Zum Hauptinhalt springen

"Stehen auf dem linken Fuß da"

Von Christian Rösner

Politik

Rating-Agentur für IT-Sicherheit soll Triple-A im Cyber-Bereich garantieren.


Hinweis: Der Inhalt dieser Seite wurde vor 12 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Wien. "Es nützt nichts, wenn jeder seinen Laden in Ordnung hält. Wenn alles vernetzt ist, dann ist die Kette so stark wie ihr schwächstes Glied", sagt Oberst Dieter Muhr vom Verteidigungsministerium zum Thema Cyber-Sicherheit in Österreich.

Oberst Muhr ist Angehöriger des Generalstabes des Österreichischen Bundesheeres und sitzt im Vorstand der Offiziersgesellschaft Oberösterreich, mit der er den "Arbeitskreis Cyber Security Oberösterreich" gegründet hat. Zusammen mit dem Land Oberösterreich sowie zahlreichen IT-Vertretern von Institutionen, Großindustrie, der Raiffeisenlandesbank, der Industriellenvereinigung, der Wirtschaftskammer, Siemens oder der Energie AG sowie privaten IT-Sicherheitsfirmen hat dieser Arbeitskreis im Frühjahr 2011 mehrere Planspiele unter der Regie des IT-Sicherheitsunternehmens Base-Camp abgehalten, um die Auswirkungen von großen oder gezielt angelegten Cyberangriffen abzuschätzen.

"Geübt wurde unter anderem eine Erpressungsversuch nach einem Datendiebstahl. Unsere Aufgabe war zu überlegen, welche technischen Möglichkeiten sind dazu notwendig, wie kann man das verschleiern und so weiter", erklärt Base-Camp-Geschäftsführer Harald Reisinger.

"Sind nicht gewappnet"

Die Haupterkenntnis des in Österreich einzigartigen Projektes: Ausreichend gewappnet ist man gegen einen solchen Angriff noch nicht - weder sind die Zuständigkeiten zweifelsfrei geregelt, noch verfügen alle über die notwendigen Sicherheitsstandards. "Es ist oft nicht einmal klar, wer dazu berechtigt ist, im Notfall den Stecker zu ziehen", sagt Oberst Muhr. Zwar hat das Bundeskanzleramt vor mehr als zwei Jahren die Plattform "cert.at" ins Leben gerufen, um bei potenziellen Gefahren aus dem Netz Alarm zu schlagen. Allerdings ist das "Computer Emergency Response Team" noch nicht ausreichend mit Personal bestückt. Und eine entsprechende Sicherheitsstrategie, in der das Thema Cyberkriminalität vorkommt, wurde vom Parlament erst vor einem Jahr zur Kenntnis genommen. "Das ist prinzipiell der richtige Weg, es geht aber nur in eine Richtung, nämlich top-down. Es muss aber auch etwas von der Basis her geschehen, von den unmittelbar Betroffenen", ist Muhr überzeugt.

Nach wie vor ist nämlich in den Bundesländern jede Organisation und Firma selbst für die eigene Cybersicherheit zuständig. Und in jedem Bundesland gibt es andere Regelungen. In Oberösterreich ruft ein Cyberangriff den Katastrophenschutz auf den Plan. Die Länder greifen dann auf die Hilfsorganisationen und die Exekutive zurück. "Die Frage ist nur, ob die die nötigen Ressourcen haben, um damit umzugehen, bzw. ob sie wissen, wer die zuständigen Instanzen sind", meint Muhr. "Es geht um klare Zuständigkeiten, schlagkräftige Fähigkeiten und funktionierende Mechanismen, wenn man rasch und gezielt handeln will. Und das beginnt schon bei der Prävention."

"Das Netz ist anarchistisch"

Und im Gegensatz zu den Bundesländern hat das Internet keine Grenzen. "Das Netz ist anarchistisch durch und durch - es lässt sich nicht beschränken", sagt Muhr. Energieversorger und Netzbetreiber waren früher Landesgesellschaften. Heute sind sie privatrechtlich organisiert. "Auch militärische Angriffe laufen über zivile Netze ab - die Zuständigkeiten sind oft fließend", so Muhr.

