FORSCHUNG UND GESELLSCHAFT | 18 - BLACKOUT DURCH CYBERWAR FIKTION ODER REALITÄT? - Österreichische ...

Die Seite wird erstellt Nils Weiss

Gesundheit und Fitness

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

FORSCHUNG UND GESELLSCHAFT | 18 - BLACKOUT DURCH CYBERWAR FIKTION ODER REALITÄT? - Österreichische ...

WWW.OEAW.AC.AT

                 FORSCHUNG UND
                 GESELLSCHAFT | 18
                 BLACKOUT DURCH CYBERWAR
                 FIKTION ODER REALITÄT?

ÖAW   2

BLACKOUT DURCH CYBERWAR
FIKTION ODER REALITÄT?

PODIUMSDISKUSSION
AM 16. SEPTEMBER 2019

            ÖAW          1

ÖAW   2

INHALTSVERZEICHNIS

INHALT
EDITORIAL
Georg Brasseur ..................................................................................................................................................................................     5

PODIUMSDISKUSSION

BEGRÜSSUNG UND EINLEITUNG
Georg Brasseur ..................................................................................................................................................................................     7

DISKUSSION: BLACKOUT DURCH CYBERWAR
FIKTION ODER REALITÄT?
Thomas Eiter (Moderation) .............................................................................................................................................................               9
Carina Kloibhofer .............................................................................................................................................................................       9
Dietmar Mandl ..................................................................................................................................................................................     10
Walter Unger .....................................................................................................................................................................................   11
August Reinisch ................................................................................................................................................................................     16

RESÜMEE
Georg Brasseur ..................................................................................................................................................................................    31

                                           ÖAW                                                                                                                                                        3

INHALTSVERZEICHNIS

ÖAW                        4

EDITORIAL

EDITORIAL
GEORG BRASSEUR

„Einen Augenblick lang verstummt alles. Dann treten die Folgen eines
Stromausfalls abrupt und massiv auf. Im ganzen Land fallen auf einen Schlag
die Ampeln aus. Tausende Unfälle ereignen sich gleichzeitig. Unzählige
Menschen stecken in Zügen, U-Bahnen und Fahrstühlen fest.
Aus: „Quarks & Co bei Planet Schule, Strom – Die Revolution
im deutschen Netz“, 27.06.2012; WDR

Ist ein landesweiter Stromausfall, einen Zusammenbruch herbeizu die zentrale Frage der von der ÖAW
also ein Blackout, Fiktion oder Reali führen. Die wachsende Vernetzung initiierten Podiumsdiskussion, bei
tät? Fest steht: Ein Szenario wie die von Computersystemen, der enorme der Expertinnen und Experten wis
ses zeigt die Verwundbarkeit unserer Digitalisierungsschub und die Fort senschaftsbasiert über Cyberattacken
modernen Welt, in der ohne elek schritte bei der Entwicklung künst und Cyberabwehr, über Energienetze
trische Energie so gut wie gar nichts licher Intelligenz erhöhen zudem und völkerrechtliche Aspekte disku
mehr funktioniert. Ein tagelang an die Möglichkeiten von Attacken auf tierten.
dauernder, landesweiter Stromaus der Software-Ebene. Ein sogenann In der vorliegenden Publikation
fall kann, wie Beispiele aus der Ver ter Cyberwar entbrennt zwischen können Sie den Verlauf der Debatte
gangenheit zeigen, schwerwiegende Konfliktparteien, wird anfänglich im nachvollziehen und erhalten im
Folgen für die Wirtschaft und die Stillen geführt und greift die Souve Schlusswort eine zusammenfassende
Gesellschaft haben. Die Stromversor ränität eines Landes an. Deutung des Gesagten. Die ÖAW
gung ist daher DIE kritische Infra Ob die Lahmlegung der Stromver bietet mit dieser Publikation einer
struktur jedes hoch industrialisierten sorgung durch Aktionen im Rahmen breiten Öffentlichkeit die Grund
Landes. Längst gehören Cyberan eines Cyberwars eine reale Bedrohung lagen und eine faktenbasierte Orien
griffe zur erklärten Maßnahme, ein darstellt, oder – vom Stand der Tech tierung zu einem alle Lebensbereiche
Land gezielt zu destabilisieren und nik betrachtet – nur Fiktion ist, war betreffenden Thema.

ÖAW 5

EDITORIAL

ÖAW               6

BEGRÜSSUNG UND EINLEITUNG

BEGRÜSSUNG UND
EINLEITUNG
GEORG BRASSEUR

Meine sehr geehrten Damen und              sumenten weltweit 158 Milliarden
Herren, liebe Kolleginnen und Kol
                                          US-Dollar durch Cybercrime verloren
legen, im Namen des Präsidiums             haben.1 Was ist davon F    iktion? Was
der Österreichischen Akademie der          ist Realität? Zu diesen Fakten werden
Wissenschaften heiße ich Sie im Fest     wir später in der Diskussion zurück
saal der Akademie herzlich willkom        kehren. Doch zunächst begrüße ich
men. Während Sie im Saal Platz ge         insbesondere hochrangige Vertre
nommen haben, lief ein fünf M    inuten   terin
                                                nen und Vertreter der Parla
langes Video, das einige Hard Facts        mentsdirektion, des Bundesministe
zum Thema Cyber       attacken aufge     riums für Landesverteidigung und
                                                                                              Georg Brasseur, Professor für Elektrische
zeigt hat: Beispielsweise dass welt       des     Außenministeriums         sowie
                                                                                              Meßtechnik und Meßsignalverarbeitung
weit pro S ekunde 12 mit dem Internet     Personen aus einem Unternehmen
                                                                                              an der Technischen Universität Graz,
verbundene Personen von Cyber             der Privatwirtschaft im Energie-,
                                                                                              wurde 2012 zum wirklichen Mitglied
attacken betroffenen sind, dass fast       Computer- und Sicherheitssektor,
                                           
                                                                                              der ÖAW gewählt. Seit 2013 ist er Präsi-
die Hälfte der Kriminalität in England   da wir uns heute dem Thema „elek
                                                                                              dent der mathematisch-naturwissenschaft
„Cybercrime“ zuzuschreiben ist, dass      trische Energie“ widmen. Natürlich
                                                                                              lichen Klasse.
in den USA der Diebstahl von perso
nenbezogenen Daten die am schnells        1   Hackerpocalypse: A Cybercrime Revelation,
ten w achsende kriminelle Handlung            Steve Morgan, Editor-in-Chief, Cybersecurity
darstellt, dass täglich mehr als 230.000       Ventures; A 2016 Report from Cybersecurity
neue Schadsoftware-Programme im                Ventures sponsored by Herjavec Group, Q3
                                               2016; p. 6
Internet auftauchen und dass im                http://cybersecurityventures.com/hacker
Jahr 2018 Konsumentinnen und Kon              pocalypse-cybercrime-report-2016.

