Eigenes Gesetz für Cybersicherheitstandards bei Unternehmen

Mit dem Netz- und Informationssytemsicherheitsgesetz (NISG) werden einheitliche Cybersicherheitsstandards für Unternehmen der kritischen Infrastruktur geschaffen. Mitte Dezember 2018 hat der Nationalrat das NIS-Gesetz beschlossen. Dieses soll die Sicherheit der kritischen Infrastruktur in Österreich sicherstellen und die Voraussetzungen für die Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen schaffen.

Energie, Verkehr, Finanzmarkt, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastrukturbetreiber zählen zu den Sektoren, die darunterfallen. Werden die Vorfälle nicht gemeldet, droht eine Geldstrafe bis zu 50.000 Euro, im Wiederholungsfall bis zu 100.000 Euro. Österreich setzt damit eine EU-Richtlinie um, die schon im August 2016 beschlossen worden war. Die Mitgliedsstaaten sollten sie bis 9. Mai 2018 in nationales Recht umgesetzt haben.

Die futurezone hat mit Alexander Janda, Generalsekretär des Kuratorium Sicheres Österreich (KSÖ), über das NIS-Gesetz gesprochen.

futurezone: Österreich hat lange gebraucht, um die EU-Richtlinie umzusetzen. Jetzt steht das NIS-Gesetz und wurde vom Nationalrat beschlossen. Sind Sie mit der Umsetzung zufrieden?
Alexander Janda: Ich bin zunächst einmal sehr zufrieden, dass das Gesetz in Kraft getreten ist, denn es war kein leichter Weg. Das KSÖ hat die Entstehung des Gesetzes seit 2013 begleitet, mit Workshops, Whitepaper und vielen Diskussions- und Präsentationsterminen. Wir haben in dieser Zeit gemeinsam mit allen, die uns unterstützt und begleitet haben, viel gelernt und das Ergebnis ist aus meiner Sicht die Arbeit wert. Es gibt nun erstmals ein Gesetz, dass sich mit dem Thema Cybersicherheit konkret auseinandersetzt und bei dem die Sicherheit nicht nur ein Teilaspekt von Datenschutz oder Cyberkriminalität ist. Wir haben aber auch gesehen, dass eine sich so rasch verändernde Thematik wie die Digitalisierung und die damit verbundene Cybersicherheit nur sehr schwer im gleichen Tempo rechtlich behandelt werden kann.

Wie sehen die einheitlichen Cybersicherheitsstandards für Unternehmen von kritischer Infrastruktur nun genau aus?
Zunächst einmal betrifft das Gesetz nicht die gesamte kritische Infrastruktur sondern eine ausgewählte Gruppe an „Betreibern wesentlicher Dienste“ und „digitale Diensteanbieter“. Damit hat man die Möglichkeit geschaffen, gezielter genau jene Unternehmen anzusprechen, die von dem Gesetz betroffen sein sollen. Für diese Gruppe werden Mindestsicherheitsvorkehrungen vorgeschrieben werden, die sich an den gängigen Standards und Best Practices wie z.B. der ISO 27000-Familie orientieren. Welche das genau sind, wird noch festgelegt und es wird in den jeweiligen Sektoren Anpassungen geben können. Aber Überraschungen sollten keine dabei sein. Im Unterschied zu früher müssen die betroffenen Unternehmen aber die Umsetzung und Einhaltung dieser Standards erstmals dem Innenministerium nachweisen.

An wen müssen Vorfälle gemeldet werden und in welchem Zeitfenster, bevor Strafen drohen?
In den meisten Fällen müssen die Unternehmen an ihr sektorspezifisches Computer Emergency Response Team (CERT) melden. Ausnahmen gibt es dort, wo die vorhandenen Meldeverpflichtungen bereits jetzt strenger sind, als jene des NIS-Gesetzes, also im Telekommunikations- und im Finanzbereich. Laut Gesetz müssen die Meldungen unverzüglich erfolgen. Diese Formulierung hat im Vorfeld teilweise für Kritik gesorgt, weil sie manchen nicht konkret genug war. Wir haben aber in unseren Diskussionen zum NIS-Gesetz gehört, dass es den Behörden nicht darum geht, dass sofort gemeldet wird sondern dass ihnen sehr wohl bewusst ist, dass die Unternehmen sich zuerst um den Cyberangriff kümmern. Sobald es aber irgendwie möglich ist, die Behörden zu informieren, muss dies auch passieren – ohne Verzug.

Wie lange braucht es, bis die Koordination zur Prävention sowie zur Bewältigung von Sicherheitsvorfällen sich eingespielt hat?
Das sollte von Beginn an funktionieren, denn diese Koordination gab es schon jetzt in vielen Bereichen. Seit einigen Jahren gibt es eine enge Zusammenarbeit von Betreibern kritischer Infrastrukturen mit dem Innenministerium und dem Bundeskanzleramt, nicht nur im Bereich der Cybersicherheit. Und auch zwischen den Ministerien wurde schon lange zusammengearbeitet, wenn es um die Cybersicherheitskoordination geht. Das Gesetz stellt diese Zusammenarbeit jetzt noch zusätzlich auf sichere rechtliche Beine und regelt genau, wer wofür zuständig ist.

Wie wurden Cybersicherheitsvorfälle bisher gehandhabt? Was verbessert sich mit dem NIS-Gesetz konkret?
Der wichtigste Unterschied zu früher ist, dass ab jetzt bei den Betreibern wesentlicher Dienste Cybervorfälle nicht mehr verschwiegen werden können, sondern gemeldet werden müssen. Für Unternehmen ist es keine einfache Entscheidung, ob sie einen Cybervorfall melden, denn die öffentliche Meinung geht immer noch in die Richtung, dass ein Betroffener sich nicht gut genug geschützt hat. Auch wenn das vielleicht manchmal der Fall ist, so kann in einer Welt der umfassenden Digitalisierung jeder zu einem Cyberopfer werden, auch wenn man sich entsprechend vorbereitet hat. Mit dem Gesetz werden wir nun erstmals herausfinden, wie oft diese Vorfälle tatsächlich vorkommen.

