Das Cybersicherheitsgesetz nimmt langsam Gestalt an: Ein Jahr nach dem Start eines Dialogs mit Vertretern von Unternehmen aus dem Bereich kritischer Infrastruktur zur Vorbereitung des Gesetzes soll demnächst ein sogenanntes White Paper fertiggestellt werden. Das kündigten Innenministerin Johanna Mikl-Leitner (ÖVP) und KSÖ-Generalsekretär Alexander Janda am Freitag an.

Noch kein Gesetzesentwurf

Diese White Paper – es ist noch kein Gesetzesentwurf – enthält Ideen und Maßnahmen, die in dem Rechts- und Technologiedialog erarbeitet wurden und bei denen es im Wesentlichen um die Bewältigung von Cyberangriffen auf Unternehmen geht, die essenziell für das Funktionieren des Gemeinwesens sind. Dazu gehören Wasser- und Energieversorger, Banken, Telekommunikationsunternehmen, Gesundheitsversorger oder auch Flughäfen. Mehr als 200 derartige Unternehmen finden sich aktuell auf der Liste, wie Mikl-Leitner vor Journalisten in Wien sagte. Das White Paper soll vor der Erstellung eines Gesetzesentwurfs einem Plausibilitätscheck unterzogen werden, erklärte Janda. Das KSÖ (Kuratorium Sicheres Österreich) fungiert als Dialogplattform.

Datenschutz

Als Knackpunkte hat sich die vorgesehene verpflichtende Meldung von Hackerangriffen an die Behörden erwiesen, deren Ausmaß unter dem Aspekt des Datenschutzes noch Gegenstand von Diskussionen ist. Eine solche Pflicht für Anbieter kritischer Infrastruktur ist auch in der sogenannten NIS-Richtlinie der EU verankert, über die am Montag dieser Woche in Brüssel ein politischer Konsens erzielt wurde und die in das nationale Gesetz einfließen wird. Die Meldung von Hackerangriffen soll die Schaffung eines nationalen Lagebilds ermöglichen. "So wenige gesetzliche Regulative wie möglich" soll es nach den Vorstellungen Mikl-Leitners geben.

Effektive Bedrohung

Die Frage, die sich den Unternehmern stellt: Welche vom Unternehmen nicht erwünschten Reaktionen löst eine Meldepflicht aus? Das könnte laut Günther Ofner, Vorstandsdirektor des Flughafens Wien, theoretisch vom Verlust der Reputation über Einbruch des Umsatzes bis zum Sinken des Aktienkurses reichen. Er spricht sich dafür aus, "die Meldepflicht nur in einem notwendigen gesetzlichen Maß zu regeln", um die effektive Bedrohung sichtbar zu machen.

Umfasst sein sollten ausschließlich essenzielle Hackerattacken und nicht Angriffe auf eine Firewall, wie sie täglich 50 Mal vorkommen können. Der Flughafen gibt Ofners Angaben zufolge ein Viertel seines IT-Budgets für Sicherheit aus. (APA, 11,12.2015)