Zum Hauptinhalt springen

Die verzwickte Suche nach Cyber-Sicherheit

Von Stefan Meisterle

Wirtschaft
Kriege werden heutzutage nicht mehr nur mit schwerem Gerät im Feld geführt . . .

Ringen um koordinierende Stelle für kleinstrukturierte Sicherheitslandschaft.


Wien. Oktober 2010: Vermutlich von China aus wird ein gezielter Hacker-Angriff auf Österreichs Außenministerium gestartet. Die Firewall wird durchbrochen, der Verlust von Daten steht zu befürchten. April 2011: Ein Angestellter des Klagenfurter Windradbauers Windtec verschafft sich Zugang zu firmeninternen Daten und Codes und verkauft diese an eine chinesische Konkurrenzfirma. Der Windtec-Eigentümer verliert wertvolle Unternehmensgeheimnisse und spricht später von einem Schaden von 250 Millionen Dollar. Juli 2011: Aktivisten der Hackergruppe Anonymous knacken die Sicherheitssysteme von SPÖ und FPÖ und kapern die Webseiten der beiden Parteien. Benutzernamen und verschlüsselte Passwörter gelangen an die Öffentlichkeit, die SPÖ muss Teile der Homepage neu programmieren. Es sind Beispiele wie diese, die die Verletzlichkeit heimischer Einrichtungen, Organisationen und Unternehmen durch Datenlecks demonstrieren. Eine Verletzlichkeit, die inzwischen Wirtschaft, Verwaltung und Politik auf den Plan gerufen hat: Gemeinsame Sicherheitsstrategien sollen Österreich vor den Gefahren aus der Cyber-Unterwelt schützen. An den Strategien wird seit geraumer Zeit gearbeitet - doch über der Gemeinsamkeit dieser Bemühungen stehen Fragezeichen.

Experten sind sich einig: Attacken aus dem Internet werden auch in Österreich zu einer immer ernstzunehmenderen Bedrohung. Die Zeiten, in denen in erster Linie "Script-Kiddies", begabte jugendliche Computerexperten, in überschaubarer Anzahl Attacken gegen ausgewählte Zielscheiben ritten, sind vorbei. Heute prägen eine Vielzahl unterschiedlicher Akteure mit abweichenden Motiven, vielfältigen Methoden und variierenden Zielen das Feld der virtuellen Auseinandersetzung. Egal, ob politisch motivierte "Hacktivisten", IT-Söldner, die erbeutete Unternehmensgeheimnisse an den Bestbietenden verkaufen, Terroristen oder staatlich geförderte Hacker-Organisationen- und Unternehmen - die modernen Cyber-Angreifern haben eines gemein: Ihr Agieren wird professioneller, differenzierter und vor allem strategischer.

Nach Angaben von Europol soll allein die Internetkriminalität im engeren Sinn Europas Regierungen bereits jährlich 100 Milliarden Euro kosten. Eine Zunahme der Cyber-Bedrohung ist deutlich in der Kriminalstatistik des Bundeskriminalamtes abzulesen: Allein im ersten Halbjahr 2012 weist die Internetkriminalität einen Anstieg von über 100 Prozent auf. Grund genug für das Bundeskriminalamt, Cyber-Crime als "gegenwärtig größte Herausforderung" zu bezeichnen.

Organisch gewachsene Sicherheitslandschaft

"Der Krieg im Netz findet täglich statt. Er ist eine gelebte Praxis", bestätigte Peter Gridling, Direktor des Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT) am Sicherheitskongress 2012. "Wir dürfen nicht blind sein, niemand kann sich sicher sein, nicht zum Ziel zu werden", weiß Gridling anhand von Erfahrungen aus dem Alltag zu berichten. Seine Abteilung steht an vorderster Front, wenn es darum geht, Cyber-Attacken aufzuspüren oder abzuwehren.

Und sie steht keineswegs alleine da. Seit sich abzeichnete, welche Ausmaße Cyberattacken annehmen werden, machten sich Verwaltungsstellen, Unternehmen und Organisationen daran, eigene Sicherheitsabteilungen aufzubauen. Die so gewachsene Sicherheitslandschaft ist zwar durchaus engmaschig, die Zuständigkeiten und Aufgaben aber vielfach unscharf.

