FAQ
Frequently Asked Questions
Allgemein
1Was ist IT-Sicherheit überhaupt?
IT-Sicherheit bedeutet, Daten und Systeme vor unbefugtem Zugriff, Manipulation und Ausfällen zu schützen. Sie sorgt dafür, dass Informationen vertraulich, korrekt und jederzeit verfügbar bleiben – und damit Geschäftsprozesse zuverlässig laufen.
2Warum sind österreichische Unternehmen ein beliebtes Ziel für Cyberkriminelle?
Weil viele Betriebe glauben, sie seien „zu klein“ oder „uninteressant“. Angriffe erfolgen aber meist automatisiert. Sobald eine Schwachstelle sichtbar wird, spielt die Unternehmensgröße keine Rolle. Gerade Mittelständler sind oft schlechter abgesichert und damit attraktive Ziele.
3Welche Rolle spielt der Mensch in der IT-Sicherheit?
Die größte. Über 80% aller Vorfälle entstehen durch Fehlverhalten: schwache Passwörter, Phishing-Mails oder unachtsames Verhalten. Technik allein schützt nicht – Schulungen und klare Prozesse sind unverzichtbar.
4Was unterscheidet Cybersecurity von IT-Sicherheit?
IT-Sicherheit ist der Oberbegriff für alle Schutzmaßnahmen. Cybersecurity bezieht sich speziell auf Angriffe aus dem Internet. In der Praxis überschneiden sich die Bereiche, beide sind für Unternehmen gleich wichtig.
5Reicht ein Virenscanner als Schutz?
Nein. Ein Virenscanner erkennt nur bekannte Bedrohungen. Moderne Angriffe sind oft individuell und umgehen solche Systeme. Echte Sicherheit entsteht nur durch ein Zusammenspiel vieler Maßnahmen.
6Warum sind auch kleine Unternehmen stark gefährdet?
Weil Angriffe selten gezielt erfolgen. Automatisierte Programme durchsuchen das Netz nach offenen Lücken – unabhängig davon, ob es sich um einen Konzern oder einen Handwerksbetrieb handelt.
7Welche Folgen kann ein erfolgreicher Cyberangriff haben?
Stillstand, Datenverlust, hohe Kosten, Bußgelder und Vertrauensverlust bei Kunden. Oft übersteigen die Schäden die Investition in präventive Maßnahmen um ein Vielfaches.
8Ist IT-Sicherheit nur ein technisches Thema?
Nein. Technik ist wichtig, aber ohne klare Prozesse, Verantwortlichkeiten und geschulte Mitarbeiter bleibt jedes Unternehmen verwundbar. Sicherheit ist immer auch eine Managementaufgabe.
9Welche gesetzlichen Vorgaben sind relevant?
In Europa vor allem die DSGVO und NIS2. Sie verlangen, dass Unternehmen angemessene Schutzmaßnahmen umsetzen und regelmäßig überprüfen – Penetrationstests sind dafür ein zentraler Nachweis.
10Warum ist IT-Sicherheit eine Investition und keine Kostenstelle?
Weil sie Schäden verhindert, die ein Vielfaches kosten würden. Gleichzeitig stärkt sie das Vertrauen von Kunden und Partnern und macht Unternehmen wettbewerbsfähiger.
Penetrationstests
1Was ist ein Penetrationstest?
Ein Pentest ist ein gezielter, kontrollierter Hackerangriff im Auftrag des Unternehmens. Ziel ist es, Schwachstellen zu finden, bevor Kriminelle sie ausnutzen.
2Worin liegt der Unterschied zwischen Pentest und Audit?
Ein Audit prüft, ob Standards und Richtlinien eingehalten werden. Ein Pentest simuliert echte Angriffe und zeigt, wie verwundbar Systeme in der Praxis sind. Audit = Regelwerk, Pentest = Realität.
3Wie unterscheidet sich ein Pentest von einem Schwachstellenscan?
Ein Scan ist rein automatisiert und liefert nur Hinweise. Ein Pentest kombiniert Tools mit manueller Analyse und bewertet, ob Lücken tatsächlich ausnutzbar sind.
4Welche Arten von Pentests gibt es?
Black Box (keine Infos), White Box (volle Infos), Grey Box (Teilinfos) sowie externe und interne Tests. Je nach Ziel werden Web-Apps, Netzwerke, mobile Apps oder Cloud-Systeme geprüft.
