Die "nationale IKT-Sicherheitsstrategie Österreich" forciert Informationssicherheit nach Standards wie ISO 27001 für viele Branchen als heimische Antwort auf den Cyberwar. Durch die Sicherheitsstrategie könnten wichtige Branchen wie Energie, Gesundheit, Transport oder Banken gesetzlich zu Informationssicherheit verpflichtet werden. Im Interview mit der COMPUTERWELT spricht Erich Scheiber, Geschäftsführer der Zertifizierungsgesellschaft CIS, über die geänderten Rahmenbedingungen. [...]
Computerwelt: Herr Scheiber, welche einschneidenden Ereignisse formen neue Trends in der IT- und Informationssicherheit?
Erich Scheiber: Global gesehen sind dies die Cyber-Attacken durch das Flame-Virus im vergangenen Sommer. Diese richteten sich gegen hunderte Unternehmen und Regierungseinheiten im Nahen Osten und haben eine neue Ära des Cyberwar eingeläutet. Denn erstmals zielte ein militärischer Virus-Angriff in diesem Ausmaß auch auf zivile Unternehmen. Weltweit wird diskutiert, dass durch komplexe Schadsoftware wie Flame oder das Vorgänger-Modell Stuxnet de facto ganze Wirtschaftszweige eines Landes gezielt lahmgelegt werden könnten. Dadurch erhält das Thema Informationssicherheit eine völlig neue Dimension für Unternehmen in kritischen Branchen.
Welche Reaktionen zeigt Österreich auf den Cyberwar?
Technologisch sind Cyber-Angriffe auf Unternehmen potenziell deshalb möglich, weil heute ein Großteil der Industriesteuerungen IP-basierend und damit per se angreifbar ist. Österreich begegnet diesen Gefahren wirtschaftspolitisch mit der Nationalen IKT-Sicherheitsstrategie, die vom Bundeskanzleramt publiziert wurde. Eine wichtige Forderung daraus wurde mit dem nun veröffentlichten IKT-Sicherheitsportal umgesetzt. Weitere Schritte folgen. Das Konzept zum Schutz des Cyber-Raumes adressiert vor allem kritische Infrastrukturen (KI) wie Energie, Finanzen, Transport, Telecom oder Health.
Können Sie markante Inhalte aus dem Strategiepapier nennen?
Interessant aus dem Blickwinkel der Informationssicherheit ist die offizielle Forcierung proaktiver Maßnahmen wie Informationssicherheits- und Risikomanagement nach Standards wie ISO 27001 – als Selbstschutz für Unternehmen. Konkret empfiehlt das Strategiekonzept „bestenfalls alle KI-Betreiber zur Anwendung von Risikomanagement und Informationssicherheit rechtlich zu verpflichten“. Auch deshalb, um Rechtssicherheit für eine mögliche Meldepflicht bei Cyber-Angriffen zu schaffen.
Reinhard Posch, Chief Information Officer des Bundes, warnt in dem Konzept, dass reaktive Strategien wie Cyber Defense nur wirksam sein können, wenn sie durch proaktive Elemente ergänzt werden. Deshalb betont er auch, dass Risikobewusstsein und ein Verständnis für Prüfung, Zertifizierung und Monitoring erzeugt werden müsse.
Eine deutliche Richtungsweisung der Regierung. Welche Schritte sind künftig hieraus zu erwarten?
Während die gesetzliche Ausformung noch aussteht, ist bereits erkennbar: Standardisierung und Zertifizierung ziehen sich wie ein roter Faden durch die Maßnahmenvorschläge der Nationalen IKT-Sicherheitsstrategie. Denn Unternehmen in kritischen Branchen sollen künftig definierte Mindeststandards an Sicherheit erfüllen, um die Versorgung des Landes zu gewährleisten. Ich rechne damit, dass KI-Betreiber wie Banken, Energieversorger, Spitäler, IKT- oder Transportanbieter verstärkt auf eine ISO-27001-Zertifizierung setzen, noch bevor es zu gesetzlichen Maßnahmen kommt.
Die Unternehmen wollen mit dem Prozessansatz der ISO 27001 nicht nur ein wirksames Sicherheitssystem implementieren, sondern auch Haftung und Fahrlässigkeit minimieren. Wir beobachten seit knapp zwei Jahren ein zunehmendes Interesse sowohl an Standardisierung als auch Zertifizierung in diesen Branchen.
Das Gespräch führte Alexander Wolschann.
Erich Scheiber:
Erich Scheiber ist Geschäftsführer der staatlich akkreditierten Zertifizierungsorganisation CIS für Informationssicherheit nach ISO 27001 und IT Service Management nach ISO 20000. Als Sicherheitsexperte war er davor jahrelang in führenden Industrieunternehmen beschäftigt.
Be the first to comment