Wien. Dass das Gerede von der digitalen Bedrohung kein leeres Wort ist, zeigten nicht zuletzt Cyber-Angriffe auf die demokratische Partei während des US-Präsidentschaftswahlkampfs. Dass digitale Angriffe nicht nur eine wachsende Gefahr für öffentliche Institutionen und Unternehmen, sondern auch für die militärische Sicherheit darstellen, hat auch Verteidigungsminister Hans Peter Doskozil erkannt. Aktuell nimmt der Minister in Israel an einer internationalen Konferenz zu Homeland- und Cyber-Security teil.

Schon jetzt würde das Heer jährlich bis zu 300 Cyberangriffe abwehren, sagt Doskozil, hunderttausende verdächtige Aktionen würden registriert und auf potenzielle Bedrohungen überprüft. Im Zuge der Umstrukturierung des Bundesheeres will der Verteidigungsminister bis 2020 mindestens 46 Millionen Euro für die Verbesserung der Abwehrstrategien gegen digitale Angriffe investieren, der Großteil des Geldes soll für Softwarebeschaffung herangezogen werden. Weitere 13,5 Milliarden sollen für neue Schulungszentren und Modernisierungsmaßnahmen bereitgestellt werden.

Wenig Mittel für zivilen Bereich


Doskozil plant ein eigenes Kommando für den Bereich Cyberabwehr, dort und im Heeresabwehramt sollen in den kommenden vier Jahren 250 bis 350 neue Mitarbeiter aufgenommen werden. Im Endausbau, so Doskozil, sollen 1350 Bedienstete für militärische Sicherheit im digitalen Bereich sorgen. "Andere staatliche oder nichtstaatliche Akteure rüsten in diesem Bereich immer weiter auf", so Doskozil. Sich nicht zu wappnen würde bedeuten, militärisch in einem anderen Zeitalter stecken zu bleiben. Zudem habe das Heer künftig Aufgaben beim Schutz kritischer Infrastruktur und bei der Koordination im Krisenfall zu übernehmen. Reichen Doskozils Bemühungen für den militärischen Bereich aus? Wo steht Österreich mit seinen Bemühungen um Verbesserung der Sicherheitslage in puncto Cyberangriffe?

Otmar Lendl, Teamleiter des Computer Emergency Response Teams Austria (CERT.at), das für IT-Sicherheitsteams heimischer Unternehmen und Institutionen Information und Koordination anbietet, begrüßt die Initiative des Verteidigungsministers - und übt gleichzeitig Kritik. Seit 2008 arbeitet CERT.at auf Projektbasis mit staatlichen Institutionen zusammen, im zivilen wie auch im militärischen Bereich. Mit dem Cyber Security Center des Verfassungsschutzes und dem Bundeskriminalamt werden seit Jahren immer wieder Übungen realisiert, wie auf einen größeren Angriff auf kritische Infrastruktur zu reagieren sei. Von finanziellen Ressourcen, wie sie der Verteidigungsminister zur Verfügung hat, kann Lendl aber nur träumen. "Im Vergleich zu anderen Staaten arbeiten wir mit sehr geringen Mitteln." Er zweifelt, ob das Geld im militärischen Bereich am besten aufgehoben ist. Schon jetzt sei der zivile Bereich deutlich unterfinanziert, es bräuchte deutlich mehr Mittel.

Private Betreiber investieren


Das Hauptproblem aber, sagt Lendl, sei, dass der Großteil der kritischen Infrastruktur - Strom- und Gasnetze, Strom- und Wasserleitungen, Telekommunikation - in privater Hand sei. Das Know-how, wie man mit digitalen Bedrohungsszenarien umgehen soll, sei auch am besten in den Händen der privaten Betreiber aufgehoben. Diese hätten in den letzten Jahren viel in den Bereich Cybersecurity investiert: "Man ist sich der Verantwortung bewusst." Vor allem die Energieversorger, aber auch die Telekommunikationsunternehmen wenden für Cybersicherheit beträchtliche Mittel auf. "Der Fall des Cyberangriffs auf A1 im Februar hat gezeigt, dass die Firmen sich dadurch gut selbst wehren können", sagt Lendl. "Das zeigt: Die Resilienz eines Staates ist im Bereich von Cyberattacken viel mehr von den Fähigkeiten der einzelnen Firmen abhängig als von Initiativen im militärischen Bereich."

Der IT-Sicherheitsexperte drängt auf die weitere Umsetzung der 2013 gefassten, österreichweiten Strategie für Cybersicherheit. Es gelte vor allem, bestehende Strukturen zu stärken. Staatliche Akteure sollten vor allem leitend und koordinierend arbeiten. So sehe es auch die von der EU im Juli beschlossene Direktive für Netzwerk- und Informationssicherheit (NIS) vor. Demnach sollen die Staaten Richtlinien erlassen, welches Schutzniveau die privaten Betreiber kritischer Infrastruktur einzuhalten hätten.