Cybersecurity Kärnten

WIRTSCHAFT & RECHT
Cybersecurity
Mittwoch, 30. Oktober 2024 | Ein Produkt des Werbemarktes der Kleinen Zeitung
Kein Mut
zur Lücke!
Cybersecurity-Maßnahmen als
großes Muss der Zeit.
Sind Sie fit
für NIS 2?
Die Cybersecurity-Richtlinie
steht vor der Tür.
Wer kennt
DORA?
Diese EU-Verordnung macht
die Finanzwelt cybersicher.

2
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
Niemand kann sich
Sicherheitslücken
leisten!
Cybersecurity-Maßnahmen zum Schutz der eigenen
Computersysteme, Daten und Informationen
gehören in Zeiten der globalen Vernetzung zu den
essenziellsten Aufgaben eines Unternehmens.
ORGANISATORISCHE
MASSNAHMEN
ANZEIGE
Sie sind als „ILOVEYOU“,
„Mydoom“ oder „Sasser“
in die Kriminalgeschichte
der digitalen Welt eingegangen.
Schadprogramme – sogenannte
Würmer –, die Systeme infiziert,
private Kontakte und Daten
in alle Welt verschickt, Dateien und
Medien zerstört, digitale Türen für
Cyberkriminelle geöffnet und mit
dem Lahmlegen von Unternehmen,
Krankenhäusern, Behörden
und kritischer In frastruktur Abermilliarden
Euro an Schäden verursacht
haben. Nicht weniger perfide
waren und sind Cyberangriffe mit
sogenannter Ransomware, Schadprogrammen,
mit denen Daten
u. a. verschlüsselt und erst nach
Zahlung eines Lösegelds wieder
nutzbar gemacht werden – ein seit
Jahren bei Cyberkriminiellen etabliertes
Geschäftsmodell und eine
der größten operativen Bedrohungen
der Cyber sicherheit.
Kehrseite der Vernetzung
Die zunehmende Vernetzung unserer
Welt bringt für uns alle Vorteile.
Sie öffnet jedoch auch die Türen
für Cyberkriminelle. Denn auch
wenn die Abwehrmethoden gegen
Cyberbedrohungen immer ausgefeilter
werden – auch die Angreifer:innen
sind Spezialist:innen, die
immer wieder neue Angriffsflächen
in der zunehmenden Komplexität
unserer IT-Systeme finden.
Für Dominic Neumann, Obmann
der Fachgruppe UBIT der Wirtschaftskammer
Steiermark, ist
Cyberkriminalität daher nicht
umsonst die derzeit am stärksten
wachsende „Branche“ weltweit.
Deren Abwehr wird wohl auf
sehr lange Sicht ein Katz-und-
Maus-Spiel zwischen den Kriminellen
auf der einen und den
Behörden sowie IT-Sicherheitsexpert:innen
auf der anderen Seite
bleiben. Letztere können Unternehmen
vor allem einen Tipp
geben: den Kriminellen immer
einen Schritt voraus zu sein und
für den Fall der Fälle einen Backup-Plan
bereitzuhaben.
Sicherheitsrichtlinien und
-standards: Implementierung
von Sicherheitsrichtlinien
(z. B. ISO 27001, NIS 2)
Schulungen und Sensibilisierung,
um das Bewusstsein
für Cyberbedrohungen
zu schärfen.
Zugangskontrolle: Beschränkung
des Zugriffs auf
sensible Systeme und Daten.
Notfallplan: Plan, der beschreibt,
wie im Falle eines
Sicherheitsvorfalls zu reagieren
ist.
Sicherheitsbewertungen
und Penetrationstests
Regelmäßige Überprüfung
der Systeme auf Schwachstellen
durch interne oder
externe Auditor:innen.
Chief Information Security
Officer (CISO): Verantwortliche
Führungskraft für die
Entwicklung und Umsetzung
der Cybersicherheitsstrategie.
Videoüberwachung und
Back-up-Systeme
IMPRESSUM: Medieninhaber und Herausgeber: Kleine Zeitung GmbH & Co KG, Gadollaplatz 1, 8010 Graz. Produktion: Kleine Zeitung GmbH & Co KG © Content
Management. Idee & Konzeption: Mag. Richard Brandstätter. Koordination: Christian Kössler, Stefanie Moser. Texte: Christian Kössler, Gernot Zenz, Klaus Höfler.
