Nationale IKT-Sicherheits-strategie Österreich - IKT-Sicherheit

Die Seite wird erstellt Mats Hein

Staat und Politik

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Nationale IKT-Sicherheits-strategie Österreich - IKT-Sicherheit

IKT-Sicherheit

  Nationale
  IKT-Sicherheits
  strategie Österreich

                         1

Impressum
Medieninhaberin, Verlegerin und Herausgeberin:
Bundeskanzleramt, Digitales Österreich,
Ballhausplatz 2, 1014 Wien
www.digitales.oesterreich.gv.at

AutorInnen: Expertinnen und Experten aus Wirtschaft, Wissenschaft und öffentlicher
Verwaltung
Gesamtumsetzung: IKT Strategie des Bundes
Lektorat und Layout: Bundespressedienst, Abteilung VII/5
Covergestaltung und grafische Unterstützung: BKA | ARGE Grafik
Fotonachweis: photos.com (Cover)
Druck: BM.I Digitalprintcenter
Wien, 2012

Copyright und Haftung:
Auszugsweiser Abdruck ist nur mit Quellenangabe gestattet, alle sonstigen Rechte sind
vorbehalten. Es wird darauf verwiesen, dass alle Angaben in dieser Publikation trotz
sorgfältiger Bearbeitung ohne Gewähr erfolgen und eine Haftung des Bundeskanzleramtes
und der Autorin/des Autors ausgeschlossen ist. Rechtausführungen stellen die unverbindliche
Meinung der Autorin/des Autors dar und können der Rechtssprechung der unabhängigen
Gerichte keinesfalls vorgreifen.

Rückmeldungen:
Ihre Überlegungen zu vorliegender Publikation übermitteln
Sie bitte an ikt@bka.gv.at.

Nationale
IKT-Sicherheitsstrategie
Österreich

Wien, 2012

Inhalt

Einleitung                       3

Zusammenfassung                  4

Stakeholder und Strukturen       6

Kritische Infrastruktur         14

Risikomanagement und Lagebild   17

Bildung und Forschung           20

Awareness                       25

Danksagung                      32

2

Einleitung

IKT-Sicherheit ist ein gemeinsames Ziel und täten branchenübergreifend zu bündeln und
die in Frequenz und Umfang zunehmenden zu intensivieren.
Herausforderungen machen ein koordinier- Zur Sicherstellung kalkulierbarer Ri-
tes Vorgehen unumgänglich. Die Dynamik siken in allen Bereichen ist die Zusammen-
der Herausforderungen bedeutet allerdings arbeit von Wirtschaft und Sicherheitsfor-
für konventionelle Strategien eine beson- schung massiv zu erhöhen. Dabei sind über
dere Stresssituation, die eine längerfristige die Grenzen hinweg sichtbare Leuchttürme
und globalere Sichtweise zur Stabilisierung kompetenter Umsetzung (z. B. integrale Si-
benötigt. cherheit im österreichischen E‑Government)
Die IKT-Sicherheitsstrategie muss daher auch in weiteren Bereichen aufzubauen, um
nicht nur die Einordnung in die Europäische damit die Nachhaltigkeit für die österreichi-
Situation als wichtigen Orientierungspunkt sche Wirtschaft zu sichern. Eine koordinier-
definieren, sondern auch zum Ziel haben, te Kooperation mit Bildung und Forschung
die Stimme Österreichs im Konzert der muss der Dynamik Rechnung tragen, über
Mitgliedsstaaten im Bereich IKT-Sicherheit Technologiebobachtung aktuelle Entwick-
zu stärken. Damit ist ein substantielles lungen rechtzeitig erkennen und die Wider-
Engagement in Europa für eine nachhaltige standsfähigkeit verbessern.
Entwicklung unabdingbar. Um das IKT-Risikobewusstsein deutlich
Im KMU-Bereich und im Privatbereich über den Anlassfall hinaus zu stärken, wird
liegt die »Sicherheitsarmutsgrenze« auf- die Verwaltung IKT-Sicherheit im eigenen
grund allgemeiner Prioritäten niedrig. Als Bereich ernst nehmen und kompetent umset-
Land mit einem besonders großen Anteil an zen müssen. Der gute Ansatz aus dem IKT-
kleinen und mittleren Unternehmen (KMU) Konsolidierungsgesetz weist auf Handlungs-
ist daher spezieller Fokus auf die Bedürfnis- bedarf auch in anderen Bereichen hin.
se dieser Bereiche zu legen. Ausgehend von CIIP-Aktionsplänen,
Kernziele einer IKT-Sicherheitsstrategie die ein gemeinsames Vorgehen festlegen
sind die kritischen Informationsinfrastruk- und durch Übungen zum umfassenden und
turen und deren Schutz. Ausgehend davon selbstverständlichen Handlungsschema
sind Maßnahmen zur Festigung und Hand- werden lassen, müssen auf der Basis von
lungsschemata umzusetzen, die die Kalku- internationaler Zusammenarbeit Schutz-
lierbarkeit der Risiken sicherstellen. profile für Technologien, die in kritischen
Reaktive Strategien wie Cyber Security/ Infrastrukturen eingesetzt werden, (z. B.
Cyber Defense stellen wichtige und integrale unter Mitwirkung von ENISA/CEN/ETSI ...)
Elemente dar. Doch können diese nur wirk- entstehen und ein gemeinsames Verständnis
sam verfolgt werden, wenn sie durch pro- für Prüfung/Zertifizierung und Monitoring
aktive Strategieelemente großflächig ergänzt erzeugen.
werden, die meist einen deutlich höheren Mit einem prozessorientierten Ansatz
Kosten/Wirkungsfaktor aufweisen. wurde nunmehr die Basis geschaffen. Darauf
Dies stellt einen besonderen Auftrag aufbauend kann nun die Gesamtstrategie
dar für die schulischen und außerschu- formuliert werden, die Stakeholder identifi-
lischen Bildungsformen bis hin zu den ziert und ein kontinuierliches Engagement
Vorbereitungsphasen für den Wiedereintritt und Zusammenarbeiten dieser Stakeholder
ins Arbeitsleben aber auch für die Medien zur Erreichung der Ziele institutionalisiert.
– insbesondere Rundfunk und Fernsehen.
Dieser Auftrag muss über die derzeit vor- Prof. DI Dr. Reinhard Posch,
handenen Vorfalls-Meldungen hinausgehen, Chief Information Officer des Bundes
da hier die Potentiale noch nicht einmal
ansatzweise ausgeschöpft sind. In gleicher
Weise sind Interessensvertretungen (z. B.
Kammern) aufgefordert, bestehende Aktivi-