                            ÖAW                                                                                                      7

BEGRÜSSUNG UND EINLEITUNG

begrüße ich auch die Mitglieder der fragen. Sie informieren Politik und für Informationssysteme der Techni
Österreichischen Akademie der Wis Gesellschaft über neue wissenschaft schen Universität Wien und seit 2007
senschaften, unsere Mitarbeiterinnen liche Erkenntnisse. Die Akademie ist korrespon dierendes Mitglied der
und Mitarbeiter sowie Medienvertre ein lebendiger Ort, an dem wissen Österreichischen Akademie der Wis
terinnen und Medienvertreter. Mein schaftliche Leistungen und Erkennt senschaften.
besonderer Gruß und Dank richtet nisse vermittelt werden. Sie bietet
sich an die vier Podiumsgäste: C
arina intellektuellen Raum für Diskussion,
Kloibhofer, Walter Unger, Dietmar fördert eine Gesellschaft, die offen
Mandl und August Reinisch. Sie für Wissenschaft und Technologie
werden später vom Moderator näher ist, und versucht, das Bewusstsein
vorgestellt werden. Und last but not für aktuelle wissenschaftliche und
least begrüße ich unseren Moderator, gesellschaftliche Herausforderungen
Thomas Eiter, der Sie durch die Ver zu schärfen.
anstaltung begleiten wird. Die verschiedenen Veranstaltungen,
Die Österreichische Akademie der die sich insbesondere auch an junge
Wissenschaften hat den gesetzlichen Menschen richten, sollen frühzeitig
Auftrag, die Wissenschaft in jeder die Faszination für Wissenschaft,
Hinsicht zu fördern. 1847 als Gelehr Forschung und Technologie wecken.
tengesellschaft gegründet, hat sie Der Film, den Sie schon am Anfang
gegenwärtig mehr als 760 Mitglieder gesehen haben, sollte Sie auf das ein
und rund 1.800 Mitarbeiterinnen und stimmen, was jetzt kommen wird –
Mitarbeiter, die sich der innovativen nämlich ein Bedrohungsszenarium.
Grundlagenforschung, dem interdis Ein Bedrohungsszenarium, das mit
ziplinären Wissensaustausch und der Datendiebstahl beginnen kann, Stich
Wissensvermittlung widmen. Die wort Hackerangriffe, und bis zum
große Anzahl der Mitarbeiterinnen Angriff auf die Souveränität eines
und Mitarbeiter ist auch darauf zu Landes gehen kann und damit als
rückzuführen, dass die Akademie Cyberwar bezeichnet wird. Heute
zahlreiche Forschungsinstitute auf steht das Thema elektrische Ener
höchstem wissenschaftlichen N iveau gie im Vordergrund, daher auch der
betreibt. Die Mitglieder bilden die Titel: Blackout durch Cyberwar.
Gelehrtengesellschaft und stellen Damit übergebe ich das Mikro
sich einem regen fachübergreifenden fon an Thomas Eiter, Professor für
Austausch in wichtigen Zukunfts Wissensbasierte Systeme am Institut

ÖAW 8

PODIUMSDISKUSSION

PODIUMS
DISKUSSION
THOMAS EITER CARINA KLOIBHOFER

Vielen Dank. Im eingangs gezeig Als Research Engineer am Austrian
ten Film stand Cyberkriminalität Institute of Technology beschäftige
als Bedrohung im Vordergrund. Wir ich mich mit interdisziplinärer
werden uns heute auf kritische Infra Sicherheitsforschung in den unter
struktur konzentrieren, speziell auf schiedlichsten Domänen. Darüber
den Energiesektor. Sonst könnten wir hinaus, weil Sicherheitsforschung
dieses Thema gar nicht erschöpfend immer am aktuellen Stand sein
behandeln. Es freut uns, dass wir da muss, befasse ich mich auch mit der
für vier Expertinnen und Experten Imple mentierung von technischen
gewonnen haben und ich bitte C arina und organisatorischen Maßnahmen
Kloibhofer, Research E ngineer am gegen die täglichen Bedrohungen

Thomas Eiter, Professor für Wissens
Austrian Institute of Technology in den unter schiedlichsten Domä
basierte Systeme an der TU Wien, Institut
(AIT), auf das Podium. Ich ersuche nen. Was sind nun typische tägliche
für Logic and Computation, ist seit 2007
Sie, uns zu erzählen, was Sie beruf Bedrohungen? Sie haben es gerade
korrespondierendes Mitglied der mathe-
lich machen, und bitte klären Sie uns angesprochen: zum Beispiel Ransom
matisch-naturwissenschaftlichen Klasse
auch über einige der im Film genann ware. Ransomware ist vor allem eine
im Inland.
ten Begriffe auf. Zum Beispiel war Attacke auf die Verfügbarkeit der
von Ransomware die Rede, was ver Daten. Zum Beispiel die Ransomware
steht man darunter? „Cryptolocker“, eine Ausprägung,
wo Daten tatsächlich auch verschlüs
selt werden und damit nicht mehr
zugreifbar sind. Das zielt in der Regel
auf Erpressung ab. Das heißt, hier
stehen meist monetäre Ziele der An

ÖAW 9

PODIUMSDISKUSSION

                                          greifenden dahinter. Darüber h   inaus   DIETMAR MANDL
                                          kam im Film auch der Begriff DDoS
                                          vor, also „Distributed-Denial-of-         Die Austrian Power Grid AG betreibt
                                          Service“-Attacken,    die     ebenfalls   das Höchstspannungsnetz in Öster
                                          auf die Verfügbarkeit von Daten           reich und gewährleistet die sichere
                                          abzielen. Unter Zuhilfenahme der          Stromversorgung Österreichs. Als
                                          Rechenpower einer großen Anzahl          unabhängiger Übertragungsnetzbe
                                          unterschiedlicher Rechner wird eine      treiber Österreichs ist die Kernauf
                                          Überlastung der IT-Infrastruktur her    gabe der APG, diese Balance in jedem
                                          beigeführt. Auch hier liegt der Fokus     Moment zu halten. Die Stromversor
                                          darauf, die Verfügbarkeit der Daten       gung funktioniert nach einem we
                                          zu blockieren, um dann die Lösung in      sentlichen Prinzip: Stromerzeugung
                                          Form eines externen Services gegen        und Stromverbrauch müssen sich
                                          Geld anzubieten oder um ungesehen         in jeder Sekunde exakt die Waage
                                          in Datennetzwerke einzudringen und        halten. Nur dann ist das System
                                          illegale Transaktionen zu tätigen.        stabil und die Versorgung sicherge
                                                                                    stellt. Als Chief Information Security
                                                                                    Officer habe ich ein sehr umfassen
                                          THOMAS EITER                               des und breites Aufgabengebiet inne.
                                                                                     Eine der wichtigsten Tätigkeiten ist
                                          Wir werden sicher noch Gelegenheit         sicherlich das Risikomanagement.
Carina Kloibhofer, MSc MSc, Research
                                          haben, mehr darüber zu sprechen,           Neben der durchdringenden Ver
Engineer am Center for Digital Safety &
                                          insbesondere auch in Bezug auf das         netzung und dadurch Erhöhung der
Security, Austrian Institute of Techno
                                          heutige Thema. Der nächste Teilneh        Komplexität des Gesamtsystems
logy GmbH (AIT).
                                          mer am Podium ist Dietmar Mandl,           ändert sich auch zunehmend die
                                                                                     
                                          Chief Information Security Officer         Bedrohungslage. Daher müssen lau
                                          und Datenschutzbeauftragter der            fend die Bedrohungsszenarien analy
                                          Austrian Power Grid AG (APG). Für          siert und ein möglicher Schaden für
                                          die heutige Veranstaltung vertritt er      das Unternehmen mit der entspre
                                          die Rolle des Angegriffenen. Viel         chenden Eintrittswahrscheinlichkeit
                                          leicht können Sie uns ein bisschen         bewertet werden. Da uns nicht un
                                          über Ihre Tätigkeit erzählen.              limitierte Ressourcen zur Verfügung
                                                                                     stehen, werden im Anschluss Maß
                                                                                     nahmen risikobasiert abgeleitet.

