Neues Gesetz soll Österreich gegen digitale Attacken schützen
Drohnen, Raketen, Bodentruppen. So stellt man sich klassisch den Angriff einer feindlichen Macht vor. Tatsächlich gibt es schon heute Attacken auf Österreich, die alle auf den ersten Blick nicht sichtbar sind. Denn sie finden im digitalen Raum statt. Unternehmen, Behörden, Bürgerinnen und Bürger sind rund um die Uhr der Gefahr aus dem Netz ausgesetzt. Jeder siebente Cyberangriff auf österreichische Unternehmen ist erfolgreich, zeigte eine Studie des Wirtschaftsberatungs-Unternehmen KPMG. Wenn diese Angriffe Bereiche der kritischen Infrastruktur treffen, sitzt plötzlich ein ganzes Land im Dunklen, sind Telefone tot oder es kommt kein Wasser mehr aus dem Hahn, weil Hacker die Versorgung lahmlegten.
Und das ist kein neues Phänomen: Schon 2007 attackierten russische Angreifer Estland: Webseiten der Regierung waren blockiert, Online-Banking funktionierte nicht und Firmen standen vor Herausforderungen. Und vor einem Jahr rollte wieder eine bisher noch nie dagewesene Angriffswelle über Estlands digitale Infrastrukturen. Vielleicht ist das der Grund, wieso Estland im Gegensatz zu einigen anderen Mitgliedsländern die neuen Cybersicherheitsrichtlinien der EU fristgerecht umsetzte.
Säumig geblieben ist unter anderem noch Österreich. Wobei die Regierung nun einen Entwurf für das sogenannte Netz-, und Informationssicherheitsgesetz (NISG) ins Parlament schickte, wo er theoretisch sogar noch im Dezember beschlossen werden könnte. Vor einem Jahr scheiterte die Umsetzung an der fehlenden Zweidrittel-Mehrheit.
Fachleute, Wirtschaft, Politik sind sich alle einig: Das NISG ist längst überfällig und essenziell für Österreichs Sicherheit im digitalen Raum. Denn es bringt einheitliche Vorgaben für Sicherheitsstandards bei Unternehmen, Behörden und für kritische Infrastrukturen. Zentraler Bestandteil des Vorhabens ist eine neue Cybersicherheitsbehörde. Nicht nur Österreich bekäme so zum ersten Mal einen Überblick über und einen Hebel gegen Bedrohungen im digitalen Raum, theoretisch können sich dazu alle Mitgliedstaaten austauschen und gemeinsam vorgehen.
Durch die neuen Richtlinien werden Unternehmen auch dazu gedrängt, ihre Lieferketten zu hinterfragen. Das betrifft zum Beispiel Cloudlösungen, Betriebe oder Behörden müssen nachweisen, dass ihr Anbieter alle Sicherheitsstandards erfüllt. Blindes Vertrauen in die eigenen Lieferanten beziehungsweise Provider kann sonst zu einem Einfallstor für Angriffe werden. Wie genau die Standards aussehen sollen, ist aber noch nicht fixiert.
Überblick über kritische Infrastrukturen
Im Juni 2020 versetzten Hacker A1 einen gehörigen Schock: Ein halbes Jahr lang hielten sie sich bereits in ihren Netzwerken auf, bevor sie auffielen. Ziel war vermutlich, sich in den internen Servern zu verankern – was normalerweise staatliche Akteure wie Geheimdienste machen. Wäre NISG schon umgesetzt gewesen, wäre das so nicht passiert, sagt das Unternehmen jetzt in einem Informationsvideo der Wirtschaftskammer zu den neuen Richtlinien. Denn die IT-Umgebung in den einzelnen Betrieben wird durch die neuen Maßnahmen gestärkt, und gleichzeitig die Cyberresilienz des ganzen Landes.
Bisher war ein fast zehn Jahre altes NISG in Kraft, die davon betroffenen Sektoren werden wesentlich ausgeweitet. Laut Wirtschaftskammer seien 4000 mittlere bis große Unternehmen in kritischen Sektoren betroffen. Bei der jetzigen NIS-Regelung sind es gerade einmal 100. Der Bereich der kritischen Infrastruktur ist nun EU-einheitlich definiert, weiter gefasst und von mehr Regelungen betroffen. Denn genau dort sind Lücken in der digitalen Sicherheit fatal, denn hier droht im Ernstfall, dass weder Wasser noch Strom fließen. Oder wie im Falle von A1: die Kommunikationskanäle darnieder liegen. Die EU verlangt von den Mitgliedsländern eine Liste der Betreiber wesentlicher Infrastrukturen zu erstellen und regelmäßig zu aktualisieren, um sicherzustellen, dass diese Einrichtungen die Anforderungen der Richtlinie erfüllen.
Cybersicherheitsbehörde mit Durchgriffsrecht
Herzstück, und auch Hauptkritikpunkt bisher, ist die Cyber-Sicherheitsbehörde. Die Idee ist: Bisher gibt es weder eine Stelle, die Informationen über Angriffe sammelt, noch eine Stelle, die Kompetenzen bündelt. Die Cybersicherheits-Behörde kann Audits anordnen, Vor-Ort-Inspektionen durchführen und bei sogenannten wesentlichen Einrichtungen sogar Überwachungsbeauftragte entsenden. Dort laufen die Fäden zusammen. Im ersten Entwurf war sie direkt am Innenministerium angesiedelt, jetzt ist sie eine nachgelagerte Stelle des BMI.