Zusammenfassung

        Die Entwicklung der modernen Informa-
        tions- und Kommunikationstechnologien                  Die IKT-Sicherheitsstrategie
        (IKT) – und allen voran das Internet – ha-             ist ein proaktives Konzept zum
        ben das gesellschaftliche und wirtschaftliche          Schutz des Cyber-Raums und der
        Leben in einem unvergleichbaren Ausmaß                 Menschen im virtuellen Raum unter
        verändert. In Österreich nutzen mittlerweile           Berücksichtigung ihrer Grund-
        rund drei Viertel der Bevölkerung regelmä-             und Freiheitsrechte. Sie wird
        ßig das Internet, jeder Zweite bereits täglich.        Sicherheit und Widerstandskraft
        Die Wirtschaft ist im Hinblick auf den                 der österreichischen Infrastrukturen
        elektronischen Geschäftsverkehr und auf die            und Leistungen im Cyber-Raum
        Effizienz ihrer internen Geschäftsprozesse             verbessern, vor allem aber wird sie
        von der IKT abhängig. Für die öffentliche              Bewusstsein und Vertrauen für
        Verwaltung ist die IKT eine unverzichtbare             die österreichische Gesellschaft
        Grundlage geworden wenn es darum geht,                 schaffen.
        ihre Dienstleistungen über den traditionel-
        len Weg hinaus einer breiten Öffentlichkeit
        zugänglich zu machen.
             Das Wohl des Staates hängt heute in          Mit der Strategie werden Aspekte der Ent-
        erheblichem Maß von der Verfügbarkeit             stehung von IKT-Sicherheitswissen und IKT-
        und dem Funktionieren des Cyber-Raums             Sicherheitsbewusstsein bis zu proaktiven
        ab. Während Internet-Nutzung, E-Commer-           und reaktiven Aktivitäten für Cybervorfälle
        ce, E-Business und E Government wesent-           behandelt. Das Spektrum reicht von Bil-
        liche Wachstumsraten verzeichnen und der          dung, Forschung, Sensibilisierung, Judika-
        Bereich der IT-Kriminalität (insbesondere         tur, von technischen und organisatorischen
        Hacking- und Phishing-Delikte) massiv an-         Belangen österreichischer Unternehmen bis
        steigt, hat sich das Niveau der Internet- und     zur Absicherung strategisch bedeutender
        Computerkenntnisse kaum verändert. Dies           Einrichtungen Österreichs.
        hat zu einem massiven Missverhältnis zwi-               IKT-Sicherheit wird als zentrale gemein-
        schen der tatsächlichen IKT-Nutzung, der          same Herausforderung verstanden. Von der
        zunehmenden IT-Kriminalität, dem notwen-          Strategie des Vorgehens wurde ein Bottom-
        digen IT-Wissen und dem Risikobewusstsein         up-Ansatz gewählt mit einem breiten, alle
        geführt.                                          relevanten Akteure integrierenden Ansatz.
             Attacken aus dem Cyber-Raum sind             Die strategischen Zielsetzungen und Maß-
        eine unmittelbare Gefahr für unsere Sicher-       nahmen präsentieren sich damit aus der
        heit und für das Funktionieren von Staat,         Perspektive von fünf Kernbereichen:
        Wirtschaft und Gesellschaft. Sie können
        unser tägliches Leben schwerwiegend               ••    Stakeholder und Strukturen
        beeinträchtigen.                                  ••    Kritische Infrastrukturen
             Es gehört zu den obersten Prioritäten        ••    Risikomanagement und Lagebild
        für Österreich national und international         ••    Bildung und Forschung
        an der Absicherung des Cyber-Raums zu             ••    Awareness
        arbeiten. Ein erster Schritt dazu ist es, eine
        Strategie für die Sicherheit des Cyber-Raums      Ein nachfolgender Aktionsplan wird zur
        zu definieren.                                    Umsetzung der österreichischen Ziele
                                                          sowohl die bereichsspezifischen als auch
                                                          die bereichsübergreifenden Maßnahmen
                                                          schärfen und im Kontext von Zeit und Ver-
                                                          antwortung implementieren.

        4

Übersicht

                                                                                        Rechtlicher
  Stakeholder und Strukturen                                                            Rahmen
  •• Optimierung der Cyber-Landschaft in Österreich
  •• Vernetzung der Stakeholder und Strukturen
  •• Ausbau des rechtlichen Rahmens für Cyber Security in Österreich
  •• Förderung der internationalen Kooperationen
                                                                                        Internationale
                                                                                        Kooperation
         ••   Öffentliche Cyber-Partnerschaft
              ––   Cyber Security-Steuerungsgruppe
              ––   Cyber-Krisenmanagement
              ––   Cyber Security-Plattform
         ••   Cyber-Lagezentrum
                                                                                        Cyber
                                                                                        Competence

  Kritische Infrastrukturen
  •• Ausbau von Cyber-Krisenmanagement
  •• Ausbau von Risikomanagement und Informationssicherheit
  •• Informationsaustausch von öffentlichen und privaten Akteuren

                                                                                        Standardisierung,
  Risikomanagement und Lagebild                                                         Zertifizierung
  •• Identifizierung von Kernunternehmen in den Sektoren
  •• Umfassendes Risiko- und Sicherheitsmanagement über Sektoren hinweg
  •• Sicherstellung von Mindeststandards und Lenkung der Risiko Akzeptanz in
       Kernunternehmen
  •• Etablierung Krisen- und Notfallmanagement in IKT nahen und fremden Sektoren
  •• Lagebeurteilung und -management
                                                                                        einheitliche Terminologie,
                                                                                        gemeinsame Sprache
  Bildung und Forschung
  •• Frühzeitige schulische Ausbildung in IKT, IKT-Sicherheit und Medienkompetenz
  •• Verpflichtende IKT-Ausbildung aller Studierenden der Pädagogik
  •• Verstärkte Ausbildung von IKT-SicherheitsspezialistInnen im tertiären Sektor
  •• IKT-Sicherheit als wichtiger Bestandteil in der Erwachsenenbildung/
      Weiterbildung
  •• IKT-Sicherheitsforschung als Basis für nationale Kompetenz
  •• Vermehrte Einbindung von IKT-Sicherheitsthemen in angewandte IKT-Forschung
  •• Aktive Themenführerschaft bei internationalen Forschungsprogrammen                 eine Informations- und
                                                                                        Kommunikationsplattform
                                                                                        für alle Handlungsfelder
                                                                                        und Zielgruppen
  Awareness
  •• Stärkung der IKT-Sicherheitskultur in Österreich
  •• Positive Positionierung der IKT-Sicherheit
  •• Abgestimmte und koordinierte Vorgehensweise
  •• Wirksamkeit und Nachhaltigkeit der Awareness-Maßnahmen

                                                                                    5

Stakeholder und Strukturen

Bereich Aufklärung und Strafverfolgung
Ausgangslage ist ausschließlich in den dafür zuständigen
Ministerien angesiedelt. Der Bereich Bildung
Cyber-Sicherheit ist in seiner spezifischen dagegen ist nur wenig im Bereich Cyber
Ausprägung in einem Land sehr eng ver- Security tätig; es gibt kaum Akteure, die
knüpft mit seinen vorhandenen Stakehol- einen Schwerpunkt Cyber Security anbieten.
dern und Strukturen. Der Begriff umfasst Gerade dies ist aber enorm wichtig für einen
Organisationen, Einrichtungen oder Per- qualitativen Auf- und Ausbau von personel-
sonen, die ein erhebliches Interesse an dem len Kapazitäten – sowohl in den Betrieben
Thema Cyber-Sicherheit haben oder in als auch bei den Behörden – zum Zweck der
maßgeblicher Weise davon betroffen sind. Cyber-Sicherheit. Im Bereich Bildung liegt
Eine Betrachtung von 200 Stakeholder ein enormes Potential für die Zukunft.
und Strukturen und eine detaillierte Analyse
der 80 derzeit wichtigsten in Österreich gibt Aufteilung nach Kundenorientierung: Staat
Auskunft über die aktuelle Qualität von und Wirtschaft werden als Klientel der
Cyber Security im Lande. österreichischen Stakeholder in etwa gleich
stark betreut. Auffallend ist die geringe
Aufteilung nach Bereichszuordnung: Der Anzahl (bzw. Sichtbarkeit) von BürgerInnen-
Schwerpunkt des Wirkens von Cyber Securi- Interessensvertretungen und die geringe
ty in Österreich liegt im öffentlichen Bereich; Orientierung der Cyber Stakeholder am
hier vor allem im Bundesbereich und in den Staatsbürger/an der Staatsbürgerin als Kun-
öffentlich finanzierten Einrichtungen. Die dengruppe.
öffentliche Verwaltung hat bezüglich Cyber
Security in mehreren Ressorts spezialisierte Im Bereich Cyberspace gibt es viele österrei-
Einrichtungen für unterschiedliche Hand- chische Strukturen und Stakeholder, die sehr
lungsfelder und Zielgruppen. Die Einrich- verteilt – jeder für sich – an einer Cyber-
tungen sind für ihre Anwendungsbereiche Sicherheit arbeiten. Mehrere übergreifend
optimiert und leisten einen erheblichen wirkende, ausschließlich auf Cyber Security
Beitrag zur Cyber Security in Österreich. spezialisierte Organisationen spielen bereits
Länder, Städte und Gemeinden agie- eine wichtige Rolle in Österreich, wie etwa
ren in kleinerem Rahmen. Übergreifende die etablierten CERTs (Computer Emergen-
Strukturen sind nur wenige vorhanden. Die cy Response Team).
Privatwirtschaft hat im eigenen Unterneh- Die Prozesse, mit deren Hilfe Cyber-
mensbereich meist gute Cyber-Strukturen. Vorfälle beherrscht werden können, sind
Je größer der Betrieb ist, desto größer sind allerdings vor allem lokal implementiert.
auch die Möglichkeiten vorzubeugen und zu Übergreifende Cyber Security-Abläufe sind
schützen. Cyber Security Interessensvertre- derzeit nicht formal abgestimmt oder festge-
tungen der privaten Wirtschaft sind auf brei- schrieben. Im Gegensatz zur institutionali-
ter Ebene erst im Entstehen. Dem Bürger/der sierten und prozessgesteuerten traditionellen
Bürgerin stehen nur wenige Interessensver- Schadensfallbehandlung funktioniert heute
tretungen zur Verfügung, die ausschließlich eine Behandlung von Cyber-Schadensfällen
auf sie ausgerichtet sind. Sie müssen auf die in Österreich vor allem durch ein persönli-
Einrichtungen der öffentlichen Verwaltung ches Netzwerk von Kontakten.
zurückgreifen. Augenfällig ist, dass zwei wesentliche
Elemente in den österreichischen Strukturen
Aufteilung nach Tätigkeitsbereichen: Die entweder fehlen oder in einem nur unzurei-
übergreifend agierenden Stakeholder und chenden Zustand vorhanden sind:
Strukturen sind in etwa gleichmäßig ver- •• Ein zentrales österreichisches Lagezent-
teilt auf die Tätigkeitsbereiche Sensibilisie- rum, dessen Leistung heute zum Teil
rung, Forschung, Prävention, Notfall- und durch die existierenden CERTs abge-
Krisenmanagement. Der sehr spezialisierte deckt wird.