"Cyber-Crime ist eine Querschnittsmaterie", sagt Silvia Strasser, Pressesprecherin des Bundeskriminalamtes im Innenministerium. Das hier im Aufbau befindliche Cyber-Crime-Competence-Center (C4), das im Vollausbau 49 Mitarbeiter haben soll, ist grundsätzlich zuständig, wenn Fälle von Internetkriminalität vorliegen - zumindest dann, wenn es an die kriminalpolizeiliche Arbeit geht, wie Strasser gegenüber der "Wiener Zeitung" betont. Bei der Bewältigung konkreter Angriffe nämlich spielt zunächst eine andere Stelle meist die Hauptrolle: das nationale Computer Emergwency Response Team (CERT). Auf Initiative des Bundeskanzleramtes (BKA) und der Internet Foundation Austria (IPA) 2007 ins Leben gerufen, präsentiert sich das CERT als "Drehscheibe für Sicherheit, als Frühwarnsystem und Koordinierungsstelle für den Schutz kritischer Informations-Infrastrukturen in Österreich" und stellt in der Praxis eine Art Cyber-Feuerwehr dar.

Doch selbst in der Ermittlungsarbeit, die gemeldete Cyber-Vorfälle nach sich ziehen, ist nicht allein das C4 zuständig. Denn sobald die Grenze zur Wirtschaftsspionage, zur Gefährdung kritischer Infrastruktur oder zu strategischen Attacken überschritten ist, wird auf die Expertise anderer Stellen zurückgegriffen.

Allen voran springt hier das BVT ein, das auch das C4 mit eigenen Experten beschickt. "Wir beschäftigen uns mit jener Kriminalität, die den Staat gefährdet, also etwa Spionagedelikte oder Attacken auf kritische Infrastruktur", sagt Gridling der "Wiener Zeitung".

Die Liste der im Angriffsfall betroffenen Cyber-Sicherheitseinheiten ließe sich noch um das Bundeskanzleramt, das Verteidigungsministerium und um etliche weitere Stellen ergänzen. Ungeachtet der heterogenen Sicherheitslandschaft sind die meisten Verantwortlichen zwar überzeugt, dass die Zusammenarbeit untereinander gut funktioniere. Was aber passiert, wenn ein großflächig organisierter Angriff auf mehrere Ziele lanciert wird, der die gewachsenen Kooperationsstrukturen überlastet, und wer vor allem befugt und befähigt ist, dann das Heft in die Hand zu nehmen, ist vielfach ungeklärt.

"Im Cyber-Raum fährt man keine Truppen auf"

Dieses Szenario vor Augen, preschte das Verteidigungsministerium im Vorjahr vor. Mit einem "Cyber Defense" getauften Sicherheitskonzept sollten Cyber-Krieger zum Schutz militärischer Anlagen, aber auch für zivile Einrichtungen und Verwaltungsstellen ausgebildet werden. Walter Unger, Leiter der Abteilung IKT-Sicherheit beim Bundesheer, bemüht sich freilich, allzu hohe Erwartungen zu bremsen.

Obwohl seine Abteilung eine Fülle an Agenden übernommen hat, die vom digitalen Schutz der militärischen Anlagen und Geheimnisse über öffentliche Sensibilisierungsmaßnahmen bis hin zur permanenten Risikoevaluierung reichten, sieht er das Verteidigungsministerium nicht unbedingt als zentrale Instanz bei der Bewältigung derartiger Angriffe.

"Laut Ministerrat vom 15. Mai (2012, Anm.) wäre im Angriffsfalle das Militär federführend zuständig", sagt Unger im Gespräch mit der "Wiener Zeitung". Um sogleich zu relativieren: "Da fangen aber die großen Schwierigkeiten an: Man kann dieses Szenario nicht auf einen klassischen Angriff umlegen - im Cyberraum fährt man keine Truppen auf, sondern muss sich andere Dinge überlegen." Allen voran wäre das nach Ansicht des Bundesheer-Offiziers Prävention: "Wer nicht vorbereitet ist, wird zum Opfer. Und der Schaden wird groß sein."

