Tesla könnte bei Nissan einsteigen Bild: Tesla könnte bei Nissan einsteigen
EXPORT today online - 08/2025
Zahl der Rot-Weiß-Rot-Karten 2024 weiter gestiegen Bild: Zahl der Rot-Weiß-Rot-Karten 2024 weiter gestiegen
Rechnungshof kritisiert Planungsdefizite bei Energiewende Bild: Rechnungshof kritisiert Planungsdefizite bei Energiewende
Trotz Industrierezession einige Wachstumsbranchen Bild: Trotz Industrierezession einige Wachstumsbranchen
NEW BUSINESS Guides - IT- & DIGITALISIERUNGS-GUIDE 2025
Online-Riese Alibaba übertrifft Umsatzerwartungen Bild: Online-Riese Alibaba übertrifft Umsatzerwartungen
Nächster Signa-Investor belastet Benko schwer Bild: Nächster Signa-Investor belastet Benko schwer
Neuer Strabag-Chef nach Tod von Klemens Haselsteiner im Amt Bild: Neuer Strabag-Chef nach Tod von Klemens Haselsteiner im Amt
NEW BUSINESS Export - NB EXPORT 2/2024
Europäische Zentralbank (EZB) erneut mit Milliardenverlust Bild: Europäische Zentralbank (EZB) erneut mit Milliardenverlust
Rosenbauer - Einstieg von Pierer/Mateschitz-Konsortium fix Bild: Rosenbauer - Einstieg von Pierer/Mateschitz-Konsortium fix
Sie befinden sich hier:  Home  |  NEW BUSINESS Guides  |  IT- & DIGITALISIERUNGS-GUIDE 2025  |  Security but simple

Security but simple

NEW BUSINESS Guides - IT- & DIGITALISIERUNGS-GUIDE 2025
Das österreichische Cybersecurity-Unternehmen Condignum will es seinen Nutzern ermöglichen, sich in Sachen IT-Security aus eigener Kraft stetig zu verbessern. © RNF

Simon Leitner, Geschäftsführer von Condignum, im Gespräch über die aktuellen Herausforderungen im Bereich IT-Security, den Einsatz von künstlicher Intelligenz ...

... sowie die Auswirkungen und Anforderungen der nahenden NIS-2-Richtlinie.

„Exaktheit muss gewährleistet sein“ – das ist in der IT-Sicherheit oberstes Gebot, wie Simon Leitner, Geschäftsführer des österreichischen Cybersecurity-Unternehmens ­Condignum, im Interview mit NEW BUSINESS betont. Doch wie lässt sich diese Exaktheit in einer immer komplexeren Bedrohungslandschaft sicherstellen? Condignum setzt auf einen pragmatischen Ansatz: „Security but simple“. Im Gespräch gibt Leitner Einblicke in die Gründungsidee von Condignum, die Bedeutung von „angemessener“ Sicherheit, die Auswirkungen der NIS-2-Richtlinie und den Einsatz von künstlicher Intelligenz in der Cyberabwehr. 

Herr Leitner, wie kam es zur Gründung von Condignum mit Ihrem Kompagnon Martin Niederwieser?
Martin und ich haben uns bei einem ehema­ligen Arbeitgeber kennengelernt und früh erkannt, dass klassische Beratung nach Aufwand zwar gut ist, aber nicht alle Zielgruppen erreicht. Wir wollten eine Standardisierung erreichen, aber im 21. Jahrhundert nicht mit Vorlagen auf Papier oder in Excel-Dateien, sondern mit einer Web-Applikation. So entstand die Idee.

Wir begannen mit dem Use-Case der sicheren Softwareentwicklung, waren damit aber etwas zu früh dran, da die entsprechenden Normen wie der Cyber Resilience Act, NIS 2 und DORA erst jetzt in Kraft treten. Daraufhin erweiterten wir unser Angebot zu einer Security-Management-Plattform, die umfassendes Risiko-, Compliance-, Scan-, Vulnerability- und Third-Party-Management bietet. Unsere Plattform soll Kunden helfen, alle relevanten KPIs und Richtlinien abzubilden und das tägliche Doing zu erleichtern, auch mit Unterstützung von KI zur Zeitersparnis. 

Der Name „Condignum“ kommt aus dem Lateinischen und bedeutet „Angemessenheit“. Warum dieser Name und kein werbewirksamer Superlativ?
Wir wollen die „appropriate Steps to ensure Information Security“ gewährleisten und den Nutzern ermöglichen, sich aus eigener Kraft stetig zu verbessern. Wir geben Anstöße zur Normenkonformität und -nähe, damit Kunden sicherer und resilienter werden und gleichzeitig Zeit und Geld sparen. Und wir sind nicht laut, sondern eher zurückhaltend.

