Vorwort
Vorwort: Staatssekretärin Mag. Muna Duzdar
Mag. Muna Duzdar Staatssekretärin für Diversität, Öffentlichen Dienst und Digitalisierung im Bundeskanzleramt |
Es vergeht kaum ein Tag, an dem wir in den Medien nicht mit Berichten über Cyber Angriffe, Datendiebstahl und Kriminalität im Netz konfrontiert sind, sowie mit Fragen, wie wir die Cyber Sicherheit in Österreich gewährleisten können. Als Staatssekretärin für Diversität, Öffentlichen Dienst und Digitalisierung bin ich einerseits für die Verwaltung und die E-Government-Services und auch für die Digitalisierung Österreichs im Allgemeinen verantwortlich. Insbesondere in meiner Rolle als Staatssekretärin für Digitalisierung ist es mir daher ein Anliegen, den Bereich der Cyber Sicherheit wesentlich mitzugestalten. Ich freue mich diese gesellschaftspolitischen Herausforderungen anzunehmen und ihre Bewältigung durch die Setzung konkreter Aktivitäten voranzutreiben.
Der vorliegende Internet-Sicherheitsbericht von CERT.at und GovCERT Austria gibt Ihnen einen Überblick über die in 2016 gesetzten Aktivitäten. Dabei wird beleuchtet, welchen Herausforderungen im Bereich der Cyber Sicherheit wir uns als Staat stellen und worauf sich Österreich in den kommenden Jahren vorbereiten muss, um diese bestmöglich zu bewältigen. Fest steht, das Thema der Digitalisierung betrifft nahezu alle Bereiche unseres Lebens. Digitalisierung ist nicht nur ein technisches und wirtschaftliches Phänomen, sondern auch ein politisches. Der Cyber Raum der Zukunft soll von Offenheit und Freiheit geprägt sein. Normen, Grundsätze und Werte, die wir in der realen Welt leben, müssen auch in der Online-Welt gelten. Dies betrifft vor allem unsere Grundrechte, wie Demokratie und Rechtsstaatlichkeit.
Wir wollen die Digitalisierung gestalten und dürfen davon nicht überrollt werden. Digitalisierung und Cyber Raum sollen sich zum Wohle der Menschen entwickeln und nicht als Bedrohung wahrgenommen werden. Um das zu gewährleisten, müssen wir massiv in unsere gemeinsame Cyber Sicherheit investieren. Diese den Bürgerinnen und Bürgern zu bieten ist ein gemeinsames Anliegen.
Eine wesentliche Maßnahme hierzu war die Verabschiedung der Österreichischen Strategie für Cyber Sicherheit (ÖSCS), die die Bundesregierung 2013 als umfassendes Konzept zum Schutz des Cyber Raums beschlossen hat. Die Gewährleistung von Cyber Sicherheit im nationalen und internationalen Cyber Raum ist darin eine der obersten Prioritäten Österreichs. Zur Bewältigung dieser Herausforderung wurden bereits mehrere Maßnahmen aus der ÖSCS umgesetzt. Dies wurde auch 2016 weiter vorangetrieben. So wurden vier Ziele der Cyber Sicherheit Plattform (CSP) in Angriff genommen: Die Stärkung der Kommunikation und den Informationsaustausch mit allen Stakeholdern, die Nutzung bestehender Initiativen im Bereich Cyber Sicherheit, der Ausbau der Zusammenarbeit mit privaten Betreibern kritischer Infrastrukturen und weiteren Wirtschaftssektoren, die für die Cyber Sicherheit Österreichs von zentraler Bedeutung sind, sowie die Erhöhung der Kooperation mit Partnern in Richtung Sensibilisierung, Ausbildung, Forschung und Entwicklung. Österreich konnte sich weiters 2016 bei mehreren Cyber Übungen bewähren. Neben der internationalen NATO-Übung "Cyber Coalition" kann hier die vom Bundeskanzleramt organisierte Übung "Cyber Europe Austria 2016", der nationale Ableger der internationalen ENISA-Übung "Cyber Europe", hervorgehoben werden.
