René Mayrhofer: Es beginnt damit, dass ein Account wie zum Beispiel ein Bankkonto übernommen wird, indem ein Passwort erbeutet worden ist. Es werden auch Unternehmens-Accounts übernommen und es kann dann auf die Unternehmens-Daten zugegriffen werden. Oder es wird ein Verschlüsselungstrojaner eingeschleust, der der Erpressung dient.
Wenn es einem Angreifer gelingt, die ID-Austria oder eine andere digitale Identität zu übernehmen, kann er sich voll als die andere Person ausgeben, bis hin zu rechtsgültigen Unterschriften. Es geht bei der kritischen Infrastruktur auch um nationalstaatliche Handlungen. Auf der iberischen Halbinsel war kürzlich ein großer Abschnitt ohne Strom.
Handelte es sich um einen Hackerangriff?
Es wird betont, dass es keiner war. Wenn sich die Hinweise verdichten, dass an mehreren Stellen fast gleichzeitig die Erzeuger weggebrochen sind, meine ich, dass vernetzte Computersystemkomponenten aufgrund eines Fehlers oder Angriffs ausgefallen sind. Unsere kritischen Infrastrukturen sind so labil geworden, weil sie so vernetzt sind. Dadurch sind sie angreifbar und verletzbar.
Wie kann sich der Einzelne vor Angriffen wappnen?
Es geht erstens um Account-Hygiene. Gute Passwörter für jene Accounts verwenden, die einem wichtig sind. Möglichst zufällig generierte, lange Passwörter, die man auch für andere Seiten nicht wiederverwenden soll. Ein Passwort nur für eine Seite.
Das modernere System nennt sich Passkeys. Sie nutzen eine biometrische Authentifizierung (z. B. Fingerabdruck, Gesichtserkennung) oder eine PIN, um den Zugang zu ermöglichen.
Was dient der Sicherheit noch?
Das Zweite sind Back-ups (Sicherheitskopien). Sehr viele Angriffe durch Verschlüsselungstrojaner oder Erpressungen lassen einen entspannt sein, wenn man Back-ups hat. Indem man sich zum Beispiel eine Festplatte kauft und da die Daten raufkopiert. Die besten Back-ups sind jene, die automatisch gemacht werden, um die man sich nicht kümmern muss.
Das Dritte ist das Einspielen von Updates (regelmäßige Aktualisierung der Software). Wir in der Software-Industrie wissen seit Jahrzehnten nicht, wie wir komplexe Software sicher schreiben. Wir wissen nicht, anders als wie zum Beispiel beim Brückenbau, wie man Sicherheitsfaktoren einberechnet. Wenn es einen Fehler gibt, kann deswegen das gesamte Kartenhaus zusammenfallen.
Wir müssen daher damit leben, dass Software unsicher ist. Diese Fehler werden gefunden und behoben, daher gibt es die Updates. Diese muss man einspielen. Wenn man sechs Monate lang keine Updates einspielt, muss man damit rechnen, dass das unsicher ist, die Sicherheitslücken inzwischen bekannt sind und ausgenützt werden können.
Man muss sein Handy, seinen Laptop ebenso servicieren ähnlich dem Service des Autos in der Werkstatt.
Das ist eine gute Analogie. Man kann sich Sicherheit nicht kaufen, ähnlich dem Virenscan oder der Firewall, die man erwerben kann. Sicherheit benötigt eine ständige Wartung. Entweder man macht sie selbst oder man muss dafür bezahlen.
Die meisten Konsumenten sind damit überfordert.
Es wird schon besser. Die modernen Geräte, die sich an Endanwender richten wie ein Smartphone, Tablet oder ein Chrome OS Laptop, spielen Updates automatisch ein.
Was ist ein Chrome OS Laptop?
Chrome OS ist ein Betriebssystem von Google. Es ist ein ganz schlankes System, das primär einen Webbrowser (Software für das Internet) hat. Es aktualisiert sich selbst im Hintergrund.
Eine aktuelle politische Diskussion läuft um die digitale Souveränität Europas, die nicht gegeben ist. Experten befürchten, dass Europa zu einer digitalen Kolonie verkommt. Sehen Sie das auch so?
Die Abhängigkeit ist derzeit zu groß. Man muss das Thema nuanciert sehen. Österreich ist nicht groß genug, um alles selbst machen zu können. Das gilt nicht nur für die digitale Welt. Wir werden in einer globalisierten Welt immer von anderen abhängig sein. Im digitalen Bereich sind wir in manchen Bereichen abgängiger, als als wir es sein müssten.
Zum Beispiel?
