08. Feb 2022

Roundtable anlässlich des Safer Internet Day

Ausblick und Status Quo in puncto „Safer Internet“

Der Safer Internet Day wurde 1999 von der Europäischen Kommission ins Leben gerufen. Ursprünglich zur Bewusstseinsschaffung bei jungen Menschen gedacht, fokussiert der Aktionstag heute den generellen, sicheren Umgang mit digitalen Medien und die Wichtigkeit einer gut ausgebildeten Medienkompetenz.

Wir haben den Welttag zum Anlass genommen und uns mit den zwei CIS Experten Klaus Veselko, Geschäftsführer der CIS, und Robert Jamnik, Head of Audit Services, Lead Auditor ISO 20000, ISO 27001 und NISV-Überprüfungen, unterhalten. Thema war u. a. die „andere Seite der Medaille“ – jene der Sicherheitsstrategien von Unternehmen – und wie Standards helfen können, die Cyberwelt noch „safer“ zu gestalten.

Erst Anfang des Jahres wurde die „Österreichische Strategie für Cybersicherheit 2021 (ÖCSC)“ veröffentlicht. Darin werden sowohl Potenziale als auch Herausforderungen der rasant voranschreitenden Digitalisierung skizziert. Herr Veselko, können Sie uns die Ergebnisse vielleicht in Ihren Worten zusammenfassen?

Klaus Veselko: Die ÖCSC wird seit 2013 jährlich veröffentlicht und hat einerseits das Ziel, die generelle Sicherheit im Cyberraum zu erhöhen sowie andererseits auch das nötige Bewusstsein für Cybersecurity zu schaffen. Gerade in der Pandemie hat es eine erheblich gestiegene Zahl von Cyberattacken gegeben, die die Notwendigkeit von Sicherheitsmaßnahmen deutlich gezeigt haben.

Letztendlich bringt eine umfassende Cybersicherheit viele Chancen mit sich – sowohl aus gesellschaftlicher als auch wirtschaftlicher Perspektive, wie etwa der zusätzliche Wettbewerbsvorteil, das Aushängeschild nach außen, Vertrauen der Geschäftspartner sowie eine stabile Geschäftstätigkeit trotz Cyberattacken u.v.m.

Es werden auch unterschiedliche Arten von Herausforderungen postuliert, wobei für uns als Zertifizierungsorganisation – mit besonderem Augenmerk auf die Informationssicherheit der Unternehmen – besonders jene „Herausforderungen, die das Ergebnis von falscher Nutzung der IT sind“ interessant sind. Denn letztendlich können fehlende Benutzerkenntnisse oder mangelndes Sicherheitsbewusstsein von Mitarbeitenden Tür und Tor für mögliche Risiken und Angriffe öffnen. Dem kann man auf unterschiedliche Art und Weise entgegenwirken: z. B. in Form von Bewusstseinsschaffung und ausreichend Wissensvermittlung durch Aus- und Weiterbildungen oder etwa durch systematisches Managen von Prozessen oder durch stetige Verbesserungen. Denn in den allermeisten Fällen kommt es zu Sicherheitsvorfällen durch Unwissenheit oder Unachtsamkeit – und nur in Ausnahmefällen durch Vorsatz.

Was heißt das nun konkret für Unternehmen? Wie tragfähig ist die Österreichische Strategie letztendlich wirklich?

Robert Jamnik: In der ÖCSC werden einige Leitlinien für Unternehmen vorgestellt, darunter das Entwickeln eines ausgeprägten Sicherheitsgedanken, Transparenz bei der Umsetzung von Cybersicherheitsmaßnahmen und auch der risikobasierte Ansatz. Letzteres ist auch in den gängigen Managementstandards, wie etwa ISO 27001 für Informationssicherheit oder ISO 27701 für Datenschutz, verankert und unterstützt die Unternehmen dabei, etwaige Risiken zu identifizieren und mögliche Gegenmaßnahmen daraus abzuleiten.

Es ist wichtig, auch die Lieferkette unter die Lupe zu nehmen, denn das beste Sicherheitssystem nutzt nichts, wenn Partner und Stakeholder den Umgang mit Daten und Informationssicherheit wesentlich lockerer sehen. Genauso ist auch die zuvor schon angesprochene Sensibilisierung von Mitarbeitenden dahingehend wichtig.

Wie unterstützen Normen, Labels oder Richtlinien, z. B. die Richtlinie zur Netz- und Informationssystemsicherheit für Betreiber wesentlicher Dienste?

Robert Jamnik: Normen bzw. Managementsysteme, wie etwa Informationssicherheitsmanagementsysteme, bilden sozusagen den Rahmen, in dem sich Unternehmen sicher bewegen können – zertifizierte Systeme sind also ein objektiver Nachweis und Aushängeschild für Kunden und weitere Stakeholder, dass gewisse Prozesse bestimmten Sicherheitskriterien und Maßnahmen folgen.
Normen, die bei uns verstärkt gefragt sind, sind da etwa die ISO 27001, ISO 27701 und ISO 22301 – letztere ist unter anderem sozusagen darauf ausgerichtet, bei möglichen Angriffen oder „Stillständen“ von Betrieben und Unternehmen, den Schaden möglichst gering zu halten bzw. mittels Notfallplänen im Voraus schon abzuschwächen.

