Thomas Stubbings, Geschäftsführer von Cyber Trust Services, bietet mit einem Gütesiegel den Nachweis für Sicherheitsmaßnahmen in Unternehmen. Warum dies auch für nicht von NIS 2 betroffene Unternehmen spannend ist – darüber spricht er mit dem Report.
Welchen Stellenwert räumen Unternehmen dem Thema Cybersicherheit ein? Und wo setzen Sie hier mit Ihrer Arbeit an?
Thomas Stubbings: Die großen Unternehmen haben dahingehend eine starke Awareness und setzten bereits viele Maßnahmen um. Doch der Mittelbau, der auch das Rückgrat der Wirtschaft in Österreich ist, tut viel zu wenig. KMU haben all die Risiken, die die Großen auch haben – sie sind sich dessen aber oft nicht bewusst.
Ich bin seit über 20 Jahren im Bereich Cybersicherheit in verschiedensten Rollen tätig. Seit acht Jahren berate ich Unternehmen zu diesem Thema. Seit der Gründung des Unternehmens Cyber Trust Services beschäftige ich mich mit einem Gütesiegel für Cybersicherheit, der als Nachweis für eine Basissicherheit in Unternehmen und Organisationen dient. Daneben bin ich ehrenamtlich in Funktionen wie etwa im Vorsitz der Cybersicherheitsplattform der Bundesregierung tätig – mit der Zielsetzung, Österreich sicherer zu machen. Das Thema treibt mich seit Jahren an.
Ist das eine Frage des Budgets, der fehlenden Fachkräfte oder einfach nur des mangelnden Know-hows?
Stubbings: Es kommt alles zusammen. Zunächst fehlt in vielen Fällen das Bewusstsein, da sich die Geschäftsführung eines mittelständischen Unternehmen meistens nicht mit Cybersecurity auskennt und auch nicht dazu tendiert, Berater zu konsultieren. Man ist zumeist darauf reduziert, was man über die Medien erfährt. Das ist sicher nicht ausreichend. Dann ist Geld ein Faktor. KMU müssen jeden Euro zweimal umdrehen und haben 1.000 Dinge auf ihrer Agenda.
Nicht zuletzt fehlen die Personalressourcen. Es gibt zu wenige qualifizierte Fachkräfte in Österreich, um die Unternehmen im Bereich Cybersicherheit zu unterstützen. Man wird künftig deshalb verstärkt über Pooling und auch Outsourcing nachdenken müssen. Das ist aus meiner Sicht auch nicht falsch, denn nicht jedes kleinere Unternehmen braucht einen eigenen CISO (Anm. Chief Information Security Officer). CISO-Leistungen können zugekauft werden und das muss auch keine Vollzeitstelle sein. Wenn sich ein Externer zwei Tage in der Woche um das Thema kümmert, ist das immer noch besser, als gar keine Maßnahmen zu setzen.
Fehlende Ressourcen in Unternehmen für die Cybersicherheit bedeutet in der Regel, das Risiko dazu nicht beziffern zu können. Gehandelt wird oft erst nach einem erfolgreichen Angriff – wenn der Schaden bereits da ist.
Stubbings: Üblicherweise gibt es kein strukturiertes Risikomanagement in KMU, ausgenommen vielleicht bei Unternehmen im Finanzdienstleistungsbereich. Daher gibt es auch kein Risikobewusstsein. Wenn ich ein Risiko nicht greifen kann, habe ich auch keinen Anlass, etwas dagegen zu tun. Aus meiner Sicht ist die größte Herausforderung für uns alle, die allgemeine Risikolage in der gesamten Unternehmenslandschaft bewusst zu machen.
In der jüngsten Zeit gab es kaum Mangel an Berichten über Ransomware-Attacken in den Medien. Damit müsste doch ein Grundwissen darüber bestehen?
Stubbings: Ja, aber offensichtlich reicht es nicht aus. Frei nach dem Floriani-Prinzip fühlen sich viele nicht selbst davon betroffen oder gefährdet. Man betrachtet sich vermeintlich als unwichtig – die klassische Lebenslüge. Denn Angreifer suchen sich nicht das teuerste oder das wichtigste Opfer, sondern jenes, das am einfachsten angegriffen werden kann – selbst dann, wenn man dort vielleicht nur 5.000 Euro abzocken kann.
Beim Schaffen des Bewusstseins dafür sehe ich auch die Standesvertretungen in den Branchen in der Pflicht. Wenn Information zu Cybersicherheitsthemen und Gefahren über die Peer-Group verbreitet werden, ist das besonders effektiv. Ein Logistikunternehmen, das mit einem Partner-Unternehmen aus demselben Sektor über einen Sicherheitsvorfall spricht – da hat man einen besonderen Bezug.