Bedeutet „angemessen“ in diesem Zusammenhang auch, das richtige Werkzeug für den jeweiligen Anwendungsfall zu finden und nicht „mit Kanonen auf Spatzen zu schießen“?
Genau. Im Bereich Security könnte man beispielsweise für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) unzählige Beratungstage in Anspruch nehmen. Stattdessen gibt es bei uns etwa 90 Schritte, die man abarbeiten muss. Wir bieten den angemessenen Hebel, indem wir die richtigen Schritte priorisieren, den Fokus setzen, einer Roadmap folgen und im laufenden Betrieb den Aufwand minimieren. Unsere Applikation erinnert an die notwendigen Aufgaben und liefert Informationen über Schwachstellen und deren Behebung, um das Resilienzniveau zu steigern.

Könnten Sie kurz Ihre Leistungen im Allgemeinen beschreiben?
Unser Angebot besteht aus zwei Komponenten: unserer SaaS-Plattform und unseren Professional Services. Die Plattform hilft Kunden, Compliance zu erreichen, Schwachstellen zu erkennen, sich zu verbessern und ihre Lieferanten zu managen. Sie bietet automatisierte Scans zur Erkennung von Schwachstellen, die jedoch einen manuellen Penetrationstest nicht ersetzen können.

Für Enterprise-Kunden bieten wir daher vordefinierte und paketierte Professional Services in vier Bereichen an: Informations­sicherheitsmanagement (inklusive Beratung im NIS- und Kritis-Umfeld), Architektur sicherer Systeme, sicherer Betrieb (in Zusammenarbeit mit Partnern) und Testing, um den gesamten Zyklus abzudecken und das Resilienzniveau zu steigern. Unser Motto lautet „Information Security but simple“.

Wie funktioniert der Einsatz Ihrer Plattform? 
Ein typischer Use-Case wäre beispielsweise ein kommunaler Energieversorger, der unter NIS 2 fällt und viele regulatorische Anforderungen erfüllen muss. Unsere Plattform bietet Module und vordefinierte Workflows, mit denen drei bis fünf User des Unternehmens arbeiten können. Sie können kritische Bereiche, Applikationen und zu schützende Werte identifizieren, ein laufendes Risikomanagement betreiben und ihre Lieferanten managen. Dadurch können sie normenkonform arbeiten und optional eine Zertifizierung nach ISO 27001 anstreben.

Wir ermöglichen normenkonformes Risikomanagement und decken alle Anforderungen des Annex A der ISO 27001 ab, um ein Informationssicherheitsmanagementsystem (ISMS) einzuführen, zu betreiben, zu managen und laufend zu verbessern. Unser Ansatz ist angemessen und simpel.

Im Risikomanagement könnten zum Beispiel 20 vordefinierte Risiken angezeigt werden. In der Business-Impact-Analyse bewertet das Unternehmen selbst diese Risiken, die betroffenen Assets und deren Kritikalität. Im laufenden Betrieb liefert die Plattform Vorschläge und Informationen über kritische Schwachstellen und Lieferantenratings. Die User entscheiden dann, welche Maßnahmen sie ergreifen.

Das heißt, Sie füttern die Plattform ständig mit Informationen, die dann quasi auf die einzelnen Kunden zugeschnitten werden?
Genau. Es sind viele Servicekomponenten. Wir müssen im Hintergrund sehr viel leisten, um die Effizienz unserer Kunden zu steigern.

Wie sieht die Zielgruppe aus? Wo fängt sie an, und bis wohin geht sie? 
Unser „Sweetspot“, wo wir den größten Mehrwert liefern können, liegt bei Unternehmen mit 250 bis 3.000 Mitarbeitern. Diese verfügen meist noch nicht über einen dedizierten CISO auf C-Level, haben aber die gleichen Probleme und Herausforderungen wie größere Unternehmen mit einem vollwertigen Security-Team. Für diese Unternehmen sind wir besonders interessant, da wir ihnen helfen, Compliance zu erreichen und eine solide Basis zu schaffen. 

Wir haben aber auch ein Lizenzmodell für KMU, eine kleinere, gebündelte Variante, die sich an Unternehmen richtet, die ebenfalls von NIS 2 betroffen sind, sich aber größere monatliche Ausgaben nicht leisten können und ein höheres Schutzbedürfnis haben. Diesen Unternehmen bieten wir paketierte Lösungen und Toolkits zur Selbstumsetzung an.

