Offiziellen Schätzungen zufolge verursachen Cybervorfälle weltweit pro Jahr finanzielle Schäden in Billionenhöhe. Trotzdem ist die Diskrepanz zwischen Bedrohungslage, Risikoeinschätzung und gesetzten Sicherheitsmaßnahmen in den Unternehmen anhaltend hoch. Angesichts des NIS2-Gesetzes, das in Österreich nach Ende der Übergangsfrist und damit ab 1. Oktober 2026 Realität ist, sollte sich das rasch ändern.
Das US-Forschungs- und Analyseunternehmen Cybersecurity Ventures schätzt die globalen Schäden, die weltweit pro Jahr durch Cyberkriminalität verursacht werden, auf rund 10,5 Billionen US-Dollar oder umgerechnet 8,89 Billionen Euro. Das sind 24,36 Milliarden Euro pro Tag bzw. 16,9 Millionen Euro pro Minute. Und trotzdem: Obwohl das Risikobewusstsein in den Unternehmen zwar durchaus hoch ist und Cyberattacken als eine der größten Gefahren der Gegenwart eingestuft werden, hinkt die tatsächliche Absicherung vor derartigen Angriffen oftmals deutlich hinterher.
Cybersicherheit: Glaube versetzt keine Berge
Das Problem: In den Unternehmen besteht häufig ein stark ausgeprägtes subjektives Sicherheitsgefühl und die implementierten Maßnahmen werden als ausreichend eingestuft. Doch das ist mehrheitlich eine Fehleinschätzung, wie unser CyberRisk Report zeigt. Demnach überschätzen acht von zehn Unternehmen ihre eigene Cybersicherheit. Im Zuge der Erstellung von CyberRisk Ratings sehen wir immer wieder, dass viele glauben, gute Sicherheitsstandards zu haben, bei näherer Betrachtung müssen sie jedoch erkennen, dass das in der Realität nicht so ist.
Geringes Sicherheitsniveau belastet Geschäftsbeziehungen
Aufgrund multipler Krisenherde weltweit steht das Risikomanagement zunehmend im Fokus der Unternehmen. Das ist gut und richtig. Denn zu viele nationale und internationale Störfeuer belasten die finanziellen Ressourcen der Betriebe. Es würde schlichtweg auch nicht der kaufmännischen Sorgfalt entsprechen, Geschäftsrisiken zu ignorieren – dazu zählt auch das Thema Cybersecurity. Insbesondere auch unter dem Gesichtspunkt der EU-NIS2-Richtlinie, die in Österreich kurz vor Weihnachten in nationales Recht gegossen wurde. Das Ziel ist, für ein höheres Sicherheitsniveau von Netz- und Informationssystemen zu sorgen, sowie die Resilienz und die Reaktion auf Sicherheitsvorfälle deutlich zu verbessern.
Kein Nachweis, kein Geschäft
Davon betroffen sind nicht nur rund 4.000 Betriebe der kritischen Sektoren, sondern auch deren Lieferanten. Insgesamt sprechen wir hier von bis zu 60.000 Unternehmen in Österreich. Konkret geht es darum, dass betroffene Betriebe ab 1. Oktober 2026 einen Nachweis über innerbetriebliche Cyber- und IT-Sicherheitsmaßnahmen vorweisen müssen. Gibt es diesen nicht, so wird es zukünftig bedeutend schwieriger, Geschäfte mit der kritischen Infrastruktur abzuschließen und Umsätze zu generieren. Was das für die Finanzen eines Unternehmens bedeutet, muss an dieser Stelle wohl nicht vertieft werden.
Die Zeit tickt – CyberRisk Rating als Lösung
Aus der Erfahrung weiß ich, dass es keine Frage von ein paar wenigen Stunden ist, professionelle Sicherheitsstandards in einem Unternehmen zu implementieren. Deshalb kann ich den Unternehmerinnen und Unternehmern des Landes nur dringend empfehlen, bereits jetzt mit der Analyse und in weiterer Folge mit der Implementierung entsprechender Cybersecurity-Maßnahmen zu beginnen. Damit Unternehmen NIS2-konform agieren können, unterstützen wir als KSV1870 Nimbusec GmbH mit dem CyberRisk Rating.
Drei Varianten für alle Fälle
Das Rating bewertet Cyberrisiken von Dienstleistern, Lieferanten und Dritten. Dahinter steht ein standardisiertes, mehrstufiges Verfahren. Wer damit die NIS-Anforderungen für Lieferanten erfüllen möchte, benötigt je nach Risikoeinstufung ein B-, A- oder A+-Rating. Alle Varianten basieren auf dem Cyber-Risk-Schema des KSÖ (Kompetenzzentrum Sicheres Österreich). Ein B-Rating bedeutet, dass ein Basis-Cyber-Schutzniveau vorhanden ist. Beim A-Rating werden alle 25 Anforderungen des KSÖ bewertet – auch jene, die oft mit hohen Kosten verbunden sind. Bei „A+“ erstellt zusätzlich ein Audit-Partner einen Bericht über die bewertete Organisation und erhöht so die Zuverlässigkeit weiter.
Die häufigsten Fragen, die mir gestellt werden:
Wie lange dauert es, bis ein CyberRisk Rating durchlaufen ist?
Der Aufwand ist auch vom jeweiligen Status quo abhängig und wie gut vorbereitet ein Unternehmen in Sachen Cybersecurity bereits ist. Im Normalfall müssen ein bis zwei Tage für die Abwicklung, Vorbereitung und Beantwortung der Fragen kalkuliert werden. Die Durchlaufzeit beträgt durchschnittlich 4 Wochen. Auch deshalb, weil gewisse Daten erst erhoben werden müssen, dann kann es zu Nachfragen kommen und schlussendlich zur Bewertung.
- Wie lange ist ein CyberRisk Rating gültig?
Grundsätzlich 12 Monate. Darüber hinaus ist das Rating weiterhin sichtbar aber mit dem Vermerk „Abgelaufen“ gekennzeichnet.
- Werden meine (Anm.: aus Sicht des Lieferanten) konkreten Antworten weitergegeben?
Nein, die Antworten werden nicht weitergegeben. Sobald das CyberRisk Rating verfügbar ist, wird ausschließlich das jeweils gültige Rating als dreistellige Kennzahl angezeigt.
- Erhalte ich (Anm.: aus Sicht der kritischen Infrastruktur) die konkreten Antworten der Lieferanten?
Nein, auch diese werden nicht weitergereicht. Es scheint ausschließlich das jeweilige Rating auf. Aber: Es ist möglich, über den CyberRisk Manager direkt beim Lieferanten die Antworten anzufordern, der diese auf freiwilliger Basis übermitteln kann.
- Ist das CyberRisk Rating anerkannt?
Ja, das CyberRisk Rating by KSV1870 erfüllt laut der österreichischen operativen NIS-Behörde (BMI) die Vorgaben des NIS-Gesetzes bezüglich Lieferantenrisiken und es wird auch als Best Practice laut NIS-Fact-Sheet geführt.
