Hochspannungsleitungen
Zur kritischen Infrastruktur gehören Kommunikationsnetze ebenso wie die Stromversorgung.
imago images / Bild13

"Käme es zu einem österreichweiten Blackout, so wäre trotz Gegenmaßnahmen wie Notstromversorgung ein Großteil des nationalen Mobilfunknetzes nach 30 bis 60 Minuten offline", sagt Thomas Arnoldner, CEO von A1. Die wirklich kritischen Teile der Infrastruktur wären jedoch länger verfügbar, und gemeinsam mit diversen Stakeholdern arbeitet man daran, diese Resilienz weiter zu erhöhen. Einen ähnlichen Einblick in die Praxis, wenn auch aus einer anderen Branche, gibt Martin Graf, Vorstandsdirektor der Energie Steiermark: Zwar waren während der Hochwasser rund 5.000 Kunden einen halben Tag vom Netz getrennt, großflächige Ausfälle konnten jedoch vermieden werden.

Um die Resilienz der kritischen Infrastruktur steht es in Österreich also nicht schlecht. Doch die Bedrohungslage verschärft sich, weshalb die Verantwortlichen für die Zukunft planen wollen. Am Montag fanden sich somit auf Einladung der Direktion Staatsschutz und Nachrichtendienst (DSN) des Innenministeriums und des Kompetenzzentrum Sicheres Österreich diverse Stakeholder zum "Tag der kritischen Infrastruktur" ein, um über genau diese Themen zu diskutieren: Cybersecurity, Blackouts, Supply-Chain-Management sowie die NIS-2- und die RKE-Richtlinie der Europäischen Union.

Allesamt sperrige Begriffe, wie Innenminister Gerhard Karner (ÖVP) anmerkt. Aber für das wirtschaftliche und gesellschaftliche Zusammenleben sei es wichtig, sich damit zu beschäftigen. Die digitale Welt könne enorme reale Bedrohungen verursachen. Und je komplexer ein Thema, desto wichtiger sei die Vernetzung der verschiedenen Stakeholder.

Extremes Wetter, extreme Gruppen, extreme KI

Die Direktion Staatsschutz und Nachrichtendienst wurde mit dem Auftrag gegründet, Österreich vor verfassungsgefährdenden Angriffen zu schützen, wie Michael Lohnegger, stellvertretender Direktor der DSN, erläutert. Die Gefahren für die Infrastruktur könnten nämlich in den erwähnten Naturkatastrophen oder in menschlichem Versagen liegen, oder aber auch in Cyberangriffen. Karner definiert hier verschiedene Gruppen, die von Rechtsextremisten über Staatsverweigerer bis zu islamistischen Extremisten und "radikalen Klimaaktivisten" reichen.

Die Gefahr der Cyberangriffe bestätigt auch Arnoldner: Allein A1 wehrt pro Tag hunderte Angriffe ab. Es ist ein Katz-und-Maus-Spiel zwischen Hackern und Sicherheitsexperten, das durch den Boom bei künstlicher Intelligenz (KI) noch beschleunigt wird, wie der CEO ausführt. So schicken Cyberkriminelle automatisiert E-Mails an alle Adressen eines Unternehmens, um auf Basis der Abwesenheitsnotizen anschießend von einer KI ein detailliertes Organigramm erstellen zu lassen, das wiederum als Basis für den berühmten "CEO-Fraud" verwendet wird. Bei diesem geben sich die Kriminellen als Führungskräfte des Konzerns aus und drängen ahnungslose Mitarbeiter dazu, eine Zahlung zu tätigen. Auf der anderen Seite waren DDoS-Attacken vor einigen Jahren noch ein größeres Problem als heute, wie Arnoldner sagt: A1 nutzt nun KI, um derartige Angriffe rechtzeitig zu erkennen und darauf zu reagieren. Mittlerweile investiert A1 jährlich einen zweistelligen Millionenbetrag in Cybersicherheit.

Das Beispiel des CEO-Fraud zeigt aber auch: Es reicht nicht, wenn die Mehrheit des Personals mit solchen Bedrohungen umzugehen weiß – denn die Kriminellen brauchen nur eine einzige menschliche Schwachstelle, um Schaden anzurichten. Das bestätigt Michael Höllerer, Präsident des Kompetenzzentrums Sicheres Österreich, der vor allem bei kleinen und mittelgroßen Betrieben Nachholbedarf sieht: In vielen Fällen handle es sich nämlich auch um grobe Fahrlässigkeit der Opfer, diverse Betrügereien ließen sich mit einer gewissen Skepsis und einem Nachfragen klären. Das Zauberwort lautet hier nach wie vor: Schulungen, Schulungen und nochmals Schulungen.

Zwei EU-Richtlinien für mehr Sicherheit

Gefordert ist die heimische Politik aber auch in Bezug auf zwei EU-Richtlinien, die bis Spätherbst 2024 umgesetzt werden sollen: die Cybersicherheits-Richtlinie NIS 2 und die Richtlinie über die Resilienz kritischer Einrichtungen (RKE). Bei der NIS 2 geht es hauptsächlich darum, die Widerstandsfähigkeit von Unternehmen gegen Cyberattacken zu stärken, bei der RKE steht wiederum der physische Schutz kritischer Infrastrukturen im Mittelpunkt. Da das Thema sehr wichtig sei, so Karner auf Nachfrage des STANDARD, nehme man sich fest vor, die Richtlinien bis zum avisierten Zeitpunkt umzusetzen. (Stefan Mey, 25.9.2023)