Titelfoto: Adobestock/Saratstock. Werbemarkt: Richard Brandstätter, Christian Kohlberger, Waltraud Tragbauer, Layout: Kleine Zeitung GmbH & Co KG © Design &
Medien, Gadollaplatz 1, 8010 Graz. Herstellung: Druck Carinthia GmbH & Co KG Industrieparkstraße 6, 9300 St. Veit an der Glan. kleinezeitung.at | WERBUNG
AdobeStock/kras99

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY 3
TECHNISCHE MASSNAHMEN
Firewalls überwachen den Datenverkehr.
Antivirus-Software erkennt und entfernt Malware wie Viren, Trojaner
oder Spyware.
Intrusion Detection Systems (IDS) und Intrusion Prevention Systems
(IPS) erkennen und verhindern unbefugte Zugriffe auf Netzwerke.
Datenverschlüsselung bei der Übertragung und Speicherung, um
sicherzustellen, dass Dateien nur von autorisierten Parteien gelesen
werden können.
Multi-Faktor-Authentifizierung: Zusätzliche Sicherheitsebene, bei der
neben dem Passwort ein zweites Authentifizierungsmittel verwendet
wird (z. B. ein Code auf einem Smartphone).
Gesamtkonzept
Cybersecurity geht weit über das
standardisierte Installieren von
Virenschutzprogrammen oder Firewalls
hinaus. Der Begriff umfasst
den umfassenden Schutz von Computersystemen,
Netzwerken und
Daten vor Angriffen, unberechtigtem
Zugriff, Diebstahl oder Beschädigung
sowie alle Technologien,
Prozesse und Maßnahmen, die darauf
abzielen, Systeme vor Bedrohungen
wie Hackern, Malware (bösartige
Software), Phishing-Angriffen
und Datenverlust zu schützen.
Doch selbst die besten Technologien
und Schutzsysteme
sind manchmal hilf- und nutzlos,
wenn die User:innen nicht mit den
Grundbegriffen der Cybersecurity
vertraut sind. Folglich gehören
auch die Bewusstseinsbildung
und Schulung der Mitarbeiter:inder
Systeme von Unternehmen,
die als Betreiber „kritischer Infrastrukturen“
aktiv sind.
Die nun vor der Tür stehende
NIS-2-Richtlinie ist eine Weiterentwicklung
von NIS 1 und betrifft
eine deutlich erweiterte Gruppe
von Unternehmen und Organisationen.
Selbst sehr kleine Unternehmen
können davon betroffen
sein, wenn sie in bestimmten kritischen
Sektoren tätig sind oder
eine erhebliche Bedeutung für die
Versorgungssicherheit haben.
ANZEIGE
nen und die Einrichtung einer
nachhaltigen Sicherheitskultur
zum Um und Auf einer wirkungsvollen
Cybersecurity.
In einem funktionierenden
Sicherheitssystem können z. B.
nur autorisierte Personen auf
bestimmte Daten oder Systeme
zugreifen („Vertraulichkeit“),
Daten nicht unbemerkt verändert
oder manipuliert werden („Integrität“)
und ein es verfügt über stringente
Authentifizierungs- und
Autorisierungsprozesse.
NIS 1 und NIS 2
2016 wurde die erste Cybersecurity-Richtlinie
von der Europäischen
Union eingeführt, die heute
als NIS-Richtlinie oder NIS 1 (Netzund
Informationssicherheitsrichtlinie)
bekannt ist. Sie enthält verbindliche
Vorgaben zum Schutz
Abhörsicherheit u. sichere Datenübertragung
mit der Polymer Glasfaser www.homefibre.at
homefibre digital network gmbh;
Fratresstr. 20; 9800 Spittal/Drau
welcome@homefibre.at.
Tel.04762 35391
ANZEIGE
addIT liefert als größter IT-
Dienstleister Kärntens seit vielen
Jahren erfolgreich State-ofthe-Art
IT-Komplettlösungen,
inklusive Cybersecurity-Solutions.
Als lokaler Ansprechpartner
steht addIT bei Fragen
und Anliegen sowie dringenden
Sicherheitsbedenken jederzeit
zur Verfügung. Die Mitarbeiter:innen
verfügen über die
ADDIT
Think global, act local
höchste Zertifizierungsstufen
in allen IT-Bereichen. Als
100-prozentige Tochter des
Atos-Konzerns kann addIT auf
weltweite Ressourcen zurückgreifen
und zugleich lokale
Wertschöpfung schaffen und
sichern. Wie bereits die Jahre
davor, wurde addIT auch 2024
als Top-Arbeitgeber Kärntens
ausgezeichnet.
Info: addIT, Lakeside B09, Klagenfurt am Wörthersee,
Tel. +43 (0) 50 618-49602; www.addit.at
Dieter Jandl,
Geschäftsführer
der addIT
Dienstleistungen
GmbH &
Co KG
Headshots

4
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
DORA macht
Finanzen sicherer
Der „Digital Operational Resilience Act“ der EU,
kurz DORA, ist ein Meilenstein in der Cybersicherheit
des Finanzwesens. Hier die wichtigsten Fakten.
