Cybersecurity Steiermark

WIRTSCHAFT & RECHT
Cybersecurity
Mittwoch, 30. Oktober 2024 | Ein Produkt des Werbemarktes der Kleinen Zeitung
Kein Mut
zur Lücke!
Cybersecurity-Maßnahmen als
großes Muss der Zeit.
Sind Sie fit
für NIS 2?
Die Cybersecurity-Richtlinie
steht vor der Tür.
Wer kennt
DORA?
Diese EU-Verordnung macht
die Finanzwelt cybersicher.

2
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
Niemand kann sich
Sicherheitslücken leisten!
Cybersecurity-Maßnahmen zum Schutz der eigenen Computersysteme,
Daten und Informationen gehören in Zeiten der globalen Vernetzung zu
den essenziellsten Aufgaben eines Unternehmens.
Sie sind als „ILOVEYOU“,
„Mydoom“ oder „Sasser“
in die Kriminalgeschichte
der digitalen Welt eingegangen.
Schadprogramme – sogenannte
Würmer –, die Systeme infiziert,
private Kontakte und Daten
in alle Welt verschickt, Dateien und
Medien zerstört, digitale Türen für
Cyberkriminelle geöffnet und mit
dem Lahmlegen von Unternehmen,
Krankenhäusern, Behörden
und kritischer In frastruktur Abermilliarden
Euro an Schäden verursacht
haben. Nicht weniger perfide
waren und sind Cyberangriffe mit
sogenannter Ransomware, Schadprogrammen,
mit denen Daten
u. a. verschlüsselt und erst nach
Zahlung eines Lösegelds wieder
nutzbar gemacht werden. So hat
beispielsweise „WannaCry“ im Jahr
2017 in nicht weniger als 150 Ländern
Krankenhäuser, Unternehmen
und Regierungs behörden angegriffen.
Gerade Ransomware ist für
Kriminelle ein seit Jahren etabliertes
Geschäftsmodell und eine der
größten operativen Bedrohungen
der Cyber sicherheit.
Kehrseite der Vernetzung
Die zunehmende Vernetzung und
Digitalisierung unserer Welt bringt
für uns alle etliche Vorteile mit sich.
Sie öffnet jedoch auch die Türen
für Cyberkriminelle. Selbst große
und technologisch fortschrittliche
Unternehmen können sich nicht
in absoluter Sicherheit vor Angriffen
wiegen. Denn auch wenn die
Methoden der Abwehr von Cyberbedrohungen
immer ausgefeilter
werden – die Angreifer:innen
sind ebenfalls Spezialist:innen, die
immer wieder neue Angriffsflächen
in der zunehmenden Komplexität
unserer IT-Systeme finden.
Für Dominic Neumann, Obmann
der Fachgruppe UBIT der Wirtschaftskammer
Steiermark, ist
Cyberkriminalität daher nicht
umsonst die derzeit am stärksten
wachsende „Branche“ weltweit.
Fortsetzung auf Seite 4
IMPRESSUM: Medieninhaber und Herausgeber: Kleine Zeitung GmbH & Co KG, Gadollaplatz 1, 8010 Graz. Produktion: Kleine Zeitung GmbH & Co KG © Content Management. Idee & Konzeption: Mag. Richard
Brandstätter. Koordination: Christian Kössler, Stefanie Moser. Texte: Christian Kössler, Gernot Zenz, Klaus Höfler. Titelfoto: Adobestock/Saratstock. Werbemarkt: Richard Brandstätter, Christian Kohlberger,
Waltraud Tragbauer, Layout: Kleine Zeitung GmbH & Co KG © Design & Medien, Gadollaplatz 1, 8010 Graz. Herstellung: Druck Styria GmbH & Co KG, 8042 Graz.
kleinezeitung.at | WERBUNG
AdobeStock/kras99

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
3
TECHNISCHE
MASSNAHMEN
Firewalls überwachen den
Datenverkehr.
Antivirus-Software erkennt
und entfernt Malware wie Viren,
Trojaner oder Spyware.
Intrusion Detection Systems
(IDS) und Intrusion Prevention
Systems (IPS) erkennen und
verhindern unbefugte Zugriffe
auf Netzwerke.
Datenverschlüsselung bei der
Übertragung und Speicherung,
um sicherzustellen, dass Dateien
nur von autorisierten Parteien
gelesen werden können.
Multi-Faktor-Authentifizierung:
Zusätzliche Sicherheitsebene,
bei der neben dem Passwort ein
zweites Authentifizierungsmittel
verwendet wird (z. B. ein Code
auf einem Smartphone).
ANZEIGE
ZIVILSCHUTZVERBAND STEIERMARK
Cybersecurity im Fokus
Straftaten, die mit dem Internet
und den genutzten Computersystemen
zusammenhängen,
können durch geeignete
Präventionsmaßnahmen gut
verhindert werden.
Der steirische Zivilschutzverband
hat es sich zur
Aufgabe gemacht, die
steirische Bevölkerung über die
Gefahren im Internet aufzuklären
und effektive Schutzmaßnahmen
zu fördern. Vor allem
durch Schulungen, Infoveranstaltungen
und präventive Maßnahmen
sollen die Menschen
über mögliche Cyberbedrohungen
aufgeklärt werden.
Im Mittelpunkt stehen grundlegende
Informationen zur PC-
Sicherheit, zum Passwortschutz,
zum gefahrlosen Internetsurfen
sowie Richtlinien für den
Umgang mit sozialen Medien.
Der Zivilschutzverband Steiermark stärkt die digitale Sicherheit
Auch für mögliche Gefahren
und Schäden werden die Teilnehmer:innen
sensibilisiert.
In Zusammenarbeit mit der
Polizei können auch kostenlose,
zielgruppenorientierte Infor-
AdobeStock
mationsveranstaltungen für
Gemeinden, Vereine oder Unternehmen
organisiert werden.
Der Zivilschutzverband Steiermark
stellt dafür Informationsmaterialien
sowie Leitfäden und
Baumann
Der Zivilschutzverband
Steiermark behandelt
das Thema Cyberkriminalität
mit der notwendigen
Aufklärung und
Sensibilisierung.“
Heribert Uhl, GF Zivilschutzverband
Stmk.
Checklisten zum Thema Cybersicherheit
gedruckt und digital
zur Verfügung.
Anfragen & Infos unter E-Mail:
zivilschutz.office@stzsv.at