Ihre Lösung ist angesichts der all­gegenwärtigen IT sicher für jede Branche interessant. Gibt es dennoch Branchen, in denen Sie eine verstärkte Nachfrage oder besonders viele ­Kunden haben?
Wir haben in drei Phasen begonnen. In der ersten Phase waren wir stark im streng regulierten Bereich tätig: Banken, Versicherungen, Behörden – also dort, wo der Normendruck 2019/20 bereits sehr hoch war. Dort sind wir nach wie vor aktiv, auch um sehr spezielle Themen zu lösen, wie etwa Secure-Development im Großbankenumfeld, also die sichere Gestaltung der Applikationslandschaft und die externe und interne Berichterstattung. Dies ist einer unserer Standard-Use-Cases, der viel Mehrwert bietet, aber nur eine Teilmenge unseres Angebots darstellt. Je größer der Kunde, desto weniger gesamtheitlich betreuen wir ihn, sondern konzentrieren uns auf ausgewählte und sehr spezifische Themen. 

In der zweiten Phase kamen klassische Softwareentwickler, Technologie- und Handelsunternehmen sowie Hersteller von Portalen mit schützenswerten Informationen hinzu. Dort führen wir klassische Testroutinen durch und helfen den Entwicklern, sicheren Code zu schreiben, normenkonform einzuchecken und die Sicherheit laufend zu verbessern. 

In der dritten Phase, in den letzten eineinhalb Jahren, waren wir sehr stark im Produktionsumfeld tätig, da NIS 2 die Produktion und auch die Baubranche stark betrifft. Aktuell ist die Nachfrage dort etwas geringer, aber ­insbesondere lokale Stadtwerke und Energieversorger stehen vor großen Herausforderungen.

Sie arbeiten auch mit Systemhäusern zusammen, oder?
Wir sind sowohl mit direktem als auch mit indirektem Vertrieb aufgestellt. Wir arbeiten direkt mit Enterprise-Kunden zusammen, sind aber auch wichtige Partner von Systemhäusern, mit denen wir eng kooperieren. Wir identifizieren Schwachstellen, die dann von den Systemhäusern behoben werden können.

Das heißt, Sie decken die Schwach­stellen auf, und das Systemhaus ­liefert die passende Lösung?
Richtig. Ein konkretes Beispiel: Bei einem Penetrationstest, einer Sicherheitsüberprüfung mit definiertem Umfang, kann es vorkommen, dass wir die Kontrolle über die Systeme des Kunden übernehmen, beispielsweise Domain-Admin werden, und dabei zahlreiche Schwachstellen finden.

Bei einem Kunden in Österreich haben wir im Rahmen eines solchen Tests kritische Schwachstellen entdeckt und die Kontrolle übernommen. Der Systemhaus-Partner kümmerte sich dann etwa um die Ablösung der Server und Infrastruktur, die Umstellung eines Rechenzentrums und die Beschaffung neuer Clients.

Was bedeutet „die Systeme übernehmen“ in diesem Kontext?
Im Rahmen eines Penetrationstests versuchen wir, so weit wie möglich die Kontrolle über die Systeme des Kunden zu erlangen, also vollen Zugriff zu erhalten. Damit beantworten wir die Frage nach der Anfälligkeit für Ransomware-Attacken und prüfen, ob ein böswilliger Mitarbeiter, ein sogenannter Insider-Threat, Schaden anrichten könnte.

Sie sind auch in Forschungsprojekten mit SBA Research aktiv, insbesondere im Bereich Ihrer SaaS-Plattform.
Wir arbeiten eng mit SBA Research an KI-Themen zusammen, da sogenannte Bleeding-Edge-Lösungen kommerziell schwer umsetzbar wären. Wir möchten unseren Kunden jedoch die neuesten Technologien in geprüfter Form anbieten.

Aktuell arbeiten Sie an einem Security-Twin-Projekt. Könnten Sie dieses kurz erläutern?
Das Konzept des Digital Twin ist nicht neu, aber die Anwendung im Bereich Cybersecurity ist sehr spannend. Stellen Sie sich einen Hochofen, eine Raffinerie oder einen Flughafen vor: Es gibt unzählige IT- und OT-Komponenten, Switches, Waagen, Peripheriegeräte und SCADA-Systeme. Ein verantwortlicher Anlagen­leiter würde es kaum erlauben, diese Systeme direkt zu testen.

Daher bilden wir diese digital nach, um in einer sicheren Umgebung Tests durchführen zu können. White-Hat-Hacker können sich in diesem simulierten Umfeld austoben, ohne Schaden anzurichten, und dennoch praxisnahe Ergebnisse über das ­Systemverhalten und verschiedene Angriffsszenarien erzielen.

