Im Interview mit Ernst Rohlicek zum Thema IT-Security: Sind meine Geschäftspartner ein Sicherheitsrisiko?
Wir geben einen Überblick über die möglichen Sicherheitsrisiken, Hackangriffe, mi welchen Produkten Du Dich schützen kannst und was genau das Cyber Risk Rating damit zu tun hat.
2 March, 2021 by
Im Interview mit Ernst Rohlicek zum Thema IT-Security: Sind meine Geschäftspartner ein Sicherheitsrisiko?
Summit Solutions GmbH, Monique Robineau

 

Aufgrund des neuen Cyber Security Rating des Kuratorium Sicheres Österreich wollen wir Dir einen Überblick verschaffen, wie hier die Vertrauenswürdigkeit in der Zusammenarbeit mit anderen Unternehmen überprüft und sichergestellt werden kann.

Das und vieles mehr haben wir im Interview mit Ernst Rohlicek, Geschäftsführer der Summit Solutions besprochen.

Warum sind Hackangriffe so schlecht/schädigend für Unternehmen?

Antwort Ernst: Das ist zu einem ein großer Reputationsverlust gegenüber der Öffentlichkeit und den Geschäftspartnern. Zum anderen muss ich mich selbst anzeigen, wenn Daten (wenn sogar unverschlüsselt) verloren gehen und gestohlen werden. Somit sage ich in aller Öffentlichkeit, dass mir Kundendaten und sensible Daten verloren gegangen sind. Wenn ich dann nicht einmal weiß, dass ich gehackt wurde, dann wird hier besonders nachgeschaut ob es ein Strafverfahren ist.

Wenn Daten verloren gehen und ich keine Wiederherstellungsmöglichkeit habe, dann ist es natürlich nachhaltig eine sehr schädliche Situation für jedes Unternehmen, ganz besondere im KMU Bereich. Ich kann mich erinnern, dass 2/3 aller angegriffenen Unternehmen im nächsten Halbjahr/Geschäftsjahr massive Probleme haben und Großteils sogar aus dem Geschäft ausgeschieden sind. Für mittelständische Unternehmen hingegen ist es vor allem der Reputationsverlust, wenn rauskommt, dass mit Daten intern so „schlimm“ umgegangen wird.

Welche Form von Angriffen kann man unterscheiden? Welche treten am häufigsten auf?

Antwort Ernst: Die häufigste Form ist diejenige, wo man bewusst Dinge öffnet oder ausführt, die einem nicht auffallen. Vor allem in kleineren Unternehmen aber auch in größeren Organisationen, wenn nicht genügend Bewusstsein vorhanden ist, was ich öffnen soll und kann. In größeren Unternehmen sind eher die gezielten Angriffe vorwiegend zu Informations- und Spionageangriffe, in den kleineren eher der breit gefächerte Angriff. Also zum Beispiel zu denken, meine Website ist eh nichts wert, ja ich habe eh einen Gratis-Virenschutz und einen Router zu Hause und eine Festplatte im Backup. Hmm, also nein, das sind Mythen, die vorherrschen.  

Wie kann man sich vorbeugend gegen diese schützen? Welche Services bieten wir für einen umfassenden Schutz an?

Antwort Ernst: Das hängt sehr vom Budget und dem Bedarf ab. Ausgehend vom Bedarf, muss geschaut werden, was ich überhaupt habe: Laptop, E-Mail-Konto, Festplatten, Server, wo Daten gespeichert werden oder Online-Apps wo Kundendaten und Geschäftsdaten drinnen sind. Das sind die typischen Angriffsziele, als auch Website und Webshop. Ausgehend von diesem Bedarf, muss ich schauen welche Angriffsmöglichkeiten es auf diese Geräte und Applikationen gibt. Danach muss ich mir die Frage stellen, wogegen ich mich schützen möchte? Das ist zu vergleichen mit einer Versicherung. Möchte ich über 90% aller Angriffe abwehren? Oder 85%? (Prozentzahlen in dem Sinne gibt es natürlich nicht 😉) Es geht eher um die Frage, möchte ich mich gegen alles oder das Meiste schützen? Daher ist es eine Frage des Bedarfs und des Budgets.