Das Jahr 2017 bringt viele wichtige Erneuerungen für Österreich, auch im Bereich Cyber Sicherheit. Mit dem erfolgreichen Abschluss der Verhandlungen einer Europäischen Richtlinie für Netz- und Informationssicherheit (NIS-Richtlinie) konnte 2016 ein wichtiger Grundstein zur Erhöhung der gemeinsamen, europäischen Cyber Sicherheit gesetzt werden, den es nun in ein nationales Gesetz für Cyber Sicherheit umzusetzen gilt. Diese wichtige Aufgabe findet derzeit unter Einbezug aller wichtigen Cyber Sicherheit Stakeholder aus dem öffentlichen wie auch den privaten Sektoren und unter der Koordination des Bundeskanzleramts, welches auch die Verhandlungen bei der Europäischen Union geführt hat, statt. Eines der wichtigsten Anliegen dieser Umsetzung ist eine verstärkte Zusammenarbeit der nationalen Stakeholder im Zuge der Aufgaben, welche an die Mitgliedsstaaten der EU durch diese Richtlinie herangetragen werden. In diesem Sinne kommt dem Bundeskanzleramt als künftige strategische NIS-Behörde die führende Rolle der strategischen Cyber Sicherheit Österreichs zu und damit die Aufgabe, gemeinsam neue Ansätze für die Zukunft zu finden und rechtzeitig die notwendigen Schritte dazu in die Wege zu leiten. Diese Rolle soll im künftigen Gesetz für Cyber Sicherheit institutionalisiert werden.
Cyber Sicherheit ist eine komplexe Angelegenheit, für die es nicht das eine Allheilmittel gibt. Bedrohungen aus dem Cyber Raum können nicht vollständig vermieden, das Risiko aber weitgehend auf ein Niveau reduziert werden, das es der Gesellschaft ermöglicht, weiterhin von den großen Chancen der digitalen Technologie zu profitieren. Viel wurde dazu in Österreich bereits erreicht. Wir werden auch weiterhin gemeinsam mit aller Kraft für Sicherheit im Cyber Raum arbeiten – denn Cyber Sicherheit ist eine gemeinsame Herausforderung für Staat, Wirtschaft und Gesellschaft gleichermaßen.
Vorwort: Ing. Roland Ledinger und Mag. Robert Schischka
Ing. Roland Ledinger Leiter des Bereichs Digitales und E-Government des Bundes im Bundeskanzleramt |
|
|
|
Mag. Robert Schischka Leiter des Computer Emergency Response Teams (CERT.at) |
Die Digitalisierung der Arbeitswelt verändert unser Berufsleben in einem Maße vergleichbar der industriellen Revolution. Digitalisierung dringt in nahezu alle Lebensbereiche vor: Wir alle können uns ein Leben ohne Informations- und Kommunikationstechnologie (IKT) kaum mehr vorstellen. Doch neben der Vielzahl an Erleichterungen und Vorteilen ist die zunehmende Digitalisierung eine immer größer werdende Sicherheitsgefahr für Privatpersonen als auch Unternehmen. Vor allem Unternehmen sind gefordert, sich noch stärker mit der Sicherheit ihrer IT-Systeme auseinanderzusetzen und eine Cyber Sicherheitsstrategie nicht nur zu entwickeln, sondern auch laufend den aktuellen Herausforderungen entsprechend anzupassen. Denn kein Tag vergeht, an dem Cyber Angriffe nicht Systeme lahmlegen, Sicherheitslücken Datendiebstahl ermöglichen und das Internet zum Eingangstor für diverse Angriffe aus dem Cyber Raum werden.
Im vergangenen Jahr standen vor allem Bedrohungen durch Ransomware und DoS/DDoS Angriffe ((Distributed) Denial of Service) im Fokus und die Anzahl dieser Angriffe steigt laufend. So verzeichnete das Bundeskriminalamt im Jahr 2016 über 10.000 angezeigte Angriffe auf Privatpersonen bzw. Unternehmen, was einem Plus von 11,6 Prozent zum Vorjahr entspricht. Angesichts dieser Zahlen ist davon auszugehen, dass Cyber Crime noch lange eine akute Bedrohung bleiben wird.
