Während große Unternehmen bis zu einem gewissen Grad die Kraft haben, einige der Multi-Spektrum-Angriffe abzuwehren, können Sie KMUs Ratschläge geben, wie sie mit der sich ständig weiterentwickelnden Bedrohungslandschaft umgehen können?

Es gibt mehrere Ratschläge, welche KMUs befolgen können, um der ständig weiterentwickelnden Bedrohungslandschaft bestmöglich standzuhalten.

Die wichtigsten Ratschläge für KMUs in diesem Kontext sind für mich:

Verwendung von verwalteten Sicherheitslösungen, sog. „Managed-Lösungen“: Hier liegt der Vorteil darin, dass die dafür notwendigen, fehlenden internen Personalressourcen durch externe Teams kompensiert werden können. Man hat dadurch die Gewissheit, dass auch außerhalb der Bürozeiten auf Security-Alarme reagiert wird und diese entsprechend abgearbeitet werden bzw. eine Kommunikations-/Abarbeitungskette in Gang gesetzt wird.

Schulung der Mitarbeiter*innen: Mitarbeiter sind im Security-Kontext in den meisten Fällen das „schwächste Glied der Kette“. Hier ist es wichtig, diese für potenzielle Bedrohungen regelmäßig zu sensibilisieren und auf dem neuesten Stand zu halten.

Implementierung von Multi-Faktor-Authentifizierung: Multi-Faktor-Authentifizierung ist eine einfache und effektive Möglichkeit, die Sicherheit zu erhöhen. Die meisten Online-Dienste und Cloud-Lösungen unterstützen diese Technologie bereits in-place und es sollte in Betracht gezogen werden, diese auch entsprechend zu implementieren.

Regelmäßige Updates und Patches: Es ist wichtig, dass alle Komponenten regelmäßig aktualisiert werden, um bekannte Sicherheitslücken zeitnah zu schließen, vor allem bei Systemen welche direkt dem Internet ausgesetzt sind.

Regelmäßiges, funktionierendes und getestetes Backup: Aktuelle Backups sind die Grundvoraussetzung, um im Fall der Fälle eine Zahlung von Lösegeld im Rahmen von Erpressungsvorfällen vermeiden zu können. Hier ist vor allem essenziell, dass dieses auch regelmäßig getestet wird, um die Funktionsfähigkeit gewährleisten zu können.

Dokumentation: Eine aktuelle System- und Prozessdokumentation über die IT-Landschaft sollte vorhanden sein. Weiters ist empfehlenswert sich auch mit dem Vorgehen im Rahmen von IT-Notfällen zu beschäftigen, damit unter anderem Abhängigkeiten zwischen den einzelnen Systemen bekannt sind, um diese wieder geordnet in Betrieb setzen zu können.

Für KMUs ist daher ebenfalls von Bedeutung, IT-Sicherheit als integralen Bestandteil ihres Geschäfts zu betrachten und angemessene Schritte zum Schutz deren Systeme und Daten zu unternehmen.

Welche sind die wichtigsten Compliance- und Regulierung Trends in 2023? Worauf müssen CIOs jetzt achten?

Der wichtigste Compliance- und Regulierungs-Trend im Jahr 2023 ist die Novellierung der NIS-Richtlinie (Richtlinie für Netz- und Informationssicherheit).

EU NIS2 ist der europäische Rahmen für Betreiber kritischer Infrastrukturen und legt Cyber-Security Mindeststandards in der EU fest. NIS2 (EU 2022/2555) erweitert die Betroffenheit und Pflichten deutlich – ab 2024 müssen daher viele Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz Cyber-Security Maßnahmen entsprechend umsetzen.

Der große Vorteil dieser Novellierung für IT-Security Verantwortliche liegt darin, dass der Cyber-Security Mindeststandard vor allem im Bereich der kritischen Infrastrukturen EU-weit angehoben wird und damit die IT-Security Thematik in den Unternehmen noch mehr an Bedeutung und Wertschätzung gewinnt.

Hier ist es wichtig, sich als Unternehmen bereits frühzeitig mit dieser Thematik zu befassen, um spätestens zum Zeitpunkt der Umsetzung in nationales Recht (bis Oktober 2024) eine entsprechende Konformität zu erreichen. Ein entsprechendes Pre-Assessment gemeinsam mit einem geeigneten Umsetzungspartner ist daher absolut empfehlenswert.

Generell sollten sich CIOs laufend über die geltenden Compliance- und Regulierungsanforderungen informieren und sicherstellen, dass angemessene Maßnahmen in diesem Bereich ergriffen werden. Hier ist ein empfehlenswerter Weg, sich laufend mit Kolleg*innen aus dem gleichen Fachgebiet abzustimmen bzw. Networking auf div. zu diesem Themengebiet passenden Events/Fortbildungen zu betreiben.