"Es werden überall nur noch Bedrohungen gesehen"

Als Generaldirektor für öffentliche Sicherheit ist Konrad Kogler auch mit dem Schutz kritischer Infrastruktur vor Cyberangriffen betraut. Ein für 2017 geplantes Cybersicherheitsgesetz soll betroffene Unternehmen zur Meldung von Attacken und Vorfällen verpflichten. Die futurezone hat mit Kogler über Bedrohungen durch Cyberkriminalität gesprochen.

futurezone: Es kursiert die Geschichte über eine Expertendemonstration, bei der ein österreichisches Kraftwerk innerhalb kurzer Zeit durch einen Cyberangriff außer Gefecht gesetzt wurde. Ist die kritische Infrastruktur in Österreich ausreichend geschützt? Konrad Kogler:Die absolute Sicherheit gibt es nicht. Wir setzen alles daran, kritische Infrastruktur bestmöglich zu schützen. Da ist in den vergangenen Jahren viel passiert. Wenn tatsächlich eine Attacke passiert, können wir entsprechende Unterstützung bieten. Die Frage ist auch, wie schnell es uns gelingt, diese Infrastruktur wieder in Betrieb zu nehmen. Da setzen wir an.

Udo Helmbrecht, Direktor der ENISA der Europäischen Agentur für Netz- und Informationssicherheit hat vor den Gefahren eines virtuellen "Wilden Westens" gewarnt. Ist eine solche Warnung berechtigt? Das glaube ich nicht. Man muss aber sagen, dass der virtuelle Raum noch ein relativ freier Raum ist. Das bedingt auch, dass es die Notwendigkeit gibt, diesen Raum zu regulieren. Auf europäischer Ebene wird eine Netz- und Informationssicherheitsrichtlinie (Anm.: NIS-Richtlinie) kommen, die national umzusetzen ist. Es stellt sich auch immer die Frage der Verfolgbarkeit. In gewissen Bereichen sind auch internationale Regelungen notwendig.

Was wird die EU-Richtlinie und das geplante österreichische Cybersicherheitsgesetz ändern? In der Richtlinie werden Meldeverpflichtungen für kritische Infrastrukturen kommen. Damit die Behörden bei Cyberangriffen auch frühzeitig ins Bild gesetzt werden und nicht erst nach dem Blackout informiert werden. Für Unternehmen der kritischen Infrastruktur wird es auch Mindestsicherheitsstandards geben.

Wann ist ein Unternehmen kritisch genug? Vereinfacht gesagt reden wir dann von einer kritischen Infrastruktur, wenn dadurch das öffentliche Leben beeinträchtigt ist, wenn der Betreiber oder die Organisation tatsächlich ausfallen sollte. Von Verkehrsinfrastruktur bis hin zu Energieversorgern, gibt es hier unterschiedliche Kategorien.

Wie arbeiten Sie mit diesen Unternehmen zusammen? Wir vereinbaren mit den Unternehmen, was zu tun ist und welche Notfallpläne es gibt. Rund 80 Prozent der kritischen Infrastrukturen werden privaten oder privatisierten Unternehmen betrieben. Daher ist eine gute Zusammenarbeit zwischen Staat und Wirtschaft von eminenter Bedeutung, um den Bedrohungen gegenübertreten zu können. Wir wollen Vertrauen aufbauen, sodass Informationen ausgetauscht werden. Wir haben zunächst geschaut, wie diese Informationen zwischen den Unternehmen und dem Innenressort fließen können. Wir haben aber auch gesehen, dass es günstig ist, wenn es einen verstärkten Informationsaustausch zwischen den Unternehmen gibt. Dazu ist auch Vertrauen erforderlich, weil viele Unternehmen in einem Konkurrenzverhältnis zueinander stehen und es schwierig ist, einem Konkurrenten Informationen zukommen zu lassen.

In den vergangenen beiden Jahren hat die ukrainische Cabernak-Gang mittels zielgerichteter Attacken Banken in mehreren Ländern geplündert. Auch österreichische Banken waren betroffen. Wie werden Sie auf solche Fälle aufmerksam?Einerseits gibt es Länder, in denen schon Meldepflichten bestehen, da müssen die Unternehmen Angriffe einfach melden. Wenn ein Schaden für den Bürger besteht, sind viele Unternehmen aber auch so weit, dass sie Meldung machen und Anzeige erstatten. Es gibt aber eine große Dunkelziffer. Es ist für ein Unternehmen kein Renomee, wenn es sagen muss, es wurde reingehackt und es wurden so und so viele Datenbestände abgezogen.

