Netzpolitik

Empfehlungen für Cybersicherheitsgesetz veröffentlicht

Mit dem geplanten Cybersicherheitsgesetz sollen Unternehmen der kritischen Infrastruktur verpflichtet werden, Cyberangriffe an staatliche Stellen zu melden. Die Behörden sind auf solche Informationen angewiesen, um ein Lagebild erstellen zu können. Viele Unternehmen scheuen jedoch davor zurück, weil sie befürchten, dass die Informationen zu Angriffen öffentlich werden und zu einem Imageverlust führen könnten. "Die Unternehmen wollen keine Regelungen, bei denen sie irgendwo hin melden, ohne zu wissen, was dann passiert", sagte Alexander Janda, Generalsekretär des Kuratorium Sicheres Österreich (KSÖ), der am Montag die Ergebnisse eines Rechts- und Technologiedialogs zum Cybersicherheitsgesetz vorstellte, an dem Experten aus Wirtschaft, Wissenschaft und Behörden teilnahmen. In einem auf der Webseite des KSÖ veröffentlichten Whitepaper (PDF) wurden Empfehlungen für die Ausgestaltung des Gesetzes formuliert.

Planspiel

Wie genau die Meldepflicht im Detail aussehen soll, wird noch diskutiert - und auch ausprobiert. Etwa bei einem vom KSÖ Anfang Mai in Wien veranstalteten Planspiel, bei dem neben Bundeskanzleramt, Innenministerium und Verteidigungsministerum unter anderem auch 14 heimsiche Unternehmen teilnahmen.

Firmen seien bereit, Vorfälle zu melden, wenn sie von staatlichen Stellen im Gegenzug Informationen und Unterstützung erhalten, resümierte Kurt Hager vom Innenministerium. "Wenn kein Nutzen da ist, wird nur das gemeldet, was unbedingt notwendig ist." Prinzipiell gebe es in Österreich hohes Vertrauen und Kooperationsbereitschaft zwischen Betreibern kritischer Infrastruktur und staatlichen Stellen, sagte Hager.

Datenschutz

Regelungsbedarf gibt es auch beim freiwilligen Informationsaustausch der etwa unter Beteiligung des Computer Emergency Response Teams (CERT) und eigener Branchen-CERTs in Österreich in vielen Bereichen gut funktioniert. Bei dem Informationsaustausch gibt es offene Fragen zum Datenschutz. "Wir brauchen eine ordentliche Rechtsgrundlage, die die Verhältnismäßigkeit im Einzelfall wahrt", sagte Christof Tschohl, wissenschaftlicher Leiter beim Zentrum für digitale Menschenrechte, Research Institute.

Auch Mindeststandards und Zertifizierungsanforderungen für Betreiber kritischer Infrastruktur werden Gegenstand des Gesetzes sein. Maximilian Schubert vom Verband der österreichischen Internet-Anbieter (ISPA) sprach sich gegen ein Übermaß an Zertifizierungen aus. Thomas Stubbings von der Cybersecurity Plattform forderte europaweite Regelungen. "Nationale Einzelgänge führen zwangsläufig zu Wettbewerbsverzerrungen", warnte der Sicherheitsberater.

Strafen

Geregelt werden in dem Gesetz auch Strafandrohungen. "Wo andere gefährdet werden, weil gewisse Maßnahmen nicht gesetzt wurden, sind Strafen richtig", sagte Franz Hocheiser-Pförtner vom Wiener Krankenanstaltsverband. "Wo wir über kritische Infrastruktur reden, gibt es auch eine gesellschaftspolitische Verantwortung."

Von der verpflichtenden Informationsweitergabe bei Cyberangriffen werden in Österreich rund 200 Unternehmen aus den Bereichen Energie, Telekommunikation, Verkehr, Finanzwesen, Gesundheit, Wasserversorgung und Medien betroffen sein. Grundlage für das Gesetz bildet die Richtlinie für Netzwerk- und Informationssicherheit (NIS), auf die sich die EU-Kommission, Mitgliedsstaaten und Europaparlament im Dezember einigten. Im Juli wird sie voraussichtlich vom EU-Parlament beschlossen. Das österreichische Cybersicherheitsgesetz soll noch in dieser Legislaturperiode verabschiedet werden.

Mit der zunehmenden Digitalisierung sämtlicher Lebens- und Wirtschaftsbereiche wird auch die Datensicherheit immer wichtiger. Besonders führende Industrie- und Dienstleistungsstandorte zählen zu den attraktivsten Zielen von Cyberangreifern. Experten schätzen den Schaden, der jährlich durch Cyberkriminalität entsteht, auf rund 750 Milliarden Euro. Um aktuelle und zukünftige Cyberrisiken bewältigen zu können, braucht es geeignete Technologien und Produkte. Dafür bedarf es der Kreativität und der Innovationskraft von Start-ups.

Nach dem Erfolg des Wettbewerbs „Start Secure“ im vergangenen Jahr werden heuer im Rahmen des Wettbewerbs „Security Rockstars“ europaweit Sicherheits-Start-ups und Ideen für Cybersecurity-Lösungen gesucht.

35.000 Euro Preisgeld

Der Gewinner des Wettbewerbs erhält 20.000 Euro Preisgeld, der zweite Platz ist mit 10.000 Euro dotiert, für den dritten Platz gibt es 5000 Euro. Die Top 5 werden zu einem fünftägigen Start-up-Bootcamp eingeladen und von Experten, Gründern und Risikokaptalgebern auf die finalen Pitches vorbereitet. Für die 25 besten Start-ups gibt es Hilfestellungen bei der Erstellung des Business-Plans und Feedback von Experten.

Teilnahmebedingungen

Teilnahmeberechtigt sind Personen und Gründerteams aus dem Bereich Informationssicherheit mit Sitz in Europa. Das Start-up kann in der Konzeptphase, in Gründung oder bereits gegründet sein, erste Prototypen dürfen existieren.

Weitere Bedingungen: Das Start-up darf nicht älter als drei Jahre sein, kein Venture Capital aufgenommen und nicht mehr als fünf Mitarbeiter (ausgenommen Gründer) haben, erste Kunden sind erlaubt.

Auswahlverfahren

Um die Eintrittshürde auf für frühphasige Start-ups niedrig zu halten, ist zur Teilnahme an der ersten Phase des Wettbewerbs nur ein kurzer Abstract (maximal zwei Seiten) notwendig, in dem Problemstellung, technischer Lösungsansatz sowie Team und Geschäftsmodell vorgestellt werden. Die Einreichfrist endet am 15. Juli.

Die besten 25 Start-ups und Ideen entwickeln unter professioneller Anleitung einen Businessplan, der von einer prominent besetzten Jury bewertet wird. Die Top-5 steigen ins Finale auf. Die Sieger werden am 24. Oktober in Wien präsentiert.

Detaillierte Informationen zum Wettbewerb finden sich unter: www.securityrockstars.com

Der Wettbewerb "Security Rockstars" wird von SBA Research organisiert und vom Bundesministerium für Inneres (BMI) und dem Kuratorium Sicheres Österreich unterstützt.

Entgeltliche Kooperation mit dem Bundesministerium für Inneres (BMI) .
Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Patrick Dax

pdax

Kommt aus dem Team der “alten” ORF-Futurezone. Beschäftigt sich schwerpunktmäßig mit Innovationen, Start-ups, Urheberrecht, Netzpolitik und Medien. Kinder und Tiere behandelt er gut.

mehr lesen