sie diese Richtlinie für Österreich umsetzten 2,
fügung. Unsere Unternehmen versenden Rechnungen di- sondern auch die Cybersicherheitsexperten des Kompetenz-
gital, und der Handel findet sogar für lokale Güter immer zentrum Sicheres Österreich (KSÖ)3, die seit Mitte 2020
öfter im Cyberspace statt. Smart Meter optimieren unsere den ersten österreichischen Standard zur Erstellung eines
Stromnetze, und Bankgeschäfte tätigen die meisten von CyberRisk Ratings4 geschaffen haben. Als KSV1870 nutzen
uns direkt auf ihrem Mobiltelefon. Wer hätte sich das vor wir diesen Standard, um Unternehmen weltweit einheitlich,
nicht einmal einer Generation vorstellen können? effizient und fair zu bewerten. Wie es dazu kam, welche Zie-
le wir damit verfolgen und welche Erkenntnisse wir dadurch
Doch überall, wo Licht ist, ist auch Schatten: Unsere Digita- gewinnen konnten, möchten wir Ihnen auf den folgenden
lisierung baut auf Technologie auf, in der im Stundenrhyth- Seiten berichten.
mus neue Sicherheitslücken gefunden werden. Selbst ohne
aktive Angreifer ist die zuverlässige Funktion unserer Com- Eines kann ich Ihnen aber bereits vorab verraten: Cybersi-
puter eine große Herausforderung. Seit aber zusätzlich Kri- cherheit wird einer der wesentlichsten Faktoren für die wei-
minelle und staatliche Akteure gleichermaßen verstanden tere Digitalisierung unserer Welt sein. Kein Staat, kein Un-
haben, dass wir unsere wertvollsten Daten und Prozesse ternehmen, kein einziger Mensch wird sich diesem Thema
dieser Technologie anvertrauen, werden Sicherheitsproble- entziehen können. Die Chancen moderner Technologie sind
me systematisch und im großen Stil ausgenützt. aber zu groß, als dass wir uns durch Hacker entmutigen las-
sen sollten. Also: Bleiben wir mutig und innovativ! Die neu-
Wie soll eine IT-Abteilung all diese Technologien zu jedem en Herausforderungen können wir gemeinsam meistern.
Zeitpunkt, auf jedem Gerät und an jedem Unternehmens-
Ich wünsche Ihnen viel Lesevergnügen.
Ihr Alexander Mitter
Geschäftsführer der KSV1870 Nimbusec GmbH
1
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016L1148&from=DE
2
https://www.nis.gv.at/
3
https://kompetenzzentrum-sicheres-oesterreich.at/
4
https://cyberrisk-rating.at/cyberrisk-schema-de.pdf
5Inhalt
8 Die Security-Landschaft Österreichs im 14 Manfred Spanner (OMV) im Interview. Wir
Überblick. Im Zuge des CyberRisk Ratings wurde sprachen mit Manfred Spanner, oberster Konzern-
ein groß angelegter Security Scan quer durch Ös- datenschutzmanager in der OMV, über Inhalt und
terreichs Unternehmenslandschaft durchgeführt. Nutzen dieses federführend von ihm ausgestalte-
ten Datenschutzmoduls.
9 CyberRisk Rating: Zahlen, Daten, Fakten. Wie
schlugen sich die Lieferanten der kritischen Infra- 19 Fachbeitrag: Erste Erfahrungen eines Betrei-
struktur im ersten Jahr des CyberRisk Ratings? bers kritischer Infrastrukturen. Gerald Hübsch
sprach mit Walter Fraißler, Leiter der Informa-
tionssicherheit bei VERBUND AG, und Alexander
10 Warum wir ein CyberRisk Rating brauchen. Als Mitter, Geschäftsführer der KSV1870 Nimbusec
KSV1870 stellen wir mit dem CyberRisk Rating GmbH, über Zielsetzung, Nutzen und die ersten
ein Werkzeug zur Verfügung, mit dem wir unsere Praxiserfahrungen mit dem österreichischen Cy-
Geschäftspartner nicht nur bewerten, sondern berRisk Rating.
implizit auch beraten können.
27 Das Cyber Trust Label. Das Cyber Trust Austria
12 Das Cyber Risk Advisory Board. Welche Rolle Label gibt Organisationen die Möglichkeit, nach
hat das Advisory Board im österreichischen Cyber- außen sichtbar zu zeigen, dass sie essenzielle
Risk Rating, und was macht die Mitwirkung für Mindestsicherheitsmaßnahmen für Cybersicher-
die Experten aus der Praxis so spannend? Gerald heit umgesetzt haben. Der Generalsekretär des
Hübsch sprach mit den Vertretern der involvierten Kompetenzzentrum Sicheres Österreich (KSÖ)
Branchen und öffentlichen Stellen über ihre Arbeit Dr. Alexander Janda, und der Geschäftsführer
in diesem Gremium. der Cyber Trust Austria, Dr. Thomas Stubbings,
im Gespräch.
29 3 Fragen mit Geldservice Austria. Geldservice
Austria (GSA) über Erwerb und Nutzen des Cyber
Trust Austria Labels.
6Foto: OMV AG | OMV Zentrale Wien
14
Interview:
Mit Datenschützer Manfred Spanner (OMV)
12 Das Cyber Risk Advisory Board:
Funktion & Mitwirkung 19 Fachbeitrag:
Erste Erfahrungen eines Betreibers
kritischer Infrastrukturen
Foto: VERBUND | Speicherkraftwerk
Foto: Freepik
27
Foto: Freepik
Das Cyber Trust Label:
Österreichs neues Cybergütesiegel
10
Foto: Adobe Stock
Warum wir ein
7
CyberRisk Rating brauchenIT-SECURITY
Die Security-Landschaft
Österreichs im Überblick
Im Zuge des CyberRisk Ratings wurde ein groß angelegter Security Scan quer durch Öster-
reichs Unternehmenslandschaft durchgeführt. Daraus konnten im Bezug auf mit Malware
infizierte Webseiten folgende Schlüsse gezogen werden: DATENANALYSE: KSV1870 Nimbusec GmbH | TEXT: Elisabeth Hentscholek
28 % MALWARE BLEIBT MINDESTENS 2 MONATE ONLINE
28% der infizierten Domains verteilten zwei Monate nach Entdeckung der Malware
weiterhin Schadsoftware an Webseitenbesucher.
17 %
INNERHALB EINES MONATS ERNEUT GEHACKT
Von den mit Schadsoftware infizierten Webseiten wurden 17% nach dem Bereinigen
nur unzureichend abgesichert und innerhalb eines Monats erneut infiziert.
88 %
WORDPRESS ALS MALWARE-EINFALLSTOR
Wordpress ist nicht nur das am weitesten verbreitete Content Management System,
sondern auch in 88% der Malware-Fälle das Einfallstor. Gründe dafür sind fehlende
Patches, Lücken in Templates und insbesondere Plug-Ins. Diese technischen Proble-
me werden aufgrund fehlender organisatorischer Prozesse und Verantwortlichkeiten
lange nicht gelöst. Wer also nicht schnell patcht, wird gehackt. Foto: Freepik
8CYBERRISK RATING: ZAHLEN, DATEN, FAKTEN
CyberRisk Rating:
Zahlen, Daten Fakten
DATENANALYSE: Alen Kocaj | TEXT: Elisabeth Hentscholek
20% 35%
der Lieferanten haben sich bei der Beant- der Lieferanten haben sich bei der Auswahl
wortung des Assessments im Durchschnitt ihres CyberRisk Ratings gegen das vom
überschätzt. Bei den Fragen B13, A5 und Auftraggeber geforderte Rating entschieden.
A10 trat Selbstüberschätzung am häufigs-
ten auf.
58%
In 58 % der Fälle musste der Verifizierer dem Lieferanten nach Ausfüllen des
Assessments eine Nachfrage senden, da die gegebene Antwort nicht schlüs-
sig oder detailliert genug war.
13% 41%
der Unternehmen weisen ein mangelndes der Unternehmen können den Anspruch
Basissicherheitslevel (B-Rating) auf. an ein fortgeschrittenes Sicherheitslevel
(A-Rating) nur mäßig erfüllen.
3 von 10
Lieferanten sind nicht in der Lage, IT-Sicherheitsvorfälle in
ihrem Unternehmen durch Protokollierung ihrer Systeme
zuverlässig zu erkennen.
9WARUM WIR EIN CYBERRISK RATING BRAUCHEN
Warum wir ein
CyberRisk Rating
brauchen
Als KSV1870 stellen wir mit
dem CyberRisk Rating ein Werk-
zeug zur Verfügung, mit dem wir
unsere Geschäftspartner nicht
nur bewerten, sondern implizit
auch beraten können. Foto: Adobe Stock
10WARUM WIR EIN CYBERRISK RATING BRAUCHEN
Seit mehr als 150 Jahren schützt der Kreditschutzverband von 1870 (KSV1870) die Inter-
essen seiner Mitglieder durch das Erheben von Bonitätsinformationen.
Zur Zeit der Gründung des KSV1870 waren es Kreditbetrüger, die den Wirtschaftstreiben-
den ihr Leben schwer machten, und schon im 19. Jahrhundert erkannte die österreichische
Wirtschaft, dass nur durch Zusammenarbeit quer über Unternehmensgrenzen hinweg eine
Lösung möglich war – genauso wie heute. TEXT: Alexander Mitter
Die Technologie hat sich dramatisch politische Kampagnen, Regierungen Digitalisierung verschließen, und die
weiterentwickelt, aber grundsätzlich und sogar die Olympischen Spiele ver- Absicherung unserer EDV ist dafür
sind unsere Mitglieder heute wie da- antwortlich waren. Die Details und schlicht notwendig.
mals ähnlichen Bedrohungen ausge- der Umfang der Anklageschrift geben Wir können diese Herausforderung –
liefert: Lücken in Systemen aller Art einen seltenen Einblick in den Grad genau wie schon im Jahr 1870 – nicht
werden von Kriminellen ausgenützt, der Organisation heutiger Hacker. allein lösen: Mit dem CyberRisk Ra-
um sich illegal Vorteile zu verschaf- Im Lichte des Krieges zwischen Russ- ting des KSV1870 haben wir ein pra-
fen. Egal, ob Informationen entwen- land und der Ukraine müssen wir uns xisorientiertes Werkzeug geschaffen,
det, Geld erpresst oder Identitäten ge- darauf vorbereiten, dass diese Bedro- das auf dem gemeinsamen Wissen
stohlen werden: Am Ende müssen wir hungen weiter zunehmen. der erfahrensten IT-Sicherheits- und
uns gegen die Bedrohungen unserer Als KSV1870 stellen wir mit dem Datenschutzexperten unseres Landes
Zeit wehren. CyberRisk Rating ein Werkzeug zur aufbaut.
Die Mitglieder des KSV1870 bilden
einen Querschnitt der österreichi-
schen Volkswirtschaft. Wir konnten
in den letzten Jahren beobachten, wie
Mittlerweile lesen wir fast täglich von Fällen, in
das Risiko eines Cybersicherheitsvor-
denen finanziell gesunde Firmen ihre Produktion
falls für KMUs genauso wie für Unter-
stoppen müssen, weil Hacker ihre Daten ver-
nehmen der kritischen Infrastruktur
schlüsselt haben.
immer weiter stieg. Mittlerweile lesen
wir fast täglich von Fällen, in denen
finanziell gesunde Firmen ihre Pro- Verfügung, mit dem wir unsere Ge- Probieren Sie es gerne selbst: Unsere
duktion stoppen müssen, weil Hacker schäftspartner nicht nur bewerten, Mitarbeiter bei KSV1870 Nimbusec
ihre Daten verschlüsselt haben. Sogar sondern implizit auch beraten kön- freuen sich darauf, Ihnen zu zeigen,
staatliche Akteure nutzen den Cy- nen. Jede der 25 Anforderungen wie Sie Ihr Unternehmen auf die Cy-
berspace, um Wissen zu stehlen und des KSÖ Cyber Risk-Schemas ist ein bersic herheit sherau sforder u ngen
Devisen zu beschaffen. 2020 beschul- Schritt in die richtige Richtung. Es unserer Zeit am besten vorbereiten.
digte eine Jury in den USA sechs Of- ist jetzt an der Zeit, Sicherheitsricht- Selbst KMUs können so ein ausge-
fiziere einer russischen Militäreinheit linien für unsere IT zu erstellen, Mit- zeichnetes CyberRisk Rating errei-
namentlich, da sie es als erwiesen an- arbeiter zu schulen, Backups zu tes- chen – mit den richtigen Maßnahmen
sah, dass diese für tausende Angrif- ten und Notfallpläne zu definieren. sogar ohne zusätzliche Kosten.
fe auf internationale Unternehmen, Kein Unternehmen kann sich der
11DAS CYBER RISK ADVISORY BOARD
Das Cyber Risk
Advisory Board
Welche Rolle hat das Advisory Board im österreichischen CyberRisk
Rating inne, und was macht die Mitwirkung für die Experten aus der
Praxis so spannend? Gerald Hübsch sprach mit den Vertretern der
involvierten Branchen und öffentlichen Stellen über ihre Arbeit in
diesem Gremium: TEXT: Gerald Hübsch
Von der tragenden Gründungsidee im gewinnen und dieses somit stringent
Jahr 2019 für ein „CyberRisk Rating“ an den Bestimmungen des Gesetzes
in der heutigen KSV1870 Nimbusec für Netz- und Informationssystemsi-
GmbH bis zur Einbindung der dafür cherheit, kurz NIS, und den Praxisan-
maßgeblichen Stakeholder war es nur forderungen auszurichten.