Darüber hinaus gibt es in Österreich bereits wenige Branchen-CERTs (Anm. Computer Emergency Response Team) – wie etwa für die Energiewirtschaft –, die bereits hervorragende Arbeit machen und auf einem Niveau sind, von dem andere nur träumen können. Sie beschäftigen sich mit aktuellen Bedrohungen und Schwachstellen, informieren dazu und geben auch Hilfestellungen. Auch CERT.at ist eine sehr gute Infodrehscheibe, aber sie ist nicht die Kavallerie, die bei jeder Verschlüsselung bei einem KMU einmarschiert. Dazu sind die CERTs auch nicht personell aufgestellt.
Warum sollten Unternehmen auf ein Gütesiegel für Cybersicherheit setzen?
Stubbings: Das Cyber Trust Austria Gütesiegel wurde vor zwei Jahren in Zusammenarbeit mit dem Kompetenzzentrum Sicheres Österreich und dem KSV1870 geschaffen, um Transparenz im Bereich Cybersicherheit zu schaffen und Unternehmen den Nachweis ihrer Sicherheit zu erleichtern. Grundlegend wäre es ausreichend, die dazu geforderten Maßnahmen umzusetzen. Aber wir leben in einem vernetzten Markt mit Partnern und Kunden, die in einer Zusammenarbeit ebenfalls auf ihre Wahl des Partners achten.
Einen aktuellen Rechtsrahmen bildet NIS 1, das in Österreich rund 100 Unternehmen reguliert. Diese sind verpflichtet, eine Sorgfaltspflicht gegenüber Lieferanten anzulegen. Mit NIS 2 wird das Thema »Partner Risk Management« explizit in die Breite gebracht. Die Wirtschaftskammer geht derzeit von 3.000 bis 4.000 Unternehmen aus, die ab Oktober 2024 unter die neue Regelung fallen werden. Auch diese Unternehmen in Österreich werden dann verpflichtet, einen Nachweis zu ihrem Lieferantenrisiko in geeigneter Weise zu erbringen. Das kann eine Zertifizierung wie ISO 27001 sein, die mit Stand vor zwei Jahren aber eine verschwindende Minderheit von nur 170 Unternehmen in Österreich hatten. Weiters ist ein Nachweis durch Audits der Lieferanten und Partner möglich, was aber naturgemäß aufwendig ist.
Und dann gibt es einen neutralen Qualitätsnachweis wie das »Cyber Trust Austria«-Gütesiegel. Damit erfüllen die Unternehmen validierte Mindestsicherheitsmaßnahmen und dieser Nachweis wird auch von den zuständigen Behörden im Rahmen des Lieferantenrisikomanagements akzeptiert werden. Betreibt dann ein Betreiber nach NIS 2 wesentlicher oder wichtiger Dienste ein Risikomanagement und fordert das Gütesiegel von seinen Lieferanten ein, wird dies bei einer Prüfung positiv angerechnet.
Wie aufwendig ist die Qualifikation für das Gütesiegel?
Stubbings: Anders als eine ISO-Zertifizierung, deren Kosten sich mindestens in einem fünfstelligen Euro-Bereich bewegen, kostet das Cyber Trust-Standardlabel 890 Euro. Kriterien hier sind beispielsweise ein Ansprechpartner für Cybersicherheit intern oder extern, eine Policy für den Umgang mit Sicherheit im Unternehmen, die Schulung von Mitarbeitenden das Testen von Notfallplänen und technische Grundvoraussetzungen wie Patchmanagement, Antivirus, Firewall und Nutzerauthentifizierung.
Wenn diese Anforderungen erfüllt werden – die wahrlich keine Raketenwissenschaft sind –, ist das Gütesiegel in ein bis zwei Wochen machbar. Wir sind von der Win-win-Situation überzeugt: Der Kunde, der Auftraggeber bekommt einen Nachweis in NIS-gültiger Form. Der Lieferant macht den Nachweis einmal und kann ihn gegenüber allen Kunden und Partnern vorweisen.
An wen richten Sie ihren Service vorrangig?
Stubbings: KMU sind unsere Hauptzielgruppe, aber wir haben im Moment das interessante Phänomen, dass überdurchschnittlich viele große Unternehmen ein Gütesiegel im höheren Silber- oder Gold-Level durchführen – wie zum Beispiel Siemens, Hornbach oder PwC. Auch hier zeigt sich, dass das Bewusstsein bei den Großen da ist. Wir erwarten, dass größere Unternehmen künftig das Gütesiegel auch von ihren kleineren Partnern einfordern werden. Damit werden indirekt auch die Lieferanten der unter NIS 2 fallenden Unternehmen reguliert.
Genaue Zahlen gibt es dazu nicht, aber die IKT-Branche (Anm. Wirtschaftskammer-Sparte Information und Consulting) wird von rund 100.000 Unternehmen in Österreich gebildet.
Gemäß einer Studie der Industriellenvereinigung generieren zwei Drittel der österreichischen KMU zumindest ein Drittel ihres Umsatzes mit den österreichischen Leitbetrieben. Diesen Unternehmen wollen wir das Angebot des Gütesiegels machen. Es ist niederschwellig, leistbar und behördlich anerkannt.