                           ÖAW                                                                                          10

PODIUMSDISKUSSION

THOMAS EITER ßen Nachteil. Der Nachteil ist, der
Geheimstempel sorgt dafür, dass
Nachdem wir von Angriff und dem das möglichst wenige Leute lesen.
Objekt der Begierde gehört haben, Aus diesem Grund – bis 2008 fast
wäre dann die Verteidigung das unbekannt – durfte ich dann das
nächste Thema. Ich darf dazu Walter erste Mal in der Gesellschaft für
Unger, Oberst des Generalstabsdiens Politisch-Strategische Studien an

tes und Leiter der Cyber- Defence- der Landesverteidigungsakademie
Abteilung des Abwehramtes, ange dazu vortragen. Und da hatte ich
siedelt im Bundesministerium für beim Blick ins Publikum das Ge
Landesverteidigung, auf das Podium fühl, die Leute glauben, der ist doch
bitten. jetzt vom Mars gefallen. Ich habe
Cyberwar-Szenarien dargestellt, was
alles passieren kann. Bei einigen im
WALTER UNGER Publikum dachte ich, die glauben,

ich bin jetzt direkt aus Hollywood
Der Begriff Security gehört dem angereist. Zwei Jahre später haben
Innenressort. Wir sind die, die das wir den Stuxnet (Computerwurm-
Land verteidigen, auch im Cyber Cyberattacke auf Industrieanlagen des
raum. 2003 gab es die Bundesheer Iran 2010, Red.) erlebt. Und das war
reformkommission unter dem Vor dann wirklich ein Wake-up-Call.
Dietmar Mandl, MSc, Chief Information
sitz des ehemaligen Bürgermeisters Österreich hat sich aus der damals
Security Officer and Data Protection
Helmut Zilk, da habe ich zwischen noch dahinplätschernden Diskus
Officer der Austrian Power Grid AG
Tür und Angel von einem General sion heraus sehr ernsthaft mit der
(APG).
den Auftrag bekommen: „Und du Thematik beschäftigt und 2013 die
beschäftigst dich jetzt mit Cyber Cyber-Security-Strategie Version 1
war und Cyberterrorismus und dem beschlossen, nach der dann über
Schutz kritischer Infrastrukturen.“ Jahre jetzt einige Instrumente
Aus dieser kurzweiligen Beschäfti aufgebaut wurden, die uns vor
gung ist eine 150 Seiten starke Studie solchen Gefahren schützen sollen.
entstanden. Die hat einen großen, Parallel dazu ist meine 2001 aufge
roten Stempel oben drauf. Was so stellte Abteilung fünf Mal vergrößert
viel bedeutet wie: geheim. Das hat worden. Einfach deshalb, weil unser
einen großen Vorteil und einen gro Militär erkannt hat, dass wir von

ÖAW 11

PODIUMSDISKUSSION

diesen IT-Infrastrukturen abhängig ein Gefühl dafür zu bekommen, wie
sind. Wir müssen sie entsprechend stark wir vom Strom abhängig sind,
schützen. Und dieser Schutz endet haben wir einen Film vorbereitet, der
natürlich nicht am Kasernentor. Dann vom Westdeutschen Rundfunk, dem
hätte das Militär seinen Hauptzweck WDR, erstellt worden ist2 und der
nicht erfüllt, sondern wir müssen uns vor Augen führt, welche Aus
natürlich nachdenken, was bedeutet maße ein Blackout, der länger anhält,
Landesverteidigung im Cyberraum. erreichen kann.
Was bedeutet es, einen virtuellen
Raum zu verteidigen? Während die Situation in den Städten
eskaliert, tickt vor den Städten eine
Zeitbombe. Atomkraftwerke brau-
THOMAS EITER chen Kühlung. Bricht hier die Not-
stromversorgung zusammen, droht
Nach diesem umfassenden Ein die Kernschmelze. Eine Woche ohne
blick in die Entwicklung der Cyber- Strom würde unsere Gesellschaft
Defence-Abteilung bitte ich als letz nicht überstehen.
ten im Quartett August Reinisch (Zitat: Schlusskommentar aus dem
von der Universität Wien, Institut gezeigten Film)
für Europa recht, Internationales
Recht und Rechtsvergleichung auf
Oberst Walter Unger, Leiter der Abtei-
das Podium. Das Ganze hat ja auch THOMAS EITER
lung „Cyber Defence“, Abwehramt des
eine rechtliche Dimension bezie
österreichischen Bundesheeres, Bundes-
hungsweise ist es eine rechtlich sehr Das war doch ein sehr ernüchtern
ministerium für Landesverteidigung
spannende Frage, wie diese Art von der Film, der uns unsere Abhängig
(BMLV).
Angriffen, Cyberattacken zu bewer keit von Strom sehr klar vor Augen
ten sind. Wie geht man damit um? führt. Frau Kloibhofer, ich möchte
Aus strafrechtlicher Sicht und auch mit Ihnen beginnen und nochmals
aus völkerrechtlicher Sicht? Ist das die Frage stellen: Ist dieses Szenario
Neuland? Wir kommen gleich zu realistisch? Könnte man einen An-

Ihren Antworten. Doch zunächst:
Unser Thema heute ist die Energie.
Kritische Energieinfrastruktur, insbe 2 Quarks & Co bei Planet Schule, Strom – Die
sondere also Strom. Nur um einmal Revolution im deutschen Netz, 27.06.2012.

ÖAW 12

PODIUMSDISKUSSION

griff in dieser Dimension gestalten, CARINA KLOIBHOFER halben Stunde bis Stunde, maximal
um so einen Blackout zu bewirken? ein paar Stunden. In Ländern mit
Absolute Sicherheit ist meiner Mei einer schlechteren Versorgungs
nung nach nie erreichbar. Es gibt qualität treten lokale Stromausfälle
CARINA KLOIBHOFER keine hundertprozentige Sicherheit. wesentlich häufiger auf. Daher sind
Aber natürlich, je mehr ich bereit bin, die Menschen dort besser auf länger
Über die Auswirkungen wissen die seien es jetzt Kosten, monetäre Mit andauernde Unterbrechungen der
Kolleginnen und Kollegen wahr tel oder andere Ressourcen zu inves Stromversorgung vorbereitet. Der
scheinlich mehr. Aber so ein Angriff tieren, umso höher ist der Grad der letzte große Stromausfall in Südame
an sich ist natürlich vorstellbar. Jede Absicherung, den ich erreichen kann. rika ist ein Szenario, welches natür
Institution, jede kritische Infrastruk lich auch auf Österreich zutreffen
tur oder die Betreiber wesentlicher könnte, wenngleich ich die Eintritts
Dienste, wie sie jetzt heißen, sind DIETMAR MANDL wahrscheinlichkeit als gering ansehe.
natürlich angreifbar. Es gibt kein Es sollte sich daher jede und jeder
System, das zu 100 Prozent sicher ist, Ich möchte die Aussage unterstrei bewusst sein, dass so etwas passie
und es gibt immer auch Lücken, die chen: Hundertprozentige Sicherheit ren kann und sich in gewissem Maße
man finden kann. Es stellt sich immer gibt es nicht. Wir sind alle, wie man es darauf vorbereiten. Die APG trifft
nur eine Frage: Wie viel ist der An im Film auch sehr schön gesehen hat, selbstverständlich umfassende Vor
greifer bzw. die Angreiferin bereit zu abhängig von elektrischem Strom. kehrungen, dass so etwas nicht ein
investieren? Und die Gegenfrage ist: Alle gehen davon aus, dass sie, wenn tritt, hundertprozentig ausschließen
Wie viel ist die Organisation oder ist der Ladestand des Handy-Akkus leer kann man es jedoch nicht.
der Staat bereit zu investieren, um ist, zur Steckdose gehen und diesen
sich abzusichern? ohne Probleme aufladen können. Ge
nauso wie das Internet für uns alle THOMAS EITER
mittlerweile schon selbstverständlich
THOMAS EITER ist. Beim Strom haben wir zusätzlich Und wie ist unsere Energiewirtschaft
dieses Thema, dass die ganze Ge aus Ihrer Sicht gewappnet?
Also ist es letztendlich eine Kosten sellschaft von diesem Lebenselixier
frage? Wenn man die entsprechen abhängt. Darüber hinaus haben wir
den Mittel aufwendet, könnte man in Zentraleuropa, und auch speziell DIETMAR MANDL
das Problem vermeiden und absolute in Österreich, eine hohe Güte der
Sicherheit erzielen? Versorgungssicherheit. Große oder Die Energiewirtschaft ist meines Er
länger andauernde Stromausfälle achtens sehr gut organisiert. Es wird
bewegen sich im Bereich von einer ein regelmäßiger Austausch unter