4
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
ORGANISATORISCHE
MASSNAHMEN
Sicherheitsrichtlinien und
-standards: Implementierung
von Sicherheitsrichtlinien
(z. B. ISO 27001, NIS 2)
Schulung und Sensibilisierung:
Regelmäßige Schulungen,
um das Bewusstsein
für Cyberbedrohungen zu
schärfen.
Zugangskontrolle:
Beschränkung des Zugriffs
auf sensible Systeme und
Daten.
ANZEIGE
Deren Abwehr wird wohl auf
sehr lange Sicht ein Katz-und-
Maus-Spiel zwischen den Kriminellen
auf der einen und den
Behörden sowie IT-Sicherheitsexpert:innen
auf der anderen Seite
bleiben. Letztere können Unternehmen
vor allem einen Tipp
geben: den Kriminellen immer
einen Schritt voraus zu sein und
für den Fall der Fälle einen Backup-Plan
bereitzuhaben.
Gesamtkonzept
Cybersecurity
Cybersecurity geht weit über
das standardisierte Installieren
von Virenschutzprogrammen
oder Firewalls hinaus. Der Begriff
umfasst den umfassenden Schutz
von Computersystemen, Netzwerken
und Daten vor Angriffen,
unberechtigtem Zugriff, Diebstahl
oder Beschädigung sowie
alle Technologien, Prozesse und
Maßnahmen, die darauf abzielen,
Systeme vor Bedrohungen
wie Hackern, Malware (bösartige
Software), Phishing-Angriffen und
Datenverlust zu schützen.
Doch selbst die besten Technologien
und Schutzsysteme
sind manchmal hilf- und nutzlos,
wenn die User:innen nicht mit den
Grundbegriffen der Cybersecurity
vertraut sind. Folglich gehören
auch die Bewusstseinsbildung
und Schulung der Mitarbeiter:innen
und die Einrichtung einer
nachhaltigen Sicherheitskultur
zum Um und Auf einer wirkungsvollen
Cybersecurity.
In einem funktionierenden
Sicherheitssystem können beispielsweise
nur autorisierte Personen
auf bestimmte Daten oder
Systeme zugreifen („Vertraulichkeit“),
Daten nicht unbemerkt verändert
oder manipuliert werden
(„Integrität“) und ein solches System
verfügt über stringente Authentifizierungs-
und Autorisierungsprozesse.
Notfallplan: Plan, der
beschreibt, wie im Falle
eines Sicherheitsvorfalls zu
reagieren ist.
Sicherheitsbewertungen
und Penetrationstests
Regelmäßige Überprüfung
der Systeme auf Schwachstellen
durch interne oder
externe Auditor:innen.
Chief Information Security
Officer (CISO):
Verantwortliche Führungskraft
für die Entwicklung und
Umsetzung der Cybersicherheitsstrategie.
Zugangskontrollen, Videoüberwachung
und Back-up-
Systeme
NIS 1 und NIS 2
Im Jahr 2016 wurde die erste
Cybersecurity-Richtlinie von der
Europäischen Union eingeführt,
die heute als NIS-Richtlinie oder
NIS 1 (Netz- und Informationssicherheitsrichtlinie)
bekannt ist.
Sie enthält verbindliche Vorgaben
zum Schutz der Systeme
von Unternehmen, die als Betreiber
„kritischer Infrastrukturen“
aktiv sind, vor allem in essenziellen
Bereichen wie Energieversorgung,
Gesundheit und Transport.
Die nun vor der Tür stehende
NIS-2-Richtlinie ist eine Weiterentwicklung
von NIS 1 und betrifft
eine deutlich erweiterte Gruppe
von Unternehmen und Organisationen.
Selbst sehr kleine Unternehmen
können davon betroffen
sein, wenn sie in bestimmten kritischen
Sektoren tätig sind oder
eine erhebliche Bedeutung für die
Versorgungssicherheit haben.
AdobeStock/Elnur

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
5
CYBERSECURITY
NIS 2: Es ist höchste Zeit!
Im Frühjahr 2025 wird die
Cybersicherheitsrichtlinie NIS
2 in Österreich in Kraft treten.
Mit ihr werden nun auch
kleinere Betriebe verpflichtet,
Maßnahmen gegen Cyberbedrohungen
umzusetzen.
In unserer zunehmend vernetzten
Welt ist Cyber crime
die aktuell am stärksten
wachsende „Branche“ weltweit.
Kein Unternehmen kann es sich
daher heute noch leisten, den
Schutz gegen diese Bedrohung
zu vernachlässigen.
Mit Inkrafttreten der Netzwerk-Informationssicherheitsrichtlinie
NIS 2 im Frühjahr 2025
sind nun auch kleinere Unter-
nehmen diesbezüglich gefordert.
„Zehn Millionen Euro Umsatz,
20 Mitarbeiter und alle anderen
Unternehmen, die darüber
liegen, sind mit NIS 2 verpflichtet,
Maßnahmen zu ergreifen,
die die Anforderungen an die
Dominic Neumann,
MBA,
Obmann der
Fachgruppe
UBIT der
Wirtschaftskammer
Steiermark
Foto Fischer
Cybersicherheit erfüllen und die
Widerstandsfähigkeit gegenüber
Cyberbedrohungen stärken“,
betont Dominic Neumann,
MBA, Obmann der Fachgruppe
UBIT der Wirtschaftskammer
Steiermark. In bestimmten Fällen
wird NIS 2 sogar für Betriebe
schlagend, die unter der Grenze
liegen. Neumann: „Jedes Unternehmen,
das in eine Lieferkette
integriert ist, die zur kritischen
Infrastruktur zählt, muss auch
die NIS-2-Richtlinie erfüllen.“
Laut Neumann seien vielen
Betrieben ihre NIS-2-Verpflichtungen
noch gar nicht bewusst.
Deshalb soll eine breite Infokampagne
auf die Thematik aufmerksam
machen. Neumann empfiehlt
Unternehmen, die sich informieren
möchten, den Beraterpool auf
der UBIT-Stmk-Website aufzurufen
(https://www.ubit-stmk.at/
nis2-beraterpool/) und sich dann
an eine:n der zertifizierten NIS-
2-Berater:innen zu wenden.
ANZEIGE
SEI DEIN
EIGENER
BOSS
ubit-stmk.at
DEINE IDEEN.
DEINE REGELN.

