Cybersicherheitsgesetz soll bis Ende des Jahres kommen


Im Rahmen der Studienpräsentation zum Thema IT-Sicherheit in Unternehmen kündigte Innenministerin Johanna Mikl-Leitner ein Cybersicherheitsgesetz bis Ende des Jahres an. Das Gesetz soll im Wesentlichen die Rahmenbedingungen für Internetsicherheit und den Schutz sensibler Infrastruktur regeln, sagte die Innenminister am Freitag vor Journalisten, ohne auf Details einzugehen.

Basis für das neue Cybersicherheitsgesetz ist die sogenannte europäische NIS-Initiative der EU-Kommission. Diese soll nun im Herbst fertiggestellt werden und beinhaltet im Wesentlichen vier Punkte. Jeder Mitgliedsstaat muss eine entsprechende Behörde und lokale Teams haben, die sich mit dem Thema befassen. Das Papier beinhaltet auch Vorgaben für den Schutz kritischer Infrastruktur wie Ölraffinerien, Stromnetze oder Flughäfen. Und: Industriebetriebe, Telekom-Konzerne und Unternehmen sollen verpflichtet werden, Störfälle zu melden. Und an diesem Punkt spießt es sich gewaltig. Nicht alle Mitgliedsstaaten wollen hier zustimmen, und darüber hinaus geben Unternehmen äußerst ungern bekannt, wenn sie gehackt werden oder ihre Kundendaten geklaut werden. In Deutschland etwa sind die Pläne für ein entsprechendes Gesetz genau deswegen gescheitert.

Auch österreichische Betriebe lassen sich ungern in die Karten schauen, was ihre IT-Sicherheit betrifft. Die meisten Fälle werden nur aufgrund von Aufdeckungen oder Leaks bekannt. "Ich glaube, dass bei uns sehr viel verschwiegen wird", sagt Lendl von Cert.at. Sein Team dokumentierte allein 2014 fast 16.000 als Sicherheitsrisiko eingestufte IT-Störfälle, wobei ein nicht geringer Teil folgenlos blieb, etwa Spam-Mails oder Attacken auf die Firewall von Betrieben.

Laut Lendl geht das neue Gesetz in die richtige Richtung. Trotzdem sind Behörden und Firmen auch in Zukunft weitgehend machtlos gegen Cyber-Angriffe. Denn man kann zwar für die Vorsorge und Sicherheit sensibilisieren, aber im Notfall lässt sich weder technisch noch juristisch viel machen. Die meisten Hacker sitzen im Ausland, und die Angriffe laufen meist nach dem gleichen Prinzip ab: Ein Hacker sitzt beispielsweise im weißrussischen Minsk, hackt sich in einen Frankfurter Server und greift von dort aus ein heimisches Online-Bankkonto an. Oder ein chinesischer IT-Betrieb "schleicht sich" in die Netze eines kleinen heimischen Technologiebetriebs und entwendet dort sensible, noch geheime Baupläne.

"Das ist vor allem für ein Land wie Österreich mit einer Vielzahl von kleinen Nischen-Betrieben, die zum Teil Weltmarktführer sind, eine Katastrophe", meint Lendl. Man könne hier nur versuchen, die Systeme so sicher zu gestalten, dass Angriffe schwieriger werden. Zu Anzeigen oder Strafen kommt es fast nie. Weil die Täter meist im Ausland sitzen, braucht es die Zusammenarbeit mit den zuständigen Behörden. Und diese funktioniert nicht immer.