Laut dem von Cybersecurity Ventures veröffentlichten „Cybercrime Report 2022“ werden die Kosten der Cyberkriminalität bis 2025 auf atemberaubende 10,5 Billionen US-$ ansteigen. Zum Vergleich: Das ist mehr als das 20-Fache des BIPs von Österreich, das 2021 480,37 Mrd. US-$ betrug. Es ist schwer vorstellbar, dass Regierungen oder Unternehmen IT-Sicherheit riskieren würden, um ein paar Dollar bei den Sicherheitsmassnahmen zu sparen, aber immer mehr Unternehmen wollen dieses Risiko nicht mehr eingehen.

Hier kommen Simon Leitner und Martin Nieder­wieser ins Spiel, die Gründer der condignum GmbH, einer österreichischen Cyber­sicherheitsfirma, die sich zum Ziel gesetzt hat, Unternehmen sicher durch die digitale Welt navigieren zu lassen. Die Gründer, die schon vor der Firmengründung in der Branche zusammengearbeitet haben, erkannten, dass es für Unternehmen von entscheidender Bedeutung ist, der Sicherheit in ihren Betrieben nicht nur Priorität einzuräumen, sondern dass dies ein komplexer und kontinuierlicher Prozess ist. „Wir glauben, dass Angemessenheit der Schlüssel zum Erreichen und Aufrechterhalten von Sicherheit ist. Dies hat uns dazu veranlasst, einen software- und automatisierungsbasierten Ansatz zu entwickeln, der Unternehmen dabei hilft, ihre Sicherheitsmassnahmen eigenständiger und proaktiver zu gestalten“, erklärt Niederwieser. „Wir bieten Anleitung und Unterstützung für alle Bereiche der Cybersicherheit, aber unser Schwerpunkt liegt darauf, Unternehmen zu befähigen, die Kontrolle über ihre Sicherheitsmassnahmen selbst zu übernehmen.“ Auf diese Weise, so glauben die Gründer, können Unternehmen vielfach gestärkt werden, was sie insgesamt sicherer macht. Dies war die Gründungsidee des Unternehmens, und die Gründer entwickeln ihre Software stetig weiter, um diesen Ansatz zu unterstützen.

Es ist klar, dass diejenigen, die die Belange der Cybersicherheit nicht ernst nehmen, nicht nur finanziellen Schaden durch Angriffe, Strafen oder den Verlust von Kunden riskieren, sondern auch einen schwer zu beziffernden Reputationsverlust. Die Unternehmen müssen sich dann die Frage stellen: Was darf mich ein Schadensfall kosten? „Das ist der Punkt, an dem wir mit dem Kunden beginnen, eine geeignete Ebene zu finden“, sagt Niederwieser und erklärt: „Ausgehend vom Risikoappetit eines Unternehmens leiten wir die entsprechenden Massnahmen ab, die man treffsicher umsetzen kann.“ Und das geschieht nicht nur mit Beratung, sondern vor allem mit dem Softwareprodukt, das condignum zur Ver­fügung stellt.

Viele kleine und mittlere Unternehmen glauben, sie brauchen keine Massnahmen wie die, die condignum anbietet, weil sie nicht relevant genug seien, um angegriffen zu werden. „Niemand ist völlig immun gegen Angriffe“, so Leitner, „es ist nur eine Frage der Zeit, bis ein Angriff erfolgt, wenn man keine geeigneten Präventivmassnahmen trifft.“ Im Bereich der Informationssicherheit ist es daher wichtig, immer mit der Möglichkeit eines Angriffs zu rechnen und sogar davon auszugehen, dass der Angreifer bereits im Unternehmen ist. Diese Denkweise sollte die Entscheidungsfindung bei der Umsetzung von Sicherheitsmassnahmen leiten. „Kurz gesagt: Unser Ansatz ist es, proaktiv statt reaktiv zu sein, wenn es um Cybersicherheit geht. Das hilft, potenziellen Problemen voraus zu sein“, sagt Leitner.

Stichwort: Vorsicht ist besser als Nachsicht. „Zu Beginn können Unternehmen aus verschiedenen Gründen motiviert sein, mit uns zusammenzuarbeiten – es können interne oder externe Faktoren sein, die ihre Entscheidung beeinflussen“, erklärt Leitner. „Obwohl condignum mit Unternehmen aus vielen verschiedenen Branchen zusammenarbeitet, ist es uns gelungen, mit unserer Plattform eine Sicherheits-Roadmap anzubieten, die den Benutzern hilft, zu verstehen, was sie tun müssen, um ihre Sicherheit aus eigener Kraft zu verbessern“, erklärt Leitner. „Wir stellen auch sicher, dass unsere Empfehlungen flexibel und anpassbar sind. Sie können auf die spezifischen Bedürfnisse jedes Nutzers zugeschnitten werden und Unternehmen dabei helfen, ihre Ressourcen effektiver zu investieren.“

Aber wo und wie soll man anfangen? In den Köpfen der Geschäftsführung und der Mitarbeiter, denn entscheidend ist auch das Bewusstsein. „Ich glaube, das Problem ist nicht nur der böse Hacker“, so Leitner, „sondern das mangelnde Bewusstsein.“ Technische Lösungen leisten einen wichtigen Beitrag, aber es ist mindestens genauso wichtig, dass sich Mitarbeiter der Notwendigkeit von Massnahmen bewusst sind und diese konsequent umsetzen. Auch das Management muss mit an Bord sein und in diesen Bereich investieren, denn wenn nur das schwächste Glied versagt, können bereits Informationen nach aussen dringen oder Angreifer eindringen. „Es ist von entscheidender Bedeutung, ein hohes Mass an Bewusstsein zu schaffen und aufrechtzuerhalten und dadurch sicherzustellen, dass alle Mitarbeiter, vom Praktikanten bis zum Vorstand, wissen, wo sich sensible Informationen befinden und wie sie zu behandeln sind“, so Leitner.

