Am Freitag wurden die Ergebnisse der österreichischen IKT-Sicherheitsstrategie präsentiert. Die in fünf Arbeitsgruppen anhand eines Planspiels gewonnenen Erkenntnisse sollen der erste Schritt für eine Cyber Security Strategie für Österreich sein. Die Herangehensweise mithilfe eines gespielten Szenarios sollen vor allem der Bewusstseinsbildung dienen und konkreten Aktivitäten im Falle eines Cyber-Vorfalls Erkenntnisse bringen. Die Absicherung strategisch bedeutender Einrichtungen soll den Wirtschaftsstandort Österreich stärken.
130 Expertinnen für mehr Sicherheit
Ohne das Internet und die dazugehöre Infrastruktur würde nicht nur die Informationsübermittlung an die Bürger leiden, sondern der gesamte Zahlungsverkehr, die Logistik und Teile der Wirtschaft würden lahmgelegt werden. Vier bis fünf Prozent des Bruttoinlandprodukts werden mittlerweile im Internet-Bereich erwirtschaftet. Genau dieses Szenario wurde vom Bundeskanzleramt, dem Kuratorium Sicheres Österreich, dem Bundesministerium für Inneres und zahlreichen weiteren Akteuren aus Privatwirtschaft und öffentlichen Einrichtungen durchgespielt. Rund 130 Experten sind in die Entwicklung einer österreichischen Strategie für Sicherheit im Internet involviert.
Europaweit einzigartiges Planspiel
Mag. Wolfgang Ebner vom Bundesministerium für Inneres geht es um die „öffentliche Sicherheit im virtuellen Raum". Das BMI hat dafür einen Drei-Säulen-Ansatz entwickelt: Das Cybercrime Competence Center, die Absicherung im Ministerium selbst und das Zusammenwirken staatlicher und privater Akteure. Insbesondere für die Privatwirtschaft wurde eine Risikomatrix entwickelt. Das Planspiel vom 12. Juni war laut Ebner ein einzigartiges seiner Art in Europa.
Fehlen von klaren Schnittstellen
Das Kuratorium Sicheres Österreich , vertreten durch Christian Kunstmann, vergleicht die Strategie mit einem virtuellen Sicherheitsgurt. Dieser sei noch nicht vollständig fertig, die ersten Schritte wurden allerdings schon gesetzt. Die größte Erkenntnis ist in Augen des KSÖ die Notwendigkeit von Spielregeln, die während eines Notfalls zu tragen kommen. Der KSÖ nimmt dabei die Rolle eines Vermittlers ein, der zwischen privater und öffentlicher Hand steht. Was in Österreich laut Kunstmann fehlt, sind klare Schnittstellen, die der gegenseitigen Hilfestellung dienen.
Keine Details zu den Ergebnissen
Details zum tatsächlichen Szenario und den gezielten Maßnahmen werden erst nach dem 28. Juni präsentiert, am Tag des Sicherheitskongresses in Wien. Allerdings wurden die fünf wichtigsten Ziele zur Einrichtung einer nationalen Sicherheitsstrategie genannt: Die Förderung von Bewusstsein für Risiken, das Erkennen der Risiken, die Organisation der Zusammenarbeit einzelner Akteure, die Prävention von Krisen und die Förderung der Sicherheit.
Konkrete Ziele und Maßnahmen
Die einzelnen Arbeitsgruppen sehen ihre Ziele vor allem in der Schaffung gesetzlicher Rahmenbedingungen und internationaler Kooperationen. Das Krisenmanagement, so die Arbeitsgruppe „Kritische Infrastruktur", braucht Risikoabschätzungs-Mechanismen wie eine Technologiefolgenabschätzung. Diese Risiken müssen bedacht werden und ein Plan, auch in Unternehmen, entwickelt werden. Hierbei geht es nicht nur um Angriffe wie Stuxnet oder Angriffe von Anonymous, so die Arbeitsgruppe „Riskoeinschätzungsmanagement". Ein ganz zentraler Punkt ist die Ausbildung von Sicherheitsexperten und die Bildung im Bereich Sicherheit im Internet in Schulen. Und nicht zuletzt soll das Bewusstsein in der Bevölkerung mit Kampagnen und Beratungsangeboten erweitert werden.
Fazit
Staatliche und unternehmerische Zusammenarbeit zu fördern ist das oberste Ziel bei der Entwicklung einer österreichischen Cyber Security Strategie. Der Informationsaustausch muss verbessert, klare Schnittstellen müssen definiert werden. Ein wie in Deutschland existierendes Bundesamt für Sicherheit und Informationstechnik ist zwar nicht konkret geplant, das Gremium wird sich aber an europäischen Lösungen orientieren, um ein Lagezentrum für die Sicherheitsanliegen im Internet zu entwickeln. Die Arbeitsgruppen werden Ende des Jahres konkrete Vorschläge der Bundesregierung vorlegen. Ob sich diese in gesetzlichen Rahmenbedingungen oder regulatorischen Richtlinien festsetzen, steht noch nicht fest. (iw, derStandard.at, 15.6.2012)