Cyberkriminalität ist ein
Problem unserer Zeit. Je
vernetzter unser Alltag,
desto größer die Begehrlichkeiten.
Seit 2018 hat sich die
Zahl der gemeldeten Cybercrime-
Delikte mehr als verfünffacht. Ein
besonders gefährdeter Bereich ist
dabei das Finanzwesen. Der letz-
ANZEIGE
te Risiko-Bericht der Finanzmarktaufsicht
(FMA) geht auf den digitalen
Wandel ein, auch und gerade
im Finanzwesen.
Die Branche hat ihre analogen,
auf Vor-Ort-Präsenz und
persönliche Beratung aufgebauten
Geschäftsmodelle stark durch
digitale Tools ersetzt, und dritte
Anbieter haben neue, alternative
Geschäftsmodelle geschaffen,
was neue Risiken mit sich
bringt. Ein weiteres Bedrohungsszenario
erwächst aus der politischen
Weltlage. Cyberattacken
werden immer mehr zum Instrument
hy brider Kriegsführung,
vor allem seit dem Überfall Russlands
auf die Ukraine. Das Finanzwesen
gehört zur kritischen Infrastruktur,
und Ausfälle in diesem
Bereich könnten das Vertrauen in
das Finanzsystem erschüttern.
Einheitliche Regeln
Genau hier setzt DORA an. Mit
dieser EU-Verordnung will man
die Betriebsstabilität digitaler
Systeme im Finanzsystem im
Falle eines Angriffs sicherstellen,
indem man erstmals einen einheitlichen
Rechtsrahmen für die
digitale Widerstandsfähigkeit mit
einem für alle gültigen Aufsichtskonzept
schafft.
Natürlich gab es auch schon
bisher Cybersicherheitsregelungen
im Bankenwesen. DORA geht
aber weit darüber hinaus. Er gilt
auch für Handelsplätze, Krypto-
Dienstleister, große Versicherungsvermittler
oder Drittanbieter
aus der Informations- und Kommunikationstechnologie
(IKT), die
Services in diesem Bereich anbieten
und als sicherheitsrelevant eingestuft
werden. Insgesamt betrifft
DORA mehr als 22.000 Unternehmen
in der gesamten EU und muss
spätestens am 17. Jänner 2025 in
diesen umgesetzt sein.
Risikomanagement & Tests
Was bedeutet das für die betroffenen
Unternehmen? Gefordert wird
die Implementierung eines Risikomanagement-Rahmens
für die IKT
mit klar definierten Strategien und
Richtlinien, Verfahren, Protokollen
und entsprechenden Tools. So
sollen alle relevanten Einrichtungen
inklusive Hard- und Software
sowie physischer Komponenten,
z. B. Rechen zentren, geschützt
werden. DORA schreibt auch die
zumindest jährliche Überprüfung
der Betriebsstabilität und die
Dokumentation aller Maßnahmen
im Rahmen des Risikomanagements
vor. Sollte es zu schwerwiegenden
Vorfällen in diesem
Bereich kommen, muss zusätzlich
getestet werden. Auch müssen
alle Vorfälle im Bereich der IKT
den zuständigen Stellen gemeldet
werden.
Ebenso gefordert ist eine Strategie
zur Steuerung und Überwachung
von Risiken im Bereich von
IKT-Drittanbietern. Weiters wird
auch der Informationsaustausch
zwischen betroffenen Unternehmen
ermöglicht, sodass Erfahrungen
und Erkenntnisse zu Cyberbedrohungen
geteilt werden. Die
heimischen Unternehmen werden
bei der Implementierung von
DORA durch die FMA unterstützt.
ANZEIGE
NIS 2
Thomas
Stinner:
„Lassen Sie
uns gemeinsam
Ihre IT-
Sicherheit
zukunftsfit
machen!“ KK
Sind Sie bereit?
Mit der NIS-2-Richtlinie und
dem Lieferkettengesetz stehen
Unternehmen vor erheblichen
Herausforderungen
in der IT-Sicherheit. Diese
betreffen sowohl interne Systeme
als auch die gesamte
Lieferkette. Verstöße können
zu hohen Strafen und
Reputationsverlust führen.
Stinner IT-Solutions hilft
Ihnen, die gesetzlichen Vorgaben
umzusetzen und Ihre
IT-Sicherheit zu stärken.