ÖAW 13

PODIUMSDISKUSSION

einander gepflegt und es werden lau THOMAS EITER erzwingt so politische Zugeständ
fend Übungen durchgeführt. Es wer nisse. Das heißt, man rückt nicht mit
den auch gemeinsam mit Behörden Sie haben die Zusammenarbeit mit Soldaten aus, man kommt nicht mit
und Einsatzorganisationen Übungen Behörden erwähnt. Diese Bedro Fliegern, man kommt mit Cyberan
durchgeführt, um Katastrophenein hungsszenarien, die wir gesehen griffen. Das war die These und diese
sätze begleiten und durchexerzieren haben, können ja durchaus einen haben wir überprüft. Wie wir vor
zu können. Leider ist es nicht so ein vielfältigen Hintergrund haben. Auf her schon gehört und hier gesehen
fach möglich, den Strom auszuschal jeden Fall würde man aber an die haben, sind wir also weitestgehend
ten und den Ernstfall durchzutesten. Cyber-Defence-Abteilung als erste
von diesen Infrastrukturen abhän
Das ist die große Kunst dabei, das Behörde denken. Könnte man aus gig. Wir haben eine sehr arbeitstei
vorab soweit antizipieren zu können Ihrer Sicht solche Angriffe abweh lige Infrastruktur aufgebaut, Just-in-
und dann in einem Planspiel durch ren? Was kann man dagegen unter Time und so weiter. Alle kritischen
zugehen. Grundsätzlich denke ich, nehmen? Infrastrukturen sind von funktionie
dass die österreichische und auch die renden Computern abhängig, begin
europäische Energiewirtschaft sehr nend von der Stromversorgung und
gut abgestimmt sind. Das ist auch WALTER UNGER der Telekommunikation, den Not
notwendig, weil das Energiesystem falldiensten und den Behörden, die
heutzutage wesentlich komplexer Das vorhin gezeigte Szenario ist in besonders wichtig sind in solchen
ist als früher. Durch die Dekarboni etwa das, was wir angenommen Situationen, über die Luftraumüber
sierung, den Ausstieg aus fossiler haben, bevor wir überlegt haben:
wachung und logistischen Systemen
Energie, und den Atomausstieg wer Was tun wir denn jetzt eigentlich? bis hin zum Wasser und zur Ab
den konventionelle Kraftwerke suk Wir haben eine These formuliert, wasserentsorgung. Das ist einem im
zessive durch erneuerbare Energien die lautet: Jeder Staat ist von seinen Alltagsleben nicht bewusst. Damit
wie Wind und Sonne ersetzt. Leider wichtigen Infrastrukturen, von sei müssen wir jetzt leben. Wir müssen
lässt sich überschüssige Wind- und nen strategisch bedeutsamen und – damit rechnen, es könnte Leute
Sonnenenergie nicht so einfach spei wenn sie ausfallen – daher kritischen geben, die wollen von Österreich
chern. Das ist zusätzlich ein kom Infrastrukturen abhängig. Diese politisch etwas und überlegen sich,
plexes Thema, das jetzt vielleicht Infra
strukturen sind heute weitest wie kann man Österreich möglichst
gar nichts mit Cyber-Security zu tun gehend davon abhängig, dass dahin ohne Waffengewalt, sondern nur mit
hat, aber das Gesamtsystem einfach terstehende Netzwerke, IT-basierte Cyberangriffen in die Knie zwingen.
immer komplexer werden lässt. Netzwerke, Computer funktionieren. Und ich fürchte, das ist denkbar.
Daher wäre es eine Überlegung für Und daher ist es auch eine logische
einen Aggressor, man attackiert über Entwicklung in Österreich, dass wir
die Netze diese Infrastrukturen und 2013 die Cyber-Security-Strategie

ÖAW 14

PODIUMSDISKUSSION

entwickelt und fertiggestellt haben. THOMAS EITER Cyberbereich haben Methoden ent
Gar nicht viel später als die meisten wickelt, um sehr, sehr rasch zuzuord
Länder. Einige Länder waren noch Sie haben von Cyberattacken ge nen, woher kommt das, wer steckt
später dran. Seitdem haben wir Infra sprochen und der Frage, wer hin dahinter. Mit großen Unsicherhei
strukturen. Dabei wurde zunächst ter diesen Attacken steht. Sie haben ten noch, ob das hundertprozentig
einmal die Frage geklärt, wer eigent erwähnt, dass dies jemand sei, der immer stimmt, ist fraglich. Wer sind
lich zuständig ist in Österreich. etwas von einem Staat beziehungs die Angreifenden? Wie groß muss die
Das ist aus meiner Sicht relativ ein weise der Regierung will. Können Gruppe sein? Als ich das erste Mal ein
deutig. Wir werden es dann noch das nur Kriminelle sein? Können das ähnliches Szenario präsentiert habe,
genauer hören. So lange Frieden ist, Terroristen sein? Oder können auch hieß es, da wird man jetzt zehntausen
bis hin zur Krisensituation, ist das Staaten dahinterstehen? Und welche de Soldaten brauchen. Und unendlich
Innenministerium zuständig. Und Möglichkeiten hätte man, das über viele Waffen. Alle waren überrascht,
erst wenn ein Verteidigungsfall aus haupt festzustellen? als ich sagte, dafür genügen ein paar
gerufen wird, ist das Militär zustän Dutzend schlaue Köpfe, ein bisschen
dig. Welche Ausnahmesituationen WALTER UNGER Zeit, ein bisschen Geld – ein bisschen
auch immer in Friedenszeiten auf im militärischen Sinne. Keine hohen
treten, das Militär ist unsere einzige Man muss sich natürlich fragen: Wel Summen. Und dann könnte man,
strategische Reserve hier in Öster che Motive verfolgt der Angreifer wenn die Infrastruktur schlecht ge
reich. Egal ob irgendwo zu viel oder die Angreiferin? Und daraus schützt ist, sehr, sehr großen Schaden
Schnee fällt oder es zu viel regnet kann man dann Rückschlüsse ziehen, in kurzer Zeit anrichten. Das bedeutet
oder ob an der Grenze die Polizei woher die Aktion kommt. Weil diese aber auch, dass nicht nur große Staa
Unterstützung braucht, kann das Frage, die Attribution, nämlich die ten solche Angriffe vorbereiten kön
Militär zur Assistenz, zur Amtshilfe Zuordenbarkeit, wer steckt dahin nen, sondern auch Gruppierungen,
herangezogen werden. Und das ist ter, ist keineswegs endgültig oder sogar Terrorgruppen. Wer sich einmal
natürlich auch im Cyberbereich vor gar technisch schon gelöst. Es gibt die Seite des IS angeschaut hat – das
stellbar. Entsprechend wurden auch An näherungen dazu. Man erkennt ist hochprofessionell gestaltet wor
die operativen Elemente – dazu kom das daran, dass man seit einem Jahr den. Man muss also davon ausgehen,
men wir noch – in Österreich aufge auch die Beteiligten benennt. Wenn dass auch in diesen Reihen Hacker,
stellt, nämlich in enger Kooperation man früher gelesen hat, das könnte kluge Köpfe dabei sind, die solche
zwischen dem Innenressort und der oder der gewesen sein, liest man Szena rien überlegen könnten. Das
unserem Ressort. heute, die chinesische Gruppierung, heißt, offensive, aggressive Metho
die nordkoreanische, die russische den sind in vielen Ländern in Vorbe
oder eine andere Gruppierung steckt reitung. Ob und wann sie angewandt
dahinter. Das heißt, Großmächte im werden, das ist eine andere Frage.

