Cybersicherheit offenbar keine Priorität der Bundesregierung

Zwei Monate nach Ablauf der Deadline ist die neue EU-Richtlinie für Cybersicherheit (NIS) in allen EU-Nachbarstaaten bereits umgesetzt. In Österreich ist das fast fertige NIS-Gesetz seit April von der Bildfläche verschwunden. UPDATE: Stellungnahme aus dem Bundeskanzleramt

Von Erich Möchel

Überall in Europa werden die Maßnahmen zur Netzwerksicherheit hochgefahren und Cyberabteilungen verstärkt. In Österreich hingegen wird die Cyberabwehr des Bundesheers als eigenes Kommando aufgelöst und in der Heereshierarchie zurückgestuft, Grund dafür sollen Sparmaßnahmen sein. Die Frist zur Umsetzung der EU-Richtlinie zur Cybersicherheit (NIS) wiederum ist Anfang Mai abgelaufen.

In allen Nachbarstaaten ist die NIS-Richtlinie bereits ganz in die nationale Gesetzgebung oder in Teilen implementiert, nicht aber in Österreich, Rumänien oder Polen. Wie aus informierten Kreisen zu erfahren war, ist das österreichische NIS-Gesetz zwar bereits seit Sommer 2017 so gut wie fertig. Im April verschwand es jedoch von der Agenda, mehrere Anfragen von ORF.at im Bundeskanzleramt blieben vorerst ohne Antwort. Nach der Publikation des Artikels traf eine Stellungnahme des Bundeskanleramts ein (siehe unten) eine Der Gesetzesentwurf selbst steht unter Verschluss.

Stellungnahme aus dem Bundeskanzleramt

Nach Publikation des Artikels hat sich das Bundeskanzleramt zu Wort gemeldet. Die Verzögerung der Richtlinienumssetzung sei auf das Bestreben der Bundesregierung zurückzuführen, dabei Doppelgleisigkeiten zu vermeiden. Schließlich seien ja mehrere staatliche Institutionen dabei direkt involviert. An sich aber halte man sehr wohl an der Priorisierung für Cybersicherheit fest, heißt es dazu aus dem Bundeskanzleramt. Man verweist dabei auf eine gerade laufende Veranstaltung der österreichischen Ratspräsidentschaft in Brüssel zur Cybersicherheit im Finanzwesen.

NIS regelt die Basics der Netzwerksicherheit

Die EU-Richtlinie zur Netzwerk- und Informationssicherheit ist seit genau zwei Jahren in Kraft, die Umsetzungsfrist lief bis 9. Mai. Sie reguliert die absoluten Basics der europäischen Netzwerksicherheit, ganz oben steht dabei die Meldepflicht von Cyberangriffen vor allem auf die kritische Infrastruktur. Erst dadurch werden solche Attacken und vor allem ihre Dimensionen erkennbar, das aber ist Voraussetzung, um sie erfolgreich abzuwehren. Solche professionelle Attacken beschränken sich nämlich so gut wie nie auf einen einzigen Mitgliedsstaat.

Deshalb ist ein funktionierendes Kommunikationsnetz der jeweiligen nationalen Behörden auch die Basis für ein künftiges europaweites Frühwarnsystem. Dem trägt die NIS-Richtlinie inѕofern Rechnung, indem sie Auflagen in Form erhöhter Sicherheitsstandards für den Sektor „Kritische Infrastruktur“ listet. Dazu kommt eine Meldepflicht für gravierende Sicherheitsvorfälle und eine Meldemöglichkeit für niederschwelligere Attacken. Genau damit fängt nämlich so gut wie jeder Großangriff auf Informationssysteme an.

Information als Abwehrinstrument

Wenn hunderte verschiedene Phishing-Mails pro Tag an einer Unternehmensfirewall aufschlagen, so gehört das in jeder Firma mittlerweile zum Cyberalltag. Wenn jedoch nur ein halbes Dutzend gefälschter persönlicher Mails an ebensoviele leitende Techniker oder Manager einer Firma gehen, dann sollten die Alarmglocken läuten. Fast immer sind solch niederschwellige „Targeted Attacks“, die auch „Spear-Phishing“ genannt werden, der Auftakt für einen Großangriff auf das jeweilige Netzwerk.

