"Im Cyber-Raum fährt man keine Truppen auf"

Dieses Szenario vor Augen, preschte das Verteidigungsministerium im Vorjahr vor. Mit einem "Cyber Defense" getauften Sicherheitskonzept sollten Cyber-Krieger zum Schutz militärischer Anlagen, aber auch für zivile Einrichtungen und Verwaltungsstellen ausgebildet werden. Walter Unger, Leiter der Abteilung IKT-Sicherheit beim Bundesheer, bemüht sich freilich, allzu hohe Erwartungen zu bremsen.

Obwohl seine Abteilung eine Fülle an Agenden übernommen hat, die vom digitalen Schutz der militärischen Anlagen und Geheimnisse über öffentliche Sensibilisierungsmaßnahmen bis hin zur permanenten Risikoevaluierung reichten, sieht er das Verteidigungsministerium nicht unbedingt als zentrale Instanz bei der Bewältigung derartiger Angriffe.

"Laut Ministerrat vom 15. Mai (2012, Anm.) wäre im Angriffsfalle das Militär federführend zuständig", sagt Unger im Gespräch mit der "Wiener Zeitung". Um sogleich zu relativieren: "Da fangen aber die großen Schwierigkeiten an: Man kann dieses Szenario nicht auf einen klassischen Angriff umlegen - im Cyberraum fährt man keine Truppen auf, sondern muss sich andere Dinge überlegen." Allen voran wäre das nach Ansicht des Bundesheer-Offiziers Prävention: "Wer nicht vorbereitet ist, wird zum Opfer. Und der Schaden wird groß sein."

Dass eine Abteilung allein für einen umfassenden Schutz aller potenziellen Ziele sorgen könne, weist Unger zurück: "Das Militär kann nicht für alle Experten für den Ernstfall bereithalten." Sinnvoll hingegen wäre die Schaffung einer einheitlichen, die Sicherheitsmaßnahmen koordinierenden Stelle. "Beim präventiven Schutz und dem Hochfahren der Notfallmaßnahmen müssen Organisationen für sich selber sorgen. Die konkrete Alarmierung und Koordinierung im Ernstfall aber gehören in eine Hand", so Unger.

Ein Ziel, das auch das BKA verfolgt: Mit der Nationalen IKT-Sicherheitsstrategie, die im Juni 2012 vorgestellt wurde, wird zwar bewusst auf die Expertise der kleinteiligen Sicherheitslandschaft gesetzt, aber unter der lenkenden Hand einer im Ernstfall koordinierenden Zentralstelle. Nach Vorstellung des BKA soll ein aufzubauendes "Lagezentrum" für Cyber-Security Kommunikation und Koordination der einzelnen Stellen im Land gewährleisten und optimieren. Offen aber ist, wie dieses Zentrum aussehen soll und wo es anzusiedeln ist.

Denn im Windschatten der IKT-Sicherheitsstrategie des BKA bereitete auch das Innenministerium in Zusammenarbeit mit dem Kuratorium sicheres Österreich (KSÖ) die Erstellung eines neuen Sicherheitskonzeptes vor. Basierend auf umfassenden Risikoanalysen und einem Cyber-Planspiel, bei dem unter Mitarbeit von Vertretern aus Politik, Verwaltung und Behörden ein Ernstfall simuliert wurde, soll nach Ankündigung von Innenministerin Johanna Mikl-Leitner bis Ende des Jahres eine einheitliche, nationale Cyber-Sicherheitsstrategie stehen.

Wesentliches Element auch dieser Strategie ist die Verbesserung der Koordination und Zusammenarbeit. Per Aussendung bezeichnete man die IKT-Sicherheitsstrategie des BKA dabei lediglich als "wichtige Basis für eine nationale Cybersicherheitstrategie".

Zusammenführung statt Parallelstrukturen?

Die Vermutung, dass angesichts der Gleichzeitigkeit von Cyber Defense, IKT-Sicherheitsstrategie und geplanter nationaler Cybersicherheitstrategie Parallelstrukturen entstehen könnten, die die Verwirklichung einer verlässlichen Cyber-Abwehr erschweren, steht im Raum, wird von Beteiligten aber dementiert. "Die Zusammenführung der bestehenden Strategien in eine nationale Cyberstrategie soll bis Ende des Jahres erfolgen. Die einzelnen Elemente sollen dabei angeglichen werden", erinnert Gridling und verweist in diesem Zusammenhang auf die Äußerungen von Manfred Matzka, Sektionschef im BKA, beim Sicherheitskongress Anfang Sommer. "Jeder arbeitet in dem Thema nur für sich", bemängelte Matzka bei der vom KSÖ organisierten Veranstaltung. Obwohl es Sinn mache, dass sich verschiedene Stellen auf mehreren Ebenen mit Cyber-Sicherheit befassen, brauche man nicht mehrere Systeme nebeneinander. Das Land sei zu klein, um sich Dubletten leisten zu können.

Ähnliche Worte findet auch Unger: "Die drei Strategieprozesse müssen sich irgendwann ergänzen oder zusammengeführt werden." Eine unmittelbare Behinderung durch die Gleichzeitigkeit der Prozesse sieht zwar auch Unger keine, gibt aber zu bedenken: "Man kann keine drei Strategien in einem so einem kleinen Land fahren. Das ist nicht strategisch." Und gerade ein konsequentes strategisches Vorgehen erscheint angesichts der immer strategischer werdenden Cyber-Bedrohungen immer unverzichtbarer.