BKA                                               Die Stakeholder in Österreich
                                                                                                                       bei Cyber-Schadensfällen
                                        CIP              CIIP
                                     Koordination    Koordination             NSR
                                                                                                                       CIP – Critical Infrastructure
                        GovCERT                                                                                        Protection
                                        BKA/BM.I                                                Bundes-
           Plattform                                                                           regierung               CIIP – Critical Information-
                                                                 Energie
           Digitales                                                                                                   Infrastructure Protection
          Österreich
                                                       ...                  Finanzen                  Länder           ISK – Informationssicherheits-
                                 CERT.at                        Austrian                               Städte          kommission
       ISK                                                       Trust                               Gemeinden
                                                                 Circle                                                FüUZ – Führungsunter
                                                    Industrie               Transport                                  stützungszentrum
                         Forschung
                                                                                            CI
                                                                 Gesund-                                               AbwAmt – Abwehramt
                                                                   heit
                                                                                         Betreiber
         Ausbildung                                                                                                    HNa – Heeresnachrichten-
                         Sensibilisierung                                                               C4             dienst
                                              Interessens-
                                                verbände                                                               BVT – Bundesamt für
                                                                                               SKKM          ...       Verfassungsschutz und
             FüUZ                                                                                                      Terrorismusbekämpfung

                         AbwAmt                                                         BK
                                            HNa                            BVT                                         BK – Bundeskriminalamt
         BMLVS                                                                                   BM.I                  BKA – Bundeskanzleramt
                       ...                                                                                             Österreich

                                                                                                                       CERT – Computer Emergency
••   Jener Bereich der öffentlichen Verwal-                     man sehr gut und weniger gut funktionie-
                                                                                                                       Response Team
     tung, der mit Cyber Security zu tun hat.                   rende Strukturen. So gut es ist, erstere zu
     Dazu gehören die öffentlichen Stakehol-                    wissen, so bedenklich sind letztere für unser          C4 – Cyber Crime Competence
                                                                                                                       Center
     der, ihre spezialisierten Einrichtungen                    Land. Nur ein dichtes Netz von Cyber Se-
     und vor allem die Prozesse der Zusam-                      curity Stakeholder und Strukturen gewähr-              NSR – Nationaler Sicher-
                                                                                                                       heitsrat
     menarbeit im Rahmen eines umfassen-                        leistet einen qualitativ hochwertigen und
     den Cyber Security-Konzepts. Es fehlt                      umfassenden Umgang mit Cyber Security in               GovCERT – Government
                                                                                                                       Computer Emergency
     heute weitgehend eine übergeordnete                        Österreich.
                                                                                                                       Response Team Österreichs
     Struktur der Cyber Security-Behand-
     lung.                                                      Strategische Zielsetzung:                              BMLVS – Bundesministerium
                                                                                                                       für Landesverteidigung und
                                                                Ein dichtes Netz an Cyber Security Stake-
                                                                                                                       Sport
Die Cyber Security Landschaft in Österreich                     holder und Strukturen in Österreich muss
hat in vielen Punkten einen guten Reifegrad                     alle Bereiche, Tätigkeitsfelder und Zielgrup-          BM.I – Bundesministerium für
                                                                                                                       Inneres
entwickelt. In anderen Punkten besteht star-                    pen von Cyber Security berücksichtigen
ker Nachholbedarf.                                              und den kurzen Innovationszyklen der IKT
                                                                Rechnung tragen. Dazu werden die Stärken
                                                                der aktuellen Cyber Security-Landschaft
                                                                in Österreich auf einem qualitativ hohen
Strategische Ziele und                                          Niveau gefestigt, die Schwächen nachhaltig
Maßnahmen                                                       beseitigt und die Strukturen auf die notwen-
                                                                dige Flexibilität hin optimiert.

Ziel 1: Optimieren der »Cyber Security                          Maßnahmen
Stakeholder und Strukturen«-Landschaft
in Österreich                                                   Einrichten einer öffentlichen Cyber-
                                                                Partnerschaft: Keine einzelne Instanz kann
These: Auf den ersten Blick ist die aktuelle                    heute alle Aspekte von Cyber Security
Cyber Security-Landschaft in Österreich                         abdecken. Deshalb ist eine Struktur not-
engmaschig und umfassend. Betrachtet man                        wendig, die österreichische Aktivitäten
die einzelnen Bereiche genauer, so entdeckt                     bezüglich Cyber Security bündelt,

                                                                                                                   7

Kooperationen fördert, Doppelgleisigkeit
                                 vermeidet, Synergien nutzt und Initiativen     Öffentliche Cyber-Partnerschaft
                                 ermöglicht. Aufgrund der nationalen            Die Cyber-Partnerschaft muss im
                                 Wichtigkeit des Themas muss der Staat mit      öffentlichen Bereich eine krisen-koordi
                                 seinen Einrichtungen die übergeordnete         nierende, eine strategisch-politische und
                                 Koordination wahrnehmen. Die Cyber-            eine beratend-operative Ebene abdecken.
                                 Partnerschaft umfasst:                         Mit der Funktion eines Chief Cyber
                                      –– ein öffentliches                       Security Officer in Österreich, der in enger
                                         Cyber-Krisenmanagement                 Vernetzung mit dem Chief Information
                                      –– eine Cyber                             Officer des Bundes agiert, wird eine
                                         Security-Steuerungsgruppe              zentrale erste Ansprechstelle für Cyber
                                      –– eine Informationsdrehscheibe für       Security-Angelegenheiten des Staates
                                         Cyber Security                         geschaffen.

