Dienstag, Dezember 24, 2024
Handschellen oder Notwendigkeit
Martin Krumböck (T-Systems), Robert Lamprecht (KPMG), Isabella Mader (Excellence Research), Gerald Schremser (Prinzhorn Gruppe), Christina Wilfinger (SAP) und Rudolf J. Melzer (IFWK) (Foto: Peroutka)

Die EU-Direktive NIS2 schreibt strenge Maßnahmen zur Gewährleistung der Cybersicherheit vor und muss in Österreich bis Oktober 2024 umgesetzt werden. Die notwendigen Sicherheitsmaßnahmen standen im Mittelpunkt eines Erfahrungsaustausches, zu dem Internationalen Forum für Wirtschaftskommunikation (IFWK) Expert*innen aus Wirtschaft, IT-Industrie und Verwaltung eingeladen hat.

„Mit NIS2 werden sich viele Unternehmerinnen und Unternehmer intensiv beschäftigen müssen“, waren sich SAP-Österreich-Geschäftsführerin Christina Wilfinger sowie IFWK-Gründer Rudolf J. Melzer schon bei der Begrüßung einig. Auf die provokante Frage der IT-Strategin, Universitätslektorin und Moderatorin des Abends, Isabella Mader, ob die Novelle Unternehmen in Handschellen lege, antwortete KPMG-Partner Robert Lamprecht, der auch in der Vorsitzführung der Arbeitsgruppe für die NIS2-Risikomanagementmaßnahmen tätig ist: „Führungskräfte haben es selbst in der Hand, sich mit Cybersicherheitsmaßnahmen in einem regulierten Umfeld oder mit den schmerzhaften Folgen von Cyberattacken bei Versäumnissen auseinanderzusetzen.“ Er plädiert dafür, Cybersicherheit nicht nur als technische Aufgabe zu betrachten, sondern auch organisatorische Faktoren und den Menschen im Mittelpunkt einzubeziehen.

Tausende österreichische Unternehmen betroffen – Führungskräfte persönlich haftbar
In Österreich gilt aktuell das NIS-Gesetz aus dem Jahr 2016, das Anforderungen an die Cybersicherheit in gesellschaftlich wichtigen Bereichen spezifiziert. Mit NIS2 wird die Zahl der betroffenen Unternehmen kräftig erweitert – es betrifft 3.000 bis 9.000 große Firmen und den Mittelstand. Darunter fallen sowohl wesentliche (u.a. Unternehmen im Trinkwasserbereich und Energielieferanten) als auch wichtige (u.a. aus dem Lebensmittelsektor) Unternehmen. Für sie gelten künftig ein verpflichtendes Risikomanagement und Meldevorschriften bei Sicherheitsvorfällen. Viele Betroffene dürften sich der Tragweite noch nicht bewusst sein, obwohl bei Vergehen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes drohen – für die Führungskräfte auch persönlich haftbar gemacht werden können.

NIS2 auch für Partnerfirmen und Lieferanten relevant
Laut einer aktuellen Studie von KPMG gemeinsam mit dem Kompetenzzentrum Sicheres Österreich haben sich Cyberangriffe zuletzt innerhalb von zwölf Monaten mehr als verdreifacht. 12 % der in der Studie befragten heimischen Unternehmen hatten bei Sicherheitsvorfällen Schäden von mehr als eine Million Euro verzeichnet, mehr als die Hälfte Schäden von mindestens 100.000 Euro. Dabei wird meist die am schwächsten abgesicherte Firma in Lieferketten betroffen – daher sei NIS2 auch für die Partner und Lieferanten der großen Unternehmen relevant. „Risiken, die andere eingehen, sind auch meine Risiken“, spricht Lamprecht von einer neuen Verantwortung in einer stark vernetzten Wirtschaft.

Gefahr durch geopolitische Eskalationen
Philipp Töbich verantwortet mit seinem Team Sicherheitsthemen bei SAP in Europa und international – und steht damit im Rampenlicht der Weltwirtschaft. SAP-Kunden generieren 87 Prozent des globalen Handelsvolumens. „Das Thema der Netz- und Informationssicherheit gibt es nicht erst seit gestern“, berichtet der Experte von fünfzigjähriger Erfahrung des Softwareherstellers mit dem Schutz von Daten. Töbich betrachtet die NIS2 grundsätzlich positiv. Gerade größere Unternehmen hätten bereits enorme Ressourcen in die Sicherheit gesteckt. Jetzt sei es wichtig, eine möglichst harmonische Gesetzgebung in Europa und deren Umsetzung in der Breite zu erreichen. – Denn die Gefahren sind mit den geopolitischen Eskalationen in jüngster Zeit nicht weniger geworden. „Aktuelle Ereignisse – von denen viele dachten, sie seien so gar nicht mehr möglich – verdeutlichen mit voller Härte die enorme Bedeutung von Sicherheit und die Notwendigkeit angemessener Schutzmaßnahmen. Eines ist ganz klar: Cybersecurity ist entscheidend: denn unsere Wirtschaft ist in Gefahr, jederzeit zum Angriffsziel zu werden“, spitzt Töbich zu. Mit der digitalen Transformation werde es für Unternehmen immer wichtiger, ein hohes Sicherheitsniveau zu halten.