Microsoft Azure, Teams, Office 365. Sehr viele Organisationen in Österreich sind zu hundert Prozent nicht nur von Microsoft-Produkten abhängig, sondern zunehmend auch von Mietmodellen. Die USA brauchen gegenüber Europa, sollte der Konflikt weiter eskalieren, nicht mit Waffen drohen. Sie brauchen lediglich Services wie von Microsoft, Amazon und anderen für Europa sperren. Europa wäre handlungsunfähig. Die neue Atombombe ist das Sperren von Services.
Wie kann Europa das entschärfen? Kommissionspräsidentin Ursula van der Leyen hat in ihrer Rede zur Verleihung des Karlspreises das Ziel der Unabhängigkeit Europas ausgegeben.
Es ist ein hehres Ziel, ich glaube aber nicht, dass wir vollständig unabhängig werden. Europa ist groß genug, um viele Dinge zu machen, Österreich nicht. Wenn hier eine Partei davon spricht, Österreich muss komplett souverän werden, ist das Populismus. Ohne massive Einschränkungen unseres Lebensstils ist das völlig unrealistisch.
Auch Europa wird nicht völlig unabhängig werden. Es ist auch nicht notwendig. Der sinnvollste, pragmatische Weg ist Abhängigkeiten von einzelnen Unternehmen zu reduzieren. Bei manchen Dingen ist es klug, sie auf einem eigenen Server zu haben. Dann sind sie schnell verfügbar, es entfallen die Lizenzkosten. Bei anderen Dingen ist es sinnvoller, nicht alles selbst aufzubauen, sondern sie zu mieten.
Das ist ähnlich wie beim Strom. Jeder ist abhängig vom europäischen Stromnetz, aber nicht von einem einzelnen Erzeuger. So ähnlich müsste die Antwort bei der digitalen Abhängigkeit sein. Zurückzugehen um 20 Jahre und zu sagen, die Cloud ist generell böse, halte ich für falsch.
Wo sehen Sie die Probleme?
Ich sehe sie auf mehreren Ebenen. Wir haben zum Beispiel in Europa und Österreich eine besonders hohe Abhängigkeit von Microsoft. Alle Schulen sind mit besonders günstigen Microsoft-Modellen versorgt, alle Daten der Schüler, auch persönliche, sind in der Microsoft-Cloud gespeichert. Es ist sehr umstritten, ob die europäische Datenschutzgrundordnung durch die USA erfüllt wird. Das ist rechtlich nicht ausgestanden.
Die amerikanischen Digitalkonzerne wehren sich gegen europäische Regulierungen. Europa wird vorgehalten, dass es zu wenig auf Innovation und digitale Souveränität achtet.
Hier steckt überall ein Kern Wahrheit drinnen. Wir sind extrem von Microsoft-Clouds abhängig, sogar manche Ministerien und Universitäten. Zum Beispiel bei den eMails und damit sogar in der internen Kommunikation. Wenn zum Beispiel die verbilligten Lizenzen für den Bildungsbereich wegfallen würden und wir die normalen Marktpreise zahlen müssten, würde der Bildungssektor zusammenbrechen, weil das notwendige Budget nicht da ist.
Vor rund zwei Jahren sind vermutlich chinesische Hacker bei den Microsoft-Services eingedrungen und es wurden soweit bekannt auch österreichische Ministerien mit ihrer eMail-Kommunikation abgesaugt.
Wir sollten verschiedene Clouds verwenden, nicht nur die von einem großen Hersteller. Wir sollten auch souveräne, eigene Cloud-Services aufbauen. Die Johannes-Kepler-Universität (JKU) ist eine der wenigen Universitäten in Österreich, die ihre eigenen Services betreibt. Das finde ich sehr gut. Die kritische Infrastruktur sollte man ebenfalls lokal betreiben. Und auch da nicht mit einem Einzigen. Wir sollten umschalten können und einen Plan B haben.
Es gibt nun seit Kurzem die Digital-Universität (IT:U). Wie sehen Sie Ihre Entwicklung?
Es ist keine Digital-Universität.
Was ist sie dann?
Ich war anfänglich in den Entstehungsprozess eingebunden. Eine Zeit lang hat es danach ausgesehen, dass es eine neue Technische Universität (TU) wird. Das wäre sehr gut gewesen, denn man hätte auf einer soliden Basis aufbauen können. Man hätte die technisch-naturwissenschaftliche Fakultät der JKU als Kern der TU nehmen können. Es gab dann die politische Order, dass das keine klassische technische Universität werden darf, denn die Unis seien zu wenig agil, man brauche eine Universität neuen Stils. Damit war die Idee einer TU erledigt.
Was ist dann die IT:U?
Ich weiß zu wenig, was der Fokus ist und sein wird. Derzeit läuft ein Doktoratsprogramm, ein Masterprogramm ist in Planung. Man sollte der Organisation Zeit geben, zu finden, wo sie sich gut positionieren kann. Ich sehe sie nicht als Konkurrenz, denn wir machen ganz andere Dinge.
Kommentare