Ist ein Blick in die Zukunft möglich? Wie wird sich das Bewusstsein für Cybersicherheit in Österreich weiterentwickeln? Lassen sich schon neue Trends erkennen?

Klaus Veselko: Ein wesentlicher Trend ist seit einigen Jahren klar erkennbar: Sämtliche Prozesse werden zunehmend komplexer und vernetzter – die digitale Durchdringung diverser Abläufe schreitet rasant voran, sodass es für Unternehmen immer wichtiger wird, eine ganzheitliche Betrachtung von unternehmensweiter Informationssicherheit anzuvisieren.

Robert Jamnik: Mit einer weiteren Zunahme von Ransomware-Attacken – also Cyberangriffe mit Lösegeldforderungen – und deren Professionalisierung müssen wir auch rechnen. Bereits in den letzten Jahren gab es sehr viel mehr Fälle, bei denen dann im Falle der Verweigerung vertrauliche Daten im Internet veröffentlicht wurden. Hier gilt: die beste Investition ist die in die jeweiligen Mitarbeitenden – es kann zwar durchaus passieren, dass sie für Angriffe mit-verantwortlich sind, letztendlich decken sie aber auch genauso häufig Sicherheitslücken auf. Eine entsprechende Schulung von Personal ist also das A und O.

Klaus Veselko: Die steigende Bedeutung der Security und die drastische Zunahme an Cyberattacken war auch ein Mitgrund, wieso wir heuer erstmals die Auszeichnung zum „CISO of the Year“ vergeben (Anm. d. Red.: Chief Information Security Officer). Wir möchten jene Personen würdigen und auf die Bühne holen, die sich tagein, tagaus mit den Sicherheitsaspekten von Unternehmen beschäftigen und die Verantwortung dafür tragen, dass trotz aller Bedrohungen ein kontinuierlicher Betrieb des Unternehmens gewährleistet wird.

Last but not least: was bedeutet denn „Safer Internet“ für Sie persönlich? Und welchen Beitrag können einzelne Personen für mehr Sicherheit im Internet leisten?

Klaus Veselko: Für mich als Führungskraft bedeutet das eine entsprechende Kultur der Security im Allgemeinen „vorzuleben“ und als Person und auch durch Bewusstseinsbildung im gesamten Unternehmen zu verinnerlichen. Das bedeutet auch, dass eine abgeschlossene Cyber Risiko Versicherung ein funktionierendes und wirksames ISMS in einer Organisation mit vielen involvierten Menschen nicht ersetzen kann.

Robert Jamnik: Für mich heißt „Safer Internet“ im Besonderen, dass sich Einzelpersonen immer über die Schritte, die sie setzen können, bewusst sind. Das betrifft vor allem die Mitarbeiter, die bei jedem empfangenen E-Mail und jedem angenommenen Telefongespräch die Ersten sind, bei denen die Informationssicherheit geschützt wird – oder eben auch nicht.

Sie möchten mehr erfahren? Kontaktieren Sie uns jederzeit bei Fragen, wie Sie in puncto Cybersicherheit noch besser werden können.

Hier finden Sie unsere Systemzertifizierungen.

Hier kommen Sie zu unserem Angebot an Aus- und Weiterbildungen!

Weitere News & Events

Immer topaktuell informiert

17. Mai 2023

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Lassen Sie sich hacken!

Ethical Hacking als Trend in der Security Branche

Mehr erfahren
10. Mai 2023

Top-Secret-Strategien für mehr Informations­sicherheit

Mit ungewöhnlichen Maßnahmen Mitarbeitende sensibilisieren

Mehr erfahren
03. Mai 2023

Wie Sie Ihr Unternehmen vor Daten­missbrauch schützen

Ein effektives Managementsystem kann helfen, die Informationen und Daten des Unternehmens zu schützen und vor Cyber-Attacken zu sichern.

Mehr erfahren
11. Apr 2023

8 Tipps für mehr Security in der „New Work“ Arbeitswelt

Hier ein paar Tipps und Tricks für mehr Sicherheit in der „New Work“ Umgebung.

Mehr erfahren
03. Apr 2023

New Work – Provokation nutzen und Potenzial leben

Neue Wege in der Sicherheit sind gefragt, um eine sichere Arbeitsumgebung zu schaffen.

Mehr erfahren
14. Mrz 2023

Einreichfrist ver­längert: Österreichs beste und bester Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 21. April 2023 möglich

Mehr erfahren
01. Mrz 2023

ISO 27001 trifft Cyber Trust Austria® Label: Das i-Tüpfelchen der Security

Success Story am Beispiel von ACP

Mehr erfahren
07. Feb 2023

Sicherheits­maßnahmen für Unternehmen am Safer Internet Day

Ein sicheres Netz geht uns alle etwas an - inwiefern können auch Unternehmen und Organisationen zu einem sicheren Internet beitragen?

Mehr erfahren
31. Jan 2023

Wachsende Angriffsfläche durch Digitalisierungsschub

30. Jan 2023

Harald Erkinger ist neuer Geschäftsführer der CIS

Erfahrener IT- und Cybersicherheits-Experte neuer CEO

Mehr erfahren
05. Dez 2022

NIS 2.0 – was kommt auf uns zu?

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

+43 732 34 23 22