© APA/GINDLFOTO

Politik Inland
04/29/2019

Cyberterror: Staat muss Kraftwerke und Flughäfen besser schützen

Neue Terrorgefahr durch Cyberkriminalität: Wie die Bundesregierung die "kritische Infrastruktur" schützen will.

von Bernhard Gaul

Vor wenigen Wochen stand die Produktion eines der größten Aluminium-Produzenten der Welt, Norsk Hydro, tagelang still. Das Hightech-Unternehmen wurde Opfer eines Cyberangiffs, konkret einer Ransomware: Das Firmennetzwerk wurde lahmgelegt und die Betreiber erpresst. Erst wenn sie ein hohes Lösegeld zahlen, würden ihnen die Cyberkriminellen wieder Zugang zu ihrem Firmensystem gewähren.

Die Firma zahlte nicht. Und das war richtig, bewerteten IT-Sicherheitsfirmen den Schritt – schließlich kann nicht gewährleistet werden, dass die Cyberkriminellen das System tatsächlich wieder entsperren.

Maersk, das weltweit größte Containerschiffunternehmen, musste nach einem Cyberangriff nach ähnlichem Muster das gesamte PC-Netzwerk – 45.000 Computer und 4000 Server – neu aufsetzen. Was, fragten sich damals die Experten, wenn der Angriff gar nicht von gewöhnlichen Cyber-Erpressern ausging – sondern von einer anderen Gruppe? Was, wenn der Angriff eigentlich keine Erpressung war, sondern vielmehr das Unternehmen selbst und damit die europäische Wirtschaft treffen sollten – im Auftrag eines fremden Staates?

16.800 Cybercrimes

Sicher ist nur, dass die genannten Unternehmen nur die Spitze des Eisbergs darstellen. Wie viele wirklich betroffen sind, ist nicht bekannt. Denn kein Unternehmen gibt gerne zu, Opfer eines Cyberangriffs geworden zu sein.

Das Problem ist akut: Am Freitag schlug das deutsche „Bundesamt für Sicherheit in der Informationstechnik“ Alarm und warnte vor gezielten Ransomware-Angriffen auf Unternehmen, nachdem sie „verstärkt Netzwerkkompromittierungen“ zu verzeichnen hatte.

2017 wurden allein in Österreich 16.804 Cybercrime-Straftaten registriert, zeigt die Kriminalstatistik im aktuellen Lagebericht, darunter fallen Hacking (widerrechtlicher Zugriff auf PC-Systeme), Datenmissbrauch und „missbräuchliches Abfangen von Daten“.

„Bei uns melden sich durchschnittlich zwei Firmeneigentümer täglich, die gerade gehackt wurden. Da geht es nicht nur um große Konzerne, sondern auch Arztpraxen oder kleine Hotels, deren Computersysteme lahm gelegt wurden“, erzählt Stefan Prinz, Chef des „Blue Teams“ (der Verteidigungsabteilung) der aus Österreich stammenden und weltweit tätigen SEC Consult Gruppe. Experten wie Prinz sind rar und sehr gefragt, um im Notfall aber auch vorsorglich das eigene Computernetzwerk zu schützen.

Kritische Infrastruktur

Für Österreichs Klein- und Mittelunternehmen ist ein gezielter Cyberschutz zwar empfehlenswert, doch verpflichtend ist er nicht. Anders ist das bei den Betreibern wesentlicher Dienste, die für die „kritische Infrastruktur“ zuständig sind: also etwa der Verbund und alle großen Energieversorger, die Flughäfen, die ÖBB und andere große Verkehrsdienstleister, die wichtigsten Banken und Versicherungen, Gesundheitsdienstleister, Trinkwasserversorger und so weiter; also Betriebe, deren Lahmlegung durch Cyberangriffe Österreichs Volkswirtschaft massive Probleme bereiten würde.

Diese sensiblen Betriebe sind laut dem kürzlich verabschiedeten Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-G) zu umfangreichen Sicherheitsmaßnahmen und zum Melden erfolgreicher Cyberangriffe verpflichtet – sonst drohen ihnen hohe Strafen. Damit die Cybersicherheit gewährleistet werden kann, sind mehrere Bundes- und Landesbehörden eingebunden, vor allem das BVT, das Bundeskriminalamt und das C4 genannte Cybercrime-Competence-Center.

Anfrage an Kurz und Kickl

Aber reicht das? Neos ortet Versäumnisse der Bundesregierung und richtet eine Anfrage an Kanzler Sebastian Kurz und Innenminister Herbert Kickl. „Nicht nur, dass die EU-Richtlinie viel zu spät umgesetzt wurde, ist die Regierung auch bei der Durchführung des Gesetztes säumig. Die Unternehmen, welche Betreiber kritischer Infrastruktur sind, wurden noch nicht einmal informiert“, sagt Neos-Mandatarin Claudia Gamon. Sie fordert, dass die Regierung in Sachen Cybersicherheit „aufwacht und jetzt handelt. Denn nicht-staatliche Akteure oder auch feindlich gesinnte Staaten warten nicht, bis Österreich endlich in die Gänge kommt.“