Die Versäumnisse finden sich teils im Bundeskanzleramt, teils im Innenministerium. Foto: APA/HERBERT NEUBAUER

Ein verdeckter Cyberangriff auf die Systeme des Außenministeriums im Dezember 2019 gilt in Österreich als erster Zeitpunkt, zu dem eine Cyberkrise festgestellt wurde. Es wurden entsprechende Strukturen in Form von Cybersicherheitskräften in den verantwortlichen Ministerien und der Zuhilfenahme eines externen Unternehmens geschaffen, um entsprechend darauf zu reagieren – und diese Krise wurde auch "grundsätzlich erfolgreich" bewältigt, wie es vom Rechnungshof in einem aktuellen Bericht heißt. Dennoch zeigen sich Mängel an anderen Stellen, wie eine Prüfung von 2018 bis 2021 ergab. Und das ist nicht zuletzt angesichts eines Krieges in Europa ein nicht zu unterschätzender Risikofaktor.

Kein Cybereinsatzteam

So weist der Rechnungshof darauf hin, dass ein dauerhaft eingerichtetes und jederzeit benutzbares Cyberlagezentrum zweckmäßig wäre – nicht zuletzt, weil ein Zentrum für die Bearbeitung von Cybervorfällen unmittelbar verfügbar sein sollte. Im Inneren Kreis der Operativen Koordinierungsstruktur (IKDOK), dem wichtigsten interministeriellen Gremium der Cybersicherheit, sieht man seitens des Rechnungshofs eine geeignete Institution für das Thema.

Zudem wäre laut Rechnungshof ein permanent verfügbares Cybereinsatzteam (Rapid Response Team) einzurichten. Ein Dilemma ist dabei allerdings der Personalmangel bei Cybersicherheitskräften, sowohl im Bundeskanzleramt als auch im Innenministerium fehlen die dafür notwendigen Mitarbeiterinnen und Mitarbeiter. Der Rechnungshof empfiehlt hier, ein "modernes Personalmanagement" einzurichten.

Keine Krisenpläne

Ebenfalls beachtlich ist, dass eigentlich Krisen-, Kontinuitäts- und Einsatzpläne Teil eines funktionierenden Cyberkrisenmanagements sein sollten – solche Pläne liegen laut Rechnungshof aber nicht vor, obwohl eine Ausarbeitung solcher Pläne bereits 2014 und 2019 beschlossen wurde. Zuständig dafür wären das Bundeskanzleramt und das Innenministerium gewesen.

Vorfälle werden nicht ausreichend analysiert

Verankert ist, dass Anbieter digitaler Dienste, die öffentliche Verwaltung sowie Betreiber wesentlicher Dienste diverse Sicherheitsvorfälle melden müssen. Anschießend ist das Innenministerium dazu verpflichtet, die Sicherheitsvorfälle zu analysieren und daraus regelmäßig ein Lagebild zu erstellen.

Diese Meldungen wurden zwar aktenmäßig erfasst, in einer Meldungsübersicht eingetragen und an das Bundeskanzleramt sowie an das Verteidigungsministerium weitergeleitet, heißt es seitens des Rechnungshofs – man weist jedoch kritisch darauf hin, dass rund zweieinhalb Jahre nach dem Inkrafttreten des Netz- und Informationssystemsicherheitsgesetzes (NISG) das gesetzlich geforderte "NIS-Meldeanalysesystem" noch nicht in Betrieb war. Mit dem NIS-Meldeanalysesystem soll die Erstellung eines Lagebildes mittels strategischer und operativer Analyse unterstützt werden.

Das Innenministerium hat zu diesem Kritikpunkt Stellung bezogen: Demnach sei ein Meldesammelsystem mittlerweile implementiert und seit dem dritten Quartal 2021 produktiv im Einsatz. Dieses Meldesammelsystem ist als Vorstufe zum geforderten NIS-Meldeanalysesystem zu betrachten.

Frühwarnsystem bloß als Konzept

Ebenfalls noch nicht ganz fertiggestellt ist ein anvisiertes Frühwarnsystem, um etwaigen Sicherheitsvorfällen vorzubeugen. Auch hier wäre das Innenministerium am Zug gewesen. Laut Rechnungshof befand sich das besagte Frühwarnsystem im Vorjahr jedoch lediglich in der Konzeptionsphase – eigentlich waren bereits für 2019 Kosten für erste Investitionen und 2020 Ausgaben für den laufenden Betrieb vorgesehen.

Der Rechnungshof empfiehlt dem Innenministerium dementsprechend, das Projekt zur Implementierung eines Frühwarnsystems verstärkt zu betreiben. Ziel sei, dass möglichst viele Organisationen an diesem Frühwarnsystem teilnehmen.

Krieg in Europa

Bei den besagten Cyberangriffen gegen das Außenministerium lag unter anderem der Vorwurf der Cyberspionage nahe, als ein möglicher Drahtzieher wurde damals Russland vermutet, die russische Seite dementierte dies jedoch vehement.

Während des aktuellen Krieges in der Ukraine rückt das Thema aber wieder verstärkt in den Fokus, zumal beide Seiten auch einen Krieg in der digitalen Welt führen. So hatten russische Hacker etwa versucht, einen Blackout in der Ukraine zu verursachen. Zudem wird befürchtet, dass Russland zu Cybererpressung greifen könnte, um die eigene Staatskasse zu füllen. (Stefan Mey, 22.4.2022)