Das Cyberrisk Rating setzt neue Standards für die IT-Sicherheit Österreichs
Es sind längst nicht mehr nur E-Mails, die zwischen Firmen hin und her geschickt werden. Die zuletzt durch die COVID-Pandemie beschleunigte Digitalisierung hat dafür gesorgt, dass hochsensitive Daten von Produkten und Services über die gesamte Lieferkette hinweg geteilt werden – ein attraktives Ziel für Cyber-Kriminelle. Für Manager stellt sich deswegen immer häufiger die Frage: Sind die Zulieferer, mit denen wir auf Basis unserer Daten arbeiten, auch gegen Hacker-Angriffe gerüstet?
„Österreichische Leitbetriebe haben ihre IT-Sicherheit ernst genommen. Doch je weiter man die Lieferkette hinunter geht, je kleiner die Unternehmen werden, desto eher herrscht das Prinzip Hoffnung vor“, sagt Alexander Mitter, Mitgründer und CEO des Linzer Cybersecurity-Spezialisten Nimbusec, der seit 2020 mehrheitlich zum Kreditschutzverband 1870 (KSV1870) gehört. Gemeinsam mit dem KSV1870 und dem Kuratorium für Sicheres Österreich hat das Security-Startup jetzt eine Lösung erarbeitet: das CyberRisk Rating.
„Man muss Lieferanten Vertrauen können“
Das CyberRisk Rating bietet allen Organisationen, insbesondere von den Betreibern wesentlicher Dienste, ein professionelles Cyber-Risikomanagement für Dienstleister, Lieferanten und Dritte. „Bei einer heute hochgradig vernetzten Infrastruktur muss man auf Lieferanten vertrauen können. Je kleiner und internationaler diese sind, desto gefährlicher wird es“, sagt Mitter. Wie vom KSV1870 bereits bekannt, können Unternehmen zwischen 100 und 700 Punkten bekommen – je kleiner die Zahl, desto besser. Liegt eine Firma unter 400 Punkten, dann ist alles im grünen Bereich. Es gibt kaum ein besseres Signal an einen Geschäftspartner, wenn man ein gutes Rating vorweisen kann.
Zum CyberRisk Rating kommen Firmen in zwei Schritten: Zuerst werden öffentlich zugängliche Daten (z.B. Webseite) ausgewertet und ein WebRisk Score erhoben. Dann setzt eine manuelle Überprüfung ein, bei der der IT-Verantwortliche des Unternehmens 25 Fragen beantwortet. „Wir sehen einen Kulturwandel. Früher gab es viele Lippenbekenntnisse, aber jetzt wird Security sehr ernst genommen“, so Mitter über die Auskünfte, die Firmen geben.
Für kleine wie große Unternehmen
Beim CyberRisk Rating werden nicht alle Unternehmen über einen Kamm geschoren. So gibt es ein Basis-Rating (B-Rating), das sich für kleine Firmen und EPU eignet und 15 Grundanforderungen wie etwa Einsatz von Viren-Scanner und die Einhaltung der DSGVO bewertet. Darüber hinaus gibt es das Advanced-Rating (A-Rating) für größere Unternehmen und Dienstleister in sensiblen Bereichen – dabei geht es etwa auch um die Analyse des Netzwerkverkehr, das Stellen einer Eingreiftruppe bei Cyber-Attacken oder Backup-Strategien.
Grundsätzlich ist das CyberRisk Rating für die geprüften Unternehmen kostenlos. „Wir arbeiten für die kritische Infrastruktur, die die Lieferanten prüfen muss. Für die Lieferanten gibt es keine Kosten“, sagt Mitter. Derzeit liegt der Fokus auf Österreich, doch der Plan sieht vor, mit dem CyberRisk Rating wirklich einen europaweiten Standard zu schaffen und somit eine echte österreichische Innovation zu internationalisieren.
Keine Angst vor dem Rating!
„Lieferanten, die bewertet werden, müssen keine Angst vor dem Rating haben“, sagt Mitter. „Vielmehr gibt es viel positive Resonanz, weil das Rating ein Katalysator für die notwendige Veränderung ist.“ Auch kleine Firmen könnten sich mit einfachen Mitteln gut für das CyberRisk Rating aufstellen. Die drei wichtigsten Schritte dazu sind laut Mitter:
- regelmäßige Software-Updates
- Verantwortlichkeiten für die IT-Sicherheit im Unternehmen definieren
- Mitarbeiter für den sicheren Umgang mit Daten (E-Mails, Überweisungen, USB-Sticks etc.) sensibilisieren
Nimbusec: KSV1870 übernimmt Mehrheit am Linzer Cybersecurity-Spezialisten