Zum Hauptinhalt springen

Die kritische Suche nach Cyber-Sicherheit

Von Stefan Meisterle

Politik

Staatliche Sicherheitskonzepte sollen unter einen Hut gebracht werden.


Hinweis: Der Inhalt dieser Seite wurde vor 11 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Kriege werden heutzutage nicht mehr nur mit schwerem Gerät im Feld geführt . . .

Wien. Oktober 2010: Vermutlich von China aus wird ein gezielter Hacker-Angriff auf Österreichs Außenministerium gestartet. Die Firewall wird durchbrochen, der Verlust von Daten steht zu befürchten. April 2011: Ein Angestellter des Klagenfurter Windradbauers Windtec verschafft sich Zugang zu firmeninternen Daten und Codes und verkauft diese an eine chinesische Konkurrenzfirma. Der Windtec-Eigentümer verliert wertvolle Unternehmensgeheimnisse und spricht später von einem Schaden von 250 Millionen Dollar. Juli 2011: Aktivisten der Hackergruppe Anonymous knacken die Sicherheitssysteme von SPÖ und FPÖ und kapern die Webseiten der beiden Parteien. Benutzernamen und verschlüsselte Passwörter gelangen an die Öffentlichkeit, die SPÖ muss Teile der Homepage neu programmieren. Es sind Beispiele wie diese, die die Verletzlichkeit heimischer Einrichtungen, Organisationen und Unternehmen durch Datenlecks demonstrieren. Eine Verletzlichkeit, die inzwischen Wirtschaft, Verwaltung und Politik auf den Plan gerufen hat: Gemeinsame Sicherheitsvorkehrungen sollen Österreich vor den Gefahren aus der Cyber-Unterwelt schützen. An den einzelnen Programmen von Ministerien und Verwaltung wird seit geraumer Zeit gearbeitet – doch die Zusammenführung der Bemühungen gestaltet sich schwierig.

Experten sind sich einig: Attacken aus dem Internet werden auch in Österreich zu einer immer ernster zu nehmenden Bedrohung. Die Zeiten, in denen in erster Linie "Script-Kiddies", begabte jugendliche Computerexperten, in überschaubarer Anzahl Attacken gegen ausgewählte Zielscheiben ritten, sind vorbei. Heute prägen eine Vielzahl unterschiedlicher Akteure mit abweichenden Motiven, vielfältigen Methoden und variierenden Zielen das Feld der virtuellen Auseinandersetzung. Egal, ob politisch motivierte "Hacktivisten", IT-Söldner, die erbeutete Unternehmensgeheimnisse an den Bestbietenden verkaufen, Terroristen oder staatlich geförderte Hacker-Organisationen- und Unternehmen – die modernen Cyber-Angreifern haben eines gemein: Ihr Agieren wird professioneller, differenzierter und vor allem strategischer.

. . . sondern zunehmend in Rechenzentren. Deshalb werden auch immer mehr Cyber-Krieger ausgebildet. Bundesheer, fotolia

Nach Angaben von Europol soll allein die Internetkriminalität im engeren Sinn Europas Regierungen bereits jährlich 100 Milliarden Euro kosten. Eine Zunahme der Cyber-Bedrohung ist deutlich in der Kriminalstatistik des Bundeskriminalamtes abzulesen: Allein im ersten Halbjahr 2012 weist die Internetkriminalität einen Anstieg von über 100 Prozent auf. Grund genug für das Bundeskriminalamt, Cyber-Crime als "gegenwärtig größte Herausforderung" zu bezeichnen.

Organisch gewachsene Sicherheitslandschaft
"Der Krieg im Netz findet täglich statt. Er ist eine gelebte Praxis", bestätigte Peter Gridling, Direktor des Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT), am Sicherheitskongress im Sommer 2012. "Wir dürfen nicht blind sein, niemand kann sich sicher sein, nicht zum Ziel zu werden", wusste Gridling anhand von Erfahrungen aus dem Alltag zu berichten. Gridlings Abteilung steht an vorderster Front, wenn es darum geht, Cyber-Attacken zu entdecken und abzuwehren. Und sie steht keineswegs alleine da. Seit sich abzeichnete, welche Ausmaße Cyberattacken annehmen werden, machten sich Verwaltungsstellen, Unternehmen und Organisationen daran, eigene Sicherheitsabteilungen aufzubauen. Die so gewachsene Sicherheitslandschaft ist zwar durchaus engmaschig, die Zuständigkeiten und Aufgaben aber vielfach unscharf.