Österreichische Firmen sind auch vermehrt Ziel von Wirtschaftsspionage. Wie hoch schätzen Sie das Gefahrenpotenzial? Wir haben uns das Feld gemeinsam mit Partnern sehr genau angeschaut und Unternehmen befragt, ob sie von Wirtschaftsspionage betroffen waren. Rund ein Drittel hat diese Frage mit Ja beantwortet. Es war aber nur ein geringer Teil davon bereit, Anzeige zu erstatten. Sie müssen auch davon ausgehen, dass es hier ein doppeltes Dunkelfeld gibt. Es gibt Unternehmen, die solche Fälle nicht anzeigen wollen. Es gibt auch Unternehmen, die gar nicht wissen, dass sie betroffen sind.

Welche Unternehmen sollten vorsichtig sein? Der große Trugschluss ist, dass viele Unternehmen davon ausgehen, dass sie nicht interessant genug sind. Wir wissen aber ganz klar, dass alle Unternehmen, die Know-how produzieren und in ihrem Bereich Erfolge erzielen, gefährdet sind. Deshalb haben wir mit dem FH Campus Wien und der TU Wien einen Lehrgang zu diesem Thema entwickelt.

Sie haben europäische Lösungen und Produkte für die Cybersicherheit eingemahnt? In der Entwicklung der Produkte ist Europa völlig abhängig von anderen Staaten. Da kann auch das eine oder andere "Moment" mit eingebaut werden. Insofern sage ich, wir müssen ganz klar in der Industriepolitik Akzente setzen

Kommen österreichische Sicherheitslösungen bei Ihnen zum Einsatz? Wenn sie für uns passend sind, ja. Aber es geht nicht um polizeiliche Lösungen, es geht um Lösungen für die Wirtschaft schlechthin.

In den USA und Großbritannien gab es Stimmen, die gefordert haben, Hintertüren in Software offen zu lassen. Wie stehen Sie dazu? Mit einem Ja oder Nein kann man das nicht beantworten. Wir müssen in eine gesellschaftliche Diskussion eintreten und der Bevölkerung sagen, das sind die Gefahren, die bestehen und das sind die Befugnisse, die die Sicherheitsbehörden haben.

Im Cyberkriminalitätsbereich werden die Täter professioneller. Dazu kommen eine Reihe neuer Technologien, wie etwa das Internet der Dinge oder Smart-Home-Anwendungen, aber auch die Digitalisierung in der Produktion - Stichwort Industrie 4.0. Was kommt auf uns zu? Wenn man sich die Entwicklung ansieht, dürfen wir nicht aus den Augen verlieren, dass die Cyberwelt grundsätzlich eine Menge an Vorteilen für die Gesellschaft bringt. Ein kleiner Aspekt sind die Risken, die damit einhergehen. Manchmal habe ich das Gefühl, dass überall nur noch Bedrohungen gesehen werden. Die Menschheit hat es geschafft, auf die unterschiedlichsten Herausforderungen auch die entsprechenden Sicherheitsmaßnahmen zu setzen. Ich mache mir keine Sorgen, dass wir das nicht schaffen können.

Gemeinsam mit dem Bundesministerium für Inneres (BMI) suchte die futurezone im Rahmen des Wettbewerbs „Start Secure 2015“ Start-ups und Ideen aus dem Cybersicherheitsbereich. 24 junge Unternehmen aus dem europäischen Raum haben sich beworben. Nun hat eine Jury, der unter anderem Googles Sicherheitschef Gerhard Eschelbeck angehört, die fünf Finalisten ausgewählt.

Die fünf Finalisten

• Das 2013 gegründet Start-up Cumolo Information System konnte die Jury mit einer Lösung überzeugen, die Webseiten auf Schadsoftware und Manipulationen untersucht.
• Die Grazer Jungunternehmen Yagoba und xFace entwickelten ein Sicherheitskonzept, dass die Sicherheit im Internet der Dinge verbessern will.
• Die Wiener CyberTrap Software GmbH hat ein Konzept präsentiert, mit dem sich gezielte Angriffe auf Unternehmen und Organisationen, etwa zur Wirtschaftsspionage, analysieren lassen.
• Das auf biometrische Systeme spezialisierte Start-up Philippeit konnte mit einer Lösung zum Scannen von Handvenenstrukturen punkten, die eine eindeutige Authentifizierung bei elektronischem Datenzugriff oder beim Betreten von Räumen ermöglicht.
• Und das deutsche Unternehmen Resecure will mit einer einfach zu handhabenden und günstigen Lösung die Sicherheit von kleinen und mittleren Online-Händlern erhöhen.

Die Start-ups werden ihre Ideen und Konzepte im Rahmen der Veranstaltung "Start me up" am Donnerstag, den 12. November, um 19.00 Uhr in der Österreichischen Computer Gesellschaft (Wollzeile 1, 1010 Wien) vorstellen. Der Sieger des Wettbewerbs wird am 19. November beim futurezone Award präsentiert.

Der Wettbewerb "Start Secure 2015" ist eine entgeltliche Kooperation zwischen dem Innenministerium und der futurezone. Als Organisationspartner fungieren SBA Research, das die Sieger-Start-ups auf Wunsch auch als Inkubator bei der Investorensuche berät, sowie das Kuratorium Sicheres Österreich.