Rüsten gegen Angriffe im Cyberspace
Plötzlich, an einem schönen Frühlingstag in Österreich, bricht die Elektrizitätsversorgung zusammen, Kraftwerke liefern keinen Strom mehr und schalten sich ab. Die Sicherheitssysteme der Flughäfen sind außer Kontrolle, auf den Hochgeschwindigkeitsstrecken der Bahn verstellen sich laufend Weichen, bis auch die Leitsysteme der Bundesbahn lahmgelegt sind. Alle Ampelanlagen stehen auf Rot. Kunden können auf ihre Bankkonten nicht mehr zugreifen. Telefonleitungen und Mobiltelefone sind tot. Der öffentliche Nahverkehr kommt zum Erliegen. Das Internet ist nicht mehr erreichbar.
Der Beginn eines Hollywood-Action-Blockbusters? Mitnichten. Das sind konkrete Bedrohungen, wie sie in der Cyberstrategie des Bundeskanzleramts beschrieben sind. So könnte ein konzentrierter Angriff einer feindlichen Gruppe oder eines feindlichen Staates über die Datenleitungen der Republik aussehen. Dagegen versucht sich die Republik zu rüsten.
Kriege des 21. Jahrhunderts in der westlichen Welt werden nicht mehr mit Artillerie- und Panzer-Offensiven geführt, sondern finden im virtuellen Raum, im Cyberspace, statt. Eine verheerende Wirkung können sie – wie eingangs geschildert – dennoch haben.
Die feindlichen Krieger haben keine Kampfausbildung oder scharfe Munition, sondern viel Wissen und Grips, einen Computer und einen Internetanschluss: Wer über ausreichend finanzielle Mittel verfügt, kann in den dunkeln Ecken des World Wide Web diese kriminellen Hackergruppen anheuern. Die besten und günstigsten Cyberkrieger sollen von Russland aus operieren, sie können aber von überall aus der Welt zuschlagen. Leider gibt es bereits zahlreiche Beispiele für Cyber-Attacken gegen Staaten, Konzerne und einzelne Personen.
Stuxnet hieß etwa ein schädliches Computerprogramm, das gezielt das iranische Atomprogramm sabotiert hat. Mit Titan Rain wurde ein koordinierter Angriff auf private US-Sicherheitsunternehmen über mehrere Jahre geführt, mit dem Ziel, sensible Informationen zu stehlen. Und nun gibt es in den USA viel Unruhe, weil die US-Geheimdienste davon ausgehen, dass russische Hacker Einfluss auf die US-Wahl zugunsten Donald Trumps genommen haben. Das Ziel der Hacker: Eine Destabilisierung des politischen Systems.
Stimmungsmache
In Österreich haben sowohl das Abwehramt des Bundesheeres als auch das C4 (Cyber Crime Competence Center) des Innenministeriums die Aufgabe, Cyberangriffe zu neutralisieren. Bei Angriffen auf die Privatwirtschaft hilft das CERT (Computer Emergency Response Team). Otmar Lendl, Teamleiter bei CERT, sieht neben der klassischen Wirtschafts- und Polit-Spionage neuartige Angriffe wie "information operation" als immer stärker werdende Bedrohung: "Es gibt gesicherte Fakten, dass in Russland Menschen dafür bezahlt werden, mit falschen Namen in Online-Medien Stimmungsmache zu betreiben." Je breiter diese auftreten, desto stärker können sie die öffentliche Meinung zu politischen Themen beeinflussen. "Den politischen Gegner zu hacken, um dann seine Schmutzwäsche auf den digitalen Marktplatz zu hängen, ist eine relativ neue Methode", sagt er im Hinblick auf den – erwähnten – Verdacht, russische Hacker hätten den Wahlkampf von US-Präsidentschaftskandidatin Hillary Clinton sabotiert.
"Es wäre verwegen zu sagen, das kann uns in Österreich nicht passieren", sagt Lendl. Aber ist das politische System in Österreich überhaupt "interessant" genug, um unterlaufen zu werden? Grundsätzlich eher nicht, glaubt Lendl, "aber als Teil der EU haben auch wir hier Daten, die Aufschluss darüber geben, was die EU denkt und plant. Und das ist sicher interessant."
Aus genau diesem Grund hat die EU im August eine Richtlinie zur Netz- und Informationssicherheit, die so genannte NIS-Richtlinie, beschlossen. Schwächer gesicherte EU-Staaten sind ein Risikofaktor, deshalb sollen einheitliche Standards insgesamt für mehr Sicherheit sorgen – und Rechtssicherheit schaffen. "Etwa bei datenschutzrechtlichen Fragen gibt es eine große Grauzone", sagt Lendl.
Gesetz für Cybersicherheit
Das "Bundesgesetz für Cybersicherheit", so der Arbeitstitel, muss bis Mai 2018 vorliegen. Damit beschäftigt sich aktuell eine Arbeitsgruppe aus Spezialisten von Innen- und Verteidigungsministerium, eingebunden wurden auch Verkehrs-, Finanz- und Wirtschaftsministerium.
Laut Richtlinie muss jedes EU-Land eine NIS-Behörde und Computerteams einrichten sowie Sicherheitsvorgaben für Unternehmen von "kritischer Infrastruktur" – das sind Krankenhäuser, Flughäfen, Elektrizität- und Wasserwerke – formulieren. Vorgesehen ist zudem eine Meldepflicht für IT-Notfälle bei Hackerangriffen.