Linzer IT-Firma bei erstem "Pickerl" für Cybersicherheit federführend dabei

Die Finanz-Ratings von Unternehmen und Privaten sind hinlänglich bekannt und wichtiger Teil unseres Wirtschaftssystems. Neu wird ab kommendem Jahr eine Bewertung für Cybersicherheit sein, sagte Alexander Mitter, Geschäftsführer des Linzer IT-Sicherheitsspezialisten Nimbusec. Die Angriffe von Hackern würden – auch durch die Covid-Krise – mehr und häufiger. Jüngstes Beispiel: Fitness-Uhren-Hersteller Garmin, dessen Online-Geschäft wegen eines Hackerangriffs tagelang lahmgelegt war. Es soll Lösegeldforderungen in Millionenhöhe gegeben haben, um die Daten wieder zu entschlüsseln. "Das Gros der Firmen schätzt das Risiko als viel zu gering ein", so Mitter.

In der EU gebe es bisher kein solches Cyber-Vergleichssystem, sagt Ricardo-José Vybiral, Vorstand der KSV1870 Holding, die sich im April mit 74,5 Prozent beim Linzer 16-Mitarbeiter-Startup Nimbusec als strategischer Investor beteiligt hat. Nur in den USA arbeite die Ratingagentur Moody’s an einer vergleichbaren Bewertung.

Das Cyber-Risk-Rating soll dem gängigen KSV-System entsprechen: von 100 Punkten (perfekt abgesichert gegen Cyberangriffe und völlig datenschutzkonform) bis 700 (sehr schlechte Absicherung).

Gemeinsam mit dem Kuratorium Sicheres Österreich, in dem IT-Verantwortliche namhafter Firmen sowie Vertreter der öffentlichen Verwaltung sitzen, werden derzeit die Fragenkataloge erarbeitet, die sich die Unternehmen bezüglich ihrer IT-Sicherheit stellen müssen.

Mitter verweist auf die Unabhängigkeit dieses Gremiums und auf die Transparenz. Denn die Bewertungskriterien würden selbstverständlich publiziert. Das Ziel des Cyberratings sei, "auf den ersten Blick zu sehen, wie gut ein Unternehmen in der Cybersicherheit ist". Es gibt drei Rating-Klassen: C bedeutet eine automatisierte Einschätzung aus öffentlich zugänglichen Informationen, wie sicher die Webseite ist. Häufig werden Webseiten von Hackern benutzt, um Kundendaten abzufangen oder Schadsoftware zu verbreiten, ohne dass das Unternehmen das bemerkt. Die zweite Klasse B basiert auf der Selbstauskunft der Unternehmen. Die höchste Klasse ist A, wo zertifizierte Prüfer ein Audit geben.

Das könnte man mit dem "Pickerl für das Auto" vergleichen, sagt Mitter und erinnert an die frühen Zeiten des Automobils, in denen es viele schwere Autounfälle gab, weil kein Sicherheitsstandard existierte. Genau das soll ab Anfang 2021 das Cyberrating werden: ein "Pickerl" für die IT-Sicherheit, um schwere Sicherheitsvorfälle zu vermeiden. Als Erstes werden die Lieferanten von Unternehmen der kritischen Infrastruktur dem Rating unterzogen. So wird beispielsweise darunter auch die Kantine einer Bank fallen, die eine Webseite betreibt.

Nimbusec wurde 2013 gegründet, drei der schon seit JKU-Zeiten befreundeten Gründer sind heute noch an Bord: Christof Horschitz (COO, 37, Leonding), Alexander Mitter (CEO, 35, Engerwitzdorf), Christian Baumgartner (CTO, 33). Die Gründungsidee, "Brandmelder für Webseiten" zu sein, wird durch das neue strategische Ziel des Sicherheitspickerls erweitert.