ein kurzer Weg. Das neuartige Rating Wer sind nun diese „Ideengeber“,
sollte ja speziell die Betreiber kriti- und welche Aspekte bringen sie in
scher Infrastrukturen adressieren und dieses Innovationsprojekt ein?
unterstützen. Und so gelang es rasch,
eine Reihe anerkannter Top-Experten
aus der Praxis für dieses Vorhaben zu
Foto: Freepik
12DAS CYBER RISK ADVISORY BOARD
Das Kompetenzzentrum Sicheres Die KSV1870 Nimbusec GmbH unter Vertreter der operativen NIS-Behörde
Österreich (KSÖ) unter der Leitung von Alexander Mitter – gemeinsam mit im BMI adressieren die maßgeblichen
Alexander Janda ist „Eigentümer“ des Thomas Stubbings von Cyber Trust gesetzlichen Aspekte und lenken den
Cyber Risk-Schemas und Träger des Austria der Initiator dieses Projektes Blick frühzeitig auf künftige Anforde-
Advisory Boards. – betreibt die Rating-Lösung, während rungen, beispielsweise aus NIS 2.0
Thomas Stubbings das Cyber Trust resultierend.
Label herausgibt.
Die weiteren Mitglieder aus den im NIS-Gesetz gelisteten Branchen bringen ihre umfangreiche praktische Expertise laufend
ein, erarbeiten und aktualisieren alljährlich gemeinsam mit KSV1870 Nimbusec das CRR-Schema als Grundlage für das
nachfolgende CyberRisk Rating, gestalten die zugehörigen Prozesse rund um den Rating-Vorgang mit und achten strikt auf
die Praxisnähe der erarbeiteten Lösung.
Das Cyber Risk Advisory Board 2021/22:
Gerald Hübsch Thomas Von der Gathen
Christian Brennsteiner
Spar Business Services ehemals Energie AG OÖ Payment Services Austria
GmbH & nun selbstständiger GmbH (PSA)
IT-Experte
Peter Gerdenitsch Michael Stephanitsch Wolfgang Schwabl
Raiffeisen Bank IT-Services der Sozialver- A1 Telekom Austria Group
International AG (RBI) sicherung GmbH (ITSV)
Manfred Spanner Walter Fraißler Anton Sepper
OMV AG VERBUND AG Wiener Linien GmbH
Dieses Team unterstützt mit seinem Spirit und Know-How die Einführung des österreichischen CyberRisk Ratings im Inter-
esse einer gesteigerten Sicherheit und Resilienz der Unternehmen und Organisationen in unserem Land.
13INTERVIEW: MIT MANFRED SPANNER
INTERVIEW:
„Daten, Informationen und Wissen
sind der ‚Treibstoff‘ im Unternehmen“
Das Kompetenzzentrum Sicheres Österreich (KSÖ) und der KSV1870 haben ein neuartiges
CyberRisk Rating für Österreich als Beitrag zum Basisschutz unserer Unternehmen und Or-
ganisationen vor den zahllosen Bedrohungen im Cyberspace entwickelt. Ergänzend zur klas-
sischen Informationssicherheit bietet dieses System auch ein spezifisches Datenschutzmo-
dul. Wir sprachen mit Manfred Spanner, oberster Konzerndatenschutzmanager in der OMV,
über Inhalt und Nutzen dieses federführend von ihm ausgestalteten Datenschutzmoduls.
TEXT: Gerald Hübsch
Herr Spanner, wie sind Sie zum Unternehmen, und wo liegen die ordnungsgemäße Behandlung ihrer
Datenschutz gekommen, und was größten Herausforderungen? personenbezogenen Daten.
fasziniert Sie an Ihrer Tätigkeit?
Daten, Informationen und Wissen
Nach einer umfassenden Ausbildung sind der „Treibstoff“ im Unterneh- Welche Schwerpunkte umfasst Ihr
in Recht, Wirtschaftsinformatik und men. Ein professionelles, durch- Aufgaben- und Verantwortungsbe-
Security führte mich mein Weg früh- gängiges Datenschutzmanagement reich in der OMV?
zeitig in das Informationsmanage- identifiziert und schützt die informa-
ment und die Informationssicherheit. torischen „Juwelen“ im Unternehmen, Meine Einheit Group Data Protection
Berufliche Stationen waren u. a. die bewertet und reduziert die korres- Office kümmert sich international
Banken- und IT-Branche, ein großer pondierenden Risiken und vermeidet um das Datenschutzmanagement im
österreichischer Transportkonzern, durch die Einhaltung der gesetzlichen OMV Konzern und stellt in meiner
staatliche Expertengremien und aktu- Person auch den obersten Daten-
ell der OMV Konzern. Mein besonde- schutzbeauftragten. Unser Daten-
res Interesse galt dabei immer der or- schutzmanagement verfolgt dabei
ganisatorischen und rechtlichen Sicht einen integralen Ansatz und deckt
Informationssicher-
auf das „Datenuniversum“ im Unter- nicht nur technische und risikobezo-
heit und Datenschutz sind
nehmen. Ich betrachte es als span- gene Aspekte, sondern auch die damit
‚Geschwister‘, die einander
nende Herausforderung, die Daten = verknüpften wirtschaftlichen und
ergänzen.
Werte im Unternehmen zu schützen rechtlichen Dimensionen einschließ-
und insbesondere deren Vertraulich- lich der Bewusstseinsbildung unserer
keit, Integrität und Verfügbarkeit si- Mitarbeiter (Awareness) ab.
cherzustellen (C-I-A = confidentiality
+ integrity + availability). Vorgaben finanzielle Strafen. Guter
Datenschutz sichert somit Werte, Sie haben im Cyber Risk Advisory
wendet potenziellen Schaden ab und Board des Kompetenzzentrum Si-
Welchen Beitrag leistet ein gu- stärkt das Vertrauen der Mitarbeiter, cheres Österreich (KSÖ) federfüh-
tes Datenschutzmanagement im Kunden und Geschäftspartner in eine rend das neue Datenschutzmodul
»
14INTERVIEW:
INTERVIEW MIT
MIT MANFRED
MANFRED SPANNER
SPANNER
ZUR PERSON:
Mag. Manfred Spanner, MSc. führt die Konzerneinheit Group
Data Protection Office in der Konzernzentrale der OMV, hat
den globalen Lead als konzernweiter Datenschutzbeauftragter
Fotos: OMV AG | OMV Zentrale Wien, Manfred Spanner
und leitet die operativen Datenschutzagenden der österreichi-
schen Konzerngesellschaften.