                                 Einrichten eines Cyber-Lagezentrums: Um        Öffentliches Cyber-Krisenmanagement
                                 einen Überblick über die aktuelle Cyber-       (krisen-koordinierende Ebene)
                                 Situation zu erlangen, ist ein permanentes     Ein für alle Cyber-Einsatzfälle geeignetes
                                 Sammeln, Bündeln und Auswerten von             Cyber Security-Krisenmanagement wird
                                 verfügbaren Informationen betreffend Cyber     für Österreich festgelegt. Bestehende
                                 Security notwendig. Diese Funktion nehmen      Cyber-Strukturen (z. B. CERTs) sind dabei
                                 in Österreich zu einem großen Teil verschie-   zu berücksichtigen.
                                 dene Einrichtungen wahr, insbesondere die           Das Cyber-Krisenmanagement setzt
                                 CERTs. Ein zentrales Cyber-Lagezentrum         sich zusammen aus VertreterInnen des
                                 gibt es bislang in Österreich nicht.           Staates und der Kritischen Infrastrukturen.
                                                                                Für die Zusammenarbeit von öffentlichen
Zu Standardisierung siehe auch   Strukturen schaffen für Standards,             und privaten Krisenstellen sind Regeln
in Kapitel
Kritische Infrastruktur
                                 Zertifizierungen, Qualitäts-Assessments:       und Prozesse zu vereinbaren.
und Bildung und Forschung.       Eine dauerhafte Verfügbarkeit verläss-              Bei Cyber-Vorfällen mit lokalem
                                 licher IKT-Systeme und -Komponenten            Schadenspotential übernehmen Einrich-
                                 kann sichergestellt werden, in dem – vor       tungen der zuständigen Ressorts oder
                                 allem in sicherheitskritischen Bereichen       private Einrichtungen die Krisensteuerung
                                 – Komponenten eingesetzt werden, die           in Kooperation mit den CERTs. Diese
                                 sich einer Zertifizierung unterzogen haben     Einrichtungen sind strikt auf die speziellen
                                 (Stichwort Supply Chain-Sicherheit).           Erfordernisse der Cyber Security-Bedro-
                                 Österreich plant die Einrichtung einer         hungen auszurichten. Um für den Notfall
                                 Zertifizierungsstelle für Cyber Security       gerüstet zu sein, ist wiederholtes Trainie-
                                 Produkte und für Cyber Security                ren der gemeinsamen Vorgehensweise
                                 Assessoren. Damit wird eine zentrale           von Krisenmanagementstellen und CERTs
                                 Instanz zur Koordinierung der Herausgabe       notwendig.
                                 von Qualitätsstandards im Bereich                   Die Krisensteuerung im Fall von
                                 Cyber Security für Österreich und von          übergreifenden Cyber-Vorfällen mit großer
                                 Mindestanforderungen für das Durchführen       Gefahr für die Versorgungssicherheit von
                                 von Überprüfungen von Cyber-                   Österreich baut auf den existierenden
                                 Sicherheitsqualitätsstandards geschaffen.      Krisen- und Katastrophenschutzstrukturen
                                                                                (SKKM) auf. In ergänzender Zusammen-
                                 Die bedeutenden strukturellen Maßnahmen        arbeit mit dem SKKM soll für die Behand-
                                 in Österreich werden in der Folge näher        lung der speziellen Cyber-Thematik eine
                                 beschrieben.                                   Cyber Security-Expertise als nationales
                                                                                Cyber-Krisenmanagement in Österreich

                                 8

Cyb              KM                Öffentliche Cyber
                                                e
                                            man r Krise   SK                    Partnerschaft
                                               age      n
                                                   men -
                                                        t

                                                                                            Polizei
                             CERTs              Cyber-                            Rettung
                                                Lage-                    Feuer-
                                               zentrum                    wehr
                Cyber Krisenmanagementstellen
                                                                     Andere Krisenmanagementstellen
                im öffentlichen und privaten Bereich
                                                                     im öffentlichen und privaten Bereich

                               Übergreifender Cyber-Vorfall

korreliert werden. In Österreich agieren                     Security-Steuerungsgruppe verabschiedet
die Cyber Security-Experten als nationales                   die Krisenmanagementpläne.
Cyber-Krisenmanagement.
      Cyber-Krisenmanagement bedarf                          Cyber Security-Steuerungsgruppe
einer eindeutigen Verantwortungsstruktur                     (strategisch-politische Ebene)
für den Cyber-Krisenfall. Krisenmanage-                      Die strategisch-politische Ebene ist die
mentpläne legen fest, wie Krisenmanage-                      höchste Evaluierungs- und Beratungsebe-
menteinrichtungen bei der Behandlung der                     ne des Staates im Bereich Cyber Security.
wichtigsten Cyber-Bedrohungen vorgehen.                      Auf dieser Ebene der Cyber-Partnerschaft
Die Krisenmanagementpläne sind für                           wird die Steuerungsgruppe als zentrales
alle bekannten Vorfälle (Cyber Incidents)                    Beratungsgremium der Bundesregierung
gemeinsam auszuarbeiten und müssen                           in Angelegenheiten der Cyber-Sicherheit
laufend an die aktuelle Bedrohungssitu-                      Österreichs eingerichtet.
ation angepasst werden. Regelmäßige                               Dieses Gremium befasst sich vorran-
Spezial-Übungen (Cyber Exercises) testen                     gig mit ganzheitlichen Ansätzen, Stra-
das Cyber-Krisenmanagement. Die Cyber                        tegien, Krisenmanagement, staatlichen

                                                                                                                     Öffentliche
                                                                                                                     Cyber-Partnerschaft
     Ständige Vertreter der Bundes-                                               Verbindungspersonen zum            mit bestehenden Strukturen
                                                 Regierung
     ministerien und Bundesländer                                                 Nationalen Sicherheitsrat

     Einsatzorganisationen                                                            Experten aus dem Bereich
     und Medien                                                                       Cyber Security
                                                          Cyber Security
     Cyber-Expertise                                       Steuerungs-
                                        SKKM                 gruppe
                                           +                                                                         SKMM – Staatliches Krisen-
                                      Cyber Krisen-                                                                  und Katastrophenschutz
                                      management             Öffentliche Cyber                                       management
                                                              Partnerschaft
                                                                                                                     ATC – Austrian Trust Circle

                                                 Cyber Security                                                      CERT – Computer Emergency
                                                   Plattform                                                         Response Team

                                                                                     Vertreter der                   GovCERT – Government
                                                                                     öffentlichen Verwaltung         Computer Emergency
                                        Gov             Cyber-                                                       Response Team Österreichs
                                            CERTs       Lage- ATCs      ...          Vertreter der
                                       CERT            zentrum                       kritischen Infrastruktur

                                                                                                                 9

Cyber Security-Plattform für
den Informationsaustausch der                                                                               Öffentliche Cyber
öffentlichen Bereiche                                                                                        Partnerschaft
                                     Vertreter der
                                     öffentlichen Verwaltung

                                        + assoziierte Mitglieder                       Cyber Security
                                                                                         Plattform

                                                                                                                              Öffentliche
                                BKA      BM.I   BMLVS BMeiA BMVIT    BMF   BMG    Länder Städte      ...                      Informationsdrehscheibe

                                                öffentl. Cyber-
                                                         Lage- BRZ   KSÖ    ...                            Koordinierung von Arbeitsgruppen der öff. Verwaltung
                                                CERTs zentrum
                                                                                                  Cyber Security Informationsaustausch des öffentl. Bereichs

                                                                                         Drehscheibe für Cyber Security Initiativen des öffentl. Bereichs

                                     Kooperationen und der internationalen                         Als Basis für alle Aktivitäten der Cyber
                                     Beteiligung Österreichs an der Thematik                       Security-Plattform dienen die Grundwer-
                                     Cyber Security. Sie beschließt die umfas-                     te unserer Gesellschaft im Umgang mit
                                     sende Cyber Security-Strategie Öster-                         Cyber-Aktivitäten. Diese Grundwerte sollen
                                     reichs, überwacht deren Umsetzung und                         in einer Präambel festgeschrieben sein, die
                                     greift – wenn notwendig – korrigierend ein.                   von der Politik verabschiedet wird.
                                          Organisatorisch soll auf das Gremium                           Im Rahmen der Cyber Security Platt-
                                     der Verbindungsleute zum Nationalen Si-                       form ermöglichen regelmäßige Meetings
                                     cherheitsrat aufgesetzt werden. Top Cyber                     einen Informationsaustausch aller öffentli-
                                     Security-Experten der öffentlichen Verwal-                    chen Bereiche und zwischen öffentlichen
                                     tung und der Chief Cyber Security Officer                     und privaten Bereichen. Vertreter der
                                     werden Teil dieser Steuerungsgruppe sein.                     Bereiche Bildung, Forschung und Ent-
                                     Eine ständige Beteiligung des privaten                        wicklung sind verstärkt in den Austausch
                                     Sektors in dieser höchsten Cyber-Entschei-                    einzubinden. Arbeitsgruppen und Initiativen
                                     dungsgruppe in Österreich wird dringend                       behandeln aktuelle Herausforderungen der
                                     empfohlen.                                                    Cyber Security in Österreich.
                                                                                                         Eine Web-Plattform fungiert für alle
                                     Informationsdrehscheibe für Cyber                             Zielgruppen in Österreich als die zen-
                                     Security (beratend-operative Ebene)                           trale Anlaufstelle für Themen der IKT-
Zur Plattform siehe auch im          Mit der Cyber Security-Plattform wird                         Sicherheit und als grundlegende Infor-
Kapitel Awareness.
                                     ein ständiger Informationsaustausch der                       mations- und Kommunikationsbasis aller
                                     öffentlichen Cyber-Strukturen in Österreich                   Awareness-Maßnahmen.
                                     und der öffentlichen Verwaltung mit den                             Als ergänzende Einrichtung der Cyber
                                     Vertretern der kritischen Infrastruktur, der                  Security Plattform wird ein Cyber Compe-
                                     Wirtschaft, Cyber-Experten und privaten                       tence Center eingerichtet.
                                     Krisenstellen institutionalisiert (Public Priva-                    Möglichkeiten eines vertraulichen
                                     te Partnership für Cyber Security).                           Informationsaustausches abseits der
                                            Alle wichtigen öffentlichen Stakehol-                  öffentlich zugänglichen Cyber Security
                                     der nehmen in gleichberechtigter Weise                        Plattform schaffen weitere Möglichkeiten
                                     teil. Dabei ist auf einen ganzheitlichen                      der Zusammenarbeit der Bereiche Cyber
                                     Ansatz zu achten, in dem alle Belange der                     Security, Cyber Crime, Cyber Defense und
                                     österreichischen Gesellschaft bezüglich                       Cyber Diplomacy.
                                     Cyber Security berücksichtigt werden.