5Ist ein Pentest gefährlich für meine Systeme?
Nein. Seriöse Pentester arbeiten nach klar definierten Regeln. Angriffe werden so simuliert, dass keine Schäden entstehen und Systeme stabil bleiben.
6Wie läuft ein Pentest ab?
Zuerst wird der Umfang definiert. Danach folgen Informationssammlung, Angriffssimulation, Auswertung und ein detaillierter Bericht mit Empfehlungen.
7Wie sieht der Abschlussbericht aus?
Er enthält eine Management-Zusammenfassung, eine Risiko-Bewertung aller gefundenen Lücken und konkrete Handlungsempfehlungen – technisch verständlich und für Entscheider übersichtlich.
8Wie oft sollte ein Pentest durchgeführt werden?
Mindestens einmal jährlich und zusätzlich nach jeder größeren IT-Änderung, z. B. bei neuen Systemen, Updates oder Migrationen in die Cloud.
9Sind Pentests gesetzlich vorgeschrieben?
Direkt nicht, aber DSGVO und NIS2 verlangen regelmäßige Sicherheitsüberprüfungen. Pentests sind eine der anerkanntesten Methoden, diese Anforderungen zu erfüllen.
10Was kostet ein Penetrationstest?
Das hängt vom Umfang ab: Eine kleine Web-App lässt sich in wenigen Tagen prüfen, ein Unternehmensnetzwerk kann Wochen dauern. Kosten liegen meist zwischen einigen tausend und fünfstelligen Beträgen – deutlich günstiger als ein echter Angriff.
DSGVO & NIS2
1Muss ich einen Penetrationstest gesetzlich machen lassen?
Direkt vorgeschrieben ist er nicht, aber Gesetze wie DSGVO und NIS2 verlangen regelmäßige Überprüfung der IT-Sicherheit. Ein Pentest ist eine der anerkanntesten Methoden, diesen Nachweis zu erbringen.
2Welche Rolle spielt die DSGVO bei IT-Sicherheit?
Die DSGVO verpflichtet Unternehmen, personenbezogene Daten mit einem angemessenen Schutzniveau zu sichern. Das umfasst technische und organisatorische Maßnahmen sowie deren regelmäßige Überprüfung.
3Was fordert die NIS2-Richtlinie?
NIS2 richtet sich an Unternehmen in kritischen und wichtigen Sektoren. Sie verpflichtet zu einem hohen Standard an Cybersicherheit und zu Meldepflichten bei Vorfällen. Pentests helfen, diese Anforderungen praktisch umzusetzen.
4Wer trägt die Verantwortung für IT-Sicherheit im Unternehmen?
Die Geschäftsführung. Sie kann Aufgaben an IT-Abteilungen oder Dienstleister delegieren, bleibt aber rechtlich in der Verantwortung.
5Sind Pentests ein Nachweis gegenüber Behörden?
Ja. Mit einem Pentest-Bericht zeigen Unternehmen, dass sie ihre Sicherheit aktiv prüfen und Risiken ernst nehmen – ein starkes Argument bei Audits oder Prüfungen.
6Können Pentests auch für Verträge mit Kunden wichtig sein?
Definitiv. Immer mehr Geschäftspartner fordern Sicherheitsnachweise. Ein aktueller Pentest kann ein Wettbewerbsvorteil sein und Vertrauen schaffen.
7Welche Strafen drohen bei Sicherheitsvorfällen?
Bei Datenschutzverletzungen können Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes verhängt werden. Zusätzlich drohen Schadenersatzklagen von Betroffenen.
8Sind Pentests steuerlich absetzbar?
Ja. Sie gelten als Betriebsausgaben, weil sie der Sicherung des Geschäftsbetriebs dienen.
9Verlangen Cyber-Versicherungen Pentests?
Oft ja. Viele Versicherungen prüfen, ob Unternehmen ihre Sicherheitsmaßnahmen regelmäßig nachweisen können. Ein Pentest-Bericht kann Voraussetzung für den Versicherungsschutz sein.
10Wie schnell müssen Sicherheitsvorfälle gemeldet werden?
Die DSGVO schreibt vor, dass Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden müssen. Wer seine Systeme regelmäßig testet, kann Vorfälle schneller erkennen und reagieren.