„Mehr Cyberhygiene würde die meisten Angriffe verhindern“

Cybersicherheit wird immer mehr zur Chefsache. Anlässlich der EU-Ratspräsidentschaft von Österreich richtete das Bundeskanzleramt eine zweitägige Cybersecuritykonferenz für den Governmentbereich in Wien aus, um über die Herausforderungen der Zukunft zu sprechen. Medien waren keine zugelassen, weil auch „noch nicht freigegebene Ergebnisse“ diskutiert wurden. Die futurezone traf anlässlich der Konferenz aber mehrere Experten.

„Wir haben Zukunftsstrategien besprochen und wie der öffentliche Sektor hier mit dem privaten Sektor zusammenarbeiten kann“, erzählt Erich , CIO im Bereich IKT-Sicherheit im Bundeskanzleramt im exklusiven Gespräch mit der futurezone. „Cybersecurity hat europaweit einen sehr hohen Stellenwert und wird maßgeblich dafür verantwortlich sein, ob Digitalisierung gelingen wird. Das wird sie nämlich nur, wenn es Vertrauen gibt.“ 

Aufruf zur Zusammenarbeit

Eröffnet wurde die Konferenz von EU-Vizekommissionspräsident Andrus Ansip. Dieser rief zu mehr Zusammenarbeit zwischen den Staaten der Europäischen Union sowie zu mehr Cyberhygiene auf. „Kein Staat wird seine Cyberprobleme alleine lösen können. Wir müssen hier zusammenhelfen“, sagt der EU-Vizekommissionspräsident. Die Kommission hatte im September 2017 in einem Cybersecurity Act Maßnahmen angeregt, um Cyberattacken besser abzuwehren und die Sicherheit in der EU zu erhöhen. Diese werden derzeit im Rat und im Europäischen Parlament beraten.

"Das Thema Informationssicherheit ist Aufgabe eines Nationalstaats. Aber wir sind sehr dankbar für eine enge, gute Zusammenarbeit mit Österreich, aber auch Frankreich. Wir müssen Informationssicherheit auch international als Voraussetzung für eine erfolgreiche Digitalisierung verstehen", erklärt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik ( BSI). Wolfgang Ebner, Präsident des Zentrums für sichere Informationstechnologie (A-SIT) in Österreich, spricht von einer „erfreulichen Vertiefung der Kooperation auf europäischen Ebene“.  

Doch was sind eigentlich die größten Gefahren im Cyberbereich? „80 bis 90 Prozent der Angriffe könnten alleine schon durch mehr Cyberhygiene verhindert werden“, sagt Ansip. „Wie man sich vor dem Mittagessen ganz selbstverständlich die Hände wäscht, müssen wir nach der Inbetriebnahme von neuen Geräten unsere Passwörter ändern“, erklärt Ansip. Denn heutzutage würden schon Kühlschränke oder Glühbirnen für Cyberkriminalität missbraucht. „Wir müssen daher dafür sorgen, dass Menschen die Passwörter ihrer Geräte ändern und dafür, dass es minimale Standards gibt.“

IoT-Labels wie das AMA-Gütelsiegel

Diese werden unter anderem im Cybersecurity Act definiert und sehen etwa eine für Hersteller von IoT-Geräten nicht verpflichtende Zertifizierung vor. „Das ist vergleichbar mit einem AMA-Gütesiegel, da gibt es auch keine Verpflichtung, aber Transparenz vom Ursprung bis zum Endverbraucher. Das ist auch der Ansatz, den wir hier in Österreich verfolgen, um Sicherheitsstandards für IKT-Produkte zu gewährleisten“, erklärt Albrechtowitz.

„Ich sehe das als wichtigen Schritt. Andere Formen von Standards würden extreme Risiken mit sich bringen. Der Weltmarkt USA und China hätte sonst eine wesentlich raschere Reaktionszeit als Europa“, heißt es seitens des Bundeskanzerlamts-Cyberexperten. In Deutschland setzt man bei dem Thema ebenfalls vermehrt auf die Kennzeichnung von Security. "Wir wollen, dass Verbraucher bewusst entscheiden können, wie sicher ihre Smartphones und Endgeräte sind. Deswegen arbeiten wir an entsprechenden Kennzeichnungen, damit Verbraucher ihr Smart Home nur mit sicheren Geräten steuern und nicht mit unsicheren", sagt Schönbohm. Hierfür sei eine "gute Zusammenarbeit mit der Wirtschaft" sehr wichtig.

BSI will aufrüsten

"Weltweit gibt es rund 800 Millionen Schadprogramme, 390.000 neue kommen jeden Tag hinzu, obwohl wir noch nicht einmal in einer digitalisierten Welt leben. Es gibt erhebliche Lücken und Schwachstellen, die wir in der realen Welt nie akzeptieren würden", sagt Schönbohn. Das BSI werde deshalb bis Ende 2019 die "größte Cybersicherheitsbehörde Europas" mit rund 1300 Mitarbeitern, so der BSI-Präsident.

Auch Methoden wie das „Hacking back“ sind immer wieder im Gespräch. Der deutsche Bundesinnenminister Horst Seehofer hat die Nutzung aktiver Maßnahmen zur Cyberabwehr etwa zuletzt am Digitalgipfel verteidigt und hält es „im Ernstfall als letztes Mittel einer fünfstufigen Eskalation für gerechtfertigt“. BSI-Präsident Schönbohm wollte „on the record“ zu dieser Causa keine Stellung beziehen.

Kein "Hacking back" in Österreich

In Österreich setzt man unterdessen auf „Risikominimierung“. „Was wir beobachten, sind verstärkt politisch motivierte Angriffe und Spionage. Gerade im Bereich der öffentlicher Verwaltung müssen wir aufpassen, dass keine Informationen von österreichischen Bürgern abfließen können“, sagt Wolfgang Ebner, Präsident des A-SIT. „Hacking back“ sei in Österreich allerdings „kein Thema“. „Wir haben in Österreich sehr strenge Regeln und eindeutige Gesetze. Die liegen auf Prävention. Hacking back wird derzeit in Österreich nicht diskutiert“, so Ebner. Dem stimmt auch Albrechtowitz vom Bundeskanzleramt bei.

Die zweitägige Cybersicherheitskonferenz habe gezeigt, dass es sehr wichtig sei, nicht nur "übereinander, sondern miteinander" zu sprechen, sagt der BSI-Präsident. "Wir haben alle ein gemeinsames Ziel: Digitalisierung muss zum Erfolg werden. Die Konferenz hat gezeigt, dass man sich praktisch austauschen kann." Auch Albrechtowitz spricht von einer „positiven Erfahrung“. „Nichts ist so dynamisch wie die Digitalisierung. Genauso schnell ändern sich die Bedrohungen. So kann man sich austauschen und updaten“, fügt Ebner hinzu.