„Incident Response“-Strategie als Notfallplan
Martin Krumböck, T-Systems International, ortet Abwehrmaßnahmen als einen besonders wichtigen Teil in der Themenbreite von IT-Sicherheit. „Auch ‚Incident Management‘ bekommt mit den Meldepflichten und -fristen eine neue Bedeutung“, weiß der Fachmann, der als CTO im Bereich Cyber Security bei dem IT-Dienstleister tätig ist. Auch der beste Schutz könne überwunden werden, daher sollten Angriffe auf die eigene Infrastruktur rasch erkannt werden können. Hatte die Zeitspanne vom ersten Eindringen bis zu einem Datendiebstahl früher oft Tage und Wochen betragen, werden kombinierte Angriffe mit Ransomware-Verschlüsselungen heute innerhalb von wenigen Stunden vollzogen. Deshalb sind stets auch Notfallpläne wichtig – in einer „Incident Response“-Strategie werden Ansprechpartner und Prozesse für den Fall eines Angriffs festgelegt. Würde man sich darüber erst bei einem Vorfall Gedanken machen, sei es zu spät. Für Krumböck ist es wichtig, sich auch einzugestehen, dass etwas passieren kann. „Wie reagiere ich darauf? Wie halte ich Meldepflichten ein, um auch den Kollateralschaden einer Pönale abzuwenden?“

Entscheidungsträger würden letztlich aus zwei Gründen in IT-Sicherheit investierten: für die Resilienz für den Fortbestand eines Unternehmens und aus Compliance-Gründen, getrieben von den Anforderungen Dritter – Eigentümern, Kunden, Partnern oder dem Gesetzgeber.

Unabhängiger Nachweis wäre wichtig
Gerald Schremser, CISO bei der Prinzhorn Gruppe, lieferte einen Einblick in die Praxis und wünscht sich auch künftig die Möglichkeit der eigenen Gestaltung von IT-Sicherheit. Er prüft mit seinem Team mit Gap-Analysen den Status-quo und Umsetzungsmöglichkeiten bei Sicherheitsthemen. Offen ist für den CISO die Frage, wie bei den Berichtspflichten künftig mit zu erwarteten gehäuften Anfragen in der Lieferkette umgegangen wird. Es würden jedes Jahr hunderte Anfragen zu Sicherheitsbelangen drohen. „Hier würde ich mir einen unabhängigen Nachweis der Erfüllung der Pflichten nach NIS2 wünschen, den unsere Partner für ihre Meldungen an die Behörde nutzen können“, erklärt Schremser.

Meistgelesene BLOGS

Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...
Redaktion
27. August 2024
Die Zertifizierung- und Trainingsinstanz CIS – Certification & Information Security Services GmbH im Bereich Informationssicherheit, Datenschutz, Cloud Computing und mehr, beleuchtet erstmalig die...
Redaktion
04. September 2024
Ökologische Baumaterialien: Der Weg zu umweltfreundlichen Gebäuden Die Bauindustrie befindet sich in einem tiefgreifenden Wandel, bei dem ökologische Baumaterialien eine zentrale Rolle spielen. Tradit...
Alfons A. Flatscher
06. November 2024
Mit Donald Trumps Rückkehr ins Weiße Haus zeichnet sich ein neues Kapitel der Handelspolitik der USA ab – und für europäische Unternehmen könnten die nächsten Jahre herausfordernd werden. Trump, bekan...
LANCOM Systems
14. Oktober 2024
Die österreichische Bundesbeschaffung GmbH (BBG) hat die Lösungen des deutschen Netzwerkinfrastruktur- und Security-Herstellers LANCOM Systems in ihr Portfolio aufgenommen. Konkret bezieht sich die Ra...
Firmen | News
30. September 2024
Die Wahl der richtigen Matratze kann einen großen Unterschied in Ihrem Leben machen. Es gibt viele Faktoren zu berücksichtigen, bevor Sie eine Entscheidung treffen. Erfahren Sie, wann der beste Zeitpu...

Log in or Sign up