Sie haben NIS 2 und KRITIS bereits angesprochen. Bleiben wir bei NIS 2. Wie ist Ihr Eindruck hinsichtlich der Awareness und der Umsetzung bei den Unternehmen in Österreich?
Die Awareness ist branchenübergreifend sehr hoch, insbesondere auf Managementebene, da dort die Angst vor hohen Strafen präsent ist. Auf der Ebene der IT-Leiter, Risikomanager und Datenschützer herrscht jedoch eher Überforderung, da sie eine operative Mammutauf­gabe mit gleichbleibenden Ressourcen bewältigen müssen. Es entsteht ein Gap zwischen Management, das die Umsetzung fordert, und der operativen Ebene, die zusätzliche Ressourcen benötigt.

Dies spricht für unsere SaaS-Plattform, die hier Unterstützung bietet. Nach der Verschiebung der nationalen Umsetzung im vergangenen Sommer haben viele Kunden abgewartet. Nun, da die EU-Vorgabe besteht und ein Vertragsverletzungsverfahren gegen Österreich läuft, besteht Handlungsbedarf.

Ist es nicht so, dass NIS 2 keine ­Übergangsregelung vorsieht und die Umsetzung sofort nach Inkrafttreten des Gesetzes erfolgen muss?
Das ist korrekt.

Wie viel Zeit sollte man für die ­Umsetzung einplanen?
Es ist bereits zu spät, zu warten. Bei NIS-1 erhielten betroffene Unternehmen Bescheide von der Behörde. Bei NIS 2 ist dies nicht der Fall, daher ist intrinsische Motivation gefragt. Wir empfehlen die Einführung eines Informa­tions­sicherheitsmanagementsystems gemäß ISO 27001, das um die NIS-2-Vorgaben erweitert wird. Dies bietet eine gewisse Sicherheit.

Kann man eine Zeitspanne für den Umsetzungsprozess nennen?
Für ein Unternehmen mit etwa 300 Mitarbeitern, das bisher keine normenkonformen Maßnahmen getroffen hat, dauert es mit unserem Vorgehensmodell drei bis sechs Monate, um einen ausreichenden Reifegrad zu erreichen. Damit wäre das Unternehmen gut aufgestellt, auch wenn noch nicht alle Punkte abgearbeitet sind.

Ist es realistisch, dass NIS 2 im ­nächsten Sommer in nationales Recht umgesetzt wird?
Davon gehen wir aus, um weitere Strafen der EU zu vermeiden. Die neue Behörde soll Mitte nächsten Jahres ihren Dienst aufnehmen. Es könnte also vor dem Sommer 2025 eine nationale Gesetzgebung geben.

Wie rigoros wird mit Versäumnissen umgegangen werden?
Es gilt, die Gesetzgebung einzuhalten. Eine Gesetzesübertretung wird mit Strafen geahndet. Es ist ratsam, frühzeitig mit einem Check zu beginnen und seine „Hausaufgaben“ zu machen. Viele Kunden starten daher mit einem NIS-Readiness-Check. Der Druck kommt auch von den Kunden der Unternehmen, die ihrerseits NIS-2-Vorgaben erfüllen müssen.

Unabhängig von NIS 2, wie entwickelt sich die IT-Security generell?
Wir beobachten viele Misskonfigurationen aufgrund der heterogenen IT-Landschaft und der Vielzahl vernetzter Geräte. Die Inventarisierung und die Zuordnung von Schutzbedarf sind schwierig. Unternehmen sind exponierter und Angriffe, wie Phishing as a Service, sind einfacher durchzuführen. Viele Unternehmen gehen vom Worst-Case-Szenario eines Hacks aus und setzen auf ein Zwiebelprinzip mit Netzwerksegmentierung.

Außerdem steigt die Komplexität durch Cloud- und Hyperscaler-Lösungen. Angriffe erfolgen oft über Clients, und die Angreifer suchen nach Informationen oder betreiben Erpressung. Unternehmen führen oft nur Stichprobentests durch, da Budgets begrenzt sind. Die Angreifer haben den Vorteil der Unvorhersehbarkeit und sind nicht an Gesetze gebunden, während Verteidiger an Gesetze und Verordnungen gebunden sind.

Wie wirkt sich generative KI auf Angriffe und Verteidigung in der IT-Security aus?
Auch „klassische“ Mustererkennung ist bereits eine Form von KI. Die Identifizierung relevanter Daten aus großen Datenmengen ist sehr interessant. KI kann helfen, die kritischsten Schwachstellen zu identifizieren. Generative KI und LLMs können jedoch halluzinieren und die Daten­inte­grität gefährden. Dies ist ein großes Problem, das noch viel Forschung erfordert. Wir arbeiten an der Anomalie-Erkennung im Schwach­stellen­mana­gement, um echte Schwachstellen zu identifizieren. Die Vorteile von KI-Systemen müssen kritisch hinterfragt werden, da das Risiko von Halluzinationen groß ist. In der IT-Sicherheit muss aber Exaktheit gewährleistet sein. (RNF)