Data-Leaks-Analysen Anfang Mai 2019 sprechen von 3,3 Millionen betroffenen Österreichern!

Erst Anfang Mai 2019 sorgten Veröffentlichungen von IT-Sicherheitslücken bei Parteien, Ämtern und Polizei wieder für große Aufregung. Die Auswertung von weltweit verfügbaren vertraulichen Datensätzen ergab, dass auch über 3 Millionen Österreicher davon betroffen sind. Verschieden kritisch einzustufende Login-Daten, E-Mail Adressen und dazugehörige Passwörter waren enthalten. Pikant dabei ist, dass auch rund 8000 Datensätze von Mitarbeitern der öffentlichen Hand, unter anderem auch einige Politiker, zu finden waren.

Passend dazu hat KPMG Anfang Mai 2019 wieder eine Aktualisierung der Studie zur aktuellen Cybersicherheit in Österreich durchgeführt. Demnach gibt es noch große Defizite bei der sicheren Entwicklung von digitalen Diensten. Im Falle von Vorkommnissen wird viel zu selten von betroffenen Unternehmen auch eine Meldung bei den Behörden durchgeführt. Gleichzeitig nimmt die Anzahl der Angriffe zu, wobei Phishing und Malware die Vorreiter bleiben.

EU-weite Verbesserungs-Initiative aus 2016

Um den zunehmenden Gefahren aus dem Bereich der Cybersecurity vorzubeugen, wurde schon 2016 von der Europäische Union die Netz- und Informationssystemsicherheitsrichtlinie (NIS-RL) zum Schutz von kritischer Infrastruktur erlassen. Das zentrale Ziel der NIS-RL ist die Verbesserung der gesamten Cybersecurity aller Mitgliedsstaaten durch organisatorische Vorbereitung und Umsetzung von vorbeugenden Maßnahmen, noch bevor Schadensfälle eintreten. Auswirkungen der Richtlinie ergeben sich daher auf die Betreiber und Anbieter der wesentlichen Dienste eines Landes. Die Vorgabe der EU war eine Umsetzung der Richtlinie bis Mai 2018. In Österreich war dazu von der damaligen Regierung bereits 2017 ein fast fertiger Entwurf zur Umsetzung vorbereitet, der aber durch Neuwahlen und die Neubesetzung der Ministerien nicht fertig abgeschlossen wurde. Das Versäumnis wurde nun endlich 2019 – über 11 Monate nach Fristende – nachgeholt. Bis auf Rumänien ist die Richtlinie nun EU-weit umgesetzt, gerade noch rechtzeitig vor der EU-Wahl im Mai, welche aufgrund verschiedener Manipulationsbefürchtungen genau unter Beobachtung steht.

Inhalte und Umsetzung der NIS Richtlinie

Die Inhalte der NIS-Richtlinie stellen eine Grundlage für die Vorbeugung, Erkennung und Bekämpfung von lokalen und EU-weiten Cybersecurity-Incidents dar. Ein besonderer Fokus ist die Kommunikation und der Austausch von Informationen zwischen den Mitgliedsländern. Diese Aufgabe übernehmen CERTs (Computer Emergency Response Teams), welche insbesondere koordinative Rollen übernehmen. Der andere Hauptbereich widmet sich der Identifikation wesentlicher Dienstanbieter im Land für alle wichtigen Versorgungsbereiche. Um mögliche negative Beeinflussungen der Bürger und der Wirtschaft vorzubeugen, werden präventive Umsetzungen von geeigneten technischen und organisatorischen Maßnahmen von Unternehmen gefordert. Dies betrifft alle relevanten Branchen wie Versorger, Gesundheit, Banken, Verkehr, usw. ab einer gewissen Systemrelevanz, die für jedes Land zu definieren ist.

NIS-Gesetz mit Lücken

Während die gemeinsame Behandlung des wichtigen Themas Cybersecurity EU-weit stark begrüßt wird, sehen Kritiker die Umsetzung des NIS-Gesetzes seitens der Österreichischen Regierung noch als unvollständig an. Es fehlen konkrete Rahmenbedingungen für einzufordernde Maßnahmen bei Unternehmen und für die Durchführung von Aktionen im Falle eines Zwischenfalls. Unklar ist anscheinend auch, welche Ministerien und Ämter ab welchen verschiedenen Auswirkungen die Leitung übernehmen. Rechtlich ungeklärt ist, welche konkreten Maßnahmen zur Bekämpfung von Vorkommnissen ergriffen werden dürfen. Sind präventive Aktionen erlaubt, dürfen betroffene Systeme einfach deaktiviert und der Netzzugriff stark eingeschränkt werden?

Digitalisierung – ja, aber mit Hausaufgaben!

Der Weg, die Bedrohungen aus dem Bereich der Cybersecurity sichtbarer zu machen und vorbeugende Maßnahmen einzufordern, ist richtig und unverzichtbar. Die Weiterentwicklung der Initiative muss aber parallel und gemeinsam mit einer Digitalisierungsstrategie erfolgen. Es benötigt eine höhere Priorisierung des Themas Cybersecurity als in den letzten beiden Jahren sichtbar. Ohne umfassende Maßnahmen zur IT-Sicherheit sind digitale Dienste nicht zuverlässig realisierbar, welche das Vertrauen und die Akzeptanz der Benutzer langfristig sicherstellen.