6
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
Sind Sie fit für
NIS 2?
Die EU-Cybersecurity-Richtlinie NIS 2 hat
als Nachfolgerin von NIS 1 das Ziel, Unternehmen
und Lieferketten noch resilienter
gegenüber Cybercrime zu machen.
ANZEIGE
ICH
KLICKE
HIER
MAL
DRAUF
NIS-2-PFLICHT
Kleine Unternehmen, mit
weniger als 50 Mitarbeiter:innen
und entweder einem
Jahresumsatz von max. 10
Mio. Euro oder einer Jahresbilanzsumme
von max. zehn
Mio. Euro, fallen in der Regel
nicht unter NIS 2. Es gibt
jedoch Ausnahmen für:
Vertrauensdienste anbieter
(elektronische Zertifizierungsdienste).
Anbieter öffentlicher elektronischer
Kommunikationsnetze
oder öffentlich
zugänglicher elektronischer
Kommunikationsdienste.
Internet-Infrastrukturanbieter
wie Top-Level-
Domain(TLD)-Namenregister
und Domain-Name-System
(DNS)-Diensteanbieter.
Unternehmen, die in einem
Mitgliedsstaat alleiniger
Anbieter eines Services sind,
das essenziell für die Aufrechterhaltung
kritischer
gesellschaftlicher oder wirtschaftlicher
Aktivitäten ist.
Im Jahr 2016 wurde die erste
Netz- und Informationssicherheitsrichtlinie
– bekannt als NIS
1 – in der Europäischen Union
gesetzlich verankert. Mit ihr wurden
vor allem große Unternehmen,
die in und für „kritische Infrastrukturen“
arbeiten, verpflichtet,
sich wirksam vor Cyberangriffen
zu schützen. Dazu zählten z. B.
die Bereiche Energieversorgung,
Gesundheit und Transport. Der
Hintergrund: Angriffe auf diese
„KRITIS“ könnten schwerwiegende
Auswirkungen auf die öffentliche
Sicherheit, das Wirtschaftswachstum
und das tägliche Leben
der Menschen haben.
Die NIS-2-Richtlinie, die in allen
EU-Staaten bis Ende 2024 ratifiziert
werden soll, hat nun das
Ziel, die Cyberresilienz in der EU
nochmals spürbar zu steigern. Da
ANZEIGE
mit der Novellierung von NIS 1
auch die Schwellenwerte aktualisiert
wurden, unterliegen deutlich
mehr Unternehmen der NIS 2
als der NIS 1. Das heißt im Klartext:
NIS 2 betrifft Unternehmen,
die zumindest 50 Mitarbeitende
beschäftigen oder die einen Jahresumsatz
von über zehn Millionen
Euro erzielen und deren Jahresbilanzsumme
sich auf über zehn
Millionen Euro beläuft. Betriebe,
die unter diesen Grenzen liegen,
sind in der Regel ausgenommen,
jedoch gibt es Ausnahmen, wenn
diese in bestimmten kritischen
Sektoren tätig sind oder eine
erhebliche Bedeutung für die Versorgungssicherheit
haben (siehe
Kasten links).
Warum NIS 2?
Vinzenz Heußler, NIS-Experte im
sevian7
IT development GmbH
DI Gerald Kortschak
NIS-2, ISO 27001, ISO 27005
o 㘠陦 ce@sevian7.com
+43 316 71 39 48
Adobestock/cavad