Info: Tel. (0316) 375033
E-Mail: office@stinner-it.com
AdobeStock/ImagePulse

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
5
Gerade das
Finanzwesen
ist immer
wieder Ziel von
Cyberattacken
ANZEIGE
Cybersicherheit für
DORA & NIS2-Lieferanten
einfach nachweisen
Mehr Informationen unter www.cyberrisk-rating.at
Fragen? Wir sind für Sie da.
support@cyberrisk-rating.at
+43 732 860 626

6 WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
Sind Sie fit für NIS 2?
Die EU-Cybersecurity-Richtlinie NIS 2 hat als Nachfolgerin
von NIS 1 das Ziel, Unternehmen und Lieferketten noch
resilienter gegenüber Cybercrime zu machen.
Im Jahr 2016 wurde die erste
Netz- und Informationssicherheitsrichtlinie
– bekannt als NIS
1 – in der Europäischen Union
gesetzlich verankert. Mit ihr wurden
vor allem große Unternehmen,
die in und für „kritische Infrastrukturen“
arbeiten, verpflichtet,
sich wirksam vor Cyberangriffen
zu schützen. Dazu zählten z. B.
die Bereiche Energieversorgung,
ANZEIGE
ICH
KLICKE
HIER
MAL
DRAUF
Gesundheit und Transport. Der
Hintergrund: Angriffe auf diese
„KRITIS“ könnten schwerwiegende
Auswirkungen auf die öffentliche
Sicherheit, das Wirtschaftswachstum
und das tägliche Leben
der Menschen haben.
Die NIS-2-Richtlinie, die in allen
EU-Staaten bis Ende 2024 ratifiziert
werden soll, hat nun das
Ziel, die Cyberresilienz in der EU
nochmals spürbar zu steigern. Da
mit der Novellierung von NIS 1
auch die Schwellenwerte aktualisiert
wurden, unterliegen deutlich
mehr Unternehmen der NIS 2
als der NIS 1. Das heißt im Klartext:
NIS 2 betrifft Unternehmen,
die zumindest 50 Mitarbeitende
beschäftigen oder die einen Jahresumsatz
von über zehn Millionen
Euro erzielen und deren Jahresbilanzsumme
sich auf über zehn
Millionen Euro beläuft. Betriebe,
die unter diesen Grenzen liegen,
sind in der Regel ausgenommen,
jedoch gibt es Ausnahmen, wenn
diese in bestimmten kritischen
Sektoren tätig sind oder eine
erhebliche Bedeutung für die Versorgungssicherheit
haben (siehe
Kasten links).
Warum NIS 2?
Vinzenz Heußler, NIS-Experte im
österreichischen Bundeskanzleramt,
erklärt die Motivation für die
neue NIS-2-Richtlinie so: „NIS 1
hat in vielen Bereichen gut funktioniert,
z. B., weil damit alle EU-
Staaten Cybersicherheitsstrategien
entwickelt und ihre kritischen
Infrastrukturen besser geschützt
haben. Was sie nicht geschafft hat,
ist, annähernd gleiche Sicherheitsniveaus
zwischen den Staaten
bzw. den diversen Unternehmenstypen
zu erreichen.“ Darüber hinaus
hätten sich seit dem Inkrafttreten
von NIS 1 im Jahr 2016 die
Digitalisierung, aber auch die
Bedrohungen durch Cyberkriminalität
massiv verändert, was in
der alten Richtlinie noch nicht entsprechend
erfasst sei.
Laut Wirtschaftskammer Österreich
werden mit NIS 2 für rund
4000 heimische Unternehmen
und Einrichtungen aus 18 festgelegten
Sektoren verpflichtende
Sicherheitsmaßnahmen und Meldepflichten
bei Sicherheitsvorfällen
festgeschrieben. Verpflichtet
werden auch die Dienstleister
und Lieferanten von NIS-2-pflichtigen
Einrichtungen („Sicherheit
der Lieferkette“). Im Rahmen der
Meldepflicht müssen sicherheitsrelevante
Vorfälle, die erhebliche
Auswirkungen auf die Verfügbarkeit
von Diensten haben könnten,
den nationalen Behörden gemeldet
werden. Gefordert ist nun
auch die Etablierung eines Cyberrisiko-Managements.
Die NIS-2-Richtlinie zu ignorieren,
kann für ein Unternehmen
unangenehm werden, denn mit ihr
kommen auch strengere Durchsetzungsmechanismen
sowie erhebliche
Geldstrafen bei Verstößen.
Sicherheit der Lieferkette
Unternehmen werden von der NIS-
2-Richtlinie zu einem umfassenden
Risikomanagement verpflichtet. Ein
veritables Sicherheitsrisiko birgt die
heute übliche enge Vernetzung von
Unternehmen mit ihren Lieferanten
und Dienstleistern. Folglich legt
NIS 2 großes Augenmerk auf die
Sicherheit von Lieferketten – inkl.