Dass eine Abteilung allein für einen umfassenden Schutz aller potenziellen Ziele sorgen könne, weist Unger zurück: "Das Militär kann nicht für alle Experten für den Ernstfall bereithalten." Sinnvoll hingegen wäre die Schaffung einer einheitlichen, die Sicherheitsmaßnahmen koordinierenden Stelle. "Beim präventiven Schutz und dem Hochfahren der Notfallmaßnahmen müssen Organisationen für sich selber sorgen. Die konkrete Alarmierung und Koordinierung im Ernstfall aber gehören in eine Hand", so Unger.

Ein Ziel, das auch das BKA verfolgt: Mit der Nationalen IKT-Sicherheitsstrategie, die im Juni 2012 vorgestellt wurde, wird zwar bewusst auf die Expertise der kleinteiligen Sicherheitslandschaft gesetzt, aber unter der lenkenden Hand einer im Ernstfall koordinierenden Zentralstelle. Nach Vorstellung des BKA soll ein aufzubauendes "Lagezentrum" für Cyber-Security Kommunikation und Koordination der einzelnen Stellen im Land gewährleisten und optimieren. Offen aber ist, wie dieses Zentrum aussehen soll und wo es anzusiedeln ist.

Denn im Windschatten der IKT-Sicherheitsstrategie des BKA bereitete auch das Innenministerium in Zusammenarbeit mit dem Kuratorium sicheres Österreich (KSÖ) die Erstellung eines neuen Sicherheitskonzeptes vor. Basierend auf umfassenden Risikoanalysen und einem Cyber-Planspiel, bei dem unter Mitarbeit von Vertretern aus Politik, Verwaltung und Behörden ein Ernstfall simuliert wurde, soll nach Ankündigung von Innenministerin Johanna Mikl-Leitner bis Ende des Jahres eine einheitliche, nationale Cyber-Sicherheitsstrategie stehen.

Wesentliches Element auch dieser Strategie ist die Verbesserung der Koordination und Zusammenarbeit. Per Aussendung bezeichnete man die IKT-Sicherheitsstrategie des BKA dabei lediglich als "wichtige Basis für eine nationale Cybersicherheitstrategie".

Zusammenführung statt Parallelstrukturen?

Die Vermutung, dass angesichts der Gleichzeitigkeit von Cyber Defense, IKT-Sicherheitsstrategie und geplanter nationaler Cybersicherheitstrategie Parallelstrukturen entstehen könnten, die die Verwirklichung einer verlässlichen Cyber-Abwehr erschweren, steht im Raum, wird von Beteiligten aber dementiert. "Die Zusammenführung der bestehenden Strategien in eine nationale Cyberstrategie soll bis Ende des Jahres erfolgen. Die einzelnen Elemente sollen dabei angeglichen werden", erinnert Gridling und verweist in diesem Zusammenhang auf die Äußerungen von Manfred Matzka, Sektionschef im BKA, beim Sicherheitskongress Anfang Sommer. "Jeder arbeitet in dem Thema nur für sich", bemängelte Matzka bei der vom KSÖ organisierten Veranstaltung. Obwohl es Sinn mache, dass sich verschiedene Stellen auf mehreren Ebenen mit Cyber-Sicherheit befassen, brauche man nicht mehrere Systeme nebeneinander. Das Land sei zu klein, um sich Dubletten leisten zu können.

Ähnliche Worte findet auch Unger: "Die drei Strategieprozesse müssen sich irgendwann ergänzen oder zusammengeführt werden." Eine unmittelbare Behinderung durch die Gleichzeitigkeit der Prozesse sieht zwar auch Unger keine, gibt aber zu bedenken: "Man kann keine drei Strategien in einem so einem kleinen Land fahren. Das ist nicht strategisch." Und gerade ein konsequentes strategisches Vorgehen erscheint angesichts der immer strategischer werdenden Cyber-Bedrohungen immer unverzichtbarer.