Cyberkriminalität nimmt immer mehr zu und kann jedes Unternehmen treffen. Die NIS2 Richtlinie soll ab Oktober den Schutz gegen Cyberangriffe erhöhen. Ein neues Schulungsangebot der OVE Academy erleichtert die korrekte Umsetzung der erforderlichen Maßnahmen.
Die Zahlen sind besorgniserregend: Laut der KPMG-Studie „Cybersecurity in Österreich“ hat sich die Zahl der Cyberangriffe zuletzt alleine innerhalb eines Jahres verdreifacht. Jede zehnte Cyberattacke war demnach erfolgreich.
Besonders gefürchtet sind so genannte Ransomware-Angriffe. Diese Schadprogramme schränken den Zugriff auf Daten und Systeme ein oder verhindern diesen komplett. Fast jedes siebte befragte Unternehmen musste aufgrund eines solchen Angriffs bereits Betriebsunterbrechungen von mehr als vier Wochen hinnehmen, ein Drittel der Unternehmen immerhin noch von rund einer Woche.
Auch kriminelle Angriffe wie Phishing (Beschaffung persönlicher Daten mit gefälschten Mails oder Websites), Social Engineering (psychologische Manipulation mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen) und Deepfake-Angriffe (Cyberangriffe mithilfe Künstlicher Intelligenz) verursachen enorme finanzielle Schäden: Bei jedem zehnten Unternehmen beträgt der Schaden über eine Million Euro. Knapp die Hälfte der Befragten kostete ein Angriff immerhin bis zu 100.000 Euro. Dazu kommt noch der Reputationsverlust für das Unternehmen.
Immer gefährlicher werden auch die Angriffe auf die kritische Infrastruktur: Krankenhäuser, Windparks, Handelsketten, aber auch IT-Dienstleister sind laut der KPMG-Studie immer öfter von Ransomware-Attacken betroffen.
Eine neue EU-Richtlinie soll künftig den Schutz gegen Cyberangriffe erhöhen. Mit der so genannten NIS2 Richtlinie (NIS = Netzwerk- und Informationssystemsicherheit) will die EU ein einheitlich hohes Niveau an Cybersicherheit schaffen.
Von NIS2 sind wesentlich mehr heimische Unternehmen betroffen als noch von der Vorgänger-Richtlinie NIS1. Im Vergleich zur ersten NIS-Richtlinie sieht die neue Version außerdem deutlich strengeren Regelungen vor: Betroffene Unternehmen müssen Risikoanalysen erstellen, Backups, Verschlüsselung, Zugangskontrollen und Multifaktor-Authentifizierung einsetzen sowie Management und Mitarbeiter:innen schulen.
Außerdem müssen sie überprüfen, wie es um die Cybersicherheit ihrer OT-Systeme und ihrer Lieferkette bestellt ist und dazu eine Bewertung vorlegen.
Der Schutz des IT-Systems ist in den meisten Unternehmen bereits gängige Praxis, ganz anders sieht es allerdings bei den OT-Systemen aus. Operational Technology-Systeme sind Computersysteme, die in kritischen Infrastrukturen – wie etwa Energieerzeugung und -verteilung, Wasserversorgung oder Transportwesen – eingesetzt werden, um physische Prozesse zu überwachen, zu steuern und zu automatisieren.
Es handelt sich also um Software im Fertigungsbereich, etwa Betriebssysteme in Maschinensteuerungen, Robotern oder Produktionsanlagen, die den gleichen Bedrohungen ausgesetzt sind wie IT-Systeme. Die handelnden Personen sowie die notwendigen Sicherheitsmaßnahmen sind allerdings andere.
Die OVE Academy bietet gemeinsam mit dem AIT Schulungen zum Umgang mit Sicherheitsvorfällen in Operational Technology-Systemen an.
Das Security Incident Handling Training für OT-Systeme ermöglicht es Unternehmen, ihre Reaktionsfähigkeit zu verbessern und ihre Sicherheitsmaßnahmen zu optimieren, um potenzielle Bedrohungen effektiv zu bekämpfen.
Neben theoretischen Ausführungen umfasst das Training auch eine praktische Übung: Die so genannte Tabletop-Übung behandelt einen konkreten Sicherheitsvorfall aus Sicht des Unternehmens. Die Teilnehmer:innen übernehmen dabei verschiedene Rollen, in denen sie angemessen auf die simulierten Informationen reagieren und den Vorfall entsprechend bewältigen müssen.
„Wir sind gerade dabei, Prozesse zu optimieren und auf NIS2 auszurichten. Neben den jüngsten Änderungen durch NIS2 wurden im Training die Handhabung von Sicherheitsvorfällen, die Funktion des Security Operations Centers sowie Security Incident Event Management Systeme intensiv erörtert. Wir konnten dadurch Handlungsbedarfe innerhalb unserer Organisation identifizieren.“ Verantwortlicher Projektleiter bei einem Betreiber kritischer Infrastrukturen in Westösterreich
„Ein Highlight des Trainings war sicherlich die Tabletop-Übung. Sie half nicht nur uns Teilnehmenden, das Gelernte zu vertiefen, sondern auch dem gesamten Unternehmen, etablierte Prozesse zu evaluieren.“ Trainingsteilnehmer
Die NIS2 Richtlinie ist im Jänner 2023 in Kraft getreten. Noch gibt es kein nationales Gesetz, allerdings sind die Mitgliedstaaten verpflichtet, die Richtlinie bis zum 17. Oktober 2024 umzusetzen.
In Österreich sind davon insgesamt bis zu 15.000 Unternehmen und Organisationen betroffen. Für sie gibt es nun dringenden Handlungsbedarf: Sie müssen entsprechende Ressourcen einplanen und die erforderlichen Maßnahmen umsetzen. Bei Nichteinhaltung drohen empfindliche Strafen.
Generell gilt NIS2 für alle mittelgroßen und großen Unternehmen (über 50 Beschäftigte und über 10 Millionen Euro Jahresumsatz), die eine Schlüsselrolle für Gesellschaft, Wirtschaft oder bestimmte Sektoren einnehmen, darunter etwa Energie, digitale Infrastruktur, öffentliche Verwaltung oder Verkehr.
Wenn dies zutrifft, kann die Richtlinie auch für kleinere Unternehmen gelten. Ob das eigene Unternehmen von NIS2 betroffen ist, lässt sich mit dem Online-Ratgeber der WKO herausfinden.
Die NIS2 Richtlinie sieht Maßnahmen auf verschiedenen Ebenen vor: Neben dem Ausbau der Zusammenarbeit auf europäischer Ebene ist das auch eine verstärkte Zusammenarbeit der nationalen Behörden sowie eine Stärkung des Risikomanagements bei den betroffenen Unternehmen durch geeignete Maßnahmen.
NIS2-Unternehmen müssen sich einer Überprüfung unterziehen, ob sie die erforderlichen Maßnahmen auch tatsächlich umsetzen. Das Bundesministerium für Inneres wird mithilfe privater Prüfer:innen Kontrollen durchführen.
Wenn sich Unternehmen nicht an die vorgegebenen Regelungen halten, drohen empfindliche Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Gesamtumsatzes.
mehr erfahren