NIS-2-PFLICHT
Kleine Unternehmen, mit
weniger als 50 Mitarbeiter:innen
und entweder einem
Jahresumsatz von max. 10
Mio. Euro oder einer Jahresbilanzsumme
von max. zehn
Mio. Euro, fallen in der Regel
nicht unter NIS 2. Es gibt
jedoch Ausnahmen für:
Vertrauensdienste anbieter
(elektronische Zertifizierungsdienste).
Anbieter öffentlicher elektronischer
Kommunikationsnetze
oder öffentlich
zugänglicher elektronischer
Kommunikationsdienste.
Internet-Infrastrukturanbieter
wie Top-Level-
Domain(TLD)-Namenregister
und Domain-Name-System
(DNS)-Diensteanbieter.
Unternehmen, die in einem
Mitgliedsstaat alleiniger
Anbieter eines Services sind,
das essenziell für die Aufrechterhaltung
kritischer
gesellschaftlicher oder wirtschaftlicher
Aktivitäten ist.
sicherheitsbezogener Aspekte der
Beziehungen zwischen den einzelnen
Einrichtungen und ihren unmittelbaren
Anbietern oder Diensteanbietern.
Bei den Maßnahmen
müssen die spezifischen Schwachstellen
der unmittelbaren Anbieter
sowie die Gesamtqualität der Produkte
und der Cybersicherheit ihrer
Anbieter einschließlich der Sicherheit
ihrer Entwicklungsprozesse
berücksichtigt werden.

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
7
NIS-2-MASSNAHMEN BEI UNTERNEHMEN
Systematisches Risikomanagement
Dazu zählen technische und organisatorische Maßnahmen zur
Identifizierung und Bewertung von Risiken, der Schutz der Netzund
Informationssysteme vor Cyberangriffen sowie Notfallpläne für
den Fall eines Angriffs oder einer Störung.
Meldungspflicht
Bedeutende Sicherheitsvorfälle müssen innerhalb einer vorgeschriebenen
Frist an die zuständigen nationalen Behörden oder
an zentrale Meldestellen (Computer Emergency Response Teams,
CERTs) gemeldet werden.
Aufbau von Cybersicherheitsfähigkeiten
Dazu zählen u. a. fachspezifische Mitarbeiter:innen-Schulungen,
eine kontinuierliche Überwachung und Bewertung der Netz- und
I nformationssicherheitsprozesse oder auch die Ernennung eines
Cybersicherheitsverantwortlichen.
Lieferketten
Unternehmen müssen die Sicherheitsrisiken in ihrer Lieferkette
bewerten und sicherstellen, dass auch ihre Lieferanten und Partner
angemessene Sicherheitsmaßnahmen umsetzen.
Krisenmanagement und Resilienz
Unternehmen müssen in der Lage sein, auf Cybervorfälle effektiv
und rasch zu reagieren.
ANZEIGE

8
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
Schutz gegen Schäden
Cyberversicherungen bieten Schutz gegen die Schäden, die durch
Cyberangriffe entstehen. Das Angebot ist vielfältig und an die
individuelle Bedrohungslage anpassbar.
Die größte Gefahr geht
vom Netz aus. Zu diesem
Ergebnis kommt der diesjährige
„Allianz Risk Barometer“,
für den mehr als 3000
Risikoexpert:innen aus 92 Ländern
nach ihren Top-Unternehmensrisiken
befragt wurden. Der
Studie zufolge fürchten 36 Prozent
der Befragten Datenpannen,
Angriffe auf kritische Infrastruktur
oder Vermögenswerte und
vermehrte Ransomware-Attacken.
Auch in Österreich rangieren
Cyberattacken wie schon im Vorjahr
an der Spitze, noch vor makroökonomischen
Entwicklungen,
Unsicherheiten in puncto Energieversorgung
oder drohenden
Naturkatastrophen.
„Cybercrime ist kein Delikt, das
nur große Konzerne bedroht. Es
ist wichtig, dass Österreichs KMU
erkennen, welche Bedrohung auf
sie zukommt“, betont Rémi Vrignaud,
Präsident des österreichischen
Versicherungsverbandes.
Gerade die Corona-Pandemie hat
diesbezüglich insbesondere große
Unternehmen für ein erhöhtes
Risikobewusstsein sensibilisiert
und damit Maßnahmen zur Steigerung
der Resilienz befördert.