Bei der Bewältigung konkreter Angriffe nämlich spielt zunächst das nationale Computer Emergency Response Team (CERT) die Hauptrolle. Auf Initiative des Bundeskanzleramtes (BKA) und der Internet Foundation Austria (IPA) 2007 ins Leben gerufen, präsentiert sich das CERT als "Drehscheibe für Sicherheit, als Frühwarnsystem und Koordinierungsstelle für den Schutz kritischer Informations-Infrastrukturen in Österreich" und stellt in der Praxis eine Art Cyber-Feuerwehr dar.

Liegen bei den festgestellten Angriffen Fälle von Internetkriminalität vor, schaltet sich das Bundeskriminalamt ein: Das hier im Aufbau befindliche Cyber-Crime-Competence-Center (C4) mit 49 Mitarbeitern ist grundsätzlich zuständig, wenn es an die kriminalpolizeiliche Arbeit geht. Sobald aber die Grenze zur Wirtschaftsspionage, zur Gefährdung kritischer Infrastruktur oder zu strategischen Attacken überschritten ist, werden andere Stellen eingeschaltet, darunter das BVT: "Wir beschäftigen uns mit jener Kriminalität, die den Staat gefährdet, etwa Spionagedelikte oder Attacken auf kritische Infrastruktur", sagt Gridling. Diese Zuständigkeit schließt freilich die Einschaltung anderer Einrichtungen nicht aus. Bundeskanzleramt, Verteidigungsministerium und etliche andere Stellen müsste man nennen, versuchte man, ein Bild der Sicherheitslandschaft zu zeichnen.

Ungeachtet dieser Heterogenität sind die meisten Verantwortlichen zwar überzeugt, dass die Zusammenarbeit gut funktioniere. Was aber passiert, wenn ein großflächig organisierter Angriff auf mehrere Ziele lanciert wird, der die gewachsenen Kooperationsstrukturen überlastet, und wer vor allem befugt und befähigt ist, dann das Heft in die Hand zu nehmen, ist vielfach noch nicht hinlänglich geklärt.

Wer nicht vorbereitet ist, wird den Schaden haben
Dieses Szenario vor Augen, preschte das Verteidigungsministerium im Vorjahr vor. Mit einem "Cyber Defense" getauften Sicherheitskonzept sollten Cyber-Krieger zum Schutz militärischer Anlagen, aber auch für zivile Einrichtungen und Verwaltungsstellen ausgebildet werden. Die Abteilung IKT-Sicherheit des Bundesheeres übernahm in der Folge eine Fülle an Agenden, die vom digitalen Schutz der militärischen Anlagen und Geheimnisse über öffentliche Sensibilisierungsmaßnahmen bis hin zur permanenten Risikoevaluierung reichten. Angesichts dieses Aufgabenbündels das Bundesheer alleine für die Cyber-Sicherheit verantwortlich zu machen, lässt Walter Unger, Leiter der IKT-Sicherheitsabteilung des Heeres, allerdings nicht gelten. "Das Militär kann nicht für alle Experten für den Ernstfall bereithalten", sagte der Offizier im Gespräch mit der "Wiener Zeitung" und wies diesbezüglich auf die Notwendigkeit der Prävention hin: "Wer nicht vorbereitet ist, wird zum Opfer. Und der Schaden wird groß sein."

Basierend auf ähnlichen Überlegungen setzte auch Bundeskanzleramt einen Strategieprozess zur Cyber-Sicherheit auf. Mit der nationalen IKT-Sicherheitsstrategie, die im Juni 2012 präsentiert wurde, wurde bewusst auf die Expertise der kleinteiligen Sicherheitslandschaft gesetzt, die zugleich unter der lenkenden Hand einer koordinierenden Zentralstelle gesehen wurde.