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
7
NIS-2-MASSNAHMEN BEI UNTERNEHMEN
Systematisches Risikomanagement
Dazu zählen technische und organisatorische Maßnahmen zur
Identifizierung und Bewertung von Risiken, der Schutz der Netzund
Informationssysteme vor Cyberangriffen sowie Notfallpläne für
den Fall eines Angriffs oder einer Störung.
Meldungspflicht
Bedeutende Sicherheitsvorfälle müssen innerhalb einer vorgeschriebenen
Frist an die zuständigen nationalen Behörden oder
an zentrale Meldestellen (Computer Emergency Response Teams,
CERTs) gemeldet werden.
Aufbau von Cybersicherheitsfähigkeiten
Dazu zählen u. a. fachspezifische Mitarbeiter:innen-Schulungen,
eine kontinuierliche Überwachung und Bewertung der Netz- und
I nformationssicherheitsprozesse oder auch die Ernennung eines
Cybersicherheitsverantwortlichen.
Lieferketten
Unternehmen müssen die Sicherheitsrisiken in ihrer Lieferkette
bewerten und sicherstellen, dass auch ihre Lieferanten und Partner
angemessene Sicherheitsmaßnahmen umsetzen.
Krisenmanagement und Resilienz
Unternehmen müssen in der Lage sein, auf Cybervorfälle effektiv
und rasch zu reagieren.
österreichischen Bundeskanzleramt,
erklärt die Motivation für die
neue NIS-2-Richtlinie so: „NIS 1
hat in vielen Bereichen gut funktioniert,
z. B., weil damit alle EU-
Staaten Cybersicherheitsstrategien
entwickelt und ihre kritischen
Infrastrukturen besser geschützt
haben. Was sie nicht geschafft hat,
ist, annähernd gleiche Sicherheitsniveaus
zwischen den Staaten
bzw. den diversen Unternehmenstypen
zu erreichen.“ Darüber hinaus
hätten sich seit dem Inkrafttreten
von NIS 1 im Jahr 2016 die
Digitalisierung, aber auch die
Bedrohungen durch Cyberkriminalität
massiv verändert, was in
der alten Richtlinie noch nicht entsprechend
erfasst sei.
Laut Wirtschaftskammer Österreich
werden mit NIS 2 für rund
4000 heimische Unternehmen
ANZEIGE
mea IT Services
Grazer Straße 11
8600 Bruck/Mur
Tel.: 03862 / 247 11
o 㘠陦 ce@mea-it.services
www.mea-it.services
und Einrichtungen aus 18 festgelegten
Sektoren verpflichtende
Sicherheitsmaßnahmen und Meldepflichten
bei Sicherheitsvorfällen
festgeschrieben. Verpflichtet
werden auch die Dienstleister
und Lieferanten von NIS-2-pflichtigen
Einrichtungen („Sicherheit
der Lieferkette“). Im Rahmen der
Meldepflicht müssen sicherheitsrelevante
Vorfälle, die erhebliche
Auswirkungen auf die Verfügbarkeit
von Diensten haben könnten,
den nationalen Behörden gemeldet
werden. Gefordert ist nun
auch die Etablierung eines Cyberrisiko-Managements.
Die NIS-2-Richtlinie zu ignorieren,
kann für ein Unternehmen
unangenehm werden, denn mit ihr
kommen auch strengere Durchsetzungsmechanismen
sowie erhebliche
Geldstrafen bei Verstößen.
Sicherheit der Lieferkette
Unternehmen werden von der NIS-
2-Richtlinie zu einem umfassenden
Risikomanagement verpflichtet.
Ein veritables Sicherheitsrisiko
birgt die heute übliche enge Vernetzung
von Unternehmen mit
ihren Lieferanten und Dienstleistern.
Folglich legt NIS 2 großes
Augenmerk auf die Sicherheit von
Lieferketten – inkl. sicherheitsbezogener
Aspekte der Beziehungen
zwischen den einzelnen Einrichtungen
und ihren unmittelbaren
Anbietern oder Diensteanbietern.
Bei den Maßnahmen müssen die
spezifischen Schwachstellen der
unmittelbaren Anbieter sowie die
Gesamtqualität der Produkte und
der Cybersicherheit ihrer Anbieter
einschließlich der Sicherheit ihrer
Entwicklungsprozesse berücksichtigt
werden.
ANZEIGE
ICTE - Managed IT Services
(Firmenbucheintrag: Information
Communication Technology Ebner e.U.)
Burggasse 20, 8750 Judenburg
Tel: (03572/21400)
Mail: info@icte.biz
ANZEIGE
NIS 2
Thomas
Stinner:
„Lassen Sie
uns gemeinsam
Ihre IT-
Sicherheit
zukunftsfit
machen!“ KK
Sind Sie bereit?
Mit der NIS-2-Richtlinie und
dem Lieferkettengesetz stehen
Unternehmen vor erheblichen
Herausforderungen
in der IT-Sicherheit. Diese
betreffen sowohl interne Systeme
als auch die gesamte
Lieferkette. Verstöße können
zu hohen Strafen und
Reputationsverlust führen.
Stinner IT-Solutions hilft
Ihnen, die gesetzlichen Vorgaben
umzusetzen und Ihre
IT-Sicherheit zu stärken.
Info: Tel. (0316) 375033
E-Mail: office@stinner-it.com

