CERT.at-Teamleiter Otmar Lendl.© fez CERT.at-Teamleiter Otmar Lendl.© fez

Keine E-Mail im Posteingang, alle virtuellen Schalter des E-Government geschlossen, womöglich sogar ein künstlich herbeigeführter, landesweiter Stromausfall. Es fällt nicht schwer, sich das Desaster vorzustellen, sollte es Angreifern mit Hilfe maliziöser Software gelingen, die kritische IT-Infrastruktur Österreichs lahmzulegen. Von so einer massiven, umfassenden Attacke ist Österreich allerdings bisher verschont geblieben.

Rundruf im Notfall
Was passiert aber, wenn etwa eine Denial-of-Service-Attacke eine Ministeriums-Homepage trifft? Im Störfall wird der "Austrian Trust Circle" alarmiert, ein Verbund von Experten, die an den Schaltstellen der wichtigsten Netzwerke sitzen. Im Zentrum der Krisen-Kommunikation steht CERT.at, gewissermaßen eine Art nationale IT-Feuerwehrzentrale. Zusammen mit den auf die Verwaltung spezialisierten GovCERT erkunden die Hüter der IT-Infrastruktur schon im Vorfeld das weltweite maliziöse Hintergrundrauschen und tauschen sich mit Sicherheitsexperten im In- und Ausland aus.

Auch für konkrete Notfallmaßnahmen ist das fünfköpfige CERT-Team mit Sitz in Wien zuständig. Otmar Lendl, Teamleiter von CERT.at: "Wir versuchen den Schaden zu begrenzen, den Tatort zu sichern und bereits im Vorfeld Schadensvermeidung durch Aufklärung zu betreiben." Das System hat bisher nicht schlecht funktioniert, doch jetzt wird es Zeit für ein Upgrade: "Es würde uns helfen, wenn die Verantwortung klar geregelt ist", sagt Lendl.

Auch Roland Ledinger, im Bundeskanzleramt (BKA) zuständig für die staatliche Koordination aller IT-Sicherheitsmaßnahmen, möchte den Schutz von Österreichs kritischer IT-Infrastruktur möglichst schnell auf einen neuen Level heben: "Wir sind derzeit nicht schutzlos, aber es gibt Verbesserungsbedarf." Schon im letzten Jahr hat das Innenministerium gemeinsam mit dem "Kuratorium Sicheres Österreich" eine Gefahrenanalyse präsentiert und damit begonnen, Cyberpolizisten auszubilden. Im April soll nun eine gesamtösterreichische "Cybersecurity"-Strategie auf den Tisch kommen, eine Art Generalplan zum Schutz der kritischen Infrastruktur. Dafür hat das Bundeskanzleramt gemeinsam mit dem Innen- und dem Landesverteidigungsministerium 150 Experten in fünf Arbeitsgruppen zusammengefasst, die vom Kraftwerk bis zum Handynetz die Schutzerfordernisse für alle relevanten Bereiche auflisten und organisatorische und legistische Maßnahmen empfehlen sollen.

Zu wenig, zu langsam
Manche IT-Experten beklagen, dass bereits zu viel Zeit verloren wurde. Robert Kolmhofer, der an der oberösterreichischen Fachhochschule in Hagenberg im Lehrgang "Sichere Informationssysteme" akademisch zertifizierte Sicherheitsexperten für den IT-Bereich ausbildet: "In Deutschland hat man schon vor vielen Jahren das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtet. Dort sind 500 Leute zentral für die Cybersicherheit in ganz Deutschland zuständig." So eine Institution, sagt der Sicherheitsexperte, würde auch in Österreich gebraucht. Föderalismus in Sicherheitsfragen gut und schön, meint Kolmhofer, aber es führe letztlich wieder dazu, dass "keiner zuständig ist und alle Geld wollen".

Auch Ledinger räumt ein, dass sich die Dinge bisher zu langsam entwickelt hätten. Ob ein zentrales Amt für IT-Sicherheitsfragen eine gute Lösung für Österreich wäre, hält er für eine offene Frage: "Auch das BSI vermag bei aller Expertise nicht ganz Deutschland allein zu beschützen." Eine Kleinausgabe des deutschen Amtes hält Ledinger "aus heutiger Sicht" für nicht schlagkräftig genug und verweist auf die kommende Cyber-Strategie: "Wir wollen nicht nur ein Papier produzieren, das nett zu lesen ist." Alle "Stakeholder" müssten einen virtuellen Verbund bilden, Firmen und Institutionen die Sicherheitsvorgaben auch "leben" - und mitfinanzieren. Der Staat könne die Kosten für die erforderlichen Sicherheitsmaßnahmen nicht alleine tragen.