Was Sie über das neue australische Cybersicherheitsgesetz wissen müssen

Von Phil Muncaster • 6 November 2024

Die digitale Welt wird für australische Organisationen zu einem zunehmend gefährlichen Ort. Eine Reihe spektakulärer Datendiebstähle und Ransomware-Angriffe in den letzten Jahren haben das Vertrauen der Kunden in Online-Dienste erschüttert – ganz zu schweigen von den Finanzen und dem Ruf der Unternehmen.

Auch wenn die meisten dieser Angriffe finanziell motiviert waren, zeigt ein neuer Microsoft-Bericht, dass die Grenzen zwischen Cyberkriminalität und nationalstaatlichen Bedrohungen immer mehr verschwimmen. Das bedeutet, dass derartige Vorfälle zunehmend als eine Angelegenheit der nationalen Sicherheit behandelt werden.

All dies erklärt die proaktive Haltung der Regierung von Albanese. Zuerst kam die Australische Cybersicherheitsstrategie 2023–2030, Darin wird ein Fahrplan festgelegt, mit dem Australien bis 2030 zu einem „weltweit führenden Unternehmen“ auf diesem Gebiet werden soll. Und jetzt wird Cybersicherheit in einem wegweisenden Gesetz als Schlüssel zum Schutz der nationalen Sicherheit und der wirtschaftlichen Stabilität bezeichnet. Obwohl die Einzelheiten noch ausgearbeitet werden, täten die australischen IT- und Sicherheitsverantwortlichen gut daran, mit der Planung zu beginnen.

Was steht in der neuen Gesetzgebung?

Das Cyber Security Act ist nicht ohne Ambitionen. Als Australiens erstes eigenständiges Cybersicherheitsgesetz verspricht es die Umsetzung von sieben Schlüsselinitiativen, die in der oben genannten Cyber Security Strategy umrissen sind. Laut dem InnenministeriumDas Gesetz soll „Gesetzgebungslücken“ schließen und die „Cyber-Umgebung“ und die kritische Infrastruktur (CNI) des Landes zukunftssicher machen, wobei der Schwerpunkt auf Folgendem liegt:

Neue Cybersicherheitsstandards für intelligente Geräte sollen eine Grundlage für mehr Sicherheit für Verbraucher schaffen, darunter einzigartige Passwörter, regelmäßige Updates und Datenverschlüsselung
Obligatorische Meldung von Ransomware-Zahlungen (für einige nicht näher spezifizierte Geschäftstypen), um den Behörden ein besseres Verständnis des Ausmaßes des Problems zu ermöglichen
Eine Verpflichtung zur „eingeschränkten Nutzung“ für den National Cyber Security Coordinator und das Australian Signals Directorate (ASD), die die Nutzung der von Opferorganisationen an sie weitergegebenen Informationen durch diese Stellen einschränkt. Das Endziel besteht darin, mehr Meldungen zu fördern.
Ein neues Cyber Incident Review Board, das nach schweren Vorfällen „verschuldensunabhängige“ Untersuchungen durchführt und anonymisierte Erkenntnisse öffentlich zugänglich macht

Das Cyber Security Act wird auch die im Security of Critical Infrastructure Act 2018 (SOCI Act) beschriebenen Reformen vorantreiben und umsetzen. Diese zielen darauf ab:

Klarstellung der Pflichten für Organisationen, die geschäftskritische Daten besitzen
Verbesserung der staatlichen Unterstützung zur Abmilderung der Auswirkungen von Vorfällen, die CNI betreffen
Vereinfachen Sie den Informationsaustausch zwischen Industrie und Regierung
Ermöglichen Sie der Regierung, CNI-Unternehmen zu zwingen, schwerwiegende Mängel im Risikomanagement zu beheben
Anpassung der Regulierung der Cybersicherheit im Telekommunikationsbereich an das SOCI-Gesetz

Was australische Unternehmen jetzt tun können

Im zweiten Halbjahr 483 gab es 2023 Meldungen von Datenschutzverletzungen, 19 % mehr als im ersten Teil des Jahres. Laut der Büro des australischen Informationsbeauftragten (OAIC), die überwiegende Mehrheit (67 %) wurde durch böswillige oder kriminelle Angriffe verursacht. Diese erhöhten Bedrohungsniveaus veranlassten den Gesetzgeber überhaupt erst zum Handeln, und er sollte die Vorstände ständig daran erinnern, dass solche Risiken ganzheitlicher gemanagt werden müssen.

Obwohl das Cyber Security Act noch nicht finalisiert ist, gibt es laut Experten, mit denen ISMS.online gesprochen hat, bereits jetzt viel zu tun, um sich auf die damit verbundenen Mandate vorzubereiten. Dies gilt insbesondere für Hersteller von Smart-Geräten.