Herr Spanner verfügt über eine breite Ausbildung in Wirt-
schaftsrecht, Wirtschaftsinformatik und Informationssicher-
heit. Er blickt auf langjährige Führungserfahrung im Banken-,
IT-, Transport- und Industriesektor zurück und hat unter
anderem die legislative Umsetzung der NIS-Verordnung und
der Datenschutzverordnung in Österreich begleitet.
15INTERVIEW: MIT MANFRED SPANNER
gestaltet. Inwieweit konnten Sie Keineswegs! Das Modul hilft allen der OMV hat uns übrigens gezeigt,
Ihre professionelle Erfahrung ein- Unternehmen und Organisationen dass rund ein Viertel davon daten-
fließen lassen? Können Sie uns im Interesse eines gesetzeskonfor- schutzrechtlich relevant ist.
Beispiele aus der Praxis nennen? men und wirksamen Datenschut-
zes. Datenschutz ist auch für Unter-
Mit großer Freude durfte ich meine nehmen ohne (End-)kundenkontakt Kann das Datenschutzmodul auch
langjährigen Erfahrungen aus der maßgeblich, insbesondere bei der kleineren Unternehmen als Orien-
Praxis und für die Praxis einbringen. Verarbeitung von Mitarbeiterdaten. tierungshilfe dienen, und wie kön-
Unsere oberste Zielsetzung war es, Auch bei der operativen Abwicklung nen diese ebenfalls einen guten
Unternehmen und Organisationen durch beauftragte interne oder exter- Datenschutz erreichen?
beliebiger Größe einen unmittelbar ne Dienstleister verbleibt die Gesamt-
anwendbaren, verständlichen Daten- und Letztverantwortung stets beim Auf alle Fälle! Sowohl das grundle-
schutzkatalog im Einklang mit dem eigenen Unternehmen. gende CyberRisk Rating als auch das
neuen Datenschutzgesetz zur Hand Datenschutzmodul sind vom Einper-
zu geben. Wie gestalte ich ein effek- sonen- über Klein- und Mittelstands-
tives Datenschutzmanagement, wel- Sind die Anforderungen des KSÖ unternehmen bis hin zum interna-
che Vorkehrungen und Abläufe sind Cyber Risk Advisory Boards in Zu- tionalen Konzern anwendbar und
zu beachten, wie entspreche ich den kunft auch für Lieferanten der OMV nutzbringend.
Betroffenenrechten, und wie reagiere relevant?
ich auf mögliche Datenschutzverlet-
zungen – dies sind nur einige der kon-
kreten Fragestellungen und Lösungs-
ansätze. Sie müssen nicht zum Datenschutzexperten mutieren.
Das Grundverständnis und die ‚Awareness‘ für Daten-
schutz sollten ausreichen, um eine geeignete Daten-
schutzorganisation im Unternehmen einzurichten (...).
Gibt es beim CyberRisk Rating
Gemeinsamkeiten zwischen der
Cybersicherheit und dem Daten-
schutz? Voll und ganz. Auch die OMV beauf- Ist die anfängliche Unsicherheit,
tragt – als Betreiber wesentlicher, die bei der Einführung der DSGVO
Definitiv. Informationssicherheit und „kritischer“ Infrastruktur im Sinne in Österreich geherrscht hat, Ihres
Datenschutz sind „Geschwister“, die des NIS-Gesetzes – zahlreiche Lie- Erachtens mittlerweile überwun-
einander ergänzen. Während Infor- feranten und Dienstleister und trägt den?
mationssicherheit den Schwerpunkt dabei die Letztverantwortung für In-
eher auf technisch-organisatorische formationssicherheit und für Daten- Österreich besitzt seit dem Jahr 2000
Maßnahmen und die gesicherte Ver- schutz. In diesem Zusammenhang ein Datenschutzgesetz. Die anfängli-
fügbarkeit der Informationsverarbei- sind auch verpflichtende Lieferanten- che Unsicherheit bei der Umsetzung
tung legt, schützt der Datenschutz audits durchzuführen (Third Party der EU-weiten DSVGO hing wohl eher
den Lebenszyklus personenbezogener Risk Assessment/Management). Das am unerwartbaren Strafausmaß für
Daten. neue CyberRisk Rating erleichtert und (grobe) Datenschutzverletzungen. Die
beschleunigt diese Arbeit und verbes- inhaltlichen Anforderungen selbst bis
sert so den Fokus und die Wirksam- hin zur Verankerung eines Daten-
Richtet sich das Datenschutzmo- keit der noch verbleibenden, eigenen schutzmanagementsystems im Unter-
dul ausschließlich an IT-Unterneh- Audits. Eine umfassende Analyse nehmen waren und sind nachvollzieh-
men? sämtlicher externer Vertragswerke bar und klar im Gesetz geregelt. Die
16INTERVIEW: MIT MANFRED SPANNER
Einhaltung von Betroffenenrechten, Auch bzw. gerade weil Daten zum
das Einholen von Einverständniser- „neuen Öl“ in der globalen Wirtschaft
klärungen und die zeitnahe, geeignete werden, hat die Europäische Union
Reaktion auf Vorfälle sind zwischen- mit ihrer DSGVO den Weg bereitet
zeitlich zum Selbstverständnis gewor- und dient als Referenz für zahlreiche
den – ein großer Fortschritt! Länder und mitunter auch globale IT-
Konzerne, wie z. B. Apple. Europäi-
sche Unternehmen mit DSGVO-Kon-
ZUM INTERVIEWPARTNER:
Was würden Sie Geschäftsführern, formität erzielen so einen gewissen
die keinen juristischen Hintergrund Vertrauensvorschuss und -bonus am Das Interview führte Dipl.-Ing. Dr. Gerald
besitzen, als Überblick und Leitfa- Weltmarkt. Hübsch, langjähriger CIO, Konzern-Infor-
den im Bereich Datenschutz emp- mationssicherheitsverantwortlicher und
aktuell IT Business Angel, in seiner Funk-
fehlen?
tion als Mitglied im Cyber Risk Advisory
Wird das Modell des europäischen Board des KSÖ.
Nun, sie müssen nicht zum Daten- Datenschutzes angesichts der glo-
schutzexperten mutieren. Das Grund- balen Digitalisierung haltbar sein,
verständnis und die „Awareness“ für oder sind wir globalen Konzernen
Datenschutz sollten ausreichen, um aus DSGVO-Drittländern hilflos
eine geeignete Datenschutzorganisa- ausgeliefert?
tion im Unternehmen einzurichten,
Verantwortung und Handlungsvoll- Ich denke, erst die kommenden Jahre
macht klar zu übertragen und so den können diese Frage solide beantwor-
wichtigsten Schritt zur Verankerung ten. Globale Unternehmen, welche
eines funktionierenden Datenschutz- u. a. auch den europäischen Markt be-
managementsystems zu setzen. dienen (wollen), kommen nicht um die
Einhaltung der DSGVO herum. Inter-
Foto: Privat | Dr. Gerald Hübsch
national betrachtet ist der „Kampf“
Hat die DSGVO den österreichi- zwischen ungehemmter kommer-
schen Wirtschaftsstandort Ihres zieller Datensammlung, -analyse
Erachtens geschwächt, oder sind und -verwertung einerseits und dem
österreichische/europäische Un- Schutz personenbezogener Daten an-
ternehmen als Zulieferer nun im dererseits noch nicht entschieden.