Kleinere Firmen haben jedoch
häufig weder die Zeit noch die
Ressourcen, um sich effektiv darauf
vorzubereiten und umfassende
IT-Sicherheitsmaßnahmen
zu implementieren. Die schwache
Cybersicherheit, vor allem auch
bei mobilen Endgeräten, werde
daher die Anzahl der Schadensfälle
erhöhen, warnen Expert:innen.
Als Schutz bieten Versiche-
Versicherungen bieten Cyberversicherungen
gegen die Schäden von Cybercrime
Adobestock/Khmel, Adobestock/sophonk

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
9
rungen entsprechende Produkte,
die Absicherung bieten.
Risikoabsicherung
So deckt eine Cyberversicherung
im Ernstfall die Kosten für die Wiederherstellung
von IT-Systemen,
die Wiederbeschaffung der Daten,
einen möglichen Betriebsstillstand
sowie Schäden an Dritten, etwa
durch Datenschutzverletzungen
oder unbewusste Weitergabe von
Schadsoftware. Sie stellt damit
für Unternehmen jeder Größe und
jeder Branche einen wichtigen Teil
der Risikoabsicherung dar.
Die Versicherungen setzen sich
typischerweise aus Haftpflichtund
Eigenschadenversicherungen
zusammen. Bestehende Produkte
am Markt unterscheiden sich
jedoch in wesentlichen Details. Die
Auswahl des optimalen
Versicherungsschutzes,
der auf die Bedürfnisse
des Unternehmens abgestimmt
ist, ist damit nicht
einfach.
Versicherungen haben
daher modulartige Bausteine
für einen passenden Schutz,
die eine fallbezogene Schadensdeckung,
z. B. bei Erpressungen nach
Cyberattacken, bieten – wobei
im Extremfall auch das Bezahlen
von Lösegeld inkludiert ist. Eine
Cyber-Haftpflichtversicherung zielt
dagegen auf Haftungsansprüche
von Dritten ab. Dabei geht es um
reine Vermögensschäden inklusive
immaterieller Schäden, beispielsweise
durch Datenschutzverletzungen.
Der Versicherungsschutz
umfasst typischerweise auch die
Abwehr von Haftungsansprüchen
und Versicherungsschutz im Strafund
Verwaltungsstrafverfahren.
Es gibt aber auch Module, die vor
Schäden durch Kreditkartenbetrug
oder durch Betriebsunterbrechung
entstandenen Vermögensschaden
absichern. Als Variante gibt es
Pauschalversicherungen inklusive
Cyberschutz.
Sicherheitsmaßnahmen
Kleiner wird die Gefahrenlage
nicht. Laut der „Cyber Security
in Österreich 2022“-Studie wurden
67 Prozent der heimischen
Unternehmen bereits Opfer eines
Cyberangriffs. Jedem fünften
Unternehmen entstand dabei ein
finanzieller Schaden.
Eine der „Es wird schon nichts
passieren“-Taktik folgende Untätigkeit
wird künftig für viele
Unternehmen nicht mehr möglich
beziehungsweise strafbar sein.
Denn mit der neuen NIS-2-Richtlinie
werden ab 2025 verpflichtende
Sicherheitsmaßnahmen
und Meldepflichten eingeführt.
Die Richtlinie betrifft mehrere Tausend
Unternehmen und wird den
Umfang der bisherigen Regelungen
deutlich erweitern.
ANZEIGE
NET-SOLUTIONS
IT-Sicherheitslösungen für KMU
Kleine und mittelständische
Unternehmen (KMUs) stehen
vor wachsenden Cyberrisiken.
Ständige Warnungen und
technische Details, teils
mit ausgeprägter technischer
Tiefe, die dem Management
nur wenig helfen, das notwenige
Schutzpotenzial für das eigene
Unternehmen einzuschätzen:
Was KMU wirklich brauchen, ist
ein smartes Security-Ökosystem,
das individuell auf ihre Anforderungen
abgestimmt ist.
IT-Sicherheitsstrategien.
NET-Solutions mit Sitz in Villach
unterstützt bei der Umsetzung
eines solchen Systems. Der
IT-Dienstleister mit Fokus auf
Managed Services für Unternehmen
jeder Größe entwickelt und
realisiert mit großer Expertise
und umfassenden Lösungen indi-
Net-Solutions: Maßgeschneiderte Lösungen statt Sicherheits-Wirrwarr
viduelle IT-Sicherheitsstrategien.
Bedrohungen werden erkannt
und sofort proaktiv abgewehrt.
Faktoren wie Fachkräftemangel,
unzureichende Sicherheitsstrategien
und knappe Budgets
erhöhen das Risiko für Cyberkriminalität.
