Die Security-Schraube wird enger

Die "nationale IKT-Sicherheitsstrategie Österreich" forciert Informationssicherheit nach Standards wie ISO 27001 für viele Branchen als heimische Antwort auf den Cyberwar. Durch die Sicherheitsstrategie könnten wichtige Branchen wie Energie, Gesundheit, Transport oder Banken gesetzlich zu Informationssicherheit verpflichtet werden. Im Interview mit der COMPUTERWELT spricht Erich Scheiber, Geschäftsführer der Zertifizierungsgesellschaft CIS, über die geänderten Rahmenbedingungen. [...]

Computerwelt: Herr Scheiber, welche einschneidenden Ereignisse formen neue Trends in der IT- und Informationssicherheit?
Erich Scheiber:
Global gesehen sind dies die Cyber-Attacken durch das Flame-Virus im vergangenen Sommer. Diese richteten sich gegen hunderte Unternehmen und Regierungseinheiten im Nahen Osten und haben eine neue Ära des Cyberwar ein­geläutet. Denn erstmals zielte ein militärischer Virus-Angriff in diesem Ausmaß auch auf zivile Unternehmen. Weltweit wird diskutiert, dass durch komplexe Schadsoftware wie Flame oder das Vorgänger-Modell Stuxnet de facto ganze Wirtschaftszweige eines Landes gezielt lahm­gelegt werden könnten. Dadurch erhält das Thema Informationssicherheit eine völlig neue Dimension für Unternehmen in kritischen Branchen.

Welche Reaktionen zeigt Österreich auf den Cyberwar?
Technologisch sind Cyber-Angriffe auf Unternehmen potenziell deshalb möglich, weil heute ein Großteil der Industriesteuerungen IP-basierend und damit per se angreifbar ist. Österreich begegnet diesen Gefahren wirtschaftspolitisch mit der Nationalen IKT-Sicherheitsstrategie, die vom Bundeskanzleramt publiziert wurde. Eine wichtige Forderung daraus wurde mit dem nun veröffentlichten IKT-Sicherheitsportal umgesetzt. Weitere Schritte folgen. Das Konzept zum Schutz des Cyber-Raumes adressiert vor allem kritische Infrastrukturen (KI) wie Energie, Finanzen, Transport, Telecom oder Health.

Können Sie markante Inhalte aus dem Strategiepapier nennen?
Interessant aus dem Blickwinkel der Informationssicherheit ist die offizielle Forcierung proaktiver Maßnahmen wie Informationssicherheits- und Risikomanagement nach Standards wie ISO 27001 – als Selbstschutz für Unternehmen. Konkret empfiehlt das Strategiekonzept „bestenfalls alle KI-Betreiber zur Anwendung von Risikomanagement und Informationssicherheit rechtlich zu verpflichten“. Auch deshalb, um Rechtssicherheit für eine mögliche Meldepflicht bei Cyber-Angriffen zu schaffen.
Reinhard Posch, Chief Information Officer des Bundes, warnt in dem Konzept, dass reaktive Strategien wie Cyber Defense nur wirksam sein können, wenn sie durch proaktive Elemente ergänzt werden. Deshalb betont er auch, dass Risikobewusstsein und ein Verständnis für Prüfung, Zertifizierung und Monitoring erzeugt werden müsse.  
 
Eine deutliche Richtungsweisung der Regierung. Welche Schritte sind künftig hieraus zu erwarten?
Während die gesetzliche Ausformung noch aussteht, ist bereits erkennbar: Standardisierung und Zertifizierung ziehen sich wie ein roter Faden durch die Maßnahmenvorschläge der Nationalen IKT-Sicherheitsstrategie. Denn Unternehmen in kritischen Branchen sollen künftig definierte Mindeststandards an Sicherheit erfüllen, um die Versorgung des Landes zu gewährleisten. Ich rechne damit, dass KI-Betreiber wie Banken, Energieversorger, Spitäler, IKT- oder Transportanbieter verstärkt auf eine ISO-27001-Zertifizierung setzen, noch bevor es zu gesetzlichen Maßnahmen kommt.
Die Unternehmen wollen mit dem Prozessansatz der ISO 27001 nicht nur ein wirksames Sicherheitssystem implementieren, sondern auch Haftung und Fahrlässigkeit minimieren. Wir beobachten seit knapp zwei Jahren ein zunehmendes Interesse sowohl an Standardisierung als auch Zertifizierung in diesen Branchen.

Das Gespräch führte Alexander Wolschann.

Erich Scheiber:
Erich Scheiber ist Geschäftsführer der staatlich akkreditierten Zertifizierungsorganisation CIS für Informationssicherheit nach ISO 27001 und IT Service Management nach ISO 20000. Als Sicherheitsexperte war er davor jahrelang in führenden Industrieunternehmen beschäftigt.


Mehr Artikel

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*