ÖAW 15

PODIUMSDISKUSSION

                                            THOMAS EITER                                gefordert, die gegen kriminelle Tätig
                                                                                        keiten vorgehen.
                                            Man liest sehr viel darüber, was ver       Und das findet eine sehr schöne Ent
                                            schiedene Staaten auf diesem Ge            sprechung in der Ressortaufteilung
                                            biet an Tätigkeiten entfalten. Herr         in Österreich. Das Innenministerium
                                            Reinisch, wie sieht hier die rechtliche   ist für die innere Sicherheit zuständig
                                             Situation aus? Wir haben gehört, es        und damit auch für die Durchset
                                             gibt einen Verteidigungsfall und es        zung strafrechtlicher Normen. Aber,
                                             gibt sozusagen nur gewöhnliche Kri        und das ist ganz wesentlich, da wird
                                             minalität, die mit Strafverfolgung         es für uns Völkerrechtler interessant:
                                             geahndet werden muss. Wie sieht es         Wir haben gerade gehört, was aus
                                             von juristischer Seite her aus?            militärstrategischer Perspektive als
                                                                                        
                                                                                        Verteidigungsfall angesehen wird.
                                                                                        Wir haben dazu ungefähr zehn J ahre
                                            AUGUST REINISCH                             lang im Völkerrecht eine s pannende
                                                                                        akademische Diskussion geführt.
                                            Ich wollte, ich könnte eine kurze Ant-      Sind die üblichen Regeln der Selbst
                                            wort geben. Vielleicht einleitend, falls    verteidigung, des bewaffneten An
                                            jemand im Publikum kein Internet-           griffs, unter Berücksichtigung des
                                            Experte ist: Ich gehöre auch dazu.          Sicherheitsrats der Vereinten Natio
                                            Ich habe mit großer Bestürzung die         nen und seiner Befugnisse, des
August Reinisch, Professor für Völker-
                                            ses Video gesehen und frage mich            Rechts der bewaffneten Konflikte
und Europarecht an der Universität
                                            auch, wie das in den Griff zu bekom        und dergleichen, hier anwendbar
Wien, Institut für Europarecht, Interna-
                                            men ist. Aber um auf die rechtliche         oder nicht? Oder ist das eben etwas
tionales Recht und Rechtsvergleichung,
                                            Ebene zu kommen, wir haben gerade           ganz Anderes, weil es sich im soge
ist seit 2018 korrespondierendes Mitglied
                                            die Überlegungen aus einer Verteidi        nannten virtuellen Raum abspielt?
der Österreichischen Akademie der Wis-
                                            gungsperspektive gehört, wie rüstet         Das Video hat meines Erachtens sehr
senschaften.
                                            man sich gegen Cyberattacken. Im            gut illustriert, dass das, was viel
                                            Vorfeld unserer Podiumsdiskussion           leicht im Cyber  space virtuell einen
                                            habe ich auch etwas zögernd geant          Ausgangspunkt hat, dann sehr real
                                            wortet und gesagt, das ist nicht pri       in unserer unmittelbaren Umwelt
                                            mär eine völkerrechtliche, zwischen        Auswirkungen haben kann.
                                            staatliche Frage, sondern sehr häufig       Und dann stellt sich die Frage: Wie
                                            sind hier jene staatlichen Instrumente      reagieren wir darauf? Es herrscht
                                                                                        

                             ÖAW                                                                                             16

PODIUMSDISKUSSION

weitgehend Konsens darüber, dass Attribution genannt haben, was wir 9/11-Angriff nicht von einem staat
ein Cyberangriff eine Intensität haben im Völkerrecht Zurechenbarkeit nen lichen Akteur ausgegangen ist. Dann
kann, die einem bewaffneten Angriff nen. Das ist genau dasselbe. Es wird hat die verzweifelte Suche, sage ich
gleichzuordnen ist. Und dafür haben immer von Gruppierungen gespro jetzt einmal pointiert, der USA begon
wir das klassische völkerrechtliche chen. Und dann rätselt man, ob diese nen: Welcher Staat steht hinter dem
Instrumentarium, nämlich legitim im staatlichen Auftrag gehandelt Angriff? Und können wir Al-Qaida
Selbstverteidigung zu üben. Das ist haben oder geduldet wurden. Da
mit Afghanistan gleichsetzen oder
noch nie geschehen, das ist auch aus muss man besonders aufpassen. Und nicht? Und das konnte man natürlich
guten Gründen noch nicht gesche da liegt die eigentliche Schwierigkeit, nicht so einfach. Aber ich möchte hier
hen. Aber es gibt diese Möglichkeit. in diesen zwei rechtlichen Fragen: vielleicht nicht gleich anfangs zu viel
Wenn es heißt, Beeinträchtigung der Legitimiert die Intensität, Gegen Munition liefern.
Souveränität, dann muss man auf maßnahmen oder sogar Maßnahmen
passen. Es gibt sehr viele solcher An der Selbstverteidigung zu ergreifen?
griffe, die sich vielleicht gezielt gegen Und wenn ja, gegen wen? THOMAS EITER
österreichische Interessen, gegen die Wir haben ähnliche Probleme vor
österreichische Wirtschaft richten zwanzig Jahren diskutiert, nach Vielen Dank für diese Einschätzung
können. Damit ist aber noch längst 9/11, als es um terroristische An und diese Informationen aus recht
nicht die Schwelle erreicht, um s agen griffe mit Zivilluftfahrzeugen gegan licher Sicht. Man erkennt zuneh
zu können: Wir sind Opfer eines gen ist – also nicht so, wie man sich mend diese Grauzone, die von be
bewaffneten Angriffs im Cyberwar. einen Angriff bis dahin vorgestellt stimmten Beteiligten sehr gefördert
Sondern vielleicht sind wir Opfer hatte. Aber das hat zur Verfestigung wird, die auch in der konventionel
einer Souveränitätsbeschränkung, der Überzeugung geführt, dass ein len Konfliktführung ähnlich agieren:
gegen die man mit verhältnismäßi Angriff nicht unbedingt mit konven Dass versucht wird, nicht mehr offen
gen Gegenmaßnahmen vorgehen tionellen Waffen erfolgen muss. Und Flagge zu zeigen, sondern bewusst
kann. wenn wir hier sehen, dass man einen offizielle Strukturen zu umgehen.
Wir sprechen im zwischenstaatlichen Cyberangriff so gestalten kann, dass Kehren wir aber nochmals auf die
Bereich zwar davon, dass wir in der er verheerende Auswirkungen hat, technische Ebene zurück. So wie auf
Lage sein müssen, einen angreifenden dann wird das ähnlich sein. Man der rechtlichen Ebene, die in einem
Staat zu identifizieren, gegen den wir wird darin je nach Intensität einen gewissen Sinn ein Moving Target ist,
uns dann entweder zur Wehr setzen Angriff sehen können, gegen den weil sich ja alles schnell immer wie
oder Gegenmaßnahmen ergreifen. Maßnahmen der Selbstverteidigung der verändert, ist es vermutlich auch
Aber eines der Hauptprobleme ist – grundsätzlich zulässig sind. auf der technischen Ebene. Es ist
und da ist wieder mein technisches Wir haben auch eine zweite interes wahrscheinlich fast ein neues Wett
Nichtwissen ein Hindernis – was Sie sante Parallele. Es war klar, dass der rüsten, das sich da ergibt. Ist es ins