8
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
DORA macht
Finanzen
sicherer
Der „Digital Operational Resilience Act“
der EU, kurz DORA, ist ein Meilenstein in
der Cybersicherheit des Finanzwesens.
Hier die wichtigsten Fakten.
ANZEIGE
Cyberkriminalität ist ein
Problem unserer Zeit. Je
vernetzter unser Alltag,
desto größer die Begehrlichkeiten.
Seit 2018 hat sich die
Zahl der gemeldeten Cybercrime-
Delikte mehr als verfünffacht. Ein
besonders gefährdeter Bereich ist
dabei das Finanzwesen. Der letzte
Risiko-Bericht der Finanzmarktaufsicht
(FMA) geht auf den digitalen
Wandel ein, auch und gerade
im Finanzwesen.
Die Branche hat ihre analogen,
auf Vor-Ort-Präsenz und
persönliche Beratung aufgebauten
Geschäftsmodelle stark durch
digitale Tools ersetzt, und dritte
Anbieter haben neue, alternative
Geschäftsmodelle geschaffen,
was neue Risiken mit sich
bringt. Ein weiteres Bedrohungsszenario
erwächst aus der politischen
Weltlage. Cyberattacken
werden immer mehr zum Instrument
hy brider Kriegsführung,
vor allem seit dem Überfall Russlands
auf die Ukraine. Das Finanzwesen
gehört zur kritischen Infrastruktur,
und Ausfälle in diesem
Bereich könnten das Vertrauen in
das Finanzsystem erschüttern.
Einheitliche Regeln
Genau hier setzt DORA an. Mit
dieser EU-Verordnung will man
die Betriebsstabilität digitaler
Systeme im Finanzsystem im
Falle eines Angriffs sicherstellen,
indem man erstmals einen einheitlichen
Rechtsrahmen für die
digitale Widerstandsfähigkeit mit
einem für alle gültigen Aufsichtskonzept
schafft.
Natürlich gab es auch schon
bisher Cybersicherheitsregelungen
im Bankenwesen. DORA geht
aber weit darüber hinaus. Er gilt
auch für Handelsplätze, Krypto-
Dienstleister, große Versicherungsvermittler
oder Drittanbieter
aus der Informations- und Kommunikationstechnologie
(IKT), die
Services in diesem Bereich anbieten
und als sicherheitsrelevant eingestuft
werden. Insgesamt betrifft
DORA mehr als 22.000 Unternehmen
in der gesamten EU und muss
spätestens am 17. Jänner 2025 in
diesen umgesetzt sein.
Risikomanagement & Tests
Was bedeutet das für die betroffenen
Unternehmen? Gefordert wird
die Implementierung eines Risikomanagement-Rahmens
für die IKT
mit klar definierten Strategien und
Richtlinien, Verfahren, Protokollen
und entsprechenden Tools. So
sollen alle relevanten Einrichtungen
inklusive Hard- und Software
sowie physischer Komponenten,
z. B. Rechen zentren, geschützt
werden. DORA schreibt auch die
zumindest jährliche Überprüfung
der Betriebsstabilität und die
Dokumentation aller Maßnahmen
im Rahmen des Risikomanagements
vor. Sollte es zu schwerwiegenden
Vorfällen in diesem
Bereich kommen, muss zusätzlich
getestet werden. Auch müssen
alle Vorfälle im Bereich der IKT
den zuständigen Stellen gemeldet
werden.
Ebenso gefordert ist eine Strategie
zur Steuerung und Überwachung
von Risiken im Bereich von
IKT-Drittanbietern. Weiters wird
auch der Informationsaustausch
zwischen betroffenen Unternehmen
ermöglicht, sodass Erfahrungen
und Erkenntnisse zu Cyberbedrohungen
geteilt werden. Die
heimischen Unternehmen werden
bei der Implementierung von
DORA durch die FMA unterstützt.
AdobeStock/ImagePulse

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
9
Gerade das
Finanzwesen
ist immer
wieder Ziel von
Cyberattacken
ANZEIGE
Cybersicherheit für
DORA & NIS2-Lieferanten
einfach nachweisen
Mehr Informationen unter www.cyberrisk-rating.at
Fragen? Wir sind für Sie da.
support@cyberrisk-rating.at
+43 732 860 626

10
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
Florian Stryeck,
Raiffeisen-
Landesbank
Steiermark
Digitale Sicherheit ist
ein großes Thema
Cybercrime
Florian Stryeck, Risikovorstand der Raiffeisen-Landesbank
Steiermark, über die praktischen Auswirkungen von DORA.
Was bedeutet DORA für Ihr
Unternehmen, was muss
gemacht werden?
Florian Stryeck: Grundsätzlich
sind das Thema und das Ziel
des Digital Operational Resilience
Act für uns nicht neu, da
Cybersicherheit schon immer
ein wichtiger Teil unserer Arbeit
war, um das Vertrauen der Kunden
zu bestätigen. Auch vor
DORA gab es Vorschriften, die
digitale Sicherheit und Risikovermeidung
gefordert haben.
Nun gibt es neue Meldepflichten
und Anforderungen an Lieferantenverträge.
Wir prüfen diese
und passen sie an die neuen
DORA-Anforderungen an.
Hat DORA irgendwelche Auswirkungen
auf Kundinnen und Kunden,
etwa beim Bankgeheimnis
oder im Online-Banking?
Es wird mit DORA das Ziel verfolgt,
die digitale Widerstandsfähigkeit
in der gesamten
Finanzindustrie weiter auszubauen.
Davon profitieren unsere
Kunden indirekt, jedoch unmittelbar
wird sich für den Kunden
wenig ändern, da bestmögliche
technische Sicherheitsmaßnahmen
zum Schutz der Kundengelder
auch unabhängig
von DORA eingesetzt wurden
und laufend werden. Betroffen
sind jedoch auch IT-Dienstleister
der Finanzindus trie, die ebenfalls
die Vorgaben erfüllen müssen.
Gerade für kleinere Unternehmen
kann der notwendige
Nachweis von IT-Sicherheitsmaßnahmen,
etwa Zertifizierungen,
einen hohen Aufwand
bedeuten.
Wie groß ist das Thema digitale
Sicherheit im heimischen
Bankensektor? Gab oder gibt es
Angriffe?
Digitale Sicherheit ist ein sehr
großes Thema im heimischen
Bankensektor. Viele Personen
und entsprechende Budgets
werden für die digitale Sicherheit
aufgewendet. Angriffe auf
die digitale Infrastruktur sind
laufend zu verzeichnen, jedoch
sind die Erfolgsaussichten der
Angreifer, tatsächlichen Schaden
zu verursachen, aufgrund
der vorhandenen Sicherheitsmaßnahmen
gering. Erfolgreiche
Phishing-Angriffe gibt es
nur vereinzelt. Hier sind auch
unsere Kunden gefordert, entsprechend
kritisch auf kriminelle
Aufforderungen zur
Informationsweitergabe zu
reagieren. Wir informieren laufend
über neue Bedrohungen
und sensibilisieren unsere Kunden
für diese Themen.
Die digitale Welt ist ein gefährliches
Pflaster: Allein in Österreich hat sich seit
2019 die Cyberkriminalität verdoppelt.
Alles nur eine Frage der
Zeit. „Mit ausreichend
Vorbereitung ist es
möglich, das Computernetzwerk
jedes Unternehmens zu
hacken“, sind sich Cybersecurity-
Expert:innen sicher. Einschlägige
Studien zeigen auch weltweit
einen deutlichen Anstieg der Attacken,
Angriffe und Cyber crime-
Aktivitäten. So weist allein die
entsprechende Statistik des österreichischen
Bundeskriminalamts
für das vergangene Jahr ein Plus
der Internetkriminalität gegenüber
2022 von knapp zehn Prozent auf.
„Wir haben im Jahr 2023 1572 Terrabyte
an Daten bearbeitet“, rechnet
Andreas Holzer, Direktor des
Bundeskriminalamts, vor: „Bei
fast jedem Fall gibt es eine digitale
Komponente. Wir sprechen hier
von über 90 Prozent der Ermittlungsfälle
in Österreich.“
Die Palette der Opfer ist bunt.
Sie reicht von Baukonzernen und
Energieversorgern bis zu Krankenhäusern,
von kleinen Landgemeinden
über große IT-Dienstleister
bis hin zu privaten Haushalten.
Im Trend sind auf Software-Ebene
auch gezielte Angriffe auf Lieferketten.
Der Virus wird dabei beispielsweise
über eine vermeintlich
normale Update-Version – und
damit an allen Firewalls- und
Sicherheitsvorkehrungen vorbei –
miteingespeist. Die fatalen Nebenwirkungen:
Der Schaden kann
sich auf das Kundennetzwerk des
direkten Opfers ausbreiten. Damit
verbunden sind teils immense
Schadens- und Lösegeldforderungen.
Denn Kriminalität ist auch
im Internet ein lukratives
Geschäft. Die Schäden
durch Betrugsfälle
gehen teilweise in die
Millionen.
Die meisten Unternehmen
treffen zwar mittlerweile teils
RLB Steiermark/Kanizaj, Adobestock/vectorfusionart, Adobestock/suratin

