IT mal neun: Jedes Land hat eigene IT-Infrastruktur
Das Innenministerium kann die Länder nur unterstützen, die Computersysteme unterscheiden sich in allen Bundesländern
IT-Sicherheitsexperten unterscheiden zwischen vier Arten von Hackern: Jugendliche „Script-Kiddies“, die erste Hackingversuche starten; „Hacktivists“, also meist politisch motivierte Hackergruppen; dann Hacker, die für kriminelle Organisationen Geld erpressen – dass sind meistens Angriffe ähnlich (wahrscheinlich) jenen Ransomware-Attacken wie in Kärnten; und zuletzt staatlich gesponserte Hacker, etwa (aber nicht nur) aus Russland oder China, die Volkswirtschaften schaden wollen.
Aber wie können sich der Staat und die Länder wehren? Grundsätzlich gibt es in Österreich das NIS-Gesetz, das Netz-Informationssicherheitsgesetz. Das verpflichtet alle Betreiber sicherheitsrelevanter Dienste und Einrichtungen des Bundes, gewisse Mindeststandards einzuführen. Die Betreiber müssen regelmäßig nachweisen, dass sie die vorbeugenden Sicherheitsmaßnahmen einhalten, und sie müssen den Nachweis erbringen, dass sie Angriffe erkennen können und wissen, was zu tun ist, dass Systeme nach Angriffen wieder laufen und den Betrieb sicherstellen. Das NIS betrifft auch Energieversorger, Trinkwasserversorger und Teile der kritischen Infrastruktur.
Aber: Die IT-Systeme der Länder sind völlig unterschiedlich, jedes Land hat – historisch gewachsen – seine eigene IT-Infrastruktur, so wie jedes Ministerium, auch hier gibt es keine zentrale Infrastruktur. Die Länder haben also eigenständig ihre IT-Systeme entwickelt.
Bund ist machtlos
Dazu kommt, dass sie nur hineinoptieren können: Die Länder können nur von sich aus eigene Landesgesetze erlassen, indem sie das NIS-Gesetz für „anwendbar“erklären. Das hat aber nach Auskunft des Innenministeriums noch kein Bundesland gemacht.
Es gibt also keine Möglichkeit des Bundes, in die ITInfrastruktur einzugreifen. Vorgesehen ist nur, dass die Länder freiwillig mitmachen können. Aus Brüssel soll aber noch in diesem Herbst ein neues NIS als EU-Vorgabe (NIS-2-Richtlinie) kommen, das die Länder in Zukunft teilweise doch verpflichten kann. Die Richtlinie muss innerhalb von 21 Monaten umgesetzt werden. Davon betroffen sein könnte dann auch die öffentliche Verwaltung bis hin zur Länderebene und deren IT-Infrastruktur.
Aber sind neun eigens entwickelte IT-Systeme nicht sehr teuer und letztlich ineffizient? Dazu heißt es aus dem Innenministerium nur: „Wichtig ist, dass die Systeme funktionieren, und das müssen die Länder für sich regeln.“