"Die hundertprozentige Sicherheit ist eine Utopie"

Fällt der Strom für eine Stunde aus, verfliegt der Ärger darüber schnell. Bringt hingegen ein Hackerangriff die gesamte kritische Infrastruktur zum Erliegen, stellt dies Staat und Gesellschaft vor Probleme: Die Kommunikation würde zusammenbrechen, Regale in Supermärkten wären bald leer, die Versorgung mit Strom und Wasser wäre genauso unterbrochen wie die Entsorgung von Abwässern. Mit der NIS-Richtlinie (Network and Information System Safety Act) verschärft die EU nun die Anforderungen an die Mitgliedstaaten.

Die Auswirkungen wurden bei einem von der Standortagentur Business Upper Austria organisierten Expertengespräch beim Forum Alpbach diskutiert. Betroffen von der neuen Richtlinie sind vor allem Unternehmen aus den Bereichen Trinkwasserversorgung, Verkehr, Energie, Gesundheit und Banken. Sie müssen ihre Sicherheitsvorkehrungen nachschärfen, um auch im Ernstfall die Bevölkerung versorgen zu können.

"Strom und Telekommunikation sind die Basis für alle anderen Dinge", sagt Thomas Pfeiffer, Verantwortlicher für Informationssicherheit beim Linz Netz. Diese Bereiche müssten unbedingt aufrechterhalten werden. Dazu kommen Meldepflichten: Ein Angriff, der einen bestimmten Schwellenwert übersteigt, muss laut Pfeiffer unverzüglich mitgeteilt werden: Die Informationen werden an andere Unternehmen sowie die Mitgliedstaaten weitergeleitet, um weitere Angriffe zu verhindern. Österreichweit dürfte das rund 100 Unternehmen betreffen. Sie werden regelmäßig vom Bund überprüft.

Bereits in Schulen ansetzen

"Das Gesetz ist zwingend erforderlich. Die Attacken werden zunehmen", sagt Walter Unger, Leiter des Cyber-Verteidigungscenters beim Bundesheer. Die Digitalisierung berge auch Gefahren: Angriffe auf Roboter, Drohnen und vernetzte Produkte (Internet der Dinge) würden wahrscheinlicher. Auch terroristische Hackerangriffe auf Atomkraftwerke oder die Luftraumsicherheit seien denkbar. "Die hundertprozentige Sicherheit ist eine Utopie", sagt Unger. Schutzmaßnahmen müssten zunehmend automatisiert und Menschen auf die Gefahren der Internetkriminalität aufmerksam gemacht werden. "Wirklich wichtige Dinge sollten zudem nicht über einen Computer erreichbar sein."

In den Unternehmen werden händeringend mehr Fachkräfte im digitalen Sicherheitsbereich gesucht: Gerhard Eschelbeck, aus Peuerbach stammender Vizepräsident im Bereich Sicherheit bei Google, plädiert dafür, den Schwerpunkt Computersicherheit bereits in Schulen zu etablieren. Talente seien schwierig zu finden, allein bei Google seien bis Jahresende 200 freie Stellen zu besetzen.

Mehr Experten fordert auch Landeshauptmann-Stellvertreter und Wirtschaftslandesrat Michael Strugl: "Oberösterreich als Industriestandort ist besonders gefährdet. Aktuell etablieren wir an der FH Hagenberg einen Schwerpunkt zur Informationssicherheit."

NIS-Richtlinie

Nach zweijähriger Vorlaufzeit ist die NIS-Richtlinie der EU am 9. Mai in Kraft getreten. Sie legt Betreibern wesentlicher Dienste (u.a. Banken, Energieanbieter) strengere Sicherheitsvorkehrungen bei Cyberangriffen auf. Wie einige Länder ist Österreich bei der Umsetzung in ein nationales Gesetz noch säumig, ein Inkrafttreten Ende 2018 oder Anfang 2019 scheint wahrscheinlich.