Das macht es nicht besser, meint Sebastian Kneidinger von der NGO epicenter works. Der Behörde fehle immer noch die nötige Unabhängigkeit, zum Beispiel würde sich Kneidinger wünschen, dass die Leitung nicht vom Innenministerium bestimmt wird. Denn die Nähe zur Exekutive lässt bei der Datenschutz-NGO die Alarmglocken schrillen. Durch mehr Überwachungskompetenzen im BMI entstehe die Möglichkeit des Missbrauchs von Cybersicherheits-Befugnissen für allgemeine sicherheitspolizeiliche Aufgaben. Insgesamt bestehe somit die Gefahr eines unverhältnismäßig breiten staatlichen Zugriffs auf sensible Daten.
Nicht einmal 40 Prozent der Unternehmen fühlen sich gut vorbereitet
Cybersicherheit wird zur Chefsache: Bei sogenannten wesentlichen Einrichtungen fällt sie jetzt in die Verantwortung der Unternehmensleitung und es braucht ein eigenes Team, das auf Vorfälle sofort reagiert. Sogenannte erhebliche Vorfälle müssen Einrichtungen mit dem neuen Gesetz sofort melden. Wenn aktuell ein großer Industriebetrieb angegriffen wird, kann es gut sein, dass davon nie jemand etwas mitbekommt. Das ändert sich mit den Meldepflichten. Für die erste Meldung gibt es ein Zeitfenster von 24 Stunden. Ganz schön viel Aufwand für die Unternehmen. Nur 34 Prozent aller Unternehmen seien laut einer KPMG-Umfrage bezogen auf technische Maßnahmen bereits weit fortgeschritten in der Vorbereitung. Bei organisatorischen Maßnahmen sind es 39 Prozent.
Anders als im ursprünglichen Entwurf, müssen Unternehmen sich nun selbst registrieren und einschätzen, unter welche Gruppierung sie in der neuen Regelung fallen. Die Wirtschaftskammer ist aber optimistisch. „Maßnahmen wie Backup-Management, Multifaktorauthentifizierung und Mitarbeiterschulungen sind zwar herausfordernd, angesichts der Bedrohungslage aber unerlässlich“, sagt Markus Roth, Obmann der Bundessparte Information und Consulting in der Wirtschaftskammer Österreich (WKÖ), nach Präsentation des Entwurfs.
Überrascht und enttäuscht über neuen Entwurf
Der neue Entwurf wurde jetzt mit so wenig Trubel ins Parlament geschickt, dass sogar Fachleute überrascht sind. Beim ersten Entwurf kam es noch zu heftigen Diskussionen. Ob es darum geht, noch schnell vor Strafzahlungen der EU das Gesetz umzusetzen, munkeln manche. Nicht nur überrascht, sondern auch verärgert ist die Datenschutz-NGO epicenter works. Denn: So viel hat sich seit dem ersten Entwurf gar nicht verändert. Und den hat sie als verpasste Chance und „Bauchklatscher“ausgiebig kritisiert.
SPÖ und Neos, die damals dagegen stimmten, sind jetzt mit an Bord und finden nur lobende Worte. SPÖ-Staatssekretär Jörg Leichtfried betont etwa den starken Fokus auf Datenschutz und die „unabhängige, entpolitisierte und dem Parlament rechenschaftspflichtige Behörde.“ Laut Douglas Hoyos, Sicherheitssprecher und Neos-Generalsekretär, sei es im Entwurf gelungen, keine unnötigen zusätzlichen Belastungen, sondern eine Hilfestellung für Unternehmen zu schaffen. Der Digitalisierungssprecher der Grünen Süleyman Zorba , die beim ersten Entwurf ja in der Regierung waren, wolle den neuen Entwurf noch prüfen. Kritik an der Ansiedelung der Behörde beim BMI versteht er, aber es sei eine Abwägungsfrage. Ob sie im Parlament mitstimmen, könne er noch nicht sagen.
Neun Monate nach der Kundmachung soll das neue NIS-2-Gesetz in Kraft treten. Jetzt muss das Gesetz aber erst einmal beschlossen werden. Sonst gibt es wirklich Strafzahlungen an die EU – und Österreich steht weiterhin unkoordiniert und unvorbereitet im Kampf gegen Cyberattacken dar. Bis das Licht ausgeht.
Aus der „Morgenpost“wird das „Frühstück“: Wir haben in den vergangenen Wochen an einem Relaunch unseres Morgen-Newsletters, der „Morgenpost“, getüftelt und sind voller Vorfreude, Ihnen ab morgen das neue „Frühstück“ zu präsentieren – das Morgenbriefing für Früh-Versteher mit noch mehr Information, überraschenden Fakten und Tipps für Ihren Feierabend. Sie bleiben auf dem Verteiler und wir freuen uns auf Ihr Feedback.