                                10

Cyber-Lagezentrum Ziel 2: Vernetzung der Stakeholder und
Das geplante Cyber-Lagezentrum ist verant- Strukturen
wortlich für die Bewältigung von größeren
Cyber-Vorfällen innerhalb der Bundesver- These: Cyber Security ist dort wichtig, wo
waltung sowie auch für besondere Kri- IKT-Systeme in Verbindung mit dem Inter-
sen- und Katastrophenlagen auf nationaler net stehen. Das ist in unserer Informations-
Ebene. Assistenzleistungen des Österrei- gesellschaft, wo Menschen vernetzte digitale
chischen Bundesheers (ÖBH) ergänzen das Geräte direkt oder indirekt nutzen, prak-
Cyber-Lagezentrum. tisch überall. Diese digitale Omnipräsenz
Im »Normalbetrieb« erstellt das forciert leider auch kriminelle Machenschaf-
Cyber-Lagezentrum öffentliche und nicht- ten. Um bei erfolgtem Schaden schnell zu
öffentliche Analysen zur Netzsicherheit reagieren oder bei überstandenen Schaden
in Österreich und ist verantwortlich für die Lehren daraus zur Verfügung zu stellen
Simulationen und die Berichterstattung. Im ist es unverzichtbar, alle Stakeholder und
Besonderen ist das Cyber-Lagezentrum für Cyberstrukturen miteinander zu vernetzen.
die Frühwarnung zuständig. Kapazitäten für Nur durch ein enges Netz an Kontakten der
forensische Tätigkeiten werden geschaffen, Stakeholder untereinander wird es möglich,
um Unternehmen auf deren Anfrage hin dass Österreich eine robuste Cyber Security-
zu unterstützen. Dazu ist ein 24-stündiges Struktur aufweist.
Monitoring, 7 Tage die Woche (»24/7«) not-
wendig, damit die Klientel, insbesondere die Strategische Zielsetzung:
Kritischen Infrastrukturen (die einen ähnli- Es sollen Anreize, Förderungsmaßnahmen
chen 24/7-Betrieb ausüben) die notwendige und gesetzliche Grundlagen geschaffen wer-
Auskunft zeitgerecht erhalten können. den, um ein enges Vernetzen österreichischer
Um sicherheitsrelevante Informationen Cyber Security Stakeholder und Strukturen
in Echtzeit zu erfassen, werden die Netze der zu fördern. Ziel dabei ist es, den Prozess
öffentlichen Verwaltung und der kritischen der Cyber-Vernetzung so zu automatisieren,
Infrastrukturen mit einer Sensorik ausge- dass über informationsaustauschende Regel-
stattet. Für Netze ohne Sensorik wird ein kreise eine umfassende, selbstlernende Cyber
verpflichtendes Melden von noch zu definie- Security-Kultur in Österreich entsteht.
renden Cyber-Anomalien vorgeschrieben.
Dazu ist vorab das rechtliche Umfeld zu Maßnahmen
analysieren und anzupassen. Verantwortun-
gen und Befugnisse der Cyber-Lagezentren, Förderung von bestehender und neuer
Meldepflichten und die Weitergabe von Vernetzung zwischen Stakeholdern und
Daten aus dem Cyber-Lagezentrum sind Strukturen in Österreich: Stakeholder
gesetzlich zu regeln. verstärkt zusammenbringen: inner-
Bei der Organisation des Lagezentrums halb von Cyber-Tätigkeitsfeldern
sollen die in ähnlicher Rolle agierenden Sta- durch gezielte Fachveranstaltungen;
keholder eingebunden werden. Strategische übergreifend in Tätigkeitsfeldern
und organisatorische Entscheidungen sollen (Sensibilisierung, Bildung, Forschung
durch einen Lagerat mit den wichtigsten und Entwicklung, Sicherheitsprävention,
öffentlichen Cyber Security Stakeholdern Notfalls und Krisenmanagement,
getroffen werden. Eine Einbindung privater Aufklärung und Strafverfolgung) und
Stakeholder wird dringend empfohlen. übergreifend in Bereichen (Öffentliche
Die Adressaten der Cyber-Lagezentrum- Verwaltung, Wirtschaft, Universitäten,
Leistungen sind vor allem Einrichtungen der Interessensvertretungen, Staatsbürger).
öffentlichen Verwaltung und Unternehmen Der Austausch von Cyber Security
der kritischen Infrastrukturen. Stakeholdern mit Vertretern aus Bereichen,
die nur indirekte oder keine Cyber
Security-Verantwortung haben, soll

verstärkt werden. Bereits existierende Security-Strategie anzupassen oder zu entwi-
Veranstaltungen, Kongresse und Initiativen ckeln. Ziel ist eine mit den Veränderungen
zum Thema Cyber Security sind weiter zu des Cyberspace schritthaltende Legislative,
unterstützen und zu fördern. um Rechtssicherheit im österreichischen
Cyberspace zu schaffen. Die österreichische
Untersuchen, welche Beeinflussungs- Position wird aktiv in internationalen Ar-
Regelkreise in Österreich vorhanden beitsgruppen der Legislative vertreten.
sind, um Cyber Security-Kompetenz zu
fördern: Cyber Security-Strategien müssen Maßnahmen
sich an konstanten wie unvorhersehba-
ren Veränderungen der Technologien, Analyse des Status Quo der heutigen
Anwendungen und Märkte anpassen. Sie Rechtsgrundlagen hinsichtlich Cyber
müssen ihre Cyber Security-Kompetenz Security und Ergänzung der weißen Flecken
stets aktuell halten. Dabei ist ein in der österreichischen Gesetzgebung: Es
Informationsaustausch auf nationaler werden alle Bereiche des österreichischen
und internationaler Ebene hilfreich, aber Cyberspace analysiert, die in Österreich
auch das Einrichten von einander mit durch Verordnungen darzustellen sind.
neuem Wissen und Erkenntnissen versor- Welche Bereiche werden durch welche
genden Regelkreisen. Für letzteres sind Gesetze bereits abgedeckt? Welche
Untersuchungen anzustellen und die dafür Verordnungen zu gleichen Themenbereichen
notwendigen Prozesse (Feedback- und ergänzen einander bzw. existieren par-
Lernschleifen) einzurichten. allel? Welche Bereiche werden aktuell
in Österreich nicht oder nur unzurei-
chend durch die Legislative adressiert?
Ziel 3: Ausbau des rechtlichen Rahmens Widersprüchliche Verordnungen in unter-
für Cyber Security schiedlichen Gesetzen werden beseitigt,
Gesetze zu relevanten noch nicht vorhande-
These: Um dem Menschen Sicherheit nen Themen erarbeitet. Dabei soll auch die
und Vertrauen im Umgang mit vernetz- besondere Verantwortung, die Betreiber von
ten digitalen Technologien zu geben ist es kritischen Infrastrukturen haben, entspre-
wichtig, den Cyberspace zu reglementieren. chend berücksichtigt werden.
Dabei sind alle Ausprägungen von digitaler
Informations- und Kommunikationstechnik Einrichten einer flexiblen Struktur der
(IKT) in Österreich zu berücksichtigen. In Legislative hinsichtlich Cyber Security:
Österreich hat der Gesetzgeber früh auf Möglichkeiten einer neuen flexiblen
Besonderheiten der IKT reagiert und in Struktur der Legislative hinsichtlich Cyber
unterschiedlichen Gesetzen Regelungen fest- Security analysieren. Es soll eine am Puls
geschrieben. Durch die IKT-Durchdringung der Entwicklung des Cyberspace agierende
der gesamten Welt sind allerdings in letzter Rechtsstruktur für Cyber Security eingerich-
Zeit für die Gesetzgebung neue nationale tet und gefördert werden.
und globale Herausforderungen entstanden.
Um mit den schnellen technischen und ge- Teilnahme an der Erarbeitung eines interna-
sellschaftlichen Prozessen im Internet Schritt tionalen Rechtsrahmens für Cyber Security:
zu halten, müssen angepasste Prozesse Aktiv in Partnerschaft mit anderen Nationen
geschaffen werden, um »aktuelle« Rechtssi- an der Diskussion und Erarbeitung von in-
cherheit zu etablieren. ternationalen Verordnungen/Empfehlungen
von Cyber Security mitarbeiten, um öster-
Strategische Zielsetzung: reichische Grundwerte in internationalen
Der rechtliche Rahmen in Österreich für Regelwerken zu verankern.
Cyber Security ist entsprechend den Zielen
und Erfordernissen der vorliegenden Cyber