NET-Solutions bietet
KK
in Zusammenarbeit mit SOPHOS
Unterstützung durch eine integrierte
Security-Plattform, die alle
wesentlichen Abwehrmechanismen
vereint und im attraktiven
Managed Service Flatrate-Model
angeboten wird.
Durch das erfahrene Team von
NET-Solutions wird der sichere
Betrieb der IT-Infrastruktur
gewährleistet, während die
Sicherheit kontinuierlich überwacht
und optimiert wird. Mit
einem adaptiven Sicherheits-
Ökosystem und Managed Detection
and Response (MDR)-Services
in Zusammenarbeit mit
SOPHOS, werden Anomalien und
Bedrohungen frühzeitig erkannt
und abgewehrt.
Das Ziel: Sie können sich auf
Ihr Kerngeschäft konzentrieren
im Wissen, dass Ihre IT optimal
geschützt ist!
Informationen:
www.net-solutions.at

10
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
Cybercrime verursacht
Milliardenschäden
Die digitale Welt ist ein gefährliches Pflaster: Allein in Österreich hat sich
seit 2019 die Cyberkriminalität verdoppelt.
Alles nur eine Frage der
Zeit. „Mit ausreichend
Vorbereitung ist es
möglich, das Computernetzwerk
jedes Unternehmens zu
hacken“, sind sich Cybersecurity-
Expert:innen sicher. Einschlägige
Studien zeigen auch weltweit
einen deutlichen Anstieg der Attacken,
Angriffe und Cyber crime-
Aktivitäten. So weist allein die
entsprechende Statistik des österreichischen
Bundeskriminalamts
für das vergangene Jahr ein Plus
der Internetkriminalität gegenüber
2022 von knapp zehn Prozent auf.
„Wir haben im Jahr 2023 1572 Terrabyte
an Daten bearbeitet“, rechnet
Andreas Holzer, Direktor des
Bundeskriminalamts, vor: „Bei fast
jedem Fall gibt es eine digitale
Komponente. Wir sprechen hier
von über 90 Prozent der Ermittlungsfälle
in Österreich.“
Die Palette der Opfer ist bunt.
Sie reicht von Baukonzernen und
Energieversorgern bis zu Krankenhäusern,
von kleinen Landgemeinden
über große IT-Dienstleister
bis hin zu privaten Haushalten.
Im Trend sind auf Software-Ebene
auch gezielte Angriffe auf Lieferketten.
Der Virus wird dabei beispielsweise
über eine vermeintlich
normale Update-Version
– und damit an allen Firewalls- und
Sicherheitsvorkehrungen vorbei –
miteingespeist. Die fatalen Nebenwirkungen:
Der Schaden kann
sich auf das Kundennetzwerk des
direkten Opfers ausbreiten. Damit
verbunden sind teils immense
Schadens- und Lösegeldforderungen.
Denn Kriminalität ist auch im
Internet ein lukratives Geschäft.
Die Schäden durch Betrugsfälle
gehen teilweise in die Millionen.
Die meisten Unternehmen treffen
zwar mittlerweile teils aufwendige
technische Security-
Maßnahmen. Die hätten aber vor
allem eine psychologische Wirkung,
warnen Expert:innen. Vielfach
werde die tatsächliche Gefahr
dadurch nur noch vergrößert, weil
man unvorsichtiger und damit verletzbarer
wird. Denn die Angriffe
von Kriminellen erfolgen auf mehreren
Ebenen – die technische ist
nur eine davon. Die menschliche
eine andere – meist lohnendere.
Wie das funktioniert? Neben „normalen“
Angriffen auf die Software
werden Mitarbeitende mittels
Mails oder Anrufen mit gezielten
Falschnachrichten beschickt. Die
Kriminellen analysieren, wer wie
wann reagiert, ignoriert, antwortet,
nachfragt oder Informationen
bedenkenlos weiterleitet. So werden
Schwachstellen ausgemacht.
Vor allem Phasen der Veränderung
oder Bewegung in einem
System, beispielsweise Homeoffice-Lösungen,
Standort-Neueröffnungen,
Übersiedelungen von
Büros, Kommunikation mit Mitarbeitenden
im Außendienst oder
der Geschäftsaufbau mit neuen
Kund:innen gelten als besonders
gefährlich. In dieser neuen Unübersichtlichkeit
haben Cyberkriminelle
Hochsaison. Was man dagegen
macht? Man muss sich permanent
mit der eigenen Bedrohungslandschaft
befassen und das Bewusstsein
in der Belegschaft regelmäßig
schärfen. Keine einfache Aufgabe.
Denn Cybercrime zählt zu den sich
am schnellsten verändernden Kriminalitätsphänomenen
und ist der
am stärksten wachsende Bereich
in der polizeilichen Anzeigenstatistik.
