Wie sich Österreich gegen Cyberangriffe schützen will

„Das Internet ist längst zu einer zentralen und kritischen Infrastruktur für die Gesellschaft, die Wirtschaft und für die Behörden geworden“, sagte Kanzleramts-Staatssekretärin Sonja Steßl am Donnerstag bei der Präsentation des Internet-Sicherheitsberichts für 2014 (PDF). Die Angriffe im Netz seien 2014 zahlreicher und komplexer geworden wie der Jahresbericht zeigt, sagte Steßl. Der verursachte Schaden würde weltweit in Milliardenhöhe gehen.

Finanziell lukrativ

2015 sollen die Cyberangriffe zudem zu einem Massenphänomen werden, warnte Steßl. „Gehackt wird, was sich finanziell auszahlt“, so die Staatssekretärin. „Wirtschaftsspionage wird von vielen Unternehmen aber noch unterschätzt.“ Nur 6,1 Prozent der österreichischen Unternehmen seien sehr sicher, 59,6 Prozent mittel sicher und 9,3 Prozent wenig sicher, so die Staatssekretärin. „Hier gilt es, Bewusstsein zu schaffen.“ Denn Daten, auch von Privatpersonen, können immer in Geld umgewandelt werden. Es sei eine Fehleinschätzung von vielen Internet-Nutzern und Unternehmen, zu glauben, dass mit privaten Daten kein Geld zu machen sei. Auch private Daten seien bei Identitätsdieben sowie Spammern sehr beliebt.

Während PCs heutzutage weitgehend „gut gesichert“ seien, würden Smartphones eine neue Angriffsfläche bieten, die immer häufiger von Angreifern ausgenutzt werden. „Das Interesse der Kriminellen am mobilen Bereich steigt und auch hier hat ein Verlust der Daten weitreichende Folgen“, so Steßl. Auch Phishing-Angriffe würden sich immer weiter entwickeln und immer hochwertiger werden. In Österreich gab es bereits Fälle, wo auch der mobile TAN-Code abgefangen und missbraucht wurde.

Übungen und Gesetz

„Cybersicherheit ist ein Gut für alle“, betonte die Staatssekretärin, daher müsse man sie schützen. „Die öffentliche Hand nimmt hier gemeinsam mit den Anbietern der digitalen Dienste und der IKT-Branche eine wesentliche Verantwortung und Rolle ein“, fuhr Steßl fort. In Österreich würden zudem regelmäßig sogenannte "Cyber Security-Übungen" stattfinden, um für allfällige Angriffe gewappnet zu sein.

Roland Ledinger, Leiter des Bereichts IKT-Strategie des Bundes im Bundeskanzleramt, sagte: „Wir brauchen ein Cybergesetz sowie Mindeststandards im Sicherheitsbereich, die für alle gelten.“ Steßl erklärte, dass man hier aber die EU-Richtlinie zur Cybersicherheit, die bis zum Sommer beschlossen werden soll, abwarten müsse, bevor man an einem Rechtsrahmen in Österreich arbeite. Ein derartiges Cybersicherheitsgesetz würde daher frühestens 2017 in Kraft treten können. Bis dahin setze man verstärkt auf die Zusammenarbeit der Behörden sowie derjenigen, die sich mit diesem Thema auseinandersetzen. „Wir haben eine Steuerungsgruppe mit nationalem Sicherheitsrat“, wie Ledinger betonte. Da werde der Cybersicherheit dieselbe Priorität eingeräumt wie andere Katastrophen.

CERTs für mehr "Netzhygiene"

Das Bundeskanzleramt hat zudem 2008 die CERT-Initiative ins Leben gerufen und damit einen Impuls zur Selbstorganisation der Privatwirtschaft im Cyber Security-Kontext gesetzt. Eine staatliche Stelle, bei der das Wissen der einzelnen Branchen mit kritischer Infrastruktur gebündelt werde, werde es hingegen nicht geben. „Hier setzen wir auf die CERTs, die als Schnittstelle zu den einzelnen Branchen fungieren“, erklärte Ledinger. „Diese bauen das Wissen auf, was im jeweiligen Fall zu tun ist und setzen entsprechende Maßnahmen“, so Ledinger.

Für Robert Schischka, Leiter des Computer Emergency Response Teams (CERT.at), sei es besonders wichtig, die „Netzhygiene“ zu erhöhen, damit die Möglichkeiten der Angreifer verkleinert werden und es insgesamt weniger Schwachstellen gibt. „Schwachstellen werden immer ausgenützt, ungepatchte Geräte sind potentielle Botnet-Teilnehmer“, warnte Schischka. Man müsse daher auch einmal alte Systeme über Bord werfen, und Systeme anpassen, wenn man mehr Sicherheit wolle, mahnte der IT-Experte ein.