Der Staat will künftig mehr über Cyberangriffe auf wichtige Infrastrukturen erfahren.
Wien. In Österreich gibt es etwa 400sogenannte kritische Infrastrukturen, die für das Funktionieren des Landes von eminenter Bedeutung sind. Darunter fallen unter anderem das Hochspannungsnetz, Datenleitungen und bestimmte Banken. Wegen der fortschreitenden Vernetzung werden immer mehr solcher Einrichtungen für Hacker angreifbar.
Im Extremfall entstehen dadurch erhebliche Gefahren für die öffentliche Ordnung und Sicherheit. Mit diesem Argument begründet die Regierung nun ihren Plan, die Betreiber solcher Infrastrukturen in Zukunft dazu zu verpflichten, Angriffe, die über das weltweite Datennetz erfolgen, zu melden. Derzeit geschieht das nur auf freiwilliger Basis, selten, formell nicht geregelt und sozusagen als Zeichen des guten Willens.
Die Verschwiegenheit der Betroffenen ist verständlich, denn jede Meldung birgt das Risiko, dass eine Schwachstelle mehr öffentliche Aufmerksamkeit bekommt, als einem lieb ist. Im Fall eines in Aktionärseigentum stehenden Unternehmens kann allein das zu bedeutenden finanziellen Schäden führen. Dass die Regierung über das zuständige Innenministerium dazu drängt, in Zukunft mehr zu erfahren, ist jedoch mindestens ebenso gut begründbar. Immerhin ist es der Staat, der dazu verpflichtet ist, die öffentliche Ordnung aufrecht zu erhalten.
Viele Infrastrukturen privat
Das Dilemma in diesem Fall ist, dass sich inzwischen annähernd 80 Prozent der kritischen Infrastrukturen in privater Hand, also außerhalb des unmittelbaren Einflussbereichs der Behörden befinden. Das neu zu schaffende Cybersicherheits-Gesetz soll Betreibern ebensolcher Infrastrukturen nun Pflichten auferlegen, Mindeststandards in Sachen Sicherheit festlegen, Meldungen vorschreiben.
Erst am 1. Februar 2016 gab es beim mit Abstand größten Telekombetreiber des Landes, A1, einen ernsten Zwischenfall. Bis heute unbekannte Kriminelle bombardierten das Datennetz des Konzerns mit derart vielen Computeranfragen, dass dieses unter der Last für Stunden zusammenbrach. Gleichzeitig ging ein auf Deutsch verfasstes Erpresserschreiben ein. Die Forderung: Eine Zahlung von 100.000 Euro, oder das Datenbombardement werde fortgesetzt und sich wiederholen. A1 zahlte nicht, die Forderung stieg – nach Angaben des Konzerns auf bis zu mehreren Hunderttausend Euro – so lang, bis die Notfalltechniker im Datenstrom schließlich ein Muster identifizierten und so den „bösen“ vom „guten“ Datenstrom isolieren konnten.
Abgesehen von A1 war der Zwischenfall jedoch auch für zahlreiche Kunden bedeutsam, darunter nicht nur Privatpersonen, sondern ebenso andere Betreiber kritischer Infrastrukturen, die das Telekommunikationsnetz des Unternehmens benutzen. A1 hat den Vorfall, der durch seine schiere Größe nicht klein zu halten war, angezeigt.
Die Häufigkeit qualitativ hochwertiger Angriffe ist enorm. Allein A1 bekommt nach Angaben von Technik-Vorstand Marcus Grausam im Monat 100 ähnliche Angriffe zu spüren, von denen jedoch die meisten abgewehrt werden können, keinen Schaden anrichten und damit auch öffentlich unbemerkt bleiben.
Weil solche Hackerattacken aufgrund der Vernetzung mit anderen Infrastrukturen schnell gefährliche Kettenreaktionen verursachen können, berät der Verfassungsschutz seit fast drei Jahren die betroffenen Unternehmen. Das neue Gesetz soll das nun auf eine solide rechtliche Basis stellen.
("Die Presse", Print-Ausgabe, 04.03.2016)