Unsicherheitsstandards

Eine erstmals erstellte "Cyber-Risikomatrix“ für Österreich gewichtet Gefahren aus dem Internet. Offensive Gegenstrategien sind kaum möglich.

Experten der Nachrichtendienste befassen sich seit Langem mit dem Thema, die EU und die NATO konzentrieren sich zunehmend darauf, seit etwa eineinhalb Jahren wird die Dringlichkeit des weltweit heraufziehenden Problems auch von den österreichischen Regierungsstellen ernst genommen. Die Zahlen sprechen für sich: Internetkriminalität verursacht jährliche Schäden von weit mehr als 100 Milliarden Dollar. 70 Prozent aller erwachsenen Internetnutzer sind mindestens einmal Opfer von Internetkriminellen geworden. Mindestens 20 Prozent der IT-Budgets größerer Unternehmen wurden bereits für Cyber-Sicherheit aufgewendet. Tendenz in allen Bereichen: stark steigend. Das "Kuratorium sicheres Österreich“ (KSÖ), eine Organisation des Innenministeriums, listet diese Zahlen auf und hat eine internationale Runde von Sicherheitsexperten beauftragt, eine "Cyber-Risikomatrix“ zu erstellen, welche die einzelnen Gefahrenquellen nach Eintrittswahrscheinlichkeit und Stärke der drohenden Auswirkungen gewichtet (siehe Grafik) . "Sehr hohe Eintrittswahrscheinlichkeit“ mit "katastrophalen Auswirkungen“ gilt etwa für Cyber-Spionage oder nicht erkannte Anomalien in der Informations- und Kommunikationstechnologie (IKT).

Die Matrix soll diesen Montag öffentlich präsentiert werden und als Grundlage für die Entwicklung von Gegenstrategien dienen. Erwin Hameseder, Generaldirektor der Raiffeisenholding für Niederösterreich und Wien, ist auch Vorsitzender des KSÖ: "Wir agieren als Mediator zwischen Politik, Wirtschaft, Wissenschaft, Medien und der Bevölkerung. Die Schadenszahlen im Cyber-Bereich sind überwältigend. Unser zentrales Anliegen ist die Bewusstseinsbildung und die Schaffung von Rahmenbedingungen für notwendige Gesetze.“

Die Qualität von Software-Produkten sei einer der wichtigen Punkte, die gesetzlich geregelt werden müssten, meint auch der Wiener Cyber-Sicherheitsexperte Markus Robin: "Nach unseren eigenen Erfahrungen sind 50 Prozent der am Markt angebotenen Software-Produkte toxisch, weisen also dramatische Qualitätsmängel auf. Vor der Zulassung zum Markt sollten ‚Crashtests‘ vorgeschrieben werden.“ Robin meint, dass für Cyber-Sicherheit bisher zu wenig getan worden sei, und geht davon aus, dass erst das Eintreten großer Schadensfälle das nötige Umdenken bewirken werde. Robin: "Man muss damit rechnen, dass alles eintreten wird, was technisch möglich ist.“

Ähnlich sieht das auch Alfons A. (Name geändert, Red.), hoher Mitarbeiter eines der österreichischen Geheimdienste: "Wir müssen uns so aufstellen, als ob jeder überall etwas planen könnte.“ Das Problem der Bekämpfung von Cyber-Kriminalität sei überaus komplex, denn die Anonymität, die das Internet biete, sei auch sehr "täterfreundlich“: Man kenne die Täter und deren Interessen nicht. Man wisse nichts über deren Pläne: "Angriffe erfolgen mit extremer Geschwindigkeit und ohne Vorwarnzeit. Man wird ganz plötzlich zum Opfer.“ Gegenschläge seien in Unkenntnis des Gegners praktisch unmöglich. Daher müsse man sich auf präventive Absicherung konzentrieren: "Wer nicht technisch abgesichert ist, ist ein Opfer.“ Über potenzielle Täter sei so wenig bekannt, dass die tatsächliche Bedrohungslage kaum einschätzbar sei. Dennoch müsse man nach allen Regeln der Logik davon ausgehen, "dass die Bedrohung hoch ist und weiter steigt“. Eine Methode zum "Erkennen vor Schadenseintritt“, also das Aufdecken von Tatplanungen im Vorfeld der Durchführung, sei bisher noch nicht gefunden worden.

Die derzeit einzig sinnvolle Gegenstrategie komme einer defensiven Verbarrikadierung gleich: "Erstens dürfen computerbetriebene Steuerungsanlagen von außen einfach nicht erreichbar sein. Und zweitens muss es innere Absicherungen durch Ersatzsysteme geben.“

Österreichische Banken und manche andere große Unternehmen hätten in diesem Bereich schon viel getan, auch innerhalb der Sicherheitsbehörde gebe es Anstrengungen und Investitionen. Immer mehr internationale Plattformen würden entstehen, denn der "Cyberspace ist, anders als der physische Raum, grenzenlos“. Nicht nur Unternehmen müssten weiter sensibilisiert werden, sondern auch der private Bereich: "Cyber-Security sollte an Pflichtschulen unterrichtet werden. Heute machen das nur vereinzelte, motivierte Lehrer“, so Alfons A.

Und ein neuer Beruf scheint im Entstehen zu sein: An zahlreichen amerikanischen Universitäten gibt es bereits Ausbildungen zum "Cyber-Warrior“. Das sind Abwehrexperten, die digitale Eindringlinge bekämpfen sollen. Die Spanne reicht vom schlichten Datendiebstahl bis hin zu Manipulationen der Flugsicherung oder der öffentlichen Wasserversorgung. Die Nachfrage auf dem US-Arbeitsmarkt nach solchen Sicherheitsexperten soll extrem hoch sein. Schon 2009 hatte US-Präsident Barack Obama erklärt, dass "der wirtschaftliche Wohlstand Amerikas im 21. Jahrhundert von der IT-Sicherheit abhängen“ werde.

Alfons A. sieht Ähnliches auch auf Europa zukommen: "Wir werden viele derartige Abwehrexperten brauchen. Es gibt eine große Nachfrage.“ Ein weiteres Problem sei die Kompetenzfrage: "Cyber-Security reicht von Mobbing über Betrug bis hin zu Spionage und Krieg. Das sind ressortübergreifende Inhalte, für die in der Zukunft wohl eine gesamtstaatliche Organisation notwendig sein wird.“ Dass sich Spionage allgemein zum guten Teil längst in das Internet verlegt habe, sei evident: "Alles wird ausspioniert. Und Spionage im Netz, also aus der Entfernung und ohne Gefahr, ist klarerweise beliebter und einfacher, als jemanden hinzuschicken.“ Ebenfalls evident sei, dass groß angelegte, multiple Cyber-Attacken Teil militärischer Konzepte seien. Alfons A.: "Den reinen Cyber-Krieg wird es nicht geben. Kein Land wird sagen, jetzt ziehen wir gegen unseren verfeindeten Nachbarn in den Cyber-War. Aber als Teil in einem herkömmlichen Krieg ist das selbstverständlich.“

In Österreich sei man im internationalen Vergleich "relativ spät draufgekommen, dass das ein wichtiger Sicherheitsbereich ist. Dafür scheinen wir nun relativ rasch aufzuholen.“