Vorteil?
Dies führt in Ansätzen zu einer phi- Sehr geehrter Herr Spanner, wir
losophischen Betrachtung. Nach danken für das interessante Ge-
meiner Einschätzung war bzw. ist spräch!
die Verankerung eines funktionie-
renden Datenschutzmanagementsys-
tems mit einem gewissen Aufwand
verbunden, schützt aber wie vorhin
erwähnt die informatorischen „Ju-
welen“ im Unternehmen, sichert
Werte, identifiziert und kontrol-
liert Risiken und vermeidet Strafen.
17Foto: Freepik 18
FACHBEITRAG:
Das österreichische
CyberRisk Rating –
erste Erfahrungen
eines Betreibers
kritischer Infrastrukturen
Gerald Hübsch, Mitglied im Cyber Risk Advisory Board, sprach mit
Walter Fraißler, Leiter der Informationssicherheit bei VERBUND AG,
und Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH,
über Zielsetzung, Nutzen und die ersten Praxiserfahrungen mit dem
österreichischen CyberRisk Rating. TEXT: Gerald Hübsch, Walter Fraißler, Alexander Mitter
19FACHBEITRAG
Die Innovationsidee:
Das neuartige, österreichische CyberRisk Rating
des KSV1870 macht die Risiken in der digitalen
Geschäftsabwicklung sicht- & greifbar.
Die branchenübergreifend zunehmende digitale Durch- Gesagt, getan! Das österreichische Unternehmen Nim-
dringung unserer Geschäftstätigkeiten ermöglicht busec GmbH, mittlerweile zur KSV1870 Gruppe zählend,
nicht nur hohe Kundenzentrierung, Produktquali- hat unter Patronanz des Kompetenzzentrum, Sicheres
tät und Prozesseffizienz, sondern erhöht im Gegen- Österreich in den vergangenen beiden Jahren gemein-
zug auch die Abhängigkeit von digitalen Diensten und sam mit Top-Experten aus der Praxis ein internatio-
Systemen. Eine Geschäftsunterbrechung, sei es durch nal beachtetes Rating-System für Cyberrisiken auf die
technische Gebrechen oder die Folgen eines Cyber- Beine gestellt. Wir haben mit dem Geschäftsführer der
angriffs, kann unsere Unternehmen teuer zu ste- KSV1870 Nimbusec GmbH, Alexander Mitter, und mit
hen kommen oder sogar in ihrer Existenz bedrohen. Walter Fraißler, Konzernverantwortlicher für Informa-
Was liegt also näher, als die Risiken in der gesamten tionssicherheit bei VERBUND, gesprochen:
Liefer- und Wertschöpfungskette zu analysieren und
in einem Rating – wie es die Finanzbranche bereits seit
langem kennt – sichtbar zu machen?
Foto: Freepik
20FACHBEITRAG
Sehr geehrter Herr Mitter, welches Problem rüber kann nun unser neues CyberRisk Rating
Q adressiert das neuartige CyberRisk Rating, erbringen. Und da wir diesen professionellen
und welchen Vorteil bietet es Ihren Kunden? Service für alle in Österreich tätigen Unterneh-
men anbieten, können sich sowohl unsere Kun-
A Unsere Kunden, vom Kleinstbetrieb bis hinauf den als auch deren Lieferanten bzw. Geschäfts-
zum international tätigen Konzern, müssen partner darauf stützen und sich so viel Ärger,
die Risiken der digitalen Geschäftsabwicklung Zeit und Mühe ersparen.
kennen, in ihrer Auswirkung auf das eigene
Unternehmen beurteilen und geeignete Schutz-
maßnahmen ergreifen können. Dies kann na- Und wie kommt nun ein interessiertes Un-
türlich nicht im Inselbetrieb erfolgen, sondern Q ternehmen zum geschäftsrelevanten Cy-
muss die gesamte Lieferkette umfassen. Und berRisk Rating?
genau dabei hilft unser CyberRisk Rating. Es
gibt strukturiert Auskunft über die sicherheits- A Unser Klient beauftragt uns, das CyberRisk Ra-
technische Verfassung eines Geschäftspartners ting für ein bestimmtes Unternehmen in seiner
und die Erfüllung adäquater Sicherheitsstan- Lieferkette einzuholen bzw. auszuweisen. Wir
dards, auf dem Stand der Technik wie auch ge- gehen – falls es sich um die erstmalige Anfra-
setzlicher Vorgaben. Gerade hier setzt ja auch ge zu diesem Unternehmen handelt – auf die-
die EU-Richtlinie NIS – Netzwerk- und Infor- ses mit einem strukturierten Fragebogen über
mationssystemsicherheit – an und verpflichtet seinen Zustand im Informationssicherheitsma-
nagement zu, validieren und bewerten die Ant-
worten und gelangen so zu einem Rating-Index.
Dies erspart diesem Analog dazu kann auch ein Hersteller bzw.
Unternehmen ab nun die Lieferant selbst jederzeit diesen Rating-Pro-
vielfache Beantwortung meist zess durchlaufen, Erkenntnisse über sei-
geringfügig unterschiedlicher An- ne Cyberrobustheit gewinnen und nöti-
fragen potenzieller Kunden ge Schutzmaßnahmen daraus ableiten. Als
in ihren Ausschreibungs- Ergebnis erhält dieses Unternehmen einen
verfahren (...). Rating-Index und – optional – auch ein
sichtbares Label von Cyber Trust Austria.
in weiterer Folge via nationales NIS-Gesetz die Dies erspart diesem Unternehmen ab nun die
„Betreiber wesentlicher Dienste“ zu besonderen vielfache Beantwortung meist geringfügig un-
Vorkehrungen, u. a. auch zur Überwachung ih- terschiedlicher Anfragen potenzieller Kunden
rer Lieferkette – Third Party Risk Management. in ihren Ausschreibungsverfahren und stellt
Den geforderten und von den maßgeblichen ein Gütesiegel für die Cybersicherheit seiner
öffentlichen Stellen akzeptierten Nachweis da- Produkte und Dienstleistungen dar.
