In Österreich wird im Gegensatz zu Deutschland nicht einmal über die Notwendigkeit eines IT-Sicherheitsgesetzes diskutiert. Doch es wäre zumindest laut IT-Experten Markus Robin dringend notwendig.
In Deutschland wird derzeit an einem IT-Sicherheitsgesetz zum Schutz vor Cyberangriffen für Branchen wie Finanzen oder Energie gearbeitet. Der Regierungsentwurf wurde bereits mehrfach überarbeitet. Eine Fertigstellung scheint noch lange nicht in Sicht. In Österreich sei ein solches Gesetz aber nicht einmal geplant, kritisiert der Sicherheitsexperte Markus Robin und warnt vor einem Standortnachteil für Österreich.
"Eine Kernvorgabe des geplanten IT-Sicherheitsgesetzes in Deutschland ist, dass sicherheitskritische Vorfälle von Unternehmen an zentrale Stellen zu melden sind. Die zweite ist, dass es Mindeststandards gibt, an die sich die Betreiber zu halten haben und die überprüft werden", erklärte Robin, geschäftsführender Gesellschafter des IT-Sicherheitsberaters SEC Consult, im Gespräch mit der APA. "Es ist dann nicht mehr wahlfrei, ob man gewisse Mindeststandards erfüllt, oder nicht."
Österreich braucht Sicherheitsrichtlinien
In Deutschland hat die IT-Branche positiv auf den Mitte Dezember von der Regierung vorgelegten Gesetzesentwurf reagiert. "Die deutschen Kollegen sagen, es ist notwendig, das zu tun, um gesamtstaatlich stabiler zu sein", sagte Robin. "Es wird einen Standortnachteil geben, wenn es nicht zeitnahe eine adäquate Kopie von diesen Vorgaben auch für österreichische Firmen geben wird." Die in Wiener Neustadt ansässige IT-Sicherheitsfirma SEC Consult hat ihre Zentrale in Wien und Töchter in Deutschland, Kanada, Russland, Litauen und Singapur. Von den insgesamt 60 Mitarbeitern seien 40 "White Hat Hackers", erklärte Robin, also IT-Sicherheitsspezialisten im engeren Sinne.
"Das österreichische Internet ist kein Ponyhof, es ist nicht von anderen EU-Ländern abgeschottet", sagte Robin. "Es gibt Kostenschätzungen, wonach etwa ein Stromausfall alleine in Wien für eine gewisse Anzahl von Stunden bis zu 500 oder 600 Millionen Euro kosten würde." Einen solchen Ausfall zu verursachen wäre vergleichsweise billig, verweist Robin auf ein Bedrohungsszenario des Abwehramtes (einer der beiden Nachrichtendienste des österreichischen Bundesheeres, Anm.), wonach "mit Hacker-Angriffen, mit der einen oder anderen Sabotageaktion und mit dem Einsatz von etwa 10 Mio. Euro im Wesentlichen Österreich abschaltbar ist".
Man würde in Österreich etwa 100 Millionen Euro brauchen, um einen Analyse durchzuführen und die ersten Maßnahmen zur Absicherung der grundlegenden Infrastruktur zu setzen, schätzt Robin. Und durch Zuwarten werde es nicht besser, "die Bedrohungslage steigt".
Enorm hohe Kosten befürchtet
Gegen das in Deutschland geplante Gesetz, das der IT-Sicherheitsbranche lukrative Aufträge bescheren würde, gibt es aber auch massive Bedenken. Die Unternehmen, die die neue Vorgaben umsetzen sollen - etwa Energie- und Wasserversorger, Telekom-Betreiber, Banken und Versicherungen, Krankenhäuser - befürchten hohen bürokratischen und damit auch zusätzlichen finanziellen Aufwand. Der Branchenverband Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien) und der Industrieverband BDI schätzen die zusätzlichen Ausgaben auf bis zu 1,1 Mrd. Euro.
Auch machen sich die Unternehmen Sorgen wegen möglicher Rufschädigung, wenn sie verpflichtet werden, schwerwiegende Sicherheitsvorfälle publik zu machen. Diese Bedenken versucht der überarbeitete Gesetzesentwurf auszuräumen, indem er vorsieht, dass betroffene Unternehmen solche Vorfälle anonymisiert an das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) melden können - es sei denn, es ist durch einen Angriff tatsächlich zu einem Ausfall gekommen.
(APA/Red. )