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
11
Die Zahlen zur
Cyberkriminalität
sind in den
vergangenen
Jahren förmlich
explodiert. Die
Attacken betreffen
sowohl Unternehmen
als auch
Privatpersonen
verursacht Milliardenschäden
aufwendige technische Security-
Maßnahmen. Die hätten aber vor
allem eine psychologische Wirkung,
warnen Expert:innen. Vielfach
werde die tatsächliche Gefahr
dadurch nur noch vergrößert, weil
man unvorsichtiger und damit verletzbarer
wird. Denn die Angriffe
von Kriminellen erfolgen auf mehreren
Ebenen – die technische
ist nur eine davon. Die menschliche
eine andere – meist lohnendere.
Wie das funktioniert? Neben
„normalen“ Angriffen auf die Software
werden Mitarbeitende mittels
Mails oder Anrufen mit gezielten
Falschnachrichten beschickt.
Die Kriminellen analysieren, wer
Fortsetzung auf Seite 12
ANZEIGE

12
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
ZAHLEN
65.846 Cybercrime-
Fälle
wurden 2023 in Österreich zur Anzeige
gebracht. Das waren deutlich mehr als
doppelt so viele wie 2019. Damals gab es
28.440 Anzeigen. Vor zehn Jahren waren
es nur 8966 angezeigte Straftaten.
31,6 Prozent
der angezeigten Straftaten konnten im vergangenen
Jahr aufgeklärt werden. Die Aufklärungsquote
sank damit seit 2014 (40,8
Prozent) kontinuierlich. Vor fünf Jahren lag
sie noch bei 35,8 Prozent.
34.069 Anzeigen
wurden wegen Internetbetrugs erstattet,
was einen Anstieg von 23,3 Prozent
gegenüber dem Jahr davor bedeutet.
3891 Mal
wurden im vergangenen Jahr Erpressungen
im Internet angezeigt. Das bedeutet
gegenüber 2022 einen Anstieg von 13,6
Prozent. Besonders auffällig ist hierbei die
niedrige Aufklärungsquote von lediglich
fünf Prozent.
wie wann reagiert, ignoriert, antwortet, nachfragt
oder Informationen bedenkenlos weiterleitet.
So werden Schwachstellen ausgemacht.
Vor allem Phasen der Veränderung oder
Bewegung in einem System, beispielsweise
Homeoffice-Lösungen, Standort-Neueröffnungen,
Übersiedelungen von Büros, Kommunikation
mit Mitarbeitenden im Außendienst
oder der Geschäftsaufbau mit neuen Kund:innen
gelten als besonders gefährlich. In dieser
neuen Unübersichtlichkeit haben Cyberkriminelle
Hochsaison. Was man dagegen macht?
Man muss sich permanent mit der eigenen
Bedrohungslandschaft befassen und das
Bewusstsein in der Belegschaft regelmäßig
schärfen. Keine einfache Aufgabe. Denn Cybercrime
zählt zu den sich am schnellsten verändernden
Kriminalitätsphänomenen und ist der
am stärksten wachsende Bereich in der polizeilichen
Anzeigenstatistik.
Was also tun? Die mögliche Vorbereitung
auf die Abwehr eines Cyberangriffs umfasst
technische und organisatorische Maßnahmen.
Technisch ist eine robuste Datensicherungsbeziehungsweise
Back-up-Strategie notwendig,
um gegen Beschädigungen durch Schadsoftware
oder Verschlüsselungen gewappnet
zu sein. Auf organisatorischer Ebene braucht
es entsprechende Awareness und Schulungen
der Mitarbeitenden, damit diese keine Schadsoftware
aktivieren, die sie beispielsweise per
E-Mail erhalten. Gerade durch Phishing-Mails,
gefälschte Webseiten oder Kurznachrichten
verschaffen sich Angreifer:innen Zugriff. Denn
die größte Schwachstelle bleibt bei aller technischen
Verwundbarkeit immer noch der Mensch.
2020
lag die Schadenssumme bei Betrugshandlungen
im Onlinehandel bei 55 Prozent
unter 500 Euro, 2022 waren es nur noch
18 Prozent. In 22 Prozent der Fälle betrug
der Schaden dagegen zwischen 5000 und
10.000 Euro.
75 Prozent
der Österreicher:innen versuchen, sich mit
Virenschutzprogrammen vor Cyberangriffen
zu schützen. 55 Prozent setzen auf
regelmäßige Software-Updates.
Adobestock/PinkiePie, Adobestock/Priskina (3)