Bereits zuvor hatte sich auch das Innenministerium des Themas Cyber-Security angenommen. In Zusammenarbeit mit dem Kuratorium sicheres Österreich (KSÖ) wurden umfassende Risikoanalysen erstellt und ein Cyber-Planspiel organisiert, bei dem unter Mitarbeit von Vertretern aus Politik, Verwaltung und Behörden ein Ernstfall simuliert wurde.

Auch wenn Bundesheer, Bundeskanzleramt und Innenministerium im Rahmen der IT-Sicherheit ihre jeweiligen Themenbereiche wie Landesverteidigung, Schutz der Infrastrukturen sowie Cyber-Kriminalität ins Auge fassten, bestanden somit mehrere Strategiekonzepte, die die Entstehung von Parallelstrukturen befürchten ließen. Im Mai 2012 wurde daher ein weitreichender Beschluss gefasst: Die Bundesregierung besiegelte in der Ministerratssitzung vom 15. Mai, dass bis Ende dieses Jahres eine einheitliche österreichische Cyber-Sicherheitsstrategie erarbeitet werden soll, um die bestehenden Strategieprozesse zusammenzuführen. Ein Ziel, das sich allein schon aufgrund der Komplexität der Thematik, aber auch angesichts der unterschiedlichen Schwerpunktsetzungen der bestehenden Sicherheitsstrategien als ein kühnes herausstellte.

Steuerungsgruppe hat das Heft in der Hand
Waren an den direkten Beratungen über die gemeinsame Strategie zunächst noch Innenministerium, Verteidigungsministerium, Außenministerium und Justizministerium beteiligt, wurden seit dem Ministerratsbeschluss auch die restlichen Ressorts ins Boot geholt. Was im fertigen Strategiepapier enthalten sein wird, bietet folglich Raum für Spekulationen, folgt laut informierten Personen aber dem Ministerratsbeschluss vom Mai. Bereits eingerichtet wurde zunächst ein interministerielles Gremium, das als Cyber-Sicherheits-Steuergruppe bezeichnet wird und sich aus hochrangigen Beamten der Ressorts sowie IT-Experten zusammensetzt. Dieses Gremium hat die Aufgabe, den Strategieprozess zu begleiten und wird in weiterer Folge auch mit der Umsetzung betraut sein. Daneben soll es eine Sicherheitsplattform geben, wo neben den staatlichen Stellen auch Wirtschaft, Wissenschaft und andere Bereiche der Gesellschaft repräsentiert sind. Und schließlich soll das Strategiepapier auch die operative Koordination behandeln, also jene Schritte, die im Notfall zu setzen sind.

Strategiepapier lässt noch etwas auf sich warten
Dass die Finalisierung des Strategiepapiers entgegen der Ankündigung des Innenministeriums nicht bis Ende des Jahres gelingen wird, nehmen die beteiligten Stellen in Kauf, zumal sich die Zusammenarbeit als überaus wertvoll erwiesen hat. "Man arbeitet mit Respekt zusammen und es wird tatsächlich gearbeitet", lobt Unger die Bemühungen zur Findung einer neuen Strategie.

Doch auch wenn diese im Jänner vorgelegt werden wird, ist die Cyber-Sicherheit Österreichs damit noch lange nicht gewährleistet. "Wir haben bald ein Papier, in dem steht, was wir tun wollen. Dann aber geht es darum, das auch umzusetzen. Und das bedeutet, einzelne Stellen zu stärken oder neu aufstellen. Da stellt sich schon die Frage, ob wir dafür auch genug Ressourcen haben", gibt Unger zu bedenken. Dass das keine Selbstverständlichkeit ist, erläutert er unter Hinweis auf das Bundesheer: "Das Militär muss wie alle anderen staatlichen Dienststellen abspecken und Personal einsparen. Da gleichzeitig neue Aufgaben zu übernehmen, ist nicht ganz trivial." Daran, dass auf sämtliche Beteiligten noch viel Arbeit wartet, um Österreich cyber-sicher zu machen, zweifelt jedenfalls niemand. Immerhin wurden wichtige Schritte gemacht, um die Arbeit gemeinsam anpacken zu können.