Regierung rüstet für die Cyberkrise Experte im Kanzleramt: „Die Angriffe werden immer gefinkelter.“
WIEN. Für die Cybersicherheit der Republik sind in Österreich das Kanzleramt, das Innenministerium, das Außenamt und das Verteidigungsministerium zuständig. Dem Kanzleramt obliegt das Strategische, zugleich ist es Koordinierungsstelle und – bei Alarm in der Verwaltung – auch die Cyberfeuerwehr (GovCERT).
2020 sei ein „sehr herausforderndes Jahr“gewesen, sagt Clemens Möslinger, Abteilungsleiter für strategische Cybersicherheit im Kanzleramt. Es begann mit dem schweren Angriff aufs Außenministerium, dann kam mit Corona die Zeit des Homeoffice in weiten Teilen der Bundesverwaltung. „Die Angriffe werden deutlich mehr, sie werden immer gefinkelter und besser koordiniert“, sagt Möslinger.
Bei der Mehrheit der Attacken seien nicht staatliche Akteure (wie bei jener aufs Außenamt sofort vermutet) am Werk, wenn aber doch, „geht’s um Daten“(sprich: Ausspionieren). Häufig, so Möslinger, seien Attacken von Hackern, „die schauen, was geht. Denen ist es egal, ob es die OMV oder das Finanzministerium ist, die wollen Geld machen.“Die Schaltstellen der Republik – die 13 Ministerien, ihre Dienststellen,
Register und Serviceangebote (Zentrales Melderegister, ELGA, finanzonline etc.) – sieht der Experte „ganz gut aufgestellt. Perfekt und 100 Prozent gibt’s in der IT nie.“
Derzeit ist jedes Ressort selbst für seine IT und deren Cybersicherheit zuständig, gleichzeitig sind alle miteinander vernetzt. Ob da nicht ein System für alle klüger wäre? Möslinger: „Wir wollen es besser machen.“Das Außenamt, betont er, sei nach dem Angriff intensiv abgesichert worden. „Es hat viel Energie und Ressourcen in seine Netzwerke gesteckt, so etwas wie im Jänner 2020 sollte nicht mehr passieren.“
Das relativ junge gesetzliche Fundament in Sachen Cybersicherheit ist das Netz- und Informationssystemsicherheitsgesetz, kurz NIS. Es trat 2018 in Kraft. Seither sind in Betrieben der kritischen Infrastruktur
und von Betreibern „wesentlicher Dienste“verpflichtend Schutzvorkehrungen zu treffen; das Innenministerium muss alle drei Jahre kontrollieren. Das gilt u. a. für die großen Energieversorger, für Verkehrsbetriebe und für den Gesundheitssektor. Die Ministerien unterliegen prinzipiell dem NIS, die Bundesländer konnten es übernehmen.
Das Gesetz, direkte Ansprechpartner im Innenministerium (auch zur Beratung), das regelmäßige Teilen von Informationen/Warnungen und viele persönliche Gespräche hätten in Sachen Prävention einiges bewirkt, heißt es im Innenministerium. Mit einem Gesetz in der Hand sei es einfacher, Vorstände zu überzeugen, dass in die IT-Sicherheit investiert und das nötige Personal angestellt werden muss. „Dass die Einschläge immer näher kommen, sieht man ja“, sagt ein BMI-Experte und verweist auf das nationale Computernotfallteam (CERT.at), an das sich alle Unternehmen wenden können, die Ziel einer Attacke wurden. Nachsatz: „Wir werden professioneller, die Angreifer auch.“
Der Innenminister kann kraft des Gesetzes eine Cyberkrise ausrufen. Das dann, wenn sie „massive Auswirkungen auf die Daseinsvorsorge“hat. Auslöser der Krise muss keine Attacke sein; große Ausfälle können auch passieren, wenn sich in Netzwerken Fehler potenzieren.