»
21FACHBEITRAG
Sehr geehrter Herr Fraißler, VERBUND ist in der Cybersecurity weiterentwickelt und vo-
Q gewissermaßen Österreichs Rückgrat in der rangetrieben. Seit 2021 laufen die Fäden von
Energieversorgung. Welche Bereiche um- IT, Digitalisierung, Informationssicherheit
fasst dies konkret? und Telekom in einem Holdingbereich unter
Leitung von Thomas M. Zapf und im Vor-
A VERBUND ist Österreichs führendes Energie- standsbereich von Achim Kaspar zusammen.
unternehmen und einer der größten Strom-
erzeuger aus Wasserkraft in Europa. Wir sind Die steigenden Bedrohungen durch Cyberan-
ein Taktgeber für die Branche und gestalten griffe (egal, durch welche Akteure), die Anfor-
die Energiezukunft für kommende Generatio- derungen von Geschäftsprozessen und Kunden
nen mit. Dafür gehen wir neue Wege, ergreifen und die steigenden regulatorischen Vorgaben
Marktchancen und entwickeln wegweisen- sind unsere Treiber im Gebiet der Informa-
de Geschäftsmodelle und Services für unsere tionssicherheit. Das NIS-Gesetz hat bei vielen
Foto: VERBUND | Speicherkraftwerk
Kunden. VERBUND handelt in zwölf Ländern
mit Strom und erzielte 2020 mit rund 2.900
Mitarbeiterinnen und Mitarbeitern einen
Jahresumsatz von rund 3,2 Milliarden Euro. Ein wesentlicher Punkt in
diesen Vorgaben, übrigens
In den vergangenen drei Jahren hat die Infor- auch in der Norm ISO 27.001, ist die
mationssicherheit einen noch höheren Stellen- Sicherheit in der Lieferantenkette;
wert in unserem Unternehmen bekommen. dafür stellt das CyberRisk
Im Rahmen des „Masterplans Information Rating aus unserer Sicht
Security“ werden alle Aspekte des Reifegrads eine sehr gute Lösung dar.
Foto: VERBUND | Übertragungsnetz
22FACHBEITRAG
Unternehmen, die wesentliche Dienste für die nen Struktur – besteht letzten Endes aber doch
Gesellschaft bereitstellen, eine zusätzliche und aus sehr vielen Fragen, deren Beantwortung
maßgebliche Investition in Cybersecurity aus- oft nicht ganz einfach ist. Nach dem Erhalt
gelöst. Ein wesentlicher Punkt in diesen Vor- eines beantworteten Fragebogens heißt es dann
gaben, übrigens auch in der Norm ISO 27.001, noch, diesen zu überprüfen und zu verifizieren.
ist die Sicherheit in der Lieferantenkette; dafür Mit dieser allgemein anerkannten Vorgangs-
stellt das CyberRisk Rating aus unserer Sicht weise haben wir zwei Problemfelder identi-
eine sehr gute Lösung dar. fiziert: Zum einen würden wir einen solchen
Fragebogen an relativ viele Lieferanten ver-
senden, erhalten von diesen Rückfragen, die
Nachdem wir nun die Hauptgründe für den beantwortet werden müssen, und haben die
Q Einsatz des CyberRisk Ratings von KSV1870 Antworten schließlich zumindest auf Plausi-
kennen – wie ist es Ihnen bei der Umset- bilität zu überprüfen. Mit einem Wort: Wir
zung ergangen, und welchen Nutzen ziehen haben sehr viel Arbeit auf unserer Seite zu er-
Sie als VERBUND daraus? ledigen. Zum anderen haben viele Lieferanten
nicht nur uns als Kunden. Wenn auch andere
Kunden – was zu erwarten ist – ihr Lieferan-
A Im Zuge unseres „Masterplans Information
Security“ haben wir uns mit dem Third Party ten-Risikomanagement intensivieren, dann
and Vendor Risk Management intensiv aus- erhalten die Lieferanten eine Reihe von sehr
einandergesetzt. Unser erster Zugang zu die- ähnlichen, aber doch nicht identen Fragebö-
sem Thema war das, was bisher allgemein als gen zur Beantwortung. Resultat: Auch auf der
Best Practice gegolten hat: die Lieferanten zu Seite der Lieferanten entsteht sehr viel Arbeit.
klassifizieren und dann einen großen Teil der
Lieferanten über die Aussendung eines Frage-
bogens zu bewerten. Ein solcher Fragebogen
orientiert sich idealerweise an einer allgemei- »
23FACHBEITRAG
PROJEKTORGANISATION – für wenige besonders kritische Lieferanten ist es
jedenfalls eine gute Basis für ein weiterführendes
Daher haben wir die Idee des Teams um Alexan-
Audit. In diesem Idealfall sieht man sehr rasch die
der Mitter, ein standardisiertes „Cybersecurity
Vorteile in Aufwand und Durchlaufzeit auf unse-
Rating“ zu entwickeln, sofort als hervorragend
rer Seite – aber auch auf der Seite des Lieferanten.
eingestuft. Eine der großen Herausforderun-
gen war es, die doch leicht unterschiedlichen
und oft sehr umfangreichen Anforderungen
von verschiedenen Betreibern auf einen ge- HERAUSFORDERUNGEN
meinsamen Nenner zu bringen. In sehr inten-
Die größte Herausforderung bei den ersten An-
siven Diskussionen im Advisory Board ist es
fragen nach dem Rating war vermutlich, dass
uns letztlich gelungen, diese Anforderungen
dieses völlig neu und daher noch unbekannt war.
auf eine sehr überschaubare Anzahl von Fragen
Die Lieferanten hatten daher eine – verständliche
zu komprimieren. Genauso wurde ein Prozess
– Zurückhaltung und Rückfragen vor der Durch-
für den Ablauf des Ratings und die erforderli-
führung des Ratings. Ich bin zuversichtlich, dass
che Plausibilisierung der Antworten skizziert.
diese Hürde mit zunehmender Bekanntheit des
CyberRisk Ratings deutlich niedriger werden
wird. Zudem wird durch die beabsichtigte No-
BETRIEBLICHER NUTZEN vellierung der NIS-Regulierung – Stichwort „NIS
2.0“ – der Kreis der vom NIS-Gesetz betroffenen
Im Idealfall fordern wir für einen neuen Lie-
Unternehmen um ein Vielfaches größer werden.
feranten das CyberRisk Rating an, das in der
Datenbank schon vorliegt und daher unverzüg-
lich verfügbar ist. Falls das noch nicht vorliegt,
muss der Lieferant den Fragebogen ein einziges Wir danken für das interessante Gespräch!