Was für eine Rolle spielt das nationale Computer-Notfallteam CERT.at dabei?
Das NIS-Gesetz sieht die Einrichtung von sektorspezifischen Computer-Notfallteams vor, also z.B. ein Computer-Notfallteams für den Energie-Sektor, eines für den Finanzsektor, etc. Derzeit gibt es nur das Energie-CERT „Austrian Energy CERT“ und das Behörden-CERT „Government-CERT“ als reine Sektoren- Computer-Notfallteams. Alle anderen Sektoren müssen sich derzeit an CERT.at wenden. CERT.at kommt damit eine sehr wichtige Aufgabe zu, die sie sicher sehr gut bewältigen werden. Trotzdem wäre es sinnvoll, wenn weitere Sektoren ihre eigenen Computer-Notfallteams aufbauen, denn diese können sich auf den jeweiligen Sektor spezialisieren und CERT.at bei großflächigen Angriffen entlasten. Wir unterstützen deshalb beispielsweise derzeit die Gründung eines Finanz-CERTs.

Für das Notfallteam kommen neue Aufgaben hinzu. Sollte es da aus Ihrer Sicht nicht auch mehr Geld dafür geben? Kann man die neuen Aufgaben mit den bisherigen Finanzen bewältigen?
Wenn neue Aufgaben hinzukommen, wird auch mehr Personal benötigt werden und das kostet speziell im Fall der Computer-Notfallteams viel Geld, denn für ein Computer-Notfallteam benötigt man Spezialisten. Wie hoch die zusätzlichen Aufwände tatsächlich werden, wird die Praxis zeigen. In jedem Fall ist aber natürlich auch die Kostenfrage ein weiterer Grund für eine Aufteilung der Aufgaben auf mehrere Sektoren-CERTs.

Wie sieht es eigentlich mit „Responsible Disclosure“ aus? Können unabhängige Sicherheitsforscher nach dem neuen Gesetz noch immer Sicherheitslücken ausfindig machen und Unternehmen darüber informieren, damit sie diese beheben, ohne gesetzlich Probleme zu bekommen?
Es gibt aus meiner Sicht in Bezug auf das NIS-Gesetz keinen Grund, warum Sicherheitsforscher Unternehmen nicht über Sicherheitslücken informieren sollten. Unternehmen haben ja jetzt auch noch gesetzlich geregelte Ansprechpartner auf CERT-Seite und in weiterer Folge auf Behördenseite, denen sie diese Sicherheitslücken als freiwillige Meldungen weiterleiten können.

Warum ist die zentrale Meldestelle im Innenministerium angesiedelt?
Das war eine Entscheidung, die auf Behördenseite gefällt wurde. Das Innenministerium hat mit seinem Cybersecurity Center aber in jedem Fall die notwendige Qualifikation und das Personal dafür, wie wir in der langen Zusammenarbeit während der Begleitung der Erstellung des Gesetzes gesehen haben. Es ist aber wichtig zu verstehen, dass die Meldungen im Innenministerium zusammenlaufen, die Meldungen aber vorher an die Computer-Notfallteams gehen und das Innenministerium wiederum andere Stellen von Vorfällen informiert. Mit dem NIS-Gesetz wurde eine ganze Experten-Struktur geschaffen, nicht nur eine zentrale Meldestelle.

Ist es eigentlich auch vorgesehen, die Öffentlichkeit über Sicherheitslücken zu informieren?
Das wird ja auch schon jetzt gemacht und das soll sich nicht ändern, dafür gibt es ja eine Vielzahl an Quellen. Zu Sicherheitslücken sagt das NIS-Gesetz nichts, nur zu Sicherheitsvorfällen. Also Störungen, bei denen es zu einer Einschränkung der Verfügbarkeit oder einem Ausfall von Diensten kommt. Das NIS-Gesetz definiert beispielsweise, dass die Ministerien die Öffentlichkeit über Sicherheitsvorfälle informieren dürfen, wenn das der Sensibilisierung der Öffentlichkeit dient oder auf sonstige Weise im öffentlichen Interesse liegt und keine datenschutzrechtlichen Punkte dagegensprechen.

Ist Österreich mit dem NISG-Gesetz jetzt gut gegen Cyberangriffe gewappnet oder braucht es noch weitere Schritte?
Das Gesetz war der erste Schritt – aber ein sehr wichtiger Schritt. Jetzt muss sich zeigen, um wie viel besser der Schutz gegen Cyberangriffe durch die neuen Strukturen und die Meldepflicht funktioniert. Ist es durch die Meldepflicht für andere, noch nicht von einem Vorfall betroffene Unternehmen einfacher, sich zu schützen? Funktioniert der Informationsaustausch zwischen den Unternehmen über CERTs, Behörden und internationale Partner? Schützen sich Unternehmen besser, wenn sie durch das BMI geprüft werden oder waren sie schon jetzt ausreichend geschützt? All das werden wir uns in den nächsten Monaten genau ansehen und dann die nächsten Schritte planen. Aber eines ist sicher: so rasch wie die Digitalisierung voranschreitet, werden sich auch die Herausforderungen ändern. Es sind ganz sicher noch viele Schritte notwendig. Sicherheit ist ein Prozess, kein Projekt.

Dieser Artikel ist im Rahmen einer bezahlten Kooperation zwischen futurezoneund dem Kuratorium Sicheres Österreich (KSÖ) entstanden.