A 1, ÖBB & Co.: Meldepflicht bei Hackerattacken
Cyberwar. Eine Arbeitsgruppe soll klären, bis wohin die Kompetenzen der Polizei reichen, und ab wann das Militär aktiv wird. Betreiber kritischer Infrastrukturen erhalten Zugang zum verschlüsselten Behördenfunk.
Wien. Österreichs Sicherheitsbehörden treffen Vorsorge für den Fall, wenn buchstäblich gar nichts mehr geht. Der Staat schätzt die Gefahr eines ganze Infrastrukturen außer Betrieb setzenden Cyberangriffs inzwischen offenbar als so groß ein, dass er wichtige Unternehmen an seinen eigenen Systemen teilhaben lässt.
ÖBB, Flughafen Wien, A1 Telekom und 128 weitere Betreiber bekommen ab sofort Zugang zum sogenannten Behördenfunk, dem digitalen und verschlüsselten Kommunikationssystem, mit dem inzwischen fast alle Bundesländer und Sicherheitsorganisationen verbunden sind. Dadurch will das Innenministerium eine krisenfeste und ausfallsichere Kommunikation auch im Fall eines ernsten Infrastrukturversagens (Stichwort: Blackout) sicherstellen.
Die Einbindung strategisch bedeutender Unternehmen in die Krisenvorsorge des Staates durch Teilnahme am Behördenfunk geschieht nicht zufällig. Sowohl der Verfassungsschutz im Innenminis- terium auf der einen, und die militärischen Nachrichtendienste auf der anderen Seite sehen insbesondere die mit dem Internet verbundenen Systembetreiber im Land einer immer größeren Bedrohung durch Angreifer ausgesetzt.
Polizei? Militär? Oder beide?
Das Spektrum reicht von Aktionen einfacher Krimineller bis hin zu staatsfeindlicher Sabotage, aktivistischen Hackern, Cyberterrorismus und letztendlich anderen Staaten, die im Internet im Schutz der Anonymität ihre Interessen verfolgen, sprich: einen Cyberkrieg führen.
Wer hierzulande welcher Gefahr wie begegnen soll, darüber wird derzeit hinter den Kulissen von Bundeskanzleramt, Verteidigungsministerium und Innenministerium diskutiert. Angriffe auf staatliche Einrichtungen sind nämlich fast nie eindeutig zuzuordnen.
Blockiert beispielsweise ein Hacker wichtige Internetverbindungen einer ganzen Region, dann könnte man argumentieren, dass es sich dabei um einen terroristischen Akt und damit einen Fall für den Verfassungsschutz handle. Gibt es jedoch Hinweise auf die Teilhabe eines ausländischen Geheimdienstes, könnte das auch als ein Angriff auf die Republik selbst gewertet werden, also als ein Fall für die Landesverteidigung und damit das Militär. Der Ermessensspielraum im Cyberraum ist groß.
Bereits im Herbst 2016 ließ das Bundesheer durchblicken, wie weit Landesverteidigung im eigenen Land interpretiert werden kann. „Österreich braucht dafür ein offensives Instrument“, sagte der Leiter des Abwehramts, Rudolf Strie- dinger, damals der „Presse“. Die Einheit, die die digitalen Angriffswaffen einsetzen soll, befindet sich im Aufbau und ist organisatorisch beim von Striedinger geführten Nachrichtendienst angesiedelt.
Meldepflichten für Angriffe
Wie das Ringen letztendlich ausgeht, das soll spätestens im heurigen Herbst entschieden sein. Bis dahin soll der Entwurf für das geplante Cybersicherheitsgesetz stehen und in Begutachtung gehen.
Neben den Kompetenzen von Polizei und Militär bei Angriffen im Cyberraum will Innenminister Wolfgang Sobotka darin auch Pflichten für Betreiber kritischer Infrastrukturen festschreiben. Dabei denkt der Ressortchef insbesondere an eine Meldepflicht für schwerwiegende Cyberattacken. So sollen entsprechende Informationen künftig unter kontrollierten Bedingungen anderen Infrastrukturbetreibern zur Verfügung stehen, damit sich diese bestmöglich auf ähnliche Angriffe auf die eigenen Systeme vorbereiten können. (awe)