Ziel 4: Förderung der internationalen CERT Netzwerke), intensive Vernetzung im
Kooperationen Bereich DACH (Deutschland, Österreich,
Schweiz) und bilaterale Cyber Security-
These: Das Internet ist ein globales Phä- Beziehungen mit allen Nachbarstaaten
nomen, genauso wie die Bedrohungen aus pflegen. Intensiver an internationalen
dem Internet. Der internationale Aspekt der Organisationen zum Aufbau von Cyber
Cyber-Bedrohung nimmt in erschrecken- Security-Netzwerken teilnehmen.
dem Ausmaß zu. Um eine nationale digitale
Gesellschaft robust zu machen, muss die Gemeinsame Erarbeitung von interna-
Strategie dafür strikt und konsequent inter- tionalen Strategien zur Sicherung von
national ausgerichtet sein. Die notwendige staatenübergreifenden Grundrechten
globale Vernetzung ist ein zentraler Faktor im Umgang mit digitaler Information
für eine Cyber Security-Strategie. Internatio- und Kommunikation: Österreichs
nale Organisationen arbeiten heute intensiv Grundwerte im Umgang mit digitaler
daran, Grundrechte unserer Gesellschaft Information und Kommunikation und mit
wie Recht auf Privatsphäre oder der Schutz digitalen Netzwerken (wie freier, unein-
von personenbezogenen Daten auch online geschränkter Internet-Zugang und freie
wirksam durchzusetzen. Nur durch ein Meinungsäußerung im Internet) werden in
umfassendes aktives Mitmachen an interna- internationalen Foren vertreten und imple-
tionalen Prozessen kann das Cyber Security- mentiert.
Wissen aufgebaut werden, um Österreich
Vertrauen und Sicherheit im Umgang mit Aktive Beteiligung an länderübergreifen-
digital vernetzten Strukturen zu geben. den Cyber Exercises: Österreich wird die
wichtigsten internationalen Cyber-Übungen
Strategische Zielsetzung: aktiv mitplanen und daran teilnehmen.
Die Teilnahme des öffentlichen Bereichs an Die Erkenntnisse aus den internationalen
internationalen Organisationen zum Thema Übungen fließen direkt in die nationalen
Cyber Security wird institutionalisiert und Übungen ein. :
obligatorisch sein. Zusätzlich ist die Teilnah-
me von Interessenvertretungen des privaten
Sektors an internationalen Vereinigungen
durch Anreizsysteme der öffentlichen Hand
zu fördern. Internationale Ergebnisse und
Empfehlungen werden in nationalen Prozes-
sen berücksichtigt.

Maßnahmen

Aktive Teilnahme der öffentlichen
Verwaltung an internationalen Cyber
Security Entwicklungen (OSZE, OSCD,
EU, NATO, …)

Förderung der Teilnahme des privaten
Bereichs an internationalen Cyber Security
Veranstaltungen und Entwicklungen

Aufbau von bi- und multilatera-
len Netzwerken zur Abwehr von
Internetbedrohungen: Cyber Security-
Partnerschaften und Netzwerke (z. B.

Kritische Infrastruktur

                                                            tection (APCIP) abzustimmen. Eine über-
           Ausgangslange                                    geordnete Zielsetzung korreliert deshalb zu
                                                            diesem Programm folgendermaßen:
           Der Begriff »Kritische Infrastruktur« oder
           »Strategische Infrastruktur« bezeichnet je-      »Das APCIP-Programm ist um Cyber
           nen Teil aller staatlichen und privaten Infra-   Security-Maßnahmen innerhalb und zwi-
           strukturen, die eine wesentliche Bedeutung       schen den Sektoren zu ergänzen, nationale
           für die Aufrechterhaltung wichtiger gesell-      Kapazitäten zur Unterstützung der Informa-
           schaftlicher Funktionen haben. Ihre Störung      tionssicherheit als auch zur Bewältigung von
           oder Zerstörung hat schwerwiegende Aus-          nationalen Krisen- und Katastrophenlagen
           wirkungen auf die Gesundheit, Sicherheit         sind aufzubauen.«
           oder das wirtschaftliche und soziale Wohl
           der Bevölkerung oder die effektive Funkti-
           onsweise von staatlichen Einrichtungen.
                Die meisten Kritischen Infrastrukturen      Strategische Ziele und
           sind heute in zunehmendem Ausmaß von             Maßnahmen
           spezialisierten IT-Systemen abhängig, welche
           einen möglichst reibungslosen, verlässlichen
           und durch-gehenden Betrieb garantieren           Ziel 1: Cyber-Krisenmanagement
           sollen. Der IKT-Sektor selbst (und seine IT-
           und TK-Netze mit ihren Komponenten und           These: Cyber-Krisen und Katastrophenla-
           Betreibern) und auch die IKT-basierten           gen können verheerende Folgen für Staat,
           Infrastrukturen aller anderen Sektoren er-       Wirtschaft und das öffentliche Leben haben.
           möglichen nicht nur die sektorale Produkti-      Im internationalen Vergleich ist es bereits
           on, sondern halten auch den intersektoralen      üblich, für solche Anlassfälle besondere
           Informationsfluss am Laufen. Verallgemei-        übergeordnete Strukturen aufzubauen, die
           nert spricht man in diesem Zusammenhang          bestehende Strukturen des Krisenmanage-
           auch von Kritischen Informationsinfrastruk-      ments ergänzen.
           turen (Critical Information Infrastructure
           – CII). Schutz Kritischer Informationsinfra-     Strategische Zielsetzung:
           struktur (CIIP) ist somit nicht eine Aufgabe     Reaktive Mittel zu einer bundesweiten
           des IKT-Sektors allein, sondern rückte in        Cyber Security-relevanten Katastrophen-
           den letzten Jahren vermehrt auch ins Be-         und Krisenbekämpfung (Cyber-Krisenma-
           wusstsein aller anderen Wirtschaftssektoren.     nagement) ausbauen, um Staat, Wirtschaft
                Eine Besonderheit der Kritischen Infor-     und das öffentliche Leben vor Schäden zu
           mationsinfrastrukturen stellt deren Anfällig-    schützen. Das nationale Cyber-Krisenmana-
           keit für verschiedenartige Cyberangriffe dar.    gement ist wichtiger Bestandteil der nationa-
           Dies zeigt sich insofern, als die CII selbst     len Sicherheit.
           aktiv als »Angriffskanäle« gegen andere Kri-
           tische Infrastrukturen missbraucht werden        Maßnahmen
           könnten. Im Unterschied zu einem Ausfall
           der Strom- oder Wasserversorgung können          Aufbau einer Struktur zum nationalen
           Cyberangriffe einen bleibenden, »nachhalti-      Cyber-Krisenmanagement: Ein nationales
           gen« Schaden verursachen. Dies kann u. a.        Cyber-Sicherheits-Krisenmanagement
           durch die gezielte Zerstörung oder Mani-         (»Cyber-Krisenmanagement«) unterschei-
           pulation von Maschinensteuerungsdaten            det sich vom herkömmlichen öffentlichen
           erfolgen.                                        Katastrophenschutz und Krisenmanagement
                In Österreich sind Cyber Security-Ziele     (SKKM) zum einen durch die besonde-
           beim Schutz der Kritischen Informationsin-       ren Bedürfnisse und Überschneidungen
           frastrukturen mit dem etablierten Austrian       von Cyber-Sicherheit, zum anderen
           Programme for Critical Infrastructure Pro-       durch die konstante Zusammenarbeit