Mal bearbeiten. Wir können darauf vertrauen,
dass die Antworten und somit das Rating quali-
tätsgeprüft wurden. Für die Großzahl der Liefe-
ranten wird das Rating als Kriterium ausreichen
Foto: VERBUND | Fischwanderhilfe in Kärnten
24FACHBEITRAG
Seit 1988 notiert VERBUND an der Börse chischen Übertragungsnetzbetreiber für VERBUND seiner Verantwortung be-
Wien, 51 % des Aktienkapitals besitzt die Strom bzw. Gas. Mit der Strategie „Mit wusst. Er versorgt Millionen Menschen
Republik Österreich. unserer Kraft in eine grüne Zukunft“ will sicher mit lebensnotwendiger elektri-
VERBUND nicht nur der wirtschaftlichen, scher Energie. Die Anlagen werden effizi-
Mit Tochterunternehmen und Partnern sondern auch der gesellschaftlichen ent geführt und bei der Stromgewinnung
ist VERBUND von der Stromerzeugung Verantwortung als führendes Energieun- Umwelt und Klima geschützt. Wie stark
über den Transport bis zum internatio- ternehmen Österreichs gerecht werden. Krisenmanagement und Resilienz bei
nalen Handel und Vertrieb aktiv. Mit der VERBUND etabliert sind wurde nicht nur
Austrian Power Grid AG und der Gas Als größtes Stromunternehmen in Ös- in den vergangenen zwei Jahren unter
Connect Austria GmbH besitzt VER- terreich und als führender Wasser- Beweis gestellt.
BUND zu 100 % bzw. 51 % die österrei- kraftwerksbetreiber in Bayern ist sich
ZU DEN PERSONEN:
Foto: VERBUND | Walter Fraißler
Foto: Privat | Dr. Gerald Hübsch
Foto: Privat | Alexander Mitter
DIPL.-ING. DR. MAG. DIPL.-ING. DR.
WALTER FRAISSLER ALEXANDER MITTER GERALD HÜBSCH
Dipl.-Ing. Dr. Walter Fraißler ist pro- Mag. Alexander Mitter ist Geschäftsfüh- Dipl.-Ing. Dr. Gerald Hübsch, langjähriger
movierter Mathematiker (TU Wien) und rer der KSV1870 Nimbusec GmbH. Nach CIO, Konzern-Informationssicherheitsver-
langjährige Führungskraft bei VERBUND. Absolvierung der HTL und Studium der antwortlicher und aktuell IT Business An-
Sein beruflicher Weg führte ihn von der IT- Betriebswirtschaft sammelte er Praxiser- gel, führte das Gespräch in seiner Funktion
Abteilung über die Rolle als Assistent des fahrungen in einem global tätigen Techno- als Mitglied im Cyber Risk Advisory Board
Vorstandsvorsitzenden zur Verantwortung logieunternehmen, bevor er bei Nimbusec des KSÖ.
für die Konzernorganisation und zur Funk- in die Geschäftsführung wechselte und die
tion des CIO und Leiters der IT-Services. In Markteinführung der Security-Produktpa-
den vergangenen vier Jahren war er damit lette leitete. In weiterer Folge entwickelte
beauftragt, den Bereich der Informations- er die Gründungsidee für ein „CyberRisk
sicherheit konzernweit aufzubauen und Rating Austria“ und steuert nun – als Mit-
weiterzuentwickeln. Er verfolgt mit seinem gliedsunternehmen der KSV1870 Gruppe
engagierten Team diese Ziele im Interesse – dessen Markteinführung.
der gesteigerten Cyberresilienz seines
Unternehmens und der österreichischen
Versorgungssicherheit.
25DAS CYBER TRUST LABEL
Foto: Freepik
26DAS CYBER TRUST LABEL
INTERVIEW:
Österreichs Qualitätssiegel
für Cybersicherheit
Das Cyber Trust Austria Label gibt Organisationen die Möglichkeit, nach außen sichtbar
zu zeigen, dass sie essenzielle Mindestsicherheitsmaßnahmen für Cybersicherheit um-
gesetzt haben und das Thema einen entsprechenden Stellenwert in der Organisation hat.
Der Generalsekretär des Kompetenzzentrum Sicheres Österreich (KSÖ), Dr. Alexander
Janda, und Geschäftsführer der Cyber Trust Austria, Dr. Thomas Stubbings, im Gespräch.
TEXT: Alexander Janda, Thomas Stubbings
Herr Dr. Janda, warum hat sich das Computer und Netzwerk betreibt oder Herr Dr. Janda, wie schätzen Sie
KSÖ dazu entschlossen, ein Güte- betreiben lässt und damit Daten ver- seitens des KSÖ die aktuelle Ri-
siegel für Cybersicherheit zu ent- arbeitet und speichert, egal, ob seine sikosituation für österreichische
wickeln? eigenen und/oder jene von Kunden, Unternehmen ein, im Allgemeinen
muss auf die Cyberhygiene seiner In- und im Speziellen hinsichtlich Lie-
DR. JANDA: Cybersicherheit ist eine frastruktur und seiner Prozesse ach- ferantenrisiko?
Herausforderung, die nicht an den ten. Im eigenen Interesse und dem
Grenzen eines Unternehmens Halt seiner Kunden und Partner.
macht. Gerade Unternehmen der kri-
tischen Infrastruktur brauchen eine Die Angreifer machen
verlässliche und sichere Lieferkette. Warum im Interesse der Kunden dabei keinen Unter-
Daher ist und war es unser Anliegen, und Partner? schied, ob es sich um eine
die Verlässlichkeit und Sicherheit große Bank oder einen
auch in einem Gütesiegel nach außen DR. STUBBINGS: Durch die enge Ver- kleinen, mittelstän-
sichtbar zu machen. netzung mit unseren Kunden und dischen Betrieb
Partnern ergeben sich für Angreifer handelt.
und auch Schadsoftware vermehrt
Herr Dr. Stubbings, als Geschäfts- Möglichkeiten, von einem Unterneh-
führer der Cyber Trust Services men ins nächste zu gelangen. Das ist DR. JANDA: Während der vergange-
GmbH sind Sie dafür verantwort- sogar leichter, als von draußen ein- nen eineinhalb Jahre ist die Cyber-
lich, die Gütesiegel an die Antrag- zudringen – denn Unternehmen, die kriminalität um mehr als ein Viertel
steller, gemäß KSÖ-Schema zu ver- miteinander Geschäfte machen, ver- angestiegen. Angriffsziele sind dabei
geben. Wer ist Ihre Zielgruppen? trauen sich üblicherweise gegenseitig. neben staatlichen Einrichtungen oder
Ich erinnere nur an NotPetya, den einer wachsenden Zahl von Privat-
bisher größten Cybervorfall der Ge- personen vor allem Unternehmen.
DR. STUBBINGS: Grundsätzlich ist je-
schichte: Da kam die Schadsoftware Die Angreifer machen dabei keinen
des Unternehmen Zielgruppe, das in
über ein Software-Update eines Lie- Unterschied, ob es sich um eine gro-
irgendeiner Weise mit IT und elektro-
feranten direkt ins Netzwerk seiner ße Bank oder einen kleinen, mittel-
nischen Daten arbeitet – und wer tut
Kunden. ständischen Betrieb handelt. Zugleich
das heutzutage nicht mehr? Jeder, der
steigt die Schadenssumme permanent
»
27DAS CYBER TRUST LABEL
an – in vielen Fällen ist ein Cyberan- schen dem Standard-Label und
griff existenzbedrohend. dem Gold-Label sind?