Vorbeugen kann ich mich, wenn ich mehrere Schutzschichten habe. Auf der Website Administratorpasswort, Zwei-Faktor-Authentifizierung für den Sicherheitscode und eine Applikations-Firewall. Wenn jemand zum 100. Mal mein Kontaktformular ausfüllt, dann ist das nicht normal. Genau für solche Angriffsmuster gibt es fixe Maßnahmen für die Website und den Onlineshop und für meine Geräte, wo ich private Daten habe. Das wichtigste ist ein Basenschutz für Virenschutz, Datensicherung online und offline, bei mir vor Ort und ausgelagert und eine umgekehrte Absicherung, wenn jemand von außen auf meine Daten zugreift und die holt. Wir von Summit Solutions sorgen dafür, dass es mehrere Schutzschichten gibt. Ein gewisser Basisschutz muss hergestellt werden, und darüber hinaus beraten wir Unternehmen, ob es darüber hinaus einen gesonderten Bedarf gibt: bin ich oft unterwegs? Bin ich über Online-Cloudspeicher verbunden mit meinen Kunden? Je nach Arbeitsweise müssen diese noch zusätzlich gesichert werden. Diese Schutzmaßnahmen decken wir mit unseren Services ab: im KMU-Bereich in Form von Back-up mit Endpunkten, wo Website, Webshop, E-Mail-Konten (die reingehen und rausgehen) geschützt werden. Empfehlenswert ist auch eine Firewall, ein Router ist hier nicht ausreichen. *schmunzelt* Bei den mittelständischen Unternehmen geht es in die Richtung automatisierte Überwachung des Netzwerks, weil ich nicht mehr jeden persönlich kenne. Hierfür haben wir entsprechend Partner, die mit ihren Geräten diesen Bedarf abdecken, wie zum Beispiel Kaspersky oder Barracuda.

Was ist das Cyber Security Rating?

Antwort Ernst: Der KSV hat schon seit über einem halben Jahr das Cyber Security Rating als Teil seiner Bonitätsbewertung miteinkalkuliert und so kannst Du über den KSV 187 abfragen, wie sicher die Geschäftspartner sind, ob sie einen Minimum-Security-Standard in Betrieb haben. Gemeinsam mit dem Kuratorium Sicheres Österreich und dem Cyber Trust Austria ist das eine gute Möglichkeit, das nachzuweisen und abzufragen. 

Wie unterscheiden sich die Levels des Ratings und wie bekommt man den Status?

Antwort Ernst: Es gibt mehrere Zertifizierungs-Stufen, so ähnlich wie bei den Aktien. Wir gehen von B aus, als die Basis, die (zweitklassige) Selbst-Deklaration, also das bedeutet, dass ich selbst gewisse Maßnahmen ergriffen habe. Darüber gibt es A und A+ und für Applikationen gibt es einen C-Score. Diese Stufen werden jeweils für ein Jahr vergeben und es geht von „ja, ich sage, ich habe es gemacht“ und jemand von fern drüber schaut bis hin zu einer vor Ort Zertifizierung. 

Wie helfen wir beim Rating?

Antwort Ernst: Den Zertifizierungsstatus bekomme ich bei jeder KSV-Abfrage immer mit dazu, also ich sehe welchen Status mein Geschäftspartner hat, also den einfachen oder sogar A bzw. A+ Rating. Das zweite ist, dass wir gemeinsam mit einer Firma zusammenarbeiten, die dann von außen einen Audit durchführt. Wir planen in Rahmen unserer IT-Betreuung das Thema Sicherheit auch immer mit ein. So stellen wir laufend ein Sicherheitsniveau her und das wird auch regelmäßig überprüft. Wenn sich bei der Firma etwas ändert, neue Mitarbeiter*innen, Standardzuwachs oder so, dann wird nochmals neu geprüft. Wir stellen von innen alles bereit und von außen wird dann geprüft. Wir haben mehrere Partnerfirmen, die im IT-Security Bereich zuhause sind, welche die Empfehlungen abgeben und eventuell ergänzen wir noch etwas, bis es zur erfolgreichen Zertifizierung kommt. Dieses ist eben ein Jahr gültig. 

Wir hoffen, wir konnten Dir mit diesem Artikel und Video auf Facebook weiterhelfen und Dir die wichtigsten Informationen geben, um die IT-Security in Deinem Unternehmen entsprechend auszubauen und in die richtige Strategie sowie Produkte zu investieren.  

Möchtest Du mehr über IT-Security und unseren Leistungen sowie den Partner-Produkten erfahren? Dann nimm teil an unserem nächsten Webinar am Dienstag, den 30.03. zu diesem Thema. Gleich hier kannst Du Dich anmelden.

Summit Solutions – Digital und Effizient.

Wir stehen für digitale Effizienz und optimieren gerne Deine eigene IT. Egal ob Virenschutz, Backups, Speicherplatz oder ein neuer Laptop – wir kümmern uns um Deine IT. Somit hast Du Zeit für das, was Dich wirklich interessiert!

Odoo • Bild und Text

Ernst Rohlicek

Geschäftsführer und Inhaber