Genau das hat die NIS-Richtlinie mit ihren Meldepflichten und -möglichkeiten für solche Vorfälle nahe an Echtzeit im Visier. Die Anti-Virus-Industrie wendet dieselbe Strategie - Abwehr einer Bedrohung durch ihre Veröffentlichung - global seit gut zwei Jahrzehnten erfolgreich an. Sobald nur eine dieser Firmen neue Schadsoftware entdeckt, wird eine Art „digitaler Fingerabdruck“ der Schadsoftware erstellt und samt einer Beschreibung an alle anderen Hersteller weitergegeben. Binnen weniger Stunden fangen dann alle Firmenfirewalls weltweit einen neuen Banktrojaner oder Bitcoinminer routinemäßig ab.

Meldepflichten und Überprüfungen

Eine derartige, etwas adaptierte Strategie sollte auch zur Abwehr gegen staatliche Angriffe funktionieren, Voraussetzung ist allerdings, dass alle damit befassten Behörden schnell und reibungslos zusammenarbeiten. Die nationale Umsetzung, also welche Behörden einbezogen werden und welche dabei federführend sind, lässt die Richtlinie weitgehend offen, denn die EU-Mitgliedstaaten sind hier recht unterschiedlich aufgestellt. Die betroffenen Sektoren sind hingegen weitgehend einheitlich definiert: „Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserlieferung und -versorgung und digitale Infrastruktur.“

So steht es im einzigen offiziellen Dokument aus Österreich, das zur NIS-Richtlinie bis jetzt vorliegt. Dabei handelt es sich um eine Powerpoint-Präsentation des Bundeskanzleramts zur Umsetzung der NIS-Richtlinie in Österreich vom Juni 2016, die für diesen frühen Zeitpunkt allerdings bemerkenswert konkret ist. Für die oben angeführten Infrastrukturversorger - egal ob es öffentliche Dienste oder private Unternehmen sind - werden erhöhte Sicherheitstandards vorgegeben, die auch jederzeit und unangemeldet von den Behörden überprüft werden können.

Österreich und der gegenläufige Trend

Laut dem „Standard“, der als erstes Medium über die Abschaffung des Kommandos „Cyber Defense“ berichtete, wird die Cyberabwehrtruppe Teil der sogenannten Streitkräftebasis. Dazu gehören etwa auch das Militärhundezentrum und die Heeresbekleidungsanstalt. Überall in der westlichen Welt sind sowohl Cyberabwehr wie auch die offensiven Cybertruppen hingegen auf dem Weg zur Eigenständigkeit innerhalb der Streitkräfte. In den USA ist das „Cyber Command“ im Generalstab auf gleicher Augenhöhe mit Army, Navy, Air Force und den Marines vertreten, denn „Cyber Warfare“ samt „Cyber Defense“ ist längst zu einer eigenständigen Domäne herangewachsen.

Bereits seit Jahren ist derselbe Trend auch in Europa nicht mehr zu übersehen, das trifft für offensive wie defensive Kräfte gleichermaßen zu. Warum Österreich hier gegenläufig unterwegs ist, ist derzeit einigermaßen rätselhaft. Im Regierungsprogramm wird nämlich gut ein Dutzend neuer Sicherheitsmaßnahmen im Digitalbereich aufgelistet, allerdings so gut wie alles auf rein nationaler Basis. Ziemlich weit unten in der Hierarchie steht dann, dass „Cybersecurity einer der Schwerpunkte der österreichischen Ratspräѕidentschaft" werde. Als allerletzte Maßnahme ist die Einrichtung eines gemeinsamen nationalen Sicherheitszentrums (NIS-Behörden)“ vorgesehen.

Kleine Chronolgie der Anfragen

Die ersten Anfragen von ORF.at zur Umsetzung der NIS-Richtlinie wurden vom Bundeskanzleramt im Februar noch beantwortet. Mit der Umsetzung sei in etwa vierzehn Tagen zu rechnen, lautete die Auskunft damals. Die zweite Serie von Anfragen und Telefonaten startete Mitte Juni und blieb ergebnislos. Parallel zur Publikation diese Artikel erging eine Einladung zur Stellungnahme das Bundeskanzleramts. So oder so wird die Berichterstattung zu diesem Thema fortgesetzt.