Zentraler Aspekt bei der Planung von Sicherheitsmassnahmen ist es, sich einen Überblick über das eigene Unternehmen, die IT-Landschaft und die Einflussfaktoren auf die Cybersicherheit zu verschaffen. Nur so wird es möglich, angemessene und effiziente Massnahmen zu definieren. Nachdem grundlegende Massnahmen zur Absicherung der wichtigsten IT-Systeme umgesetzt wurden, sollte ein nachhaltiger Prozess in Form eines Sicherheitsmanagements etabliert werden. Condignum beginnt deshalb mit der Analyse und Einordnung von Nutzern und Kunden. Im Rahmen ­eines Security Ratings wird fest­gestellt, welchen Anforderungen Unternehmen unterliegen, wo es Lücken oder Schwachstellen gibt und welchen Zielreifegrad ein Un­ternehmen anstreben sollte.

„Wir sind der Meinung, dass Sicherheitsmassnahmen so früh wie möglich in den Prozess integriert werden sollten, um den potenziellen Schaden im Falle eines Sicherheitsverstosses zu minimieren“, sagt Leitner. Studien haben gezeigt, dass Schäden umso besser verhindert oder minimiert werden können, je früher Sicherheitsmassnahmen im Prozess eingeführt werden; man spricht vom sogenannten „Shift Left“ in der Cybersicherheit. Umgekehrt gilt: Je später die Massnahmen umgesetzt werden, desto teurer wird die Behebung von Problemen, die auftreten können.

Mithilfe seines Software­produkts bietet condignum einen massgeschneiderten Lösungsansatz für jeden Kunden auf der Grundlage seiner individuellen Anforderungen an die Informationssicherheit. Im Gegensatz zu herkömmlichen Beratungsdiensten arbeitet das Unternehmen mit seiner eigenen Plattform, um einen umfassenden Plan zu erstellen, der sich im Lauf der Zeit weiterentwickelt und dem Kunden Schritte zur Verbesserung seiner Sicherheit an die Hand gibt. „Unser Softwareprodukt kann unabhängig vom Einstiegspunkt genutzt werden; ob es um die Einhaltung bestimmter Standards, die Sicherung der Anlageninfrastruktur oder die Erfüllung von Lieferantenanforderungen geht“, so Leitner. „Im Mittelpunkt unseres Ansatzes steht ein klarer Arbeitsablauf, der Risiken identifiziert und massgeschneiderte Schritte zur Schliessung identifizierter Lücken auf jeder Sicherheitsebene vorsieht.“

Bei der Definition der Mass­nahmen darf die Angemessenheit derselben nicht übersehen werden. Neben Ressourcenbedarf und Risikoreduktion müssen auch die Benutzerfreundlichkeit und die Akzeptanz berücksichtigt werden und Mitarbeiter dürfen in ihren täglichen Aktivitäten nicht zu sehr eingeschränkt werden.

Niederwieser erklärt dies mit der Analogie zum Sicherheitsgurt im Auto, der zwar lästig, aber für die Sicherheit notwendig ist. „Nicht alle Sicherheitsmassnahmen können so gestaltet werden, dass Unannehmlichkeiten vermieden werden“, sagt er, „aber es ist wichtig, einen umfassenden Sicherheitsansatz zu haben und sicherzustellen, dass die Mitarbeiter die Notwendigkeit verstehen.“

Während die Gesellschaft auf eine Zukunft mit noch grösserer digitaler Abhängigkeit und Hyper­konnektivität zusteuert, werden die Bedrohungen für die Onlinesicherheit immer raffinierter; man fühlt sich leicht überfordert. „Der Markt, in dem wir uns bewegen, wird immer grösser“, sagt Leitner, „weil Unternehmen ihre Prozesse immer stärker digital abbilden. Wir sind online einfach mehr präsent.“ Niederwieser fügt hinzu: „Die Digitalisierung erfasst immer mehr Branchen, was bedeutet, dass IT in Bereichen eingesetzt wird, an denen sie früher nicht eingesetzt wurde.“ Die Folge: eine erhöhte Angriffsfläche für Cyberattacken.

Dieser Trend hat zwei Seiten. Einerseits müssen die Branchen laufend auf den neuesten Stand des IT- und Cybersicherheitswissens kommen, um den sogenannten „Stand der Technik“ umzusetzen. Andererseits sehen sich die Unternehmen auch einem grösseren Druck ausgesetzt, die Vorschriften und Regulatorien einzuhalten und nachzuweisen. „Beides nimmt massgeblichen Einfluss auf die Sicherheitsaktivitäten von Unternehmen und wird in Zukunft eine stärkere Automatisierung und Tool­unterstützung erfordern“, sagt Niederwieser. „Mit Blick auf Regulatorien wäre es wünschenswert, geforderte Massnahmen konkreter und umsetzbarer zu gestalten“, ergänzt Leitner.

Die gute Nachricht ist jedoch, dass Unternehmen wie condignum eine Vorreiterrolle einnehmen, indem sie Spitzentechnologie und innovative Ansätze einsetzen, um wertvolle Daten zu schützen. Auch wenn die Zukunft der Cybersicherheit mit Sicherheit neue Herausforderungen mit sich bringen wird, kann man sich mit dem Wissen trösten, dass einige Unternehmen alles in ihrer Macht Stehende tun, um für eine sicherere Zukunft zu sorgen.

2019 gründeten Simon Leitner und Martin Niederwieser condignum, ein österreichisches Cybersecurity-Unternehmen, mit dem Ansporn, die digitale Welt ein grosses Stück sicherer zu machen.

Fotos: David Visnjic