KSV1870 prüft Cyber-Risiko von Unternehmen

In alle Bonitätsauskünften inkludiert ist nun das Ergebnis eines ersten Checks – wer mehr wissen will, beauftragt das CyberRisk Rating.

Autor: Gerhard Wagner

Cyberangriffe sind längst kein Nischenprogramm mehr. Die nackten Zahlen sprechen eine klare Sprache: 2021 gab es in Österreich um knapp 29 Prozent mehr Anzeigen (Gesamt: 46.200) von Internetkriminalität als im Jahr davor. Dabei sind laut Angaben des Bundeskriminalamtes zuletzt auch Cybercrime-Delikte um fast 20 Prozent auf rund 15.500 Fälle gestiegen – darunter fallen etwa Hacking, Datenbeschädigung oder -fälschung und Datenverarbeitungsmissbrauch. Und das ist nicht nur in Österreich so. Umso verständlicher ist es, dass Unternehmen heutzutage genau wissen wollen, wie es um die IT-Security eines potenziellen Lieferanten oder Geschäftspartner bestellt ist. Selbstverständlich noch bevor dieser an das eigene System „andockt“ und digitale Daten fließen.

 

Soft Check mit vier Klassifizierungen

Rating

Seit März 2022 ist daher in allen UnternehmensProfilen des KSV1870 der WebRisk Indicator integriert. Dabei handelt es sich um eine Risikobewertung für den Webauftritt eines Unternehmens. Konkret wird das öffentlich sichtbare Cyberrisiko von Unternehmenswebseiten klassifiziert. Gemessen an den geltenden Sicherheitsstandards wird die Unternehmenswebsite als sehr gut, mäßig oder infiziert (mit Schadsoftware) eingeteilt. Ist kein Webauftritt bekannt, so gibt es auch keine Bewertung. Die Information ist ein Add-on für bestehende Kunden und hat keinen Einfluss auf das klassische KSV1870 Rating. Mit diesem neuen Service gehen wir darauf ein, dass Unternehmen neben der klassischen Bonitätsprüfung immer häufiger auch noch andere Needs haben. Und wir als Informationsdienstleister haben den Anspruch, Antworten auf diese aktuellen Fragestellungen von Unternehmen zu liefern.

Für Fortgeschrittene: das CyberRisk Rating

Doch viele Betriebe wollen mehr wissen, bevor sie ihre IT-Systeme für einen Geschäftspartner öffnen und Schnittstellen einrichten. In diesem Fall kann ein CyberRisk Rating über den potenziellen Partner beantragt werden, wobei dieser seine Systeme und digitalen Daten für die Prüfung beschreiben muss. Optimalerweise wird dies im Vorfeld besprochen, damit der Prozess effizient und schnell abgeschlossen werden kann. Ein weiterer Vorteil bei dieser Prüfung ist, dass sie der EU-Richtlinie 2016/1148 („NIS“) entspricht. Ziel der Richtlinie ist ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der gesamten EU zu schaffen. Das CyberRisk Rating haben wir, ebenso wie den WebRisk Indicator gemeinsam mit einer unserer Beteiligung, der KSV1870 Nimbusec GmbH, umgesetzt.

IT-Sicherheit als Eigenwerbung

Doch viele Unternehmen möchten sich schon im Vorfeld eines Geschäftsabschlusses als sicherer Partner deklarieren. Hier gibt es die Möglichkeit, dass Unternehmen die Sicherheit der eigenen IT-Landschaft proaktiv auszeichnen lassen. All jene, die öffentlich deklarieren möchten, dass sie essenzielle Mindestsicherheitsmaßnahmen für Cybersicherheit umgesetzt haben, können auf das Cyber Trust Austria Label zurückgreifen. Es basiert auf dem CyberRisk Rating Schema, das vom Kuratorium Sicheres Österreich in Zusammenarbeit mit dem KSV1870 erarbeitet wurde. Es gibt drei Qualitätsstufen und dazu passende Labels. Es ist also für jeden etwas dabei.