„Für Hersteller in Down Under – und eigentlich überall – ist jetzt ein guter Zeitpunkt, sich die aktuellen Sicherheitspraktiken anzuschauen, zu prüfen, wo es Lücken oder Bereiche gibt, die verbessert werden können, und Pläne zu entwickeln, um sie an die neuen Anforderungen anzupassen“, sagt Javvad Malik, leitender Befürworter für Sicherheitsbewusstsein bei KnowBe4, gegenüber ISMS.online.

„Hersteller von intelligenten Geräten sollten eine ‚Secure by Design‘-Mentalität verfolgen, bei der Sicherheit bereits bei der Planung und Entwicklung in die Produkte integriert wird und niemals als nachträglich hinzugefügter Einfall erscheint.“

Daniel Schell, Mitbegründer und CTO von Airlock Digital, prognostiziert, dass die künftigen Standards, an die sich IoT-Hersteller halten müssen, sich wahrscheinlich an der europäischen Norm für Cybersicherheit für das Internet der Dinge für Verbraucher (ETSI EN 303 645) orientieren werden.

„Dazu gehören Kontrollen zum Verbot von Standardkennwörtern, zur Implementierung sicherer Updates, zum Schutz sensibler Daten, zur Gewährleistung sicherer Kommunikation und zur Minimierung von Angriffsflächen“, sagt er gegenüber ISMS.online. „Ähnliche Vorschriften in Australien wie das Regulatory Compliance Mark (RCM) für elektronische Geräte werden durch Direktverkäufe ins Ausland in Frage gestellt, insbesondere im Zeitalter von Temu und AliExpress.“

Kelvin Lim, Senior Director von Black Duck, fügt hinzu, dass australische Organisationen auch darauf vorbereitet sein sollten, obligatorische Protokolle zur Meldung von Vorfällen einzuführen „und eng mit dem Australian Cyber Security Centre zusammenzuarbeiten“.

Malik von KnowBe4 betont, wie wichtig eine kontinuierliche Überwachung und Berichterstattung ist.

„Machen Sie es sich zur Gewohnheit, regelmäßige Audits und Überprüfungen durchzuführen, um sicherzustellen, dass alle Sicherheitskontrollen dauerhaft wie geplant und beabsichtigt funktionieren“, argumentiert er. „Das dient nicht nur Ihrer eigenen Sicherheit, sondern kommt auch den Aufsichtsbehörden zugute, die Organisationen im Lichte der neuen Anforderungen genauer unter die Lupe nehmen werden.“

Best-Practice-Standards können hilfreich sein

Die gute Nachricht ist, dass Unternehmen durch die Einhaltung von Sicherheitsstandards und -rahmenwerken wie ISO 27001 eine solide Grundlage für die Einhaltung der kommenden Gesetzgebung schaffen können, unabhängig von ihrer endgültigen Form.

„Australische Unternehmen verlassen sich bei der Werbung und dem Verkauf ihrer Produkte und Dienstleistungen zunehmend auf digitale Systeme, was die Cybersicherheit für jedes Unternehmen unverzichtbar macht“, sagt Alex Nehmy, regionaler CTO von Phosphorus Cybersecurity für APJ, gegenüber ISMS.online. „Best-Practice-Cybersicherheitsstandards und -rahmen helfen australischen Unternehmen, ihre Cybersicherheitslage zu verbessern und die Wahrscheinlichkeit eines schwerwiegenden Vorfalls wie Ransomware zu verringern.“

Schell von Airlock Digital geht noch weiter.

„Standards wie ISO 27001 und NIST helfen Organisationen bei der Governance und dem Betrieb ihres Informationssicherheits-Managementsystems (ISMS)“, sagt er. „Ausgereifte Organisationen, die ein gesundes ISMS betreiben, verfügen über Richtlinien und Spielbücher zur Reaktion auf Vorfälle sowie unterstützende Register wie ihre gesetzlichen Anforderungen und können regulatorische Änderungen strukturiert in ihre aktuellen Prozesse integrieren.“

Dank Anbietern von Compliance-Software der nächsten Generation ist die Erfüllung der Anforderungen dieser Standards nicht mehr so zeit- und ressourcenintensiv wie früher. Indem sie international anerkannte Rahmenwerke befolgen, können australische Organisationen auch ihren Verpflichtungen in anderen Bereichen, wie der Einhaltung der DSGVO und verschiedener Branchenvorschriften, weitgehend nachkommen. In der Zwischenzeit werden viele den endgültigen Text des Cyber Security Act genau im Auge behalten.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster