Internet Exchanges sind zentrale Knotenpunkte, an denen Netzbetreiber, Provider, Unternehmen und Organisationen Daten direkt und effizient austauschen können. Mit steigendem Datenverkehr und zunehmend latenzsensiblen Anwendungen rücken regionale Internet Exchanges (auch Internet Exchange Points, kurz IXPs) immer mehr in den Fokus moderner Netzarchitekturen. Mit dem Salzburger Internet Exchange (SAIX) hat sich mittlerweile seit 10 Jahren eine Datendrehscheibe für Unternehmen aus Salzburg sowie dem angrenzenden Bayern und Oberösterreich etabliert.

Der SAIX wurde 2015 als Non-Profit-Projekt vom Rechenzentrumsbetreiber conova ins Leben gerufen. Die Idee: ein regionaler Internetknotenpunkt, der Daten möglichst direkt von A nach B bringt – schnell, sicher und ohne unnötige Umwege. Gleichzeitig sollte die Salzburger IT-Szene damit eine Chance erhalten, um auch international konkurrenzfähig zu sein.

Mittlerweile wird der SAIX georedundant in mehreren Verfügbarkeitszonen in den conova Rechenzentren, bei der Türk Telekom International und Peter Rauter GmbH betrieben und ermöglicht dadurch einen stabilen und zuverlässigen Datenaustausch für die 32 Mitglieder, die aktuell am SAIX angeschlossen sind.

Anders als bei der klassischen Nutzung von globalen Internet-Transitanbietern werden Datenpakete hier lokal ausgetauscht, was die Verbindungsgeschwindigkeit erhöht und gleichzeitig Kosten und Sicherheitsrisiken reduziert. Da der SAIX als Peering Point konzipiert ist, fallen zudem für die Daten, die über den SAIX ausgetauscht werden, keine Kosten an.

Regelmäßige Wartungen der Systeme sind in der IT unumgänglich, um die Sicherheit, den Support und einen reibungslosen Betrieb langfristig gewährleisten zu können. Anlässlich des 10-jährigen-Bestehens wurde die darunterliegende Infrastruktur des SAIX nun ganzheitlich erneuert und die Management Plattform einem Facelift unterzogen. Der SAIX wurde technisch gesehen auf neue Beine gestellt.

Für die angeschlossenen Mitglieder geschah dieser Refresh unterbrechungsfrei im Hintergrund. Für den Betreiber conova hingegen unterstreichen regelmäßige Wartungen und Weiterentwicklungen den hohen Sicherheitsgedanken und das Bestreben IT-Infrastruktur am Puls der Zeit anzubieten. Die beiden Route Server werden monatlich gepatcht. Durch den redundanten Betrieb erfolgen die Wartungsarbeiten unterbrechungsfrei für die Mitglieder, sofern Verbindungen zu beiden Route Servern bestehen.

Regionale Internet Exchanges sind weit mehr als reine Austauschpunkte für Datenverkehr. Sie sind ein essenzieller Bestandteil moderner, leistungsfähiger und zukunftssicherer Netzinfrastrukturen – mit messbaren Vorteilen in Bezug auf Latenz, Performance, Kosten und Datensouveränität.

Der Europäische Datenschutztag am 28. Jänner erinnert jedes Jahr daran, wie wertvoll personenbezogene und unternehmenskritische Daten sind. Während häufig über rechtliche Vorgaben und Softwarelösungen gesprochen wird, beginnt echter Datenschutz aber bereits im Rechenzentrum. Als IT-Dienstleister mit eigenen Rechenzentren in Österreich tragen wir Verantwortung – nicht nur auf dem Papier, sondern im täglichen Betrieb. Ein Blick hinter die Kulissen zeigt, wie Datenschutz bei uns konkret umgesetzt wird.

Mit einer Speicherung Ihrer Daten in den conova Rechenzentren werden die Daten ausschließlich in Österreich verarbeitet und gesichert. Damit bleibt die Datenhoheit zu jeder Zeit gewahrt. Durch das Zusammenspiel von Organisation, Technik und Mensch verfolgen wir einen ganzheitlichen Ansatz im Datenschutz.

Bevor Daten digital geschützt werden können, müssen sie physisch sicher sein. Unsere conova Rechenzentren sind nach der Europäischen Norm für den Betrieb und Bau von Rechenzentren EN 50600 errichtet und konzipiert, sodass Unbefugte keinen Zutritt erhalten. Das gesamte Areal ist in vier Sicherheitszonen eingeteilt und alle Zugriffe werden lückenlos protokolliert. Mit zunehmender Sicherheitsstufe erhöhen sich auch die auflagen für die Zutrittsberechtigten.

Der Zutritt zu unseren Datacentern ist durch ein mehrstufiges Zutrittskonzept mit personalisiertem Token, Zwei-Faktor-Authentifizierung und am Standort Hallein zusätzlich mit einer Vereinzelungsanlage geregelt. Eine vollflächige Videoüberwachung der Innen- und Außenbereiche bietet zusätzlichen Schutz.

Auch Aspekte wie redundante Stromversorgung, Brandschutz- und Klimasysteme sind Teil dieses Sicherheitskonzepts. Sie stellen sicher, dass Daten nicht nur vor Zugriffen, sondern auch vor Ausfällen oder physischen Schäden geschützt sind.

Neben der physischen Sicherheit ist eine moderne IT-Sicherheit ebenfalls Voraussetzung für Datenschutz. Durch die Verteilung der IT-Systeme auf mehrere Standorte erreichen wir höchste Verfügbarkeit und setzen georedundante Konzepte mit geringer Latenz um.

Mandantentrennung und Netzwerksegmentierung zählen ebenso zur Basis wie eine Verschlüsselung der Daten. Durch ein Monitoring aller Systeme können wir bereits frühzeitig Abweichungen feststellen und sofort aktiv werden, noch bevor ein Schaden entsteht. Umfassende Backup- und Recovery-Konzepte unterstützen unseren hohen Sicherheitsgedanken und sind eine wichtige Maßnahme für den Datenschutz.

conova ist bereits seit 2013 nach der führenden Richtlinie für Informationssicherheit ISO 27001 zertifiziert. Informationssicherheit und Datenschutz gehen heutzutage Hand in Hand. Die ISO 27001 liefert dabei den organisatorischen und technischen Rahmen, um die Anforderungen der DSGVO wirksam umzusetzen.

Klare Rollen- und Rechtekonzepte sorgen dafür, dass der Zugriff auf Daten nach dem „Need-to-know“-Prinzip geregelt ist. Datenschutz wird jedoch von Menschen gelebt. Awareness spielt dabei eine zentrale Rolle. In regelmäßigen Schulungen werden unsere Mitarbeiter im Bereich Informationssicherheit geschult und durch interne Trainings gezielt auf Themen wie Phishing, Social Engineering und Cybersicherheit sensibilisiert.

Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. In regelmäßigen internen und externen Audits überprüfen wir unsere Prozesse und technischen Maßnahmen. Wir entwickeln uns laufend weiter und passen unsere Organisation an neue gesetzliche Anforderungen an. So bleibt Datenschutz wirksam, auch in einer sich ständig verändernden IT-Landschaft.

HINWEIS: Bei diesem Artikel handelt es sich um eine Überarbeitung des TechInfo-Artikels „EU-Cybersicherheits-Richtlinie NIS2 bringt Chancen für Unternehmen“ vom 25. September 2024.

Auf den zweiten Anlauf hat es geklappt: Die NIS2 Richtlinie wird mit dem Netz- und Informationssystemsicherheitsgesetz (NISG 2026) in Nationales Recht übergeführt und somit der Grundstein für ein EU-weit hohes Cybersicherheitsniveau gelegt. Mit dem Inkrafttreten am 1. Oktober 2026 gelten verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Damit fällt auch der Startschuss für die Umsetzung der erforderlichen Maßnahmen für die betroffenen „Wichtigen Einrichtungen“ und „Wesentlichen Einrichtungen“, zu denen auch Betriebe der digitalen Infrastruktur zählen. Doch was verbirgt sich hinter der neuen EU-Richtlinie, welche To Dos ergeben sich für Unternehmen und vor allem: welche Vorteile bringt NIS2?

Die NIS2 Richtlinie verfolgt das Ziel, ein gemeinsames hohes Niveau der Cybersicherheit von Netz- und Informationssystemen in der EU zu schaffen. Wie die Richtlinie national umgesetzt werden wird, regelt das nationale Recht, konkret das NISG 2026. Die neue Richtlinie ersetzt den Vorgänger NIS1 und sorgt für eine Modernisierung des Rechtsrahmens, die vor allem durch zunehmende Digitalisierung und eine veränderte Bedrohungslandschaft erforderlich ist. Sie zielt darauf ab, die Cybersicherheit zu stärken, legt Sicherheitsstandards für Netz- und Informationssysteme fest und regelt den Umgang im Falle von Sicherheitsvorfällen. Kurz gesagt: Es geht um Risikomanagementmaßnahmen, Meldepflichten und eine Verantwortlichkeit des Top-Managements.

Cyberkriminalität nimmt immer weiter zu und hat sich mittlerweile als eigenes „Geschäftsmodell“ etabliert. Jedes Unternehmen ist ein potenzielles Ziel. Umfassende IT-Sicherheit ist der Schlüssel zum Erfolg und gleichzeitig ein laufender Prozess, denn die Dimensionen und Facetten der Angriffe ändern sich laufend. Waren es in den letzten Jahren vorwiegend Phishing- und Ransomware-Attacken, nehmen aktuell komplexer werdende Angriffe zu – nicht zuletzt auch durch den verstärkten Einsatz von KI (Künstliche Intelligenz).

Immer mehr in den Fokus rückt dabei das große Thema Identität. Gerade Deepfakes und Insider Threats sind laut einer aktuellen Studie von KPMG auf dem Vormarsch. Und auch Angriffe auf die Lieferkette – Supply Chain – sind weiter im Kommen. Dadurch wird das Unternehmen sozusagen über die Hintertüre angegriffen. Die Angriffe werden immer zielgerichteter, professioneller und authentischer gestaltet. Das führt auch zu einer Steigerung der Erfolgsquote von Cyberangriffen.

zurück

Quelle: Cybersecurity in Österreich 2025

In den letzten zwölf Monaten war jeder sechste Angriff gegen ein Unternehmen erfolgreich. In der Vorjahresstudie war es „nur“ jeder Zehnte. Zudem sind mehr als die Hälfte aller Befragten der Meinung, dass Österreich
auf schwerwiegende Cyberangriffe gegen die kritische Infrastruktur nicht gut vorbereitet ist. Es besteht also dringend Handlungsbedarf, um die Cybersicherheit in Österreich zu erhöhen. Und genau hier setzt auch NIS2 an.

zurück

Unternehmen werden nach der Größe (Beschäftigte, Jahresumsatz, Jahresbilanzsumme) und nach Sektor den Kategorien „Wesentliche Einrichtungen“ und „Wichtige Einrichtungen“ zugeordnet. In Österreich sind rund 4.000 Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten Sektoren betroffen. Ebenfalls zur Umsetzung verpflichtet werden deren Dienstleister und Lieferanten – somit die Lieferkette – und dadurch steigt die Zahl auf 15.000 Betriebe in Österreich. Ob man als Unternehmen betroffen ist, lässt sich einfach mit dem Ratgeber der WKO überprüfen.

zurück

Gleich vorweg: Die EU-Cybersicherheits-Richtlinie NIS2 ist ähnlich wie z B. die Informationssicherheitsnorm ISO 27001 offen formuliert und somit fehlt eine klassische Checkliste bzw. To Do Liste seitens der Gesetzgeber. Das bringt jedoch auch den notwendigen Spielraum für das einzelne Unternehmen individuell zu gestalten. Mit einer einmaligen Aktion ist es jedoch nicht getan, denn ähnlich wie beim Datenschutz ist auch der Umgang mit Informationssicherheit ein Prozess, der laufend überprüft und angepasst werden muss.

Betroffene Einrichtungen müssen sich nach dem Inkrafttreten des nationalen Gesetzes binnen drei Monaten registrieren, Risikomanagementmaßnahmen treffen und im Falle eines Vorfalls eine Meldepflicht erfüllen.

Betroffene Einrichtungen müssen sich mit Inkrafttreten des nationalen Gesetztes (per 01.10.2026) binnen drei Monaten, d.h. bis spätestens 31.12.2026 registrieren, Risikomanagementmaßnahmen treffen und im Falle eines Vorfalls eine Meldepflicht erfüllen.

10 Risikomanagementmaßnahmen-Bereiche, die zu erfüllen sind:

• Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Business Continuity und Krisenmanagement: Aufrechterhaltung des Betriebs wie Backup-Management und Wiederherstellung nach einem Notfall
• Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementsystemen im Bereich der Cybersicherheit
• Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
• Konzepte und Verfahren für den Einsatz von Kryptografie
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Quelle: Cybersicherheits-Richtlinie NIS2 und NISG 2026 – WKO

zurück

Um sich als Unternehmen gut in einer vernetzten und komplexen digitalen Welt schützen zu können, wird von NIS2 ein umfassendes Konzept gefordert, in dem der Faktor Mensch als auch technologische Standards gleichermaßen berücksichtigt werden.

Cyberangriffe zielen darauf ab, technische oder menschliche Schwachstellen auszunutzen. Um die IT-Systeme zu schützen, ist der Einsatz von komplexen Firewall-Systemen, die das gesamte Netzwerk gegen unautorisierte Zugriffe absichern, bereits Usus. Gut beraten ist man darüber hinaus mit Intrusion Detection und Prevention Systemen, die Angriffe in Echtzeit erkennen und abwehren und die Bedrohungen somit schon abfangen, bevor sie die Infrastruktur treffen – beispielsweise ein umfassender DDoS-Schutz.

Regelmäßige Schwachstellen-Scans (Vulnerability Scans) helfen dabei, potenziell ausnutzbare Schwachstellen innerhalb einer Anwendung zu identifizieren und vorab zu beheben. Mit einem umfassenden Patch-Management werden mithilfe von Updates direkt vom Hersteller Sicherheitslücken geschlossen. Sinnvoll sind ebenfalls eine verschlüsselte Datenübertragung sowie ein ausgefeiltes Backup-Konzept, welches Daten auch räumlich getrennt sichert. Last but not least der Einsatz von Mail Security Services, die Ransomware und weitere Cyberangriffe abwehren sollen sowie regelmäßige Security Awareness Trainings für Mitarbeiter:innen.

Um eine nachhaltige Sicherheitskultur in Unternehmen zu etablieren, bedarf es unter anderem gezielter Schulungen und Sensibilisierungen der Mitarbeiter:innen. Mit Security Awareness Trainings, die TopAwareness bietet, werden Beschäftigte gezielt auf das Erkennen von Angriffen wie Phishing-Versuche, Social Engineerings oder anderen IT-Bedrohungen geschult. Denn fehlendes Verständnis für diese Gefahren kann zu immensen Schäden im Unternehmen führen. Der Security Awareness Service simuliert vollautomatisch realistische Angriffsszenarien mit unterschiedlichsten Schwierigkeitsleveln, die auf die:den jeweilige:n Mitarbeiter:in zugeschnitten werden. Das Besondere daran: Es handelt sich hier nicht um eine eintägige Schulung, sondern die Trainings werden kontinuierlich in den Arbeitsalltag integriert und erhöhen dadurch das Bewusstsein im Umgang mit Cyberrisiken.