ÖAW 17

PODIUMSDISKUSSION

besondere was die Angriffsszenarien Ransomware Varianten, signaturba THOMAS EITER
angeht nicht so, dass sich diese stän siert nicht mehr eindeutig zu identifi
dig verändern? Welche Rolle spielt zieren sind. Wo man auf der Absiche Welche Rolle spielt hier künstliche
der technische Fortschritt dabei, dass rungsseite zusätzliche Maßnahmen Intelligenz? Wird es zu einer Vergrö
mit neuen Bedrohungen gerechnet setzen kann und muss. Was mittler ßerung der Bedrohung durch den
werden muss? weile schon der Fall ist, ist ganz ein Einsatz künstlicher Intelligenz kom
fach Anomaliedetektion in Netzwer men?
ken oder in den Systemen an sich.
CARINA KLOIBHOFER Das heißt, es gibt Systeme, die mitt
lerweile lernen, was ist mein norma CARINA KLOIBHOFER
Natürlich ist es eine sehr schnell les Verhalten, was ist mein normaler
lebige Szene. Wobei schnelllebig Netzwerk-Traffic, was ist normales Ich glaube, KI ist mittlerweile in
auch relativ ist. Ich glaube, die ersten Vorkommen. Dadurch können dann aller Munde. Natürlich auch bei den
Ransomware-Angriffe wurden um auch solche leichten Veränderungen Cybersicherheitssystemen. Einerseits
2010 herum bemerkt oder verzeich (zum Beispiel im Verhalten der bei der Abwehr oder Absicherung,
net. Mittlerweile, 2019, zählen diese Ransomware) großen Impact haben. jetzt eben auch bei der Anomaliede
immer noch zu den häufigsten An Weil sie – die Detektionsmechanis tektion, wo sehr stark auf KI oder
griffsformen, die wir haben. Schnell men – einfach davon weggehen, jetzt Machine Learning fokussiert wird,
lebig ist bei zehn Jahren natürlich genau auf die Signatur zu gehen oder also die Maschinen an sich lernen zu
relativ. Man muss aber dazu sagen, genau auf die eine Ausprägung der lassen und nicht mehr ein definier
dass natürlich die Grund-Ransom Malware oder des Angriffs. Hin zu, tes Regelwerk vorzugeben. Theore
ware noch vorhanden ist, wobei es okay, ich kenne mein normales Ver tisch könnte aber ein sehr gezielter
mittlerweile über 700 verschiedene halten und kann dann aufzeigen, Angriff, wenn er geschickt genug
Ausprägungen gibt, die alle unter wenn etwas vom normalen Verhal gemacht ist, sich wiederum solche
schiedlich agieren, alle unterschied ten abweicht. Das heißt, es gibt auch Mechanismen zunutze machen und
liche Verschlüsselungsalgorithmen immer ein leichtes Wettrennen, wer versuchen, dieses normale Verhal
verwenden und sich natürlich i mmer schneller ist. Die Angreifenden oder ten möglichst gut nachzuahmen
minimal weiterentwickeln. Was zur diejenigen, die sich absichern oder – und dann ganz gezielt einzusetzen.
Folge hat, dass das, sobald das mini in größeren Dimensionen – sich ver Wobei mir persönlich ein Angriff in
malst verändert wird, von Systemen teidigen möchten. dieser Dimension noch nicht bekannt
eventuell nicht mehr so leicht zu er wäre, weil das natürlich nochmals
kennen ist. Beziehungsweise von den ein größerer Ressourcenaufwand ist.
klassischen Systemen, wie man sie Eben weil der oder die Angreifende
bisher kannte, die, wie zum Beispiel zunächst das normale Verhalten

ÖAW 18

PODIUMSDISKUSSION

dieses Netzwerks, der Organisation, und einfach ein höheres Sicherheits den Bereichen Prävention, Detektion
der kritischen Infrastruktur, lernen niveau haben. Warum sollte ich in und Response, also Reaktion.
müsste, um sich dann dort unbe den Bunker eindringen, wenn ich
merkt zu etablieren. beim Nachbarn über den Zaun sprin
gen und durch das offene Fenster ins THOMAS EITER
Haus einsteigen kann?
DIETMAR MANDL Wenn es Richtung Cyberwar geht, Welches Spezialwissen müsste man
sind andere Motive relevant und auch denn haben, um einen größeren
Wir beschäftigen uns natürlich genau die drei genannten Faktoren sind in Blackout zu bewerkstelligen? In
so mit der Angreiferseite. Generell ausreichendem Ausmaß vorhanden. Ihrem Bereich, also speziell im Ener
sind dabei drei Faktoren zu beach Hier könnten wir wahrscheinlich giebereich – ist das etwas, das man
ten: die zeitliche Komponente sowie auch im Fokus von möglichen An relativ einfach machen kann? Oder
die personellen und die monetären griffen stehen. Als Betreiber einer muss man da schon tiefes Wissen
Ressourcen der Angreifenden. Wenn kritischen Infrastruktur setzen wir haben und das entsprechend einset
nur der monetäre Aspekt im Vorder natürlich umfassende Maßnahmen, zen können?
grund steht, reicht es aus, eine „Stan um es Angreifern aller Art so schwer
dard-Ransomware“ zu nutzen, diese wie möglich zu machen. Neben
an eine Million Leute zu versenden technischen Schutzmaßnahmen sind DIETMAR MANDL
und zu hoffen, dass jeder zehnte diese auch organisatorische und prozes
ausführt. Dies lässt sich relativ leicht suale Maßnahmen notwendig, um Es sind viele verschiedene Aspekte.
und ohne großen Aufwand durchfüh ein entsprechend hohes Schutz Man kann das jetzt nicht konkret an
ren. Diverse Tools oder Services dafür niveau zu gewährleisten. einer Person oder einer speziellen
gibt es kostenlos oder kostengünstig Ein Fokuspunkt ist etwa der normale Ausbildung festmachen. Es stellt
im Internet zu beziehen. E-Mail-Empfang. Hier sind sowohl sich wieder die Frage, wer mir da
Die eigentliche Frage ist jedoch, was Sensibilisierungsmaßnahmen der gegenübersitzt. So wie Herr Unger
der Akteur bzw. die Akteurin er Mitarbeiterinnen und Mitarbeiter als vorher schon erwähnt hat, reichen
reichen möchte. Was ist das eigent auch technische Filterungsmaßnah ein Dutzend oder ein paar Dutzend
liche Ziel des Angriffes? Wer auf men notwendig. Weiters sind Archi schlaue Leute aus unterschiedlichs
rein monetäre Aspekte abzielt, wird tektur- und Designentscheidungen ten Disziplinen. Dann ist es wahr
sich wahrscheinlich leichtere Ziele zu treffen, wie beispielsweise das scheinlich nur eine Frage der Zeit,
aussuchen als eine große Behörde, eigene Netzwerk aufgebaut ist bezie abhängig von den finanziellen und
einen Staat oder eine kritische Infra hungsweise wie Netzwerkübergänge technischen Ressourcen.
struktur, weil diese tendenziell bes gestaltet werden. Wichtig ist ein aus
ser geschützt sind, mehr Ressourcen gewogenes Maßnahmenbündel in