           14

mit Programmen zum Schutz Kritischer
Infrastruktur. Des Weiteren unterscheidet
sich das Cyber-Krisenmanagement vom
traditionellen SKKM durch den dafür not-                                                Schutz
                                                                                      Kritischer
wendigen Grad der innerstaatlichen sowie
                                                               Schutz               Informations-
internationalen Vernetzung: Cyber-Krisen                    Kritischer             infrastrukturen            Cyber
im Inland können nur mithilfe von staat-                 Infrastruktur                                        Security
lichen (öffentlichen) und nicht-staatlichen
(privaten) Akteuren bewältigt werden                                                 Cyber-
und sind fast immer von internationalen                                              Krisen-
                                                                                   management
Kooperationen abhängig.
                                                                         Objekt-                       Cyber
Aufbau eines Cyber-Lagezentrums (siehe                                   schutz                      Sonderlagen
Kapitel Stakeholder und Strukturen)

Einrichten einer tragfähigen                                                         Staatliches
                                                                          Krisen- und Katastrophenschutz-
Krisenkommunikation: Hierbei gilt es, die
                                                                                    management
Kommunikation mit den Organisationen
und Firmen zu verstärken, die für den
Betrieb der wichtigsten Netzwerke ver-
antwortlich sind. Im Anlassfall müssen
gesicherte Kommunikationsanlagen mit
öffentlichen und privaten Akteuren im
Ausland aufrechterhalten werden können.        Infrastrukturen schaffen. Dienstleistungen,                   Zum Cyber-Krisenmanagement
                                                                                                             siehe auch im Kapitel
Der Aufbau eines »Notfallnetzes« (z. B. mit-   die von besonderem allgemeinem Interesse
                                                                                                             Stakeholder und Strukturen.
tels DVB-T-Technologie) soll gewährleistet     sind, haben erhöhten Schutzbedarf.
bleiben. Weitere Möglichkeiten von ausfall-
sicherer Kommunikation (z. B. UKW-Radio)       Maßnahmen
sind in Betracht zu ziehen. Ebenso ist es
unerlässlich, bei der Krisenkommunikation      Förderung des Risikomanagements
die Gesprächspartner verifizieren zu können.   innerhalb der KI: Der Aufbau des IKT-
Vor allem die Weitergabe von Informationen     bezogenen Risikomanagements (allg.
erfordert eine geeignete Rechtsgrundlage.      auch »Informationssicherheit«) gilt
                                               als eine der wichtigsten Maßnahmen,
                                               die Betreiber von KI zum Selbstschutz
Ziel 2: Risikomanagement und                   ergreifen können. Im Kontext natio-
Informationssicherheit                         naler Cyber-Sicherheit ist es besonders
                                               wichtig, dass alle Verantwortlichen
These: Die Unterstützung des Selbstschutzes    Informationssicherheits- bzw. IKT-
durch proaktive Risikominimierung auf          bezogene Risikomanagementmaßnahmen
Unternehmens- und Organisationsebene           in ihren jeweiligen Betrieben einsetzen.
(Risikomanagement und Informations            Der Staat unterstützt sie dabei durch
sicherheit) ist eine der effektivsten Metho-   Informationen zur gemeinsamen Risiko
den, um Cyber Security zu fördern und den      analyse, Akkreditierung von verschie-
alltäglichen Betrieb zu ermöglichen.           denen Risikomanagementmethoden,
                                               Angleichung von Ausbildungsmaßnahmen
Strategische Zielsetzung:                      sowie Analysen der Technologiefolgen
Einen möglichst weitreichenden und gestaf-     abschätzungen. Sanktionen und Anreize
felten Einsatz von Methoden des Risikoma-      fördern den Einsatz von Risiko
nagements und der Informationssicherheit       managementmethoden innerhalb der
innerhalb der identifizierten Kritischen       Privatwirtschaft.

                                                                                                        15

Einrichten eines Cyber Competence Centers:        Freiwilliges Registrierungssystem:
                                 Das Cyber Competence-Center als Teil der          Analog zur Freiwilligen Feuerwehr
                                 Cyber Security Plattform ist die zentrale         können sich IKT-Spezialisten in ein Regis
                                 Anlaufstelle für alle Betreiber der Kritischen   trierungssystem (im Cyber Competence-
                                 Infrastruktur aber auch für Betriebe, die         Center) eintragen lassen, in dem sie ihre
                                 ein Interesse am Risikomanagement/                fachliche Qualifikation, Identität und
                                 Informationssicherheit-Management                 Zertifikate bzw. Qualitätsnachweise
                                 (RM/ISM) haben. Es gibt Auskunft über             (z. B. Sicherheitsüberprüfung nach SPG)
                                 verschiedene RM/ISM-Ansätze und über              anführen. Unter Berücksichtigung recht-
                                 Akkreditierungsverfahren z. B. nach dem           licher Rahmenbedingungen erhalten
                                 Sicherheitshandbuch 2010 oder ISO 27000.          Organisationen und Unternehmen im
                                 Zusammen mit dem Cyber-Lagezentrum                Krisenfall schnell und unbürokratisch
                                 werden quantitative Informationen für die         Zugriff auf qualifiziertes Personal.
                                 Cyber-sicherheitsbezogene Risikoanalyse
                                 aufgearbeitet.
                                                                                   Ziel 3: Informationsaustausch von
                                 Pflege des Informationssicherheits               öffentlichen und privaten Akteuren
                                 handbuch als Basis für den Grundschutz:
                                 Das 2010 neu überarbeitete und                    These: Der Informationsaustausch gilt als
                                 neu strukturierte »Österreichische                wichtigster Faktor nationaler Cyber-Sicher-
                                 Informationssicherheitshandbuch«                  heit. Da sowohl die Vielfalt an Akteuren als
                                 (SIHA) beschreibt und unterstützt die             auch die erhöhte Bedeutung des privaten
                                 Vorgehensweise zur Etablierung eines              Sektors eine ausschließlich staatliche zen
                                 umfassenden Informationssicherheits-              trale Steuerung undurchführbar machen, ist
                                 Managementsystems in Unternehmen und              der ständige Austausch – insbesondere von
                                 der öffentlichen Verwaltung. Das SIHA             Bedrohungsinformation – notwendig, um
                                 2010 ist für die Umsetzung von ISM-               den Selbstschutz der verschiedenen Akteure
                                 Maßnahmen auf Klein- und Mittelbetriebe           zu unterstützen. Hierbei gilt es vor allem,
                                 zugeschnitten. Aufbau und Inhalt orientie-        den Zusammenhang mit dem Austrian
                                 ren sich an internationalen Vorgaben und          Programme for Critical Infrastructure
                                 erleichtern damit die Umsetzung der ISO/          Protection (APCIP) zu gewährleisten.
                                 IEC 27000 Normenreihe. Das international
                                 anerkannte Handbuch leistet einen wichti-         Strategische Zielsetzung:
                                 gen Beitrag zum Mindestschutz und wird            Der Informationsaustausch erfolgt zwischen
                                 laufend aktualisiert.                             staatlichen Akteuren, zwischen nicht-staat-
                                                                                   lichen Akteuren und zwischen staatlichen
                                 Durchführen von                                   und nicht-staatlichen Akteuren. Die Un-
                                 Technologiefolgenabschätzungen: Im                terstützung von Public Private Partnership
                                 Bereich Cyber-Sicherheit ist alle zwei bis        (PPP) als allgemeiner Organisationsrahmen
                                 drei Jahre mit einem schwerwiegenden              für die Zusammenarbeit zwischen staatli-
                                 Technologiewandel zu rechnen. Dies erfor-         chen und nicht-staatlichen Akteuren ist eine
                                 dert, aktuelle und zukünftige technologische      maßgebliche Zielsetzung aller Programme
                                 Trends ständig zu beobachten und deren            zum Schutz kritischer Infrastrukturen. Der
                                 eventuelle Wirkung auf das gesellschaftliche      Austausch von Informationen ist mit den
                                 und wirtschaftliche Leben abzuschätzen.           Bedürfnissen der Geheimhaltung und dem
                                 Die Technologiefolgenabschätzung ist im           Datenschutz abzustimmen.
                                 Rahmen eines Forschungsprogramms an-
Siehe auch Kapitel Bildung und   zusprechen, das mit bestehenden Initiativen
Forschung
                                 (z. B. KIRAS) verknüpft sein kann.

