Österreich


‚IKT-Sicherheitsstrategie Österreich‘ FORCIERT  INFORMATIONSSICHERHEIT NACH
Standards wie ISO 27001

 

Energie, Telekom, Finanzen, Transport: „Strategische Infrastrukturbetreiber sollten zu Informationssicherheit verpflichtet werden können“

 

01_schutzschild 27001-155(Dez 2012) - Globale Cyberattacken auf Industriesteuerungen wie zuletzt durch die Viren Flame oder Stuxnet, die gegen das Atomwaffenprogramm des Iran gerichtet waren, haben die Ära des Cyberwar eingeläutet. Dabei richten sich E-Angriffe nicht nur gegen militärische Ziele, sondern auch gegen strategische Unternehmen und Infrastrukturbetreiber.

Österreich begegnet den potenziellen Gefahren der Cyber-Ära mit der „Nationalen IKT-Sicherheitsstrategie“. Das vom Bundeskanzleramt veröffentlichte Konzept dient dem Schutz des Cyber-Raumes und insbesondere dem Schutz der strategisch wichtigen Infrastrukturen wie Energie, Telekom, Finanzen, Transport oder Gesundheitswesen.
 

Vorsorge ist der beste Schutz
Interessant aus dem Blickwinkel der Informationssicherheit ist die offizielle und erklärte Forcierung proaktiver Maßnahmen wie Informationssicherheitsmanagement und Riskmanagement in den Unternehmen – auch in KMU. So schreibt Prof. DI Dr. Reinhard Posch, Chief Information Officer des Bundes, einleitend: „Reaktive Strategien wie Cyber Defense stellen wichtige Elemente dar. Doch können diese nur wirksam sein, wenn sie durch proaktive Elemente ergänzt werden, die meist einen deutlich höheren Kosten-/Wirkungsfaktor aufweisen.“ In weiterer Folge betont er, dass das IKT-Risikobewusstsein deutlich gestärkt und ein Verständnis für Prüfung/Zertifizierung und Monitoring erzeugt werden müsse.
 

Einsatz von ISO 27001 fördern
Vertieft wird dieser Ansatz im Kapitel „Kritische Infrastruktur“ (KI). Eines von drei Hauptzielen ist hier die „Unterstützung des Selbstschutzes“ in strategisch wichtigen Unternehmen und Organisationen durch Etablierung von „Risikomanagement und Informationssicherheit“ (RM/ISM). Diese „proaktive Risikominimierung“ sei eine der „effektivsten Methoden, um Cyber-Security zu fördern und den alltäglichen Betrieb zu ermöglichen“. Somit sei „der Aufbau von Informationssicherheit eine der wichtigsten Maßnahmen, die KI-Betreiber zum Selbstschutz ergreifen können“. Diese Maßnahmen sollen von staatlicher Seite unterstützt werden, u.a. durch Einrichtung eines „Cyber Competence Centers als Teil des IKT-Sicherheitsportals, … welches Auskunft über verschiedene RM/ISM-Ansätze und über Zertifizierungsverfahren etwa nach dem Sicherheitshandbuch 2010 oder nach ISO 27001“ gibt. Konkret empfiehlt das Strategie-Konzept auf Seite 17, „bestenfalls alle KI-Betreiber zur Anwendung von Risikomanagement- und Informationssicherheitsmaßnahmen rechtlich zu verpflichten“. Dies auch vor dem Hintergrund, eine Rechtssicherheit für eine Meldepflicht im Zusammenhang mit Cyber-Angriffen zu schaffen.
 01_27001_voll_small

Standardisierung & Zertifizierung
Auch wenn es sich derzeit um ein Strategie-Papier handelt, deren gesetzliche Ausformung noch aussteht, sind bereits wichtige Weichenstellungen erkennbar. Standardisierung und Zertifizierung ziehen sich wie ein roter Faden durch die Maßnahmenvorschläge des Konzepts, denn kritische Unternehmen sollten künftig definierte Mindeststandards an Sicherheit erfüllen. Die Zertifizierungsorganisation CIS rechnet damit, dass vor allem in strategisch wichtigen Sektoren jene Unternehmen wie Banken, Energieversorger, Spitalsverwaltungen, Telekommunikations- oder Transportanbieter verstärkt auf eine ISO-27001-Zertifizierung setzen werden. CIS-Geschäftsführer Erich Scheiber: „Wir beobachten bereits seit gut zwei Jahren ein zunehmendes Interesse an Standardisierung und Zertifizierung in diesen Branchen. Die Unternehmen wollen durch strukturiertes Vorgehen nicht nur ein wirksames Sicherheitsnetz gegen virtuelle Attacken einziehen, sondern sich durch eine Zertifizierung auch gegen Haftung und Fahrlässigkeit absichern.“

 

Nationale IKT-Sicherheitsstrategie Österreich: Download 
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB