Skip to main content

Über uns

Inhaltsverzeichnis

  • Allgemeines
  • Für kritische Infrastrukturen & Unternehmen
  • Der Bewertungsprozess
  • Für bewertete Unternehmen
  • Der Bewertungsprozess

Allgemeines

Das CyberRisk Rating von KSV1870 wurde im Jahr 2020 entwickelt. Das Konzept wurde vom Kompetenzzentrum Sicheres Österreich in Zusammenarbeit mit CISOs, DPOs und Managern aus kritischen Infrastrukturen, Regierung und Industrie entwickelt, um einen Standard für die Bewertung zu entwickeln. Die Anforderungen des Cyber-Risikoschemas wurden von führenden Cyber-Risikomanagern aus allen Bereichen der kritischen Infrastruktur sowie Vertretern bekannter österreichischer Unternehmen definiert - das Rating ist daher für jede Branche und jeden Wirtschaftsbereich geeignet. Ziel ist es, ein höheres Maß an IT-Sicherheit in der gesamten EU zu gewährleisten und digitale Risiken in Lieferketten zu identifizieren. Das öffentlich und frei zugängliche Schema wird vom Cyber Risk Advisory Board jährlich aktualisiert und überarbeitet, um schnell auf neue Anforderungen aus der Praxis oder der ausführenden NIS-Behörde (BMI) reagieren zu können. Diese Standards bilden die Grundlage des CyberRisk Ratings von KSV1870.

Link zum KSÖ-Schema 2024

Die DSGVO und die EU-NIS-Richtlinie verlangen von allen Organisationen, insbesondere von Betreibern wesentlicher Dienste, ein Cyber-Risikomanagement für Lieferanten und Dritte. Das CyberRisk Rating von KSV1870 stellt einen standardisierten Prozess dar, um diese Anforderungen zu erfüllen. Cyber-Risiken in globalen Lieferketten werden transparent und können gezielt reduziert werden.

Das CyberRisk Rating von KSV1870 ist in zwei Bereiche unterteilt:

Einerseits eine Plattform für das Cyber-Risikomanagement für alle Lieferanten weltweit für kritische Infrastrukturen und Unternehmen und andererseits ein effizienter Bewertungsprozess für bewertete Unternehmen.

 

Für kritische Infrastrukturen & Unternehmen

Das CyberRisk Rating von KSV1870 bietet Ihnen ein einheitliches System, um die Anforderungen des EU-NIS-Gesetzes und der DSGVO für Lieferanten zu erfüllen.

Das CyberRisk Rating von KSV1870 verwendet drei grundlegende Prozesse zur Bewertung globaler Lieferantenbasen:

  1. Die Bewertung öffentlicher IT-Sicherheitsdaten für alle Lieferanten Ihrer Organisation,

  2. Die validierte CyberRisk Rating-Bewertung gemäß dem KSÖ Cyber Risk Schema auf der Grundlage direkter Informationen von Lieferanten und falls erforderlich:

  3. Audits der CyberRisk-Bewertungen durch Drittauditoren.

 

Für bewertete Unternehmen

Unsere Lösung bietet zwei Bewertungstiefen: Zunächst erstellt der automatisierte Web Risk Indikator eine Basislinie für alle Ihre Lieferanten. Anschließend entscheiden Sie, welche Lieferanten für den Bewertungsprozess ausgewählt werden, der zu einer vollständigen A+- oder B-Bewertung führt.

Sobald eine CyberRisk-Bewertung für Ihr Unternehmen angefordert wird, erhalten Sie eine E-Mail mit dem Einladungslink zur Bewertung. Ihre Cyber-Risikobewertung besteht aus 25 Ja/Nein-Fragen. Wenn Sie mit "Ja" antworten, beschreiben Sie bitte die Umsetzung der Anforderung in Ihrer Organisation. Nach der Bewertung werden Ihre Antworten von einem IT-Sicherheitsexperten validiert.

Es kann vorkommen, dass die Validierung eine oder mehrere Ihrer Antworten als unklar einstuft. In diesem Fall werden wir Ihnen Feedback geben und um weitere Details bitten. Sie erhalten dann eine Benachrichtigung von uns. Sie haben die Möglichkeit, Ihre Antworten einmal zu korrigieren. Anschließend wird Ihre Bewertung erneut validiert, was zur endgültigen Bewertung führt.

Als letzten Schritt können Sie auswählen, welche CyberRisk-Bewertung für Ihr Unternehmen veröffentlicht werden soll - A (erweiterte Anforderungen) oder B (Grundanforderungen)? Um Ihnen die Auswahl zu erleichtern, wird eine Empfehlung angezeigt. Nachdem Sie die gewünschte Bewertung ausgewählt haben, ist der Prozess abgeschlossen. Ihre CyberRisk-Bewertung ist ein Jahr lang gültig.

 

Der Bewertungsprozess

  1. WebRisk-Indikator

Sobald Ihre Lieferanten im CyberRisk-Portal aufgeführt sind, steht der WebRisk-Indikator (C-Score) für alle von ihnen kurzfristig zur Verfügung. Der WebRisk-Indikator dient als erste Bewertung von Cyberrisiken und bewertet automatisch öffentlich zugängliche IT-Informationen.

Der WebRisk-Indikator ist ein vollautomatischer externer Sicherheitscheck, der auf nicht-invasive Weise die über das Internet zugänglichen Anwendungen einer Organisation überprüft und auf dieser Grundlage Rückschlüsse auf die zugrunde liegende technische und organisatorische Cybersicherheit in diesem Bereich zulässt.

Die Domains und IP-Adressbereiche der Organisation, die Teil dieser Überprüfung sind, müssen zum Zeitpunkt der Antragstellung offengelegt werden und werden durch technisch zuordenbare, über das Internet zugängliche Anwendungen ergänzt. Der WebRisk-Score wird als Indikator bei der Validierung der B- und A-Bewertungen berücksichtigt und separat angezeigt.

Sie können Ihre bestellten Unternehmen in unserem Portal unter "CyberRisk Ratings" einsehen. Hier sehen Sie auch die Spalte "WebRisk".


Wenn Sie den WebRisk-Indikator auswählen, öffnet sich ein Fenster mit einem detaillierten Einblick in den WebRisk-Score. Sie können die Entwicklung des Risikos über die letzten 12 Monate hinweg sehen.


In der rechten unteren Ecke können Sie die Schaltfläche "WebRisk-Bericht anzeigen" auswählen. Anschließend können Sie die Risikoeinschätzung zwischen 100 und 700 sehen. Eine Bewertung von 700 deutet auf ein sehr hohes Cyberrisiko hin, während 100 ein minimales Risiko anzeigt.


Die folgenden Sicherheitsmängel werden untersucht: Malware, Defacement, Reputation und TLS-Probleme. Die genaue Domain, auf der das Problem auftritt, wird angezeigt. Das jeweilige Problem wird ebenfalls detailliert erläutert.

2. CyberRisk Rating Bewertung:

Sie können jetzt auswählen, welche Bewertung Sie für Ihre Lieferanten anfordern möchten.

Die ausgewählten Lieferanten erhalten einen Einladungslink zur Bewertung per E-Mail. Nach Abschluss wird die Bewertung professionell validiert und ein CyberRisk Rating berechnet, das auch den C-Score einschließt.

3. CyberRisk Rating mit Audit:

Um eine A+-Bewertung zu erhalten, können Sie Audits durch qualifizierte Stellen für gewünschte Lieferanten beauftragen. Der Auditor überprüft die abgeschlossene Bewertung des jeweiligen Unternehmens auf Nachweise und Beweise, die im Schema aufgeführt, sind.

Für bewertete Unternehmen

Unsere Lösung bietet zwei Bewertungstiefen: Zunächst erstellt der automatisierte Web Risk Indikator eine Basislinie für alle Ihre Lieferanten. Anschließend entscheiden Sie, welche Lieferanten für den Bewertungsprozess ausgewählt werden, der zu einer vollständigen A+- oder B-Bewertung führt.

Sobald eine CyberRisk-Bewertung für Ihr Unternehmen angefordert wird, erhalten Sie eine E-Mail mit dem Einladungslink zur Bewertung. Ihre Cyber-Risikobewertung besteht aus 25 Ja/Nein-Fragen. Wenn Sie mit "Ja" antworten, beschreiben Sie bitte die Umsetzung der Anforderung in Ihrer Organisation. Nach der Bewertung werden Ihre Antworten von einem IT-Sicherheitsexperten validiert.

Es kann vorkommen, dass die Validierung eine oder mehrere Ihrer Antworten als unklar einstuft. In diesem Fall werden wir Ihnen Feedback geben und um weitere Details bitten. Sie erhalten dann eine Benachrichtigung von uns. Sie haben die Möglichkeit, Ihre Antworten einmal zu korrigieren. Anschließend wird Ihre Bewertung erneut validiert, was zur endgültigen Bewertung führt.

Als letzten Schritt können Sie auswählen, welche CyberRisk-Bewertung für Ihr Unternehmen veröffentlicht werden soll - A (erweiterte Anforderungen) oder B (Grundanforderungen)? Um Ihnen die Auswahl zu erleichtern, wird eine Empfehlung angezeigt. Nachdem Sie die gewünschte Bewertung ausgewählt haben, ist der Prozess abgeschlossen. Ihre CyberRisk-Bewertung ist ein Jahr lang gültig.

 

 

Back to top