Wenn man mit einer rein militärischen Denkweise an Virenattacken herangeht, dann wird man sich schwer tun - denn man habe es nicht mit einem bestimmten Feind zu tun, sondern mehr mit einer Epidemie, so Muhr. Es gelte, den Virus unter Quarantäne zu setzen, ihn zu definieren, eine Gegenstrategie aufzubauen, die Gesunden abzuimpfen und die Erkrankten wieder auf die Beine zu bringen. Dafür müsse man in Manpower und Sicherheit investieren - "und zwar am untersten Ende der Zuständigkeitskette".

Planspiele in allen Ländern

Werden Daten gestohlen, ist eigentlich die Polizei zuständig. "Nur was macht die, wenn sich das Diebesgut auf Servern irgendwo in den USA befindet?" Laut Muhr steht Österreich - was die IT-Sicherheit betrifft - auf dem linken Fuß da. Zwar seien schon viele nützliche rechtliche Grundlagen geschaffen worden, aber gegen einen großflächigen Cyberangriff sei man in Österreich derzeit nicht genug vorbereitet.

Die einzige wirkungsvolle Lösung ist laut Muhr eine Zusammenarbeit aller Akteure und Bereiche - also Banken, Energieversorger, staatliche Institutionen und so weiter. Nach oberösterreichischem Vorbild sollten in jedem Bundesland Planspiele abgehalten werden, um die Koordinations- und Kooperationsfähigkeit auszubauen. Und was die (niederschwellige) IT-Sicherheit betrifft, sollten vor allem Klein- und Mittelbetriebe in den Fokus genommen werden, da die oft bei der IT-Sicherheit sparen, so Muhr.

Für den Experten ist im Übrigen die IT-Sicherheit eines Landes genauso ein Kriterium für Sicherheit wie das Triple-A (AAA) auf dem Finanzmarkt. Staatliche Netze müssen laut Muhr sicher sein und als Vorbild dienen können. "Wenn man bedenkt, dass schon jeder Steuerausgleich online ist, dann wird klar, dass die Vertrauenswürdigkeit eines Landes natürlich auch sehr stark davon abhängt, ob man die staatliche Verwaltung im Griff hat." Und das gelte natürlich auch für den virtuellen Sektor. Deshalb fordert Muhr eine Rating-Agentur für IT-Sicherheit, bei der sich die Akteure des Cyber-Raumes einer Bewertung unterziehen können. Damit sollte eine Grundlage für gegenseitiges Vertrauen geschaffen werden. Österreich könnte da als Beispiel vorausgehen.

Nachsatz: "Wir sollten uns das überlegen, bevor die Amerikaner als Erste uns zu raten beginnen. Was nützt es, wenn ich einen hohen Standard habe, aber die anderen meine Daten nicht schützen. Erst wenn die ersten Unternehmen und Institutionen auf Ramsch-Status eingestuft werden, wird die Sache ernst genommen."

Im Übrigen ist laut Muhr erst vor kurzem ein Bericht der Security and Defence Agenda erschienen, die 35 Länder einem Cyber-Stresstest unterzogen hat. "Dabei ist Österreich mit dreieinhalb von fünf möglichen Sternen bewertet worden. Im Verständnis von Ratingagenturen könnte man das vermutlich mit einem AA- vergleichen", so Muhr.

Erfahrung als Berufshacker

Bei diesem Thema will Reisinger ansetzen. "Unser Betätigungsfeld ist seit Jahren die Sicherheitsüberprüfung im IT-Umfeld. Wir hacken sozusagen auf Auftrag in firmeneigenen Systeme, um Sicherheitslücken aufzudecken. Gerade sind wir dabei, ein Bewertungsschema ähnlich der Rating-Agenturen im Finanzbereich zu entwickeln, um eine öffentliche Vergleichbarkeit des Sicherheitszustandes zu ermöglichen."

Base-Camp baut das Bewertungsverfahren bereits in laufende Projekte ein und will bis zum Sommer ein vollständiges Konzept präsentieren. Angst vor Konkurrenten in der Branche hat er dabei nicht: "Es gibt schließlich auf dem Finanzmarkt auch mehrere Rating-Agenturen. Das Schlimmste, was passieren kann, ist, dass der Wettbewerb zu mehr Sicherheitsbewusstsein im IT-Bereich führt - und das ist eigentlich genau unser Ziel."