Haftung. Heutzutage steckt nahezu in jedem Produkt ein Stück Software und ist somit von Cybercrime betroffen. Unternehmen müssen vorbeugend Schutz gewährleisten.
Wie gut sind Österreichs Unternehmen geschützt? Prinzipiell lässt sich sagen: Je größer ein Unternehmen, desto mehr Budget steht für Cyber Security bereit. KMU schrecken häufig vor den hohen Kosten zurück, die für eine bombenfeste IT-Sicherung notwendig sind. Im Branchengespräch wurde hervorgehoben, dass ein Investment in Sicherheitslösungen in keiner Relation zu den Kosten steht, die bei einem Schadensfall auf ein Unternehmen zukommen. „Das beginnt bei Datenverlust, über Produktivitätsverlust bis hin zu einem beträchtlichen Imageverlust“, sagte Dell Technologies Österreich-Geschäftsführer Stefan Trondl. Die Kosten für die optimalen Cyber-Security-Maßnahmen sind von Fall zu Fall verschieden. Meist sind die Lösegeldforderungen auf den Wert abgestimmt. „Wissen sollte man, dass es nicht nur eine Frage der Kosten, sondern letztlich des Überlebens des Unternehmens ist“, so Trondl.
Zunehmend haftbar
Wie weiß ein Unternehmen, ob es bestmöglich geschützt ist? „Ein großes Problem ist, dass heute nahezu überall Software integriert ist“, betonte Mario Johann Brenner, Vice President bei K-Businesscom. „Daher muss jede IT-Applikation, IT-Infrastruktur und die Produktionsumgebung genau auditiert werden, um einen Maßnahmenkatalog zu erstellen.“ Schließlich geht es auch um das Thema Haftung. Brenner erwartet, dass NIS 2 den notwendigen Anstoß gibt, dass das Thema Cyber Security zur Chefsache wird und Geschäftsführer sich der Verantwortung stellen müssen – denn es wird auch eine Haftungsfrage. Unternehmen müssen sich zunehmend um State-of-the-Art-Sicherheitmechnismen kümmern und in der Lage sein, unternehmenskritische Risiken zu bewerten.
Mit den aktuellen Themen in der Digitalisierung, wie etwa flächendeckende 5G-Netze, steigt auch das Bewusstsein für mehr Cybersicherheit innerhalb der EU. 2016 wurde ein rechtlicher Rahmen für die Netz- und Informationssicherheit bei Betreibern wesentlicher Dienste in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserlieferung und -versorgung sowie digitale Infrastruktur geschaffen – die sogenannte NIS-Richtlinie 1. 2018 folgte der Beschluss von NIS 2 für ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der EU. Demnach müssen EU-Staaten gewährleisten, dass Betreiber wesentlicher Dienste technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der von ihnen genutzten Netz- und Informationssysteme zu bewältigen und die Auswirkungen von Sicherheitsverletzungen so gering wie möglich zu halten. Für die Experten des Branchengesprächs ist es nur eine Frage der Zeit, bis bei Cyber Security eine Geschäftsführerhaftung festgelegt wird. Damit müssen die Unternehmen nachweisen, dass sie die besten Security-Lösungen integriert haben. Das wird von jedem Unternehmen einen Plan voraussetzen, wie man die IT so sicher wie möglich betreibt.
