Experte: Auch Österreich braucht IT-Sicherheitsgesetz

Das geplante IT-Sicherheitsgesetz in Deutschland zum Schutz strategisch wichtiger Branchen wie Finanzen oder Energie vor Cyber-Angriffen ist trotz mehrfacher Überarbeitung des Regierungsentwurfs noch immer heftig umstritten. In Österreich sei ein solches Gesetz aber nicht einmal geplant, kritisiert der IT-Sicherheitsexperte Markus Robin und warnt vor einem Standortnachteil für Österreich.

"Eine Kernvorgabe des geplanten IT-Sicherheitsgesetzes in Deutschland ist, dass sicherheitskritische Vorfälle von Unternehmen an zentrale Stellen zu melden sind. Die zweite ist, dass es Mindeststandards gibt, an die sich die Betreiber zu halten haben und die überprüft werden", erklärte Robin, geschäftsführender Gesellschafter des IT-Sicherheitsberaters SEC Consult, im Gespräch mit der APA. "Es ist dann nicht mehr wahlfrei, ob man gewisse Mindeststandards erfüllt, oder nicht."

Teure Konsequenzen

In Deutschland hat die IT-Branche positiv auf den Mitte Dezember von der Regierung vorgelegten Gesetzesentwurf reagiert. "Die deutschen Kollegen sagen, es ist notwendig, das zu tun, um gesamtstaatlich stabiler zu sein", sagte Robin. "Es wird einen Standortnachteil geben, wenn es nicht zeitnahe eine adäquate Kopie von diesen Vorgaben auch für österreichische Firmen geben wird." Die in Wiener Neustadt ansässige IT-Sicherheitsfirma SEC Consult hat ihre Zentrale in Wien und Töchter in Deutschland, Kanada, Russland, Litauen und Singapur. Von den insgesamt 60 Mitarbeitern seien 40 "White Hat Hackers", erklärte Robin, also IT-Sicherheitsspezialisten im engeren Sinne.

"Das österreichische Internet ist kein Ponyhof, es ist nicht von anderen EU-Ländern abgeschottet", sagte Robin. "Es gibt Kostenschätzungen, wonach etwa ein Stromausfall alleine in Wien für eine gewisse Anzahl von Stunden bis zu 500 oder 600 Mio. Euro kosten würde." Einen solchen Ausfall zu verursachen wäre vergleichsweise billig, verweist Robin auf ein Bedrohungsszenario des Abwehramtes (einer der beiden Nachrichtendienste des österreichischen Bundesheeres, Anm.), wonach "mit Hacker-Angriffen, mit der einen oder anderen Sabotageaktion und mit dem Einsatz von etwa 10 Mio. Euro im Wesentlichen Österreich abschaltbar ist".

Unternehmen skeptisch

Man würde in Österreich etwa 100 Mio. Euro brauchen, um einen Analyse durchzuführen und die ersten Maßnahmen zur Absicherung der grundlegenden Infrastruktur zu setzen, schätzt Robin. Und durch Zuwarten werde es nicht besser, "die Bedrohungslage steigt".

Gegen das in Deutschland geplante Gesetz, das der IT-Sicherheitsbranche lukrative Aufträge bescheren würde, gibt es aber auch massive Bedenken. Die Unternehmen, die die neue Vorgaben umsetzen sollen - etwa Energie- und Wasserversorger, Telekom-Betreiber, Banken und Versicherungen, Krankenhäuser - befürchten hohen bürokratischen und damit auch zusätzlichen finanziellen Aufwand. Der Branchenverband Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien) und der Industrieverband BDI schätzen die zusätzlichen Ausgaben auf bis zu 1,1 Mrd. Euro.

Anonyme Meldung

Auch machen sich die Unternehmen Sorgen wegen möglicher Rufschädigung, wenn sie verpflichtet werden, schwerwiegende Sicherheitsvorfälle publik zu machen. Dieses Bedenken versucht der überarbeitete Gesetzesentwurf auszuräumen, indem er vorsieht, dass betroffene Unternehmen solche Vorfälle anonymisiert an das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) melden können - es sei denn, es ist durch einen Angriff tatsächlich zu einem Ausfall gekommen.

Auch der deutsche Bundesrat fordert jetzt Nachbesserungen am Regierungsentwurf, die Bundesländer lehnen u.a. eine Ausdehnung der Vorratsdatenspeicherung ab.