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
13
Voll auf
Angriff
Die häufigsten Arten von Cyberattacken
und wie man sich und seine Daten
schützen kann.
Ob es sich um eine Schadsoftware handelt,
die Daten löscht, verschlüsselt oder
kopiert, oder um Hacker:innen, die auf der
Suche nach für sie relevanten Informationen
sind: Es ist ein absichtlicher Angriff und
kein technischer Defekt. Daher muss man bei
Sicherheitsvorkehrungen berücksichtigen, dass
eine einzelne Maßnahme nur bedingt schützt
oder nicht ausreicht und dass von Angreifer:innen
jede offene Schwachstelle potenziell ausgenutzt
werden wird.
Phishing
Phishing ist eine Methode, bei der Angreifer:innen
versuchen, an persönliche Informationen
wie Passwörter oder Kreditkartendaten zu
gelangen, indem sie gefälschte E-Mails oder
Webseiten verwenden. Oft werden diese Nachrichten
so gestaltet, dass sie von vertrauenswürdigen
Quellen zu stammen scheinen.
Wie man sich schützen kann:
Misstrauisch sein: Absender und Inhalt der
Nachricht genau prüfen, Vorsicht bei Links
und Anhängen. Zwei-Faktor-Authentifizierung
aktivieren: Diese
zusätzliche Sicherheitsmaßnahme
macht es Angreifer:innen schwerer, auf
Konten zuzugreifen, selbst wenn sie das Passwort
haben.
Ransomware
Ransomware ist ein Schadprogramm, das die
Dateien eines Opfers verschlüsselt und ein
Lösegeld fordert, um den Zugriff wiederherzustellen.
Diese Angriffe können verheerende
Folgen haben, insbesondere für Unternehmen.
Wie man sich schützen kann:
Regelmäßige Back-ups: Daten regelmäßig auf
externen Laufwerken oder in
der Cloud sichern. Antiviren-
Software verwenden und
sie stets auf dem neuesten
Stand halten.
Malware
Malware umfasst verschiedene
Arten von schädlicher
Software, die da rauf
abzielt, Systeme zu infiltrieren, Daten zu stehlen
oder Schaden anzurichten. Dies kann von
Trojanern bis hin zu Spyware reichen.
Wie man sich schützen kann:
Betriebssystem und Anwendungen durch
Updates immer auf dem neuesten Stand halten.
Und Vorsicht bei Downloads: Software
nur von vertrauenswürdigen Quellen herunterladen.
DDoS-Attacken
„Distributed Denial of Service (DDoS)“-
Attacken überlasten ein Netzwerk oder einen
Dienst, indem sie eine Flut von Anfragen senden.
Dies führt dazu, dass die Dienste nicht
mehr erreichbar sind.
Wie man sich schützen kann:
Lastenausgleich-Technologien verwenden, die
den Datenverkehr gleichmäßig verteilen und
so Überlastungen vermeiden. Für Unternehmen
gibt es eigene DDoS-Schutzdienste, die
derartige Angriffe abwehren können.

14
WIRTSCHAFT & RECHT
Kleine Zeitung
Mittwoch, 30. Oktober 2024
Schutz gegen Schäden
Cyberversicherungen bieten Schutz gegen die Schäden, die durch
Cyberangriffe entstehen. Das Angebot ist vielfältig und an die
individuelle Bedrohungslage anpassbar.
Die größte Gefahr geht
vom Netz aus. Zu diesem
Ergebnis kommt der diesjährige
„Allianz Risk Barometer“,
für den mehr als 3000
Risikoexpert:innen aus 92 Ländern
nach ihren Top-Unternehmensrisiken
befragt wurden. Der
Studie zufolge fürchten 36 Prozent
der Befragten Datenpannen,
Angriffe auf kritische Infrastruktur
oder Vermögenswerte und
vermehrte Ransomware-Attacken.
Auch in Österreich rangieren
Cyberattacken wie schon im Vorjahr
an der Spitze, noch vor makroökonomischen
Entwicklungen,
Unsicherheiten in puncto Energieversorgung
oder drohenden
Naturkatastrophen.
„Cybercrime ist kein Delikt, das
nur große Konzerne bedroht. Es
ist wichtig, dass Österreichs KMU
erkennen, welche Bedrohung auf
sie zukommt“, betont Rémi Vrignaud,
Präsident des österreichischen
Versicherungsverbandes.
Gerade die Corona-Pandemie hat
diesbezüglich insbesondere große
Unternehmen für ein erhöhtes
Risikobewusstsein sensibilisiert
und damit Maßnahmen zur Steigerung
der Resilienz befördert.
Kleinere Firmen haben jedoch
häufig weder die Zeit noch die
Ressourcen, um sich effektiv darauf
vorzubereiten und umfassende
IT-Sicherheitsmaßnahmen
zu implementieren. Die schwache
Cybersicherheit, vor allem auch
bei mobilen Endgeräten, werde
daher die Anzahl der Schadensfälle
erhöhen, warnen Expert:innen.
Als Schutz bieten Versiche-
Versicherungen bieten Cyberversicherungen
gegen die Schäden von Cybercrime
Adobestock/Khmel, Adobestock/sophonk

