Cyber Risk Rating für Unternehmen: Vorbeugung gegen Cyberattacken

Anfang Juni hat es Kärnten erwischt. Die Hackergruppe "Black Cat" verlangte Lösegeld von der Landesregierung und hat auszugsweise Daten, die sie bei einer Cyberattacke gestohlen hat, veröffentlicht. Zu sehen waren etwa Screenshots der Grüner-Pass-App, beidseitige Scans von Bankomatkarten sowie eine große Menge an Reisepässen, darunter auch jener von Landeshauptmann Peter Kaiser.

Doch Kärnten ist nicht allein. Die Zahl der Cyberattacken auf Unternehmen und Organisationen nimmt stetig zu. Zahlen des Bundeskriminalamts für das Jahr 2021 bestätigen die jüngsten Entwicklungen. Demnach gab es im Vorjahr um knapp 29 Prozent mehr Anzeigen von Internetkriminalität als im Jahr 2020. Darunter fallen Delikte wie etwa Hacking, Datenbeschädigung oder -fälschung und Datenverarbeitungsmissbrauch - meist mit dem Versuch, Lösegeld zu erpressen.

Neue Ziele für Hacker

Es sind nicht immer prominente und große Opfer wie das Land Kärnten oder das börsennotierte oberösterreichische Luftfahrtzulieferunternehmen FACC. Dieses war im Jahr 2016 Ziel eines betrügerischen Cyberangriffs. Angeblich soll die Schadenshöhe 50 Millionen Euro betragen haben. FACC investierte ein Jahr nach dem Angriff aus dem Internet jedenfalls 1,7 Millionen Euro in entsprechende Sicherheitsmaßnahmen.

Aber schon seit einiger Zeit nehmen Cyberkriminelle auch kleinere Industriebetriebe und KMU ins Visier.Ein besonders alarmierendes Zeichen ist laut Austrian Business Check des KSV1870, dass sich fast zwei Drittel der befragten Unternehmen wenig bis gar nicht mit der IT-Sicherheit ihres Betriebs befassen. Ricardo-José Vybiral, CEO der KSV1870 Holding AG: "Das Thema wird bei den meisten Unternehmen immer noch stiefmütterlich behandelt" (siehe auch Interview).

"Unternehmen wollen wissen, wie es um die IT-Security eines Geschäftspartners bestellt ist."

Dabei gibt es gerade nach der Coronapandemie eine wachsende Risikogruppe, die für Angriffe besonders attraktiv ist: Mitarbeiterinnen und Mitarbeiter im Homeoffice mit Onlineanschlüssen ins Firmensystem. Und natürlich auch Außendienstmitarbeiter oder Servicetechniker mit Firmenlaptops. Gerhard Wagner, Geschäftsführer der KSV1870 Information GmbH: "Umso verständlicher ist es, dass Unternehmen heutzutage auch genau wissen wollen, wie es um die IT-Security eines potenziellen Lieferanten oder Geschäftspartners bestellt ist. Und zwar noch bevor dieser an das eigene System andockt und digitale Daten fließen."

Alarmierend hohes Cyber-Risiko

Laut dem aktuellem "CyberRisk"-Report der KSV1870 Nimbusec GmbH, einer Tochter des führenden österreichischen Kreditschutzverbands, sind aber drei von zehn heimischen Unternehmen nicht in der Lage, IT-Sicherheitsvorfälle zuverlässig zu erkennen. Meist sind unzureichend gewartete Content-Management-Systeme das Einfallstor für Hacker.

Um die IT-Security von Geschäftspartnern einschätzen zu können, hat der KSV1870 zwei neue Dienstleitungen für Unternehmen entwickelt: Ab sofort enthält jede Auskunft zur Bonität auch den "WebRisk Indicator", der das Cyberrisiko von Unternehmenswebseiten klassifiziert. Wer eine tiefergreifende Analyse möchte, kann ein "CyberRisk Rating" beauftragen. Dabei beauftragt ein Klient, das "CyberRisk Rating" für ein bestimmtes Unternehmen in seiner Lieferkette einzuholen bzw. auszuweisen. Nimbusec geht - falls es sich um die erstmalige Anfrage zu diesem Unternehmen handelt - auf dieses mit einem strukturierten Fragebogen über den Zustand seines Informationssicherheitsmanagements zu, überprüft und bewertet die Antworten und gelangt so zu einem Rating.

Auf die gleiche Art können Unternehmen selbst jederzeit diesen Rating-Prozess durchlaufen und somit Erkenntnisse über die Robustheit ihres IT-Systems gegen Cyberattacken gewinnen und - wenn nötig - entsprechende Schutzmaßnahmen daraus ableiten. Als Ergebnis erhält der Auftraggeber dann seinen eigenen Rating-Index.

Unternehmen können ihre Cybersicherheit dann auch für Marketingzwecke einsetzen: Das auf dem Rating aufbauende Label von Cyber Trust Austria zeigt, dass Geschäftspartner hier auf eine sichere IT vertrauen können.

Digitaler Schutz für Unternehmen

• WEBRISK INDICATOR. Dabei handelt es sich um eine Risikobewertung für den digitalen Auftritt eines Unternehmens. Konkret wird das Cyberrisiko von Unternehmenswebseiten und allen damit verbundenen Links klassifiziert. Dann wird die Unternehmenswebsite nach den geltenden Sicherheitsstandards bewertet: als sehr gut, mäßig oder mit Schadsoftware infiziert. Die Information ist ein Zusatznutzen für Kunden des KSV1870 und hat keinen Einfluss auf das klassische Rating.
• CYBERRISK RATING. Viele Betriebe wollen mehr wissen, bevor sie ihre IT-Systeme für einen Geschäftspartner öffnen und Schnittstellen einrichten. In diesem Fall kann ein "CyberRisk Rating" des potenziellen Partners beantragt werden, wobei dieser seine Systeme und digitalen Daten für die Prüfung freigeben muss. Meist wird dies im Vorfeld besprochen, damit der Prozess effizient und schnell abgeschlossen werden kann. Ein weiterer Vorteil bei dieser Prüfung ist, dass sie der EU-Richtlinie 2016/1148 ("NIS") entspricht. Ziel der Richtlinie ist ein höheres Sicherheitsniveau von Netz-und Informationssystemen in der gesamten EU zu schaffen.
• CYBER TRUST AUSTRIA LABEL. Manche Unternehmen möchten sich schon vor einem Geschäftsabschluss als sicherer Partner präsentieren. Dafür können Betriebe die Sicherheit der eigenen IT-Systeme überprüfen und auch zertifizieren lassen. Das anerkannte Cyber Trust Label Austria bietet die Möglichkeit dazu. Es wurde vom Kuratorium Sicheres Österreich in Zusammenarbeit mit dem KSV1870 entwickelt.