Cyber-Risikomatrix für Österreich

Angriffe auf Webseiten von Parteien und Organisationen, Phishing-Attacken per E-Mail, Cybermobbing in sozialen Netzwerken, Abo-Fallen auf Abzocker-Webseiten oder leichtsinniger Umgang mit persönlichen Daten im Netz – „Fakt ist, dass 70 Prozent aller Erwachsenen bereits in irgendeiner Form mit Internet-Kriminalität zu tun hatten“, sagt der Präsident des Kuratoriums Sicheres Österreich (KSÖ) Erwin Hameseder. Internet-Kriminalität hat im Jahr 2010 (24 Länder sind in der Statistik berücksichtigt) etwa 80 Milliarden Euro Schaden verursacht, mehr als 430 Millionen Menschen waren Cyber-Opfer. Hameseder: „Wenn man heute von Sicherheit spricht, geht es auch um die Sicherheit im Netz.“

Laut aktuellem Bericht des Bundeskriminalamts ist die Zahl der Kriminalfälle im Vergleich zu den Vorjahren rückläufig und die Aufklärungsquote hat sich verbessert, allerdings ist der Bereich IT-Kriminalität stark gestiegen. Im ersten Halbjahr 2011 wurden 2229 IT-Delikte angezeigt, um zehn Prozent mehr als 2010. Eine besonders starke Zunahme gab es bei den Hacking-Attacken - 105 Fälle bedeutet eine Zunahme um 114 Prozent verglichen mit 2010, damals waren es 49.

Gefahren unterschätzt
Da die Gefahr sowohl von Bürgern als auch von der Wirtschaft unterschätzt wird, hat das KSÖ eine Cyber-Risiko-Matrix erstellen lassen. 40 heimische und internationale Experten haben die mittel- und langfristigen Cyber-Risiken bewertet. Dabei wurde ein breiter Ansatz verfolgt, denn „bei Cybersicherheit geht es um mehr als Würmer und Trojaner“, sagt Heiko Borchert, Geschäftsführer des Schweizer Beratungsunternehmens Sandfire. „Wir haben die Wahrscheinlichkeit von Manipulationen von Infrastruktur-Systemen wie Energie oder Verkehr genauso beurteilt wie Cyberspionage, Attacken auf Cloud-Computing oder fehlendes Fachpersonal.“ Das Ergebnis der Expertenrunde ist eine Matrix, in der zum einen die Eintrittswahrscheinlichkeit und zum anderen die Schwere der Auswirkungen beurteilt wurde.

„Wir haben uns im Vorfeld freilich andere nationale Strategien von etwa 15 Staaten in Europa und darüber hinaus angesehen“, sagt Borchert. „Der Vergleich zeigt, dass in den Dokumenten zwar ähnliche Risiken angesprochen werden. Eine so umfassende und differenzierte Matrix findet sich aber nirgends“. Eines der als „sehr hoch“ eingeschätzten Risiken, das auch schwerwiegende Auswirkungen hätte, ist etwa die „Unklare Kompetenzlage der Behörden“. Das hat die Diskussion um den so genannten Kill-Switch gezeigt – wer hat Kontrolle über die Netze, wenn auf Österreich eine Cyberattacke durchgeführt wird. Auch das „Unzureichende Bewusstsein und Verständnis für Cyberthemen“, fehlende Sicherheitsgütesiegel und das Fehlen systematischer Technologiefolgenabschätzungen werten die Experten als sehr riskant und gefährlich für Österreich

Cyber-Strategie
„Mit unserer Matrix leisten wir unseren Fach-Input. Daraus soll eine Cyber-Strategie für Österreich entstehen und gewisse Punkte in Gesetzesmaterialien eingebettet werden“, so Hameseder. Da Fachleute mit höchster Kompetenz an der Matrix mitgearbeitet haben, ist der KSÖ-Präsident überzeugt, dass die Ergebnisse nicht ignoriert würden. Nun gehe es darum, Bewusstsein zu bilden. Nicht nur bei den Politikern, sondern auch bei den Bürgern. Und diese Bewusstseinsbildung müsse schon im Kindergarten beginnen. „Wenn jemand über Internet herausfinden kann, dass sie nicht zu Hause sind, weil die Kinder auf Facebook gepostet haben, dass sie mit ihren Eltern auf Urlaub sind, dann kann das mit dem persönlichen Eigentum zu tun haben und mit der persönlichen Sicherheit“, sagt Hameseder. „Das Thema betrifft jeden.“

Wirtschaft gefordert
Die Wirtschaft ist ebenfalls gefordert. Von Unternehmen werden heute im Schnitt 20 Prozent des Budgets in Sicherheit investiert, in den Schutz von Firmen- und Kundendaten. „Dieser Prozentsatz wird sich in Richtung 30 Prozent bewegen müssen“, ist Hameseder überzeugt. Erst wenn etwas passiert bzw. verhindert wird, rechnen sich diese Investitionen. „Das ist eine absolut notwendige Investition für die Qualität und Reputation eines Unternehmens.“ Sowohl die Experten wie auch das KSÖ geht davon aus, dass es das Thema Sicherheit in der ersten Führungsebene oft noch zu rosig gesehen werde. Am 20. September findet im Innenministerium eine Cybersecurity-Konferenz statt, 288 Vorstände heimischer Unternehmen sind vom KSÖ und Innenministerium persönlich eingeladen worden. Hameseder: „Ich hoffe, dass wir viele überzeugen können, dass Sicherheit Bestandteil der Unternehmensstrategie sein muss.“