Kleine Zeitung
Mittwoch, 30. Oktober 2024
CYBERSECURITY
15
rungen entsprechende Produkte,
die Absicherung bieten.
Risikoabsicherung
So deckt eine Cyberversicherung
im Ernstfall die Kosten für die Wiederherstellung
von IT-Systemen,
die Wiederbeschaffung der Daten,
einen möglichen Betriebsstillstand
sowie Schäden an Dritten, etwa
durch Datenschutzverletzungen
oder unbewusste Weitergabe von
Schadsoftware. Sie stellt damit
für Unternehmen jeder Größe und
jeder Branche einen wichtigen Teil
der Risikoabsicherung dar.
Die Versicherungen setzen sich
typischerweise aus Haftpflichtund
Eigenschadenversicherungen
zusammen. Bestehende Produkte
am Markt unterscheiden sich
jedoch in wesentlichen Details. Die
Auswahl des optimalen
Versicherungsschutzes,
der auf die Bedürfnisse
des Unternehmens abgestimmt
ist, ist damit nicht
einfach.
Versicherungen haben
daher modulartige Bausteine
für einen passenden Schutz,
die eine fallbezogene Schadensdeckung,
z. B. bei Erpressungen nach
Cyberattacken, bieten – wobei
im Extremfall auch das Bezahlen
von Lösegeld inkludiert ist. Eine
Cyber-Haftpflichtversicherung zielt
dagegen auf Haftungsansprüche
von Dritten ab. Dabei geht es um
reine Vermögensschäden inklusive
immaterieller Schäden, beispielsweise
durch Datenschutzverletzungen.
Der Versicherungsschutz
umfasst typischerweise auch die
Abwehr von Haftungsansprüchen
und Versicherungsschutz im Strafund
Verwaltungsstrafverfahren.
Es gibt aber auch Module, die vor
Schäden durch Kreditkartenbetrug
oder durch Betriebsunterbrechung
entstandenen Vermögensschaden
absichern. Als Variante gibt es
Pauschalversicherungen inklusive
Cyberschutz.
Sicherheitsmaßnahmen
Kleiner wird die Gefahrenlage
nicht. Laut der „Cyber Security
in Österreich 2022“-Studie wurden
67 Prozent der heimischen
Unternehmen bereits Opfer eines
Cyberangriffs. Jedem fünften
Unternehmen entstand dabei ein
finanzieller Schaden.
Eine der „Es wird schon nichts
passieren“-Taktik folgende Untätigkeit
wird künftig für viele
Unternehmen nicht mehr möglich
beziehungsweise strafbar sein.
Denn mit der neuen NIS-2-Richtlinie
werden ab 2025 verpflichtende
Sicherheitsmaßnahmen
und Meldepflichten eingeführt.
Die Richtlinie betrifft mehrere Tausend
Unternehmen und wird den
Umfang der bisherigen Regelungen
deutlich erweitern.
ANZEIGE
DONAU-VERSICHERUNG
Internet-Betrügern nicht ins Netz gehen
Die DONAU-Cyberversicherung
schützt Sie in zwei
Varianten vor den finanziellen
Folgen von Cyber- bzw.
Internetkriminalität.
Dass Internet-Betrüger:innen
immer raffinierter
werden, merkt man meist
erst, wenn es zu spät ist. Denn
auch die IT-Geräte von Privatpersonen
wie Smartphones,
Tablets und Notebooks werden
immer öfter zur Zielscheibe
schädlicher Angriffe.
Günter Spreitzhofer, Landesdirektor DONAU-Versicherung
Optimaler, individueller Schutz
Mit „DONAU Sicher im Netz“
haben Sie die Möglichkeit, sich
in zwei Varianten gegen die Folgen
von Internetkriminalität zu
schützen: mit der Cyberversicherung
„Basis“ mit einer Jahreshöchstentschädigung
von bis zu
5000 Euro zu einer monatlichen
Prämie von 4,99 Euro – oder der
Cyberversicherung „PLUS“ mit
einer Jahreshöchstentschädigung
von bis zu 10.000 Euro zu
einer monatlichen Prämie von
Pitterle
7,99 Euro. Bei der Cyberversicherung
PLUS sind neben den
Basisleistungen wie Schutz beim
Diebstahl der Finanzmittel, Wiederherstellung
Ihrer Daten bzw.
Entfernung von schädlicher
Software oder Schutz bei Kriminalität
im Zusammenhang mit
* Jahreshöchstentschädigung ist beim Schutz bei Diebstahl Ihrer Finanzmittel und beim Online-Einkauf/-Verkauf mit 3000 Euro limitiert.
VORTEILE
24-Stunden-Support:
7 Tage in der Woche per
Telefon und Fernwartung
Hoch qualifizierte IT-
Expert:innen; Vermittlung
psychologischer Unterstützung
bei Cybermobbing
Daten-Wiederherstellung
Schutz gegen Betrug bei
Online-Einkauf/-Verkauf
Online-Einkauf/-Verkauf* auch
Bereiche wie Schutz bei Social
Media und Datenschutzverletzung
und Schutz bei Identitätsdiebstahl
abgedeckt.
Info: Tel. 050 330 330
donauversicherung.at/
cyberversicherung

Looking for the best
Mit unseren vollumfänglichen Security-Lösungen sind
Sie gegen das breite Spektrum an Angriffsvektoren
optimal gewappnet.
Wir schützen Ihre hybriden Infrastrukturen, Ihre Daten
und die Endgeräte Ihrer Anwender*innen at-rest und
in-motion. Unsere Expert*innen begleiten Sie vom
Konzept über die Implementierung bis zum laufenden
Betrieb Ihrer Lösung.
A C P I T S O L U T I O N S G M B H
Herrgottwiesgasse 203
8055 Graz-Puntigam
Tel +43-316-46030
sued@acp.at, www.acp.at