RH knöpft sich die Cybersicherheit vor Im Verzug mit dem Frühwarn- und dem Analysesystem
Die Prüfer erinnern an die massive Cyberattacke aufs Außenamt. Dass seither die Hausaufgaben gemacht wurden, können sie nicht erkennen.
WIEN. Vor nicht ganz zweieinhalb Jahren – von Ende Dezember 2019 bis Anfang Februar 2020 – war die Republik der bisher massivsten Cyberattacke ausgesetzt. Ziel war das Außenministerium; und die ITExperten mehrerer Ministerien und externe Spezialisten hatten wochenlang alle Hände voll zu tun, um den Angriff abzuwehren und die ITSysteme des Außenamts robuster zu machen.
Nun erinnert der Rechnungshof (RH) an die schwerwiegende Attacke, die erstmals in Österreich als „Cyberkrise“eingestuft wurde. Der RH bescheinigt dem Bund zwar, die Krise „grundsätzlich gut“bewältigt zu haben. Die damals geäußerte Einschätzung von Außenminister Alexander Schallenberg (ÖVP), es habe sich gezeigt, „dass das Krisenmanagement hervorragend funktioniert“, teilen die Prüfer aber nicht. Im Gegenteil: Die Krise wäre schneller und besser zu managen gewesen, hätte der Bund seine Hausaufgaben in Sachen Cybersicherheit gemacht.
So habe es an „Krisen-, Kontinuitätsund Einsatzplänen“gefehlt, was umso schwerer wiegt, als in Österreich das Kanzleramt plus drei
Ministerien (Innen, Verteidigung, Außen) für die Koordinierung der Cybersicherheit zuständig sind. Zudem mussten damals blitzartig erst die passenden Räumlichkeiten und die notwendige Ausstattung (Hardware, Software) organisiert werden, damit die IT-Experten loslegen konnten. Eindringlich empfiehlt der RH der Regierung, ein permanent verfügbares Einsatzteam zu schaffen sowie ein Lagezentrum zur Bearbeitung von Notfällen.
Ein ressortübergreifendes Lagezentrum soll auch entstehen, eine Art Bunker unter dem Innenministerium, der 2024 fertig sein soll. Das jedenfalls sieht das Krisensicherheitsgesetz vor, das die Regierung – wohl auch im Gefolge des Cyberangriffs auf das Außenamt – im vergangenen Herbst ankündigte. Ziel des Gesetzes ist, die gesamtstaatliche Zusammenarbeit und die Abläufe in Krisenfällen aller Art zu verbessern, vom Blackout über hybride Bedrohungen und Naturkatastrophen bis zu Pandemien. Dann wurde es rasch sehr ruhig um das neue Gesetz, zuletzt hieß es, die Pläne müssten überarbeitet werden, um auch „sicherheitspolitische Entwicklungen“, wie sie nun im Zusammenhang mit dem Krieg in der Ukraine auftraten, stärker zu berücksichtigen.
Der Rechnungshof dagegen sieht die Regierung so oder so im Verzug. Er erinnert in seinem Bericht etwa an das Netz- und Informationssicherheitsgesetz (NISG), das seit rund zweieinhalb Jahren in Kraft ist. Es sieht u. a. vor, dass sämtliche meldepflichtigen Sicherheitsvorfälle – im Bank- und Gesundheitswesen, bei den Energie- und Trinkwasserversorgern, in der öffentlichen Verwaltung etc. – in einem Meldeanalysesystem zusammengeführt werden, um zu stets aktuellen Lagebildern zu kommen. Kritisch merkt der RH an, dass das Meldeanalysesystem bis heute nicht in Betrieb sei.
Außerdem vermisst der RH das im NISG vorgesehene Frühwarnsystem, das Risiken von Netz- und Informationssystemen erkennen kann, ehe etwas passiert – oder im Fall, dass etwas passiert, sofort Alarm gibt. Das Innenressort wäre ermächtigt, ein derartiges System zu betreiben. Allein: Im vergangenen Jahr sei es immer noch in einer „ersten Konzeptphase“gewesen.