                                 16

Risikomanagement
und Lagebild
Maßnahmen
Ausgangslage
Unterstützung von Public private
Partnership (PPP): Die Die digitale Gesellschaft bedingt eine große
Koordinierung des Schutzes Kritischer Durchdringung von IKT-Komponenten in
Informationsinfrastrukturen bzw. Cyber- allen Bereichen. In klassischen Sektoren wie
Sicherheit erfolgt verstärkt über »trusted« Energieversorgung, Transport und Industrie
Public Private Partnerships (PPP). Beispiele spielt IKT heute eine wesentliche Rolle.
bereits existierender PPPs sind u. a. CERT.at Reine IKT-Sektoren bedienen sich einer
als »Community-basierte PPP« und Austrian Vernetzung weitreichender Dienstleistungen
Trust Circle (tauscht Informationen unter und Infrastrukturen, die über IKT-Kompo-
den privaten Stellen aus). nenten und Prozesse gesteuert werden. Die
Vernetzung der einzelnen Sektoren durch
Rechtssicherheit für Meldepflicht: Betreiber abhängige Leistungs- und Produktübergänge
von kritischen Infrastrukturen haben eine führt zu einer Kettenreaktion bei sicherheits-
besondere Verantwortung und diese muss relevanten Szenarien.
bei ordnungspolitischen Maßnahmen Aus dieser Überlegung heraus sind in
besonders berücksichtigt werden. Einerseits einer Risiko- und Lagebetrachtung alle Sek-
werden regulativ verstärkt Anforderungen toren zu betrachten, besonders genau jedoch
an die KI gestellt: Zum Beispiel wird die Sektoren Informationsinfrastruktur,
empfohlen, bestenfalls alle KI-Betreiber Telekommunikation, Energie, Gesundheit,
(insbesondere aber jene, die für den Schutz Transport, Zahlungsverkehr und öffentliche
der Kritischen Informationsinfrastruktur Verwaltung. Jeder einzelne Sektor hat ein
verantwortlich sind) zur Anwendung von gut ausgeprägtes Risikomanagement. Die
Risikomanagement- und Informations Hauptrisiken werden allerdings vorwiegend
sicherheitsmaßnahmen rechtlich zu dort gesehen, wo sie außerhalb des Ein-
verpflichten. Andererseits thematisiert flussbereiches des einzelnen Unternehmens
auch die Privatwirtschaft oft selbst eine liegen. Dies führt zu dem Schluss, dass die
Meldepflicht bei Cyber-Angriffen. Eine Vernetzung zwischen den Sektoren bzw.
»freiwillige Meldung« wäre den Betreibern über Organisationseinheiten hinaus enorm
aus Datenschutzgründen oft nicht möglich. groß ist und eine übergreifende Risiko
betrachtung erfordert.
Human Sensor Projekt: IKT- Die IKT-Risiken befinden sich durch die
Systemadministratoren werden stufen- stark vernetzte Abhängigkeit der Sektoren
weise in IKT-Sicherheit ausgebildet und voneinander jeweils im Kontext einer vor-
darauf trainiert, Anomalien in ihren bzw. nachgelagerten Risikosituation. So ist
IKT Systemen zu erkennen und an IKT- es auch zu verstehen, dass eine beträchtliche
Sicherheitsverantwortliche zu berichten. Anzahl von Risiken in einem Unternehmen
Die so gewonnenen Erkenntnisse gehen alleine nicht mehr organisiert und bewältigt
an das Cyber-Lagezentrum und Cyber werden kann, sondern nur mehr im Verbund
Competence Center und werden dort bzw. mit staatlicher Unterstützung.
weiterverarbeitet, um das Lagebild Es ist von zentraler Bedeutung, dass
zu verfeinern. : die nicht im IKT-Bereich gelegenen Risiken
und Szenarien durch aktuelle Notfall- und
Krisenmanagement-Pläne abgesichert sind.
Dies ist eine wesentliche Grundlage, um
damit die übergreifenden Risiken und
Szenarien in der Vernetzung abzufangen.
Ein weiteres Element stellt die Frage
des Risikos und Sicherheitsmanagements
in den einzelnen Unternehmen dar. Hier ist

Strategische Zielsetzung:
                                        Sektor Energie                              Die Kernsektoren und darin enthaltene Un-
                                       Flächendeckender
                                          Stromausfall                              ternehmen müssen identifiziert werden. Es
                                                                                    sind einige wenige Kerninfrastrukturen bzw.
                                                                                    Kernunternehmen, deren Ausfall Auswir-
                                            führt zu                                kungen hat, die den jeweiligen Unterneh-
                                                                                    mensbereich bei Weitem übersteigen. Diese
                                                                                    sind in die Betrachtung aufzunehmen und in
                                                                                    die Risikobewertung einzugliedern.

               Sektor Telekom                               Sektor Transport
                Serviceausfälle                                 Ausfall             Ziel 2: Umfassendes Risiko- und
              in Kommunikation                                Auslieferung          Sicherheitsmanagement über Sektoren
                                                                                    hinweg

         Kommunikation und                                    Auslieferung Diesel   These: Aufgrund der globalen Vernetzung
          Services fallen aus                                 für Notstrom im RZ    können IKT-Risiken nicht isoliert betrachtet
                                                              nicht möglich
                                                                                    werden.

                                                                                    Strategische Zielsetzung:
                                         Alle Sektoren
                                           Ausfall der                              Ein umfassendes Risiko- und Sicherheits-
                                       Rechenzentren (RZ)                           management muss sich mit allen Risiken
                                                                                    beschäftigen und für alle Branchen und
                                                                                    Kernunternehmen gelten. Dazu bedarf es
Exemplarische Ausfallskette       das Zurückgreifen auf entsprechende Best          Mindeststandards bezüglich der Organisati-
                                  Practices und Rahmenbedingungen notwen-           on und der Prozesse.
                                  dig. In vielen Fällen wird es so weit gehen,
                                  dass entsprechende Mindeststandards für           Maßnahmen
                                  diese Kerninfrastrukturen festzulegen sind,
                                  die auch einer adäquaten staatlichen              Verdichtung des Risikokatalogs mit
                                  Reglementierung bedürfen.                         ausgewählten Branchenvertretern auf
                                                                                    Expertenebene.

                                                                                    Definition von Mindeststandards für
                                  Strategische Ziele und                            Risiko- und Sicherheitsmanagement unter
                                  Maßnahmen                                         Berücksichtigung von Branchenspezifika
                                                                                    und Standards, sowie von Prozessen im
                                                                                    Bereich Risiko- und Vorfalls-Management.
                                  Ziel 1: Identifizierung von Kern
                                  unternehmen in den Sektoren
                                                                                    Ziel 3: Sicherstellung von
                                  These: Es gibt Risiken, die ein Unternehmen       Mindeststandards und Lenkung
                                  alleine managen kann und es gibt Risiken,         der Risikoakzeptanz in Kernunternehmen
                                  die nur im Verbund bzw. mit staatlicher Un-
                                  terstützung abgedeckt werden können. Die          These: Durch den stärker werdenden
                                  Einschätzung, welche Restrisiken durch ein        Wettbewerb bestimmen vermehrt betriebs-
                                  Unternehmen akzeptiert werden bzw. wel-           wirtschaftliche Faktoren, welches Risiko
                                  che Gegenmaßnahmen als nicht wirtschaft-          Kernunternehmen akzeptieren. Gerade in
                                  lich sinnvoll angesehen werden, müssen vor        Kernunternehmen mit hohen Folgeabhän-
                                  dem Hintergrund der Auswirkungen auf              gigkeiten kann dies Auswirkungen haben,
                                  andere Sektoren betrachtet werden.                die über das betroffene Unternehmen weit

                                  18

Sie können auch lesen