Jeder Betreiber von IT-Systemen, vom privaten Heim-PC bis hin zu großen Firmennetzen, sollte sich daher der Gefahr bewusst sein und rechtzeitig entsprechende Maßnahmen treffen. Bislang gibt es keine gesicherten Zahlen über die Gesamthöhe der von Ransomware und DoS/DDoS Angriffen verursachten Schäden bzw. die dadurch lukrierten "Profite" der Angreifer, aber alleine die Gruppe hinter der Ransomware "CryptoWall" erbeutete im Jahr 2015 beispielgebende 325 Mio. US-Dollar weltweit. Angesichts der kontinuierlichen Zunahme der Angriffsformen DoS/DDoS und Ransomware scheint es sich jedoch um ein lohnendes Geschäftsmodell zu handeln – zu Lasten der Betroffenen. Im Jahr 2016 waren erstmals verstärkt auch kleine und mittelgroße Unternehmen in größerem Umfang Zielscheibe des CEO-Fraud, einem Betrugsversuch mit gefälschten Rechnungen.
Mit der ÖSCS hat die Bundesregierung ein umfassendes und proaktives Konzept zum Schutz des Cyber Raums mit klar geregelten Verantwortlichkeiten entwickelt. CERT.at und GovCERT Austria verstehen sich als aktive Player einer Sektor-übergreifenden Zusammenarbeit mit öffentlichen und privaten Kooperationspartnern. Darüber hinaus ist CERT.at Ansprechpartner bei Angriffen auf die Privatwirtschaft und treten als vertrauenswürdige und anerkannte Informationsdrehscheibe in der Österreichischen Cyber Sicherheit Landschaft auf.
Mit dem vorliegenden Internet-Sicherheitsbericht 2016 von CERT.at und GovCERT Austria machen wir auf die rasant an Bedeutung gewinnende Notwendigkeit von Cyber Sicherheit für unser Land aufmerksam. Aufgrund der Vielzahl an Bedrohungen ist uns ein konzertiertes Vorgehen in Österreich als auch auf EU-Ebene bzw. international besonders wichtig. Um diesen Schulterschluss auf europäischer Ebene zu erreichen, ist die im August 2016 in Kraft getretene Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) ein großer Schritt in die richtige Richtung zur Abwehr von Cyber Bedrohungen und Hackerangriffen auf kritische Dienste. Die NIS-Richtlinie hat das Ziel, kritische Infrastruktur EU-weit besser gegen Störungen abzusichern. Wie alle Mitgliedstaaten hat Österreich 21 Monate Zeit, die NIS-Richtlinie in nationales Recht umzusetzen – etwa durch die Schaffung eines "Bundesgesetzes für Cybersicherheit" (Arbeitstitel), das bis Mai 2018 erlassen werden muss.
Sichere Netze und Informationssysteme sind die Voraussetzung für das Funktionieren des Binnenmarktes. Durch ein akkordiertes Vorgehen aller Mitgliedstaaten versucht die EU mögliche gravierende Störfälle zu vermeiden. Vor allem die Energiewirtschaft, Wasserversorgung, Logistik/Transport, Finanzwesen, Gesundheitswesen sowie der Informations- und Kommunikationsbereich gelten dabei als besonders relevant. Von der NIS-Richtlinie erfasst sind zudem ausgesuchte digitale Diensteanbieter (beispielsweise Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Cloud Diensten).
Dies macht deutlich, wie wichtig die Arbeit von CERT.at sowie GovCERT Austria und seinen ExpertInnen hinsichtlich Prävention und Beratung ist. Denn auch im kommenden Jahr werden wir wieder vor großen Herausforderungen stehen, um die Cyber Sicherheit unseres Landes weiterzuentwickeln.
Nächste >>