DR. STUBBINGS: Das Standard-La-
Teilen Sie diese Ansicht? bel steht für Basissicherheit. Die zu-
grundeliegenden 14 Kriterien sind
Foto: Redtenbacher | Alexander Janda
DR. STUBBINGS: Ja, wir sehen in so konzipiert, dass jede – auch sehr
Österreich immer mehr Angriffe auf kleine – Organisation diese mit über-
KMUs. Ständig gehen Fälle durch die schaubarem Aufwand erreichen kann.
Medien: von Palfinger über Salzburg- Basissicherheit kostet keine Unsum-
milch bis hin zu dem Vorfall neulich men. Aber man muss sich fokussiert
in Oberösterreich, bei dem ein IT-Be- mit dem Thema auseinandersetzen
treiber 34 seiner Kunden „mitgeris- und ein bisschen Zeit investieren. Es
sen“ hat. Es ist leider heute nicht mehr gibt eigentlich keine Rechtfertigung
genug, auf seine eigene Cybersicher- mehr dafür, warum irgendein Unter-
DR. ALEXANDER JANDA heit zu schauen, sondern man muss nehmen nicht die Basissicherheits-
KOMPETENZZENTRUM kriterien erfüllt – das sollte so selbst-
auch darauf achten, mit vertrauens-
SICHERES ÖSTERREICH (KSÖ) verständlich sein wie Händewaschen
würdigen und sicheren Unternehmen
zusammenzuarbeiten. oder die Wohnung zusperren. Das
Gold-Label legt schon einen höheren
Anspruch an – es richtet sich vor al-
Herr Dr. Janda, warum ist das KSÖ lem an größere Unternehmen, die in
für die Umsetzung des CyberRisk sensiblen Bereichen tätig sind und
Ratings in eine Kooperation mit schon mehr für ihre Cybersicherheit
dem KSV1870 gegangen? Was getan haben. Beim Gold-Label kommt
macht diese Partnerschaft so be- übrigens noch ein Third Party Audit
sonders? dazu, für das Standard-Label reicht
eine validierte Selbstdeklaration.
DR. JANDA: Der KSV1870 ist als Ös-
Foto: Privat | Thomas Stubbings
terreichs führender Gläubigerschutz-
verband seit vielen Jahren ein verläss- Was ist eine „validierte Selbstde-
licher Partner der österreichischen klaration“?
Wirtschaft. Mit seiner hohen Inno-
vationsorientierung ist der KSV1870 DR. STUBBINGS: Das bedeutet, dass
der ideale Partner, um die Dynamik das Unternehmen selbst Angaben
der technologischen Entwicklungen dazu macht, wie die einzelnen An-
DR. THOMAS STUBBINGS im Bereich der Digitalisierung, die forderungen im Unternehmen erfüllt
CYBER TRUST AUSTRIA sich unter anderem in der Herausfor- sind. Ein Validierer, das ist ein Ex-
derung der Cybersicherheit manifes- perte mit einschlägiger Erfahrung,
tiert, in einem neuen CyberRisk Ra- überprüft diese Angaben dann auf
ting abzubilden. Vollständigkeit, Plausibilität und
Konsistenz mit anderen Angaben.
Wenn es Unklarheiten gibt, hat der
Herr Dr. Stubbings, können Sie uns Validierer die Möglichkeit Rückfragen
bitte noch kurz erklären, was die zu stellen. Der Validierungsschritt
wesentlichen Unterschiede zwi- bringt viel Qualität in den Prozess.
28DAS CYBER TRUST LABEL
Herr Dr. Janda, abschließend, was
sind Ihre weiteren Pläne hinsicht-
lich des Cyber Trust Label?
DR. JANDA: Wir sind mit unserem Cy-
3 Fragen zum Cyber Trust Label
ber Trust Label sehr gut gestartet und
haben viele positive Rückmeldungen
mit Geldservice Austria
bekommen. Jetzt wollen wir mög-
lichst viele Unternehmen in Öster-
reich ansprechen und für dieses neue
Gütesiegel gewinnen. Die Akzeptanz
des österreichischen Marktes ist dann
Q Warum haben Sie das Cyber Trust Label erworben?
Voraussetzung dafür, dieses Thema
auch auf die europäische Bühne zu Die Geldservice Austria hat das Cyber Trust Label er-
tragen. Cyberherausforderungen ma-
A worben, weil wir damit unser hohes Sicherheitsniveau
chen an nationalen Grenzen keinen dokumentieren können. Unsere Kunden und Partner
Halt. Wir wollen unser Know-how, werden durch diverse Vorschriften und Vorgaben ge-
das wir in Österreich und mit öster- zwungen, entsprechende Bestätigungen einzuholen,
reichischen Partnern entwickelt ha- die wir speziell im Bereich Cybersicherheit mit dem
ben, auch in unsere Nachbarländer Cyber Trust Label auf praktikable Weise zur Verfügung
und darüber hinaus in die Europäi- stellen können.
sche Union tragen. Zugleich werden
wir unser Schema inhaltlich weiter-
entwickeln, um mit den Entwicklun- Welche Bedeutung haben Gütesiegel für Cybersi-
Q cherheit für Sie?
gen und Herausforderungen der Secu-
rity Schritt zu halten.
Gerade bei einem komplexen und sich rasch entwi-
A ckelnden Thema wie Cybersicherheit ist die Verwen-
dung von qualitativen und aussagekräftigen Gütesie-
geln eine wesentliche Erleichterung. Die Bestätigung
Mehr Informationen zu Österreichs Cyber-
sicherheits-Qualitätssiegel finden Sie unter
eines definierten Sicherheitslevels durch unabhängige
www.cyber-trust.at Dritte schafft auf einfache Weise die (Vertrauens-)Ba-
sis für Geschäftsbeziehungen.
Worauf achten Sie bei Ihren eigenen Lieferanten
Q hinsichtlich Cybersicherheit?
Da die Geldservice Austria die Bargeldversorgung Ös-
A terreichs im Auftrag der Konzernmutter Oesterreichi-
sche Nationalbank sicherstellt, wird ein entsprechend
hohes Sicherheitsniveau gefordert. Das Vorliegen ein-
schlägiger Zertifizierungen ist somit eine Grundvor-
aussetzung, und speziell im Bereich Cybersicherheit ist
die Abstimmung mit den IT-Experten der OeNB sehr
eng.
29Kontaktinformationen KSV1870 Nimbusec GmbH Fadingerstraße 15, 4020 Linz +43 (0) 732 860626 cr@nimbusec.com www.cyberrisk-rating.at
Sie können auch lesen