zurück

Bei einer DDoS Attacke wird ein Zielsystem über das Internet mit einer Datenflut angegriffen, die zu einer verzögerten Datenauslieferung oder Timeouts von Servern führen kann. Wird dieser Angriff nicht rechtzeitig bemerkt, kann das gesamte Netzwerk ausfallen. Mit entsprechenden DDoS Protection Lösungen wie TopDefense® können volumenbasierte Attacken vorzeitig erkannt und somit die Verfügbarkeit von Kundensystemen erhöht werden.

Mit der Software werden Abweichungen vom normalen Traffic erkannt, analysiert und im Bedarfsfall automatisch bekämpft. Das geschieht bereits, bevor der erhöhte Traffic auf die Kundeninfrastruktur trifft. Professionelle Protection Lösungen wie TopDefense® bieten Usern die Möglichkeit, die Funktionsweise mithilfe von individuellen Filterprofilen an die speziellen Bedürfnisse des Unternehmens anzupassen.

zurück

In den NIS2 Richtlinien werden Maßnahmen gefordert, die im Ernstfall einen möglichst reibungslosen Geschäftsbetrieb sicherstellen. Ein Backup der Unternehmensdaten ist in der heutigen Zeit ein absolutes Muss. Ein Backup ist allerdings viel mehr als nur eine Kopie der Daten, es ist eine durchdachte Strategie. In der Realität fehlt oftmals der zusätzliche Standort, der in einem Ernstfall das Backup an einer weiteren Co-Location, beispielsweise ein externes Rechenzentrum, sichert.

conova als Rechenzentrumsbetreiber und IT-Dienstleister setzt auf die 3-2-1-Backup-Strategie: 3 Datenkopien auf 2 Medientypen an 1nem Remote Standort. Mit den umfassenden Backup-Lösungen wie TopBackup for Microsoft Azure oder TopBackup for Microsoft 365  ist es zudem möglich, die Daten aus der Cloud ebenfalls in einem österreichischen Data Center zu sichern.

zurück

Auch wenn die NIS2 Richtlinie einiges an Arbeit für die Unternehmen bedeutet, bringt sie auch Vorteile. Durch die gezielte Auseinandersetzung im Zuge des Risikomanagements wird insbesondere der Schutz vor Cyberbedrohungen erhöht. Durch die regelmäßige Risikobewertung werden Schwachstellen frühzeitig identifiziert und können dadurch rasch behoben werden. Insgesamt zielt NIS2 darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu schaffen, was letztlich allen beteiligten Unternehmen zugutekommt.

zurück

Als Teil eines umfassenden Risikomanagements müssen Unternehmen auch in puncto Supply Chain Management Risiken identifizieren. Dazu gehören die Überprüfung der Sicherheitspraktiken von Zulieferern und Dienstleistern und eine Bewertung hinsichtlich ihrer Compliance mit den Sicherheitsanforderungen. Zertifizierungen wie ISO 27001 oder das Cyber Trust Austria® Label bieten in der Fülle an Angeboten Orientierung.

Die ISO 27001 ist eine international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS), die darauf abzielt, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Auch wenn NIS2 unterschiedliche Schwerpunkte in der Informationssicherheit setzt, kann eine ISO 27001 Zertifizierung als solide Grundlage dienen.

zurück

Das Cyber Trust Austria® Label tragen Organisationen, die essenzielle Mindestsicherheitsmaßnahmen für Cybersicherheit umgesetzt haben. Das Gütesiegel dient als Qualitätsmerkmal und ist ein Nachweis von Vertrauenswürdigkeit gegenüber Kunden. conova besitzt das Cyber Trust Austria Label in SILBER.