ÖAW 19

PODIUMSDISKUSSION

THOMAS EITER Lieferanten zwingen, etwas Ordent Autos umlegen, dann platzt dann
liches zu produzieren. Software, die jeder zweitausendste Bremsschlauch
Bei diesem Wettlauf zwischen An einen Elchtest aushält und nicht so irgendwann auf der Autobahn, wenn
griff und Abwehr, ist man da in der fort attackierbar wird. wir gerade zu schnell fahren. Das ist
Lage Schritt zu halten? Das Gleiche gilt für die Algorithmen die eine Dimension. Wenn man aber
der KI. In aller Regel sind diese nicht sieht, wie viele Programmzeilen so
ausgetestet, niemand weiß, wie sie ein komplexes Programm hat – das
WALTER UNGER in speziellen Situationen reagieren Auto, das uns da selbst kutschiert –,
werden. Oder man führt Internet nämlich hundert Millionen Pro
Der Angreifer ist natürlich, wie in of Things (IoT) ein – in Milliarden. grammzeilen, kann man sich aus
vielen Bereichen, im Vorteil. Der Nächstes Jahr haben wir wahrschein rechnen, wie viele Schwachstellen
kann sich jeden Tag etwas Neues ein lich schon 50 Milliarden vernetzte hier verborgen sind, die vielleicht
fallen lassen. Und der Verteidiger ist Geräte. Und nicht alle sind auf noch gar keiner kennt und die erst
in der Reaktionssituation. Sicherheit ausgelegt und so billig,
durch Unfälle oder Attacken bekannt
Warum ist es möglich? Warum kann dass man gar kein Geld dafür verwen werden.
sich jemand jeden Tag etwas Neues den kann, um sie sicher zu gestalten. Umgekehrt ist es am Schwarzmarkt
einfallen lassen? Weil die Software, Wir bauen aber Smart Homes, Smart eine sehr gut bezahlte Tätigkeit,
die uns allen heute verkauft wird, Cities, Smart Meter, smarte Autos. wenn man „Zero Days“ anbieten
dem Teufel zu schlecht ist. Das BSI Ob die dann wirklich funktionieren – kann. Sprich, jemand findet eine sol
(Bundesamt für Sicherheit in der Infor- oder wie sie auf leichte Störungen che Schwachstelle – dafür werden bis
mationstechnik, Red.) entdeckt jeden reagieren –, sieht man dann erst im zu siebenstellige Beträge gezahlt –
Tag drei schwerwiegende Schwach Anlassfall. Das heißt, wir sind deshalb und ein anderer baut daraufhin eine
stellen und Dutzende weniger verwundbar, weil wir uns auf eine IT Malware und veranstaltet einen An
schwerwiegende Schwachstellen in abstützen müssen, die von Haus aus griff, entweder um Geld abzuzocken
der Software, die heute am Markt schlecht gebaut ist. Erfreulicherwei oder aber auch, um Geheimnisse aus
ist. Das heißt, es werden in jedem se gibt es seit zwei Jahren Univer zuspionieren oder eine Cyberattacke
sicheren Haus Löcher zu finden sein, sitätsprogramme, die auf sicheres im sicherheitspolitischen Bereich vor
in die man hineinkriechen kann und Programmieren ausgelegt sind. We zubereiten. Das heißt, eine große Pro
die man attackieren kann. Das ist niger erfreulich ist, wenn man sich blematik ist, wenn die Infrastruktur,
ein Feld, wo der oder die Einzelne durchliest, was die Ziele sind. Man auf die wir uns verlassen, schlecht
nichts unternehmen kann. Hier muss will erreichen, dass man Programme ist. Diese muss also deutlich verbes
durch den Staat, und überregional im baut, die nur 0,5 Fehler bei 1.000 Pro sert werden. Vielleicht sollte man
EU-Rahmen, dagegen vorgegangen grammzeilen haben. Wenn wir das ein Haftungsrecht einführen, wie es
werden. Das heißt, man muss die auf die Bremsschläuche von unseren für jedes andere Produkt gang und

ÖAW 20

PODIUMSDISKUSSION

gäbe ist. Im Umkehrschluss, wenn THOMAS EITER sperrt, das Fenster aber offenstehen
ich jetzt weiß, wir haben nur schlechte lässt. So kann es auch jeder Organisa
Software zur Verfügung, was tue ich Die Entwicklung von korrekter Soft tion passieren. Nun kann dies passie
dann bei kritischen Infrastruktu ware ist also theoretisch ein alter ren, weil der Fokus im Vordergrund
ren? Wie ist es zum Beispiel mit der Traum, der aber nicht immer umsetz steht: Was sind meine kritischen
Steuerung der Stromversorgung?
bar ist. Es gibt da große Barrieren, die Assets? Und dann droht natürlich

Hier werden wir dann hoffentlich eine praktische Umsetzung verhin auch in diesen Bereichen die Gefahr,
die Steuersoftware nicht kaufen, son dern. Mit gewissen Fehlern wird man eine gewisse Betriebsblindheit zu
dern selbst entwickeln, sie möglichst wahrscheinlich leben müssen. Dass entwickeln. Oder Systeme zu haben,
gut testen und, was noch wichtiger man die Fehlerrate reduzieren kann, bei denen man sich gar nicht bewusst
wäre, die Software nicht mit dem indem man entsprechende Auflagen ist, dass es hier Schwachstellen gibt.
Internet oder mit anderen unsicheren und Qualitätszusicherungen zwin Deshalb ist es wichtig, dass man ver
Systemen verbinden. gend vorsieht, ist etwas, was man sucht – auch aus Organisationssicht,
Das ist der Fehler, der in den letz anstreben kann. Aber dass alles abso aus Schutzsicht –, Fachleute aus un
ten 20 Jahren gemacht wurde. Alle lut fehlerfrei sein wird, das ist wahr terschiedlichen Disziplinen zusam
wollten vernetzt sein. Was ist das scheinlich zu verwegen, als dass man menzubringen, die fähig sind, die
Billigste? Das Internet, das kostet
davon träumen oder sich dies erhof vorhandenen Systeme wirklich ganz
nichts. Es wird zur Verfügung gestellt fen kann. Ich meine, mit der Sicher heitlich zu analysieren. In Zukunft,
und keiner denkt darüber nach, was heit ist es vielleicht so – wenn ich auf glaube ich, ist für jeden Hacker, jede
da passiert. Und nachdem immer das zurückkomme, was schon gesagt Hackerin die größte Hürde, dass
mehr vernetzt wird und die Wechsel wurde –, dass man zwar versucht, mittlerweile auch in diversen Richt
wirkungen de facto unbekannt oder die Tür eines Hauses fest verschlos linien und Gesetzen „Security by
gar nicht austestbar sind, sind wir sen zu halten oder eine Sicherheit Design“ ganz konkret verlangt und
auch hier angreifbar. Wichtig wäre stür einbaut, aber dann das Fenster angeführt wird. Software und Sys
daher, schützenswerte Systeme zu daneben sperrangelweit offenstehen teme müssen mittlerweile mit dem
entkoppeln, zu entnetzen, und dann lässt. Fokus auf „Security by Design“ ent
möglichst zuverlässige Software, die wickelt werden. Das heißt, der erste
man vielleicht auch selbst entwickelt Prozessschritt, den ich machen muss,
hat, einzusetzen. CARINA KLOIBHOFER wenn ich ein neues System oder eine
neue Software entwickle, ist der, auch
Ich glaube, die richtige Antwort auf an die Sicherheit zu denken. Das ist
diese Frage gibt es nicht. Es ist tat eine große Weiterentwicklung, ver
sächlich so, wie es einem zu Hause glichen mit den alten Systemen, die
passiert, dass man die Haustür zu teilweise noch im Einsatz sind – und

ÖAW 21

PODIUMSDISKUSSION

das macht dann hoffentlich auch wie In den letzten Jahren haben sich auch nünftiges Passwort setzen und dieses
der den Hackern und Hackerinnen entsprechende gesetzliche Grund auch regelmäßig wechseln zum Bei
das Leben schwerer. lagen entwickelt, welche Sicherheits spiel. Oder dass sie nichts ausplau
maßnahmen für kritische Infrastruk dern an den Geräten oder sich nicht
turen vorsehen. Allein das per Gesetz in sozialen Foren produzieren und
DIETMAR MANDL vorzuschreiben, ist aber zu wenig. dabei Betriebsgeheimnisse offenba
Man muss das Sicherheitsniveau als ren. Also alles Dinge oder Pläne, die
Das ist ein wichtiger Punkt. Security Unternehmen ganzheitlich weiter für einen Angreifer bzw. eine Angrei
ist keine Einmalsache, die man ein entwickeln und sich ständig an die ferin interessant wären.
mal im Unternehmen einführt oder in Umgebungsbedingungen anpassen. Mitarbeiterinnen und Mitarbeiter
ein Produkt einbaut. Security ist ein spielen nach wie vor eine zentrale
fortdauernder, wiederkehrender Pro Rolle. Sie müssen entsprechend vor
zess, den man ständig durchleben, THOMAS EITER bereitet werden. Das reicht aber nicht,
verbessern und weiterentwickeln wenn die Chefetagen nicht sensibili
muss. Aus meiner Sicht ist die große Inwieweit würde denn da der Fak siert sind, nicht verstehen, wie es
Problematik dabei die Komplexität. tor Mensch eine Rolle spielen? Oder unlängst der Generaldirektor einer
Durch rasante Weiterentwicklungen würde dieser für Sicherheitsbeden großen österreichischen Bank gesagt
und den Einsatz von neuen Techno ken keine Rolle spielen? hat, was eine Bank in der Zukunft
logien ist ein entsprechendes Reagie ist: ein Riesen-Rechenzentrum. Das
ren auf Änderungen der Rahmenbe ist heute schon so. Schaltet man die
dingungen enorm wichtig. Aufgrund WALTER UNGER Computer ab, gibt es die Bank nicht
der Komplexität ist es daher aus mehr. Mit oder ohne Personal davor
meiner Sicht wichtig, für eine ge Gott sei Dank steuern wir unsere und dahinter – dann ist sie tot. Das
wisse Transparenz im Unternehmen IT derzeit noch selbst. Das kann in heißt, die Leute, die daran arbeiten,
zu sorgen. Wie kann ich mein System naher Zukunft anders sein, etwa dass müssen wissen, wie es geht. Und die
bestmöglich abschotten beziehungs Software und Roboter und KI uns Chefetage muss verstehen, wie wich
weise abkoppeln? Wo brauche ich steuern. Noch haben wir es auch bis tig diese Sicherheit für das Gesamt
Schnittstellen zu anderen Systemen? zu einem gewissen Maß in der Hand, unternehmen ist. Ganz abgesehen
Wer greift wie auf meine Systeme zu? unsere Mitarbeiterinnen und Mitar davon, dass mit den n euen Technolo
Je besser mein Verständnis zu den beiter so auszubilden und zu sensi gien und Trends wie KI und IoT jedes
Vorgängen im Unternehmen ist, desto bilisieren, dass sie möglichst wenige Unternehmen darüber nachdenken
leichter lassen sich unerwünschte Fehler machen. Dass ihnen klar ist, muss, wo seine Zukunft liegt. Man
Zustände oder Zugriffe erkennen. was passieren kann, dass sie mit den liest Statistiken oder Vorhersagen, wo
Geräten ordentlich umgehen, ein ver Unternehmensberater sagen, 50 Pro

ÖAW 22

PODIUMSDISKUSSION

zent der Unternehmen, die heute WALTER UNGER oder noch weiter weg. Und sie gehen
an der Weltspitze stehen, werden in natürlich für unseren Arbeitsmarkt
fünf Jahren nicht mehr dort sein, weil Wenn man hier die Zukunft gewin verloren. Ich befürchte, dass der
sie die Digitalisierung verschlafen nen will, dann brauchen wir gutes Nachwuchs nicht deutlich steigen
haben. Das ist dann genauso schlecht. Personal und müssen dort am meis wird und dass wir daher – schon
Also, das ist ein zentrales Thema, wie ten investieren. Jetzt haben wir in beginnend im Schulalter – große An
das Beispiel großer Versicherungs Österreich zwei Probleme. Wir h aben strengungen unternehmen müssen,
unternehmen zeigt, die vor zehn viel zu wenig Personal. Ich habe damit unsere nachkommende Gene
Jahren Cyberrisiko noch gar nicht eine aktuelle Aufstellung gelesen, ration erstens mit den Systemen nicht
versichert haben, weil es noch kein wonach in Österreich jetzt, im Jahr nur sicher leben, sondern zweitens
Risiko war. Und heute, bei L loyds 2019, 34.000 IT-Fachkräfte fehlen. diese auch noch beherrschen kann.
etwa, rangiert Cyberrisiko als Top Also nicht nur für IT-Sicherheit, son Sonst werden wir vielleicht einmal
risiko neben dem operationellen dern für den gesamten Bereich. Vor froh sein, dass der Algorithmus das
Risiko. Das heißt, in zehn Jahren von einer Woche hat ein Manager gesagt, macht, was wünschenswert ist.
null an die Spitze, einfach deshalb, wir bräuchten jedes Jahr 15.000 neue
weil es so wichtig für alle Unterneh IT-Fachkräfte. Es werden aber nur
men ist. Aber nicht nur für die Unter 1.500 pro Jahr von unseren Fachhoch STATEMENT PUBLIKUM 1
nehmen, speziell bei hoch technolo schulen und Universitäten fertig aus
gisierten Staaten wie Österreich gilt gebildet. Und wir leben hier in einem Ich habe die Statements von Herrn
dies auch für den Gesamtstaat. großen Konkurrenzkampf mit den Unger betreffend Softwaresicherheit
Nachbarstaaten, mit den USA und genossen. Die alten Systeme, die alle
anderen Ländern, die immer wieder 14 Tage ein Update brauchen. Jetzt
THOMAS EITER äußerst attraktive Angebote machen. aber die Frage: Halten Sie es für sinn
Nehmen Sie beispielsweise die Fach voll, wenn die EU im Rahmen eines
Hat Österreich überhaupt die Fach hochschule Hagenberg in Oberöster EU-Projektes eine komplett neue,
kräfte, um das stemmen zu können? reich, dort haben wir über zehn Jahre sichere Softwareumgebung schaffen
Sie haben gesagt, wir brauchen gut einen Fachhochschullehrgang für würde, mit der wir leben und in Zu
ausgebildetes Personal, das sich des unser Personal durchgeführt. Die
kunft sicherer sein können?
sen bewusst ist, damit wir das R isiko Studierenden in Hagenberg haben in
minimieren können. Sie werden aller Regel schon im fünften Semester
sicher auch für Ihren Stab gut ausge ein fixes Jobangebot. Gut die Hälfte WALTER UNGER
bildete Mitarbeiterinnen und Mitar der Absolventinnen und Absolven
beiter brauchen? ten geht sofort ins Ausland, nach Wir haben in Europa die Marktwirt
Deutschland oder in die Schweiz schaft. Es wird nicht so einfach sein,

ÖAW 23

Sie können auch lesen