Was also tun? Die mögliche
Vorbereitung auf die Abwehr eines
Cyberangriffs umfasst technische
und organisatorische Maßnahmen.
Technisch ist eine robuste Datensicherungs-
beziehungsweise Backup-Strategie
notwendig, um gegen
Beschädigungen durch Schadsoftware
oder Verschlüsselungen
gewappnet zu sein. Auf organisatorischer
Ebene braucht es entsprechende
Awareness und Schulungen
der Mitarbeitenden, damit
diese keine Schadsoftware aktivieren,
die sie beispielsweise per
E-Mail erhalten. Gerade durch Phishing-Mails,
gefälschte Webseiten
oder Kurznachrichten verschaffen
sich Angreifer:innen Zugriff. Denn
die größte Schwachstelle bleibt bei
aller technischen Verwundbarkeit
immer noch der Mensch.
Adobestock/vectorfusionart, Adobestock/Priskina (3)

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
11
Voll auf
Angriff
Die häufigsten Arten von Cyberattacken
und wie man sich und seine Daten
schützen kann.
Ob es sich um eine Schadsoftware handelt,
die Daten löscht, verschlüsselt oder
kopiert, oder um Hacker:innen, die auf der
Suche nach für sie relevanten Informationen
sind: Es ist ein absichtlicher Angriff und
kein technischer Defekt. Daher muss man bei
Sicherheitsvorkehrungen berücksichtigen, dass
eine einzelne Maßnahme nur bedingt schützt
oder nicht ausreicht und dass von Angreifer:innen
jede offene Schwachstelle potenziell ausgenutzt
werden wird.
Phishing
Phishing ist eine Methode, bei der Angreifer:innen
versuchen, an persönliche Informationen
wie Passwörter oder Kreditkartendaten zu
gelangen, indem sie gefälschte E-Mails oder
Webseiten verwenden. Oft werden diese Nachrichten
so gestaltet, dass sie von vertrauenswürdigen
Quellen zu stammen scheinen.
Wie man sich schützen kann:
Misstrauisch sein: Absender und Inhalt der
Nachricht genau prüfen, Vorsicht bei Links
und Anhängen. Zwei-Faktor-Authentifizierung
aktivieren: Diese
zusätzliche Sicherheitsmaßnahme
macht es Angreifer:innen schwerer, auf
Konten zuzugreifen, selbst wenn sie das Passwort
haben.
Ransomware
Ransomware ist ein Schadprogramm, das die
Dateien eines Opfers verschlüsselt und ein
Lösegeld fordert, um den Zugriff wiederherzustellen.
Diese Angriffe können verheerende
Folgen haben, insbesondere für Unternehmen.
Wie man sich schützen kann:
Regelmäßige Back-ups: Daten regelmäßig auf
externen Laufwerken oder in
der Cloud sichern. Antiviren-
Software verwenden und
sie stets auf dem neuesten
Stand halten.
Malware
Malware umfasst verschiedene
Arten von schädlicher
Software, die da rauf
abzielt, Systeme zu infiltrieren, Daten zu stehlen
oder Schaden anzurichten. Dies kann von
Trojanern bis hin zu Spyware reichen.
Wie man sich schützen kann:
Betriebssystem und Anwendungen durch
Updates immer auf dem neuesten Stand halten.
Und Vorsicht bei Downloads: Software
nur von vertrauenswürdigen Quellen herunterladen.
DDoS-Attacken
„Distributed Denial of Service (DDoS)“-
Attacken überlasten ein Netzwerk oder einen
Dienst, indem sie eine Flut von Anfragen senden.
Dies führt dazu, dass die Dienste nicht
mehr erreichbar sind.
Wie man sich schützen kann:
Lastenausgleich-Technologien verwenden, die
den Datenverkehr gleichmäßig verteilen und
so Überlastungen vermeiden. Für Unternehmen
gibt es eigene DDoS-Schutzdienste, die
derartige Angriffe abwehren können.

Looking for the best
Mit unseren vollumfänglichen Security-Lösungen sind
Sie gegen das breite Spektrum an Angriffsvektoren
optimal gewappnet.
Wir schützen Ihre hybriden Infrastrukturen, Ihre Daten
und die Endgeräte Ihrer Anwender*innen at-rest und
in-motion. Unsere Expert*innen begleiten Sie vom
Konzept über die Implementierung bis zum laufenden
Betrieb Ihrer Lösung.
A C P I T S O L U T I O N S G M B H
Herrgottwiesgasse 203
8055 Graz-Puntigam
Tel +43-316-46030
sued@acp.at, www.acp.at