Vorwort
Vorwort: Erich Albrechtowitz
Erich Albrechtowitz Leitung der Gruppe I/B |
Cybersicherheit und seine gesetzliche Grundlage in Österreich
Die weltweite, digitale Vernetzung hat auch im Jahr 2018 weiter zugenommen. Dieser Trend macht auch vor Österreich nicht halt. So konsumieren wir alle digitale Services, die unser Leben erleichtern und es werden digitale Dienste mit Selbstverständlichkeit von uns genutzt.
Doch all das wird von den Schattenseiten dieser Entwicklungen begleitet, welche 2018 ebenfalls zugenommen haben: Bedrohungen aus dem Cyberraum, Angriffe auf kritische Infrastrukturen und Anbieter digitaler Dienste, aber auch auf Kleinunternehmen und Einzelpersonen. Derartige Vorkommnisse waren 2018 in den Schlagzeilen präsent, die die Welt um uns und damit auch Österreich bewegten und so aufzeigen, dass das Thema Digitalisierung in unser aller Denken und Realität endgültig angekommen ist. Dabei ist die Frage, ob die Cybersicherheit in Österreich mit der steigenden Digitalisierung mithalten kann, eine, der sich ein Land wie Österreich stellen muss und auch kann.
Mit dem Österreichischen Netz- und Informationssystemsicherheitsgesetz (NISG), das Ende 2018 auf den Weg gebracht wurde, wurde die Möglichkeit geschaffen, Cybersicherheit als Voraussetzung für die digitale Souveränität Österreichs in Europa auf einer zeitgemäßen, rechtlichen Grundlage zu basieren, die in Einklang mit europäischem Recht steht.
Mit dem NISG hat Österreich aber nicht nur die Netz- und Informationssicherheitsrichtlinie der EU (NIS-Richtlinie) national umgesetzt, es wurden darin auch Strukturen und Prozesse rechtlich definiert, welche Österreich gegen mögliche Bedrohungen wappnen. Zusammen mit der Österreichischen Strategie für Cybersicherheit (ÖSCS) ist das NISG somit ein Werkzeug, das es uns ermöglicht, Österreich hinsichtlich Cybersicherheit im europäischen Vergleich nicht nur weiter voran-, sondern auch unter die Top-Länder in diesem Bereich zu bringen.
Eine wesentliche Rolle auf diesem Weg haben Partner, internationale, aber auch nationale, aus der öffentlichen Verwaltung, den privaten Sektoren, dem Forschungsumfeld, und besonders jene, die für die österreichische Bevölkerung und unser Land wesentliche Dienste erbringen. Zu diesen Partnern zählen wir im Bundeskanzleramt auch CERT.at, mit dem wir vor 10 Jahren in gemeinsamer Kooperation das im Bundeskanzleramt angesiedelte GovCERT Austria schufen.
Es gelang auf diese Weise, die strategische Expertise im Bundeskanzleramt mit der technischen Expertise von CERT.at zu verbinden, was 2018 unter anderem während der Teilnahme an mehreren Cyberübungen wie Cyber Europe, ASDEM oder EuroSOPEX erfolgreich in Form eines simulierten Cyberernstfalls erprobt wurde. Diese Synergien zwischen Bundeskanzleramt und CERT.at konnte in den vergangenen 10 Jahren weiter ausgebaut werden und die Früchte dieser Kooperation sprechen für sich: So ist GovCERT Austria, 10 Jahre nach seiner Gründung 2008, ein angesehener Player in der Cybersicherheit-Landschaft in Österreich, sowie in Europa und der Welt.
Vorwort: Mag. Robert Schischka
Mag. Robert Schischka Leiter des Computer Emergency Response Teams (CERT.at) |
10 Jahre CERT.at - Vertrauen ist wichtiger denn je
2018 war für uns alle insofern ein ganz besonderes Jahr, als wir vor 10 Jahren - genauer gesagt im Februar 2008 erstmals einer breiteren Öffentlichkeit die Gründung eines nationalen Computernotfallteams vorgestellt haben. Zur selben Zeit wurde auch in enger Kooperation mit dem Bundeskanzleramt das GovCERT für die Bereiche der öffentlichen Verwaltung ins Leben gerufen.
Zu dieser Zeit waren CERTs/CSIRTs zum Großteils nur in Fachkreisen eingeführte Begriffe und in der politischen Diskussion oder gar Rechtstexten de facto nicht zu finden. Nicht wenig Zeit verbrachten die Mitarbeiter und Weggefährten der ersten Stunde damit, immer wieder aufs Neue zu erklären, was ein CERT jetzt eigentlich genau macht, dass wir nichts mit Zertifikaten oder Zertifizierungen zu tun haben und auch mit keinen polizeilichen oder sonstigen hoheitlichen Befugnissen ausgestattet sind. Sehr gut kann ich mich auch an zahlreiche Diskussionen erinnern, bei denen die Grundideen des "Infosharings" auf freiwilliger Basis und kooperative Zusammenarbeit und Vertrauen als Erfolgsfaktoren von einigen geradezu belächelt wurde.
Seit damals hat sich einiges verändert, sowohl in der Bedrohungslage, die trotz hohem technischem Mitteleinsatz und großer Anstrengungen leider keineswegs abgenommen hat, aber auch im Bewusstsein um die Relevanz der IKT-Infrastruktur. Die Bereiche Sicherheit und Verfügbarkeit der Informationsnetze, Datensicherheit und Datenschutz sind heute zentrale Themen - nicht nur für Unternehmer und Techniker, sondern auch für die Politik, die diesen Ball unter anderem auch mit der NIS-Richtlinie und der Datenschutzgrundverordnung aufgegriffen hat. Aus Sicht eines CERTs ist es wirklich erfreulich, dass die Aufgaben und Tätigkeiten in diesen beiden Rechtsmaterien erstmals auf europäischer Ebene Erwähnung gefunden haben und somit für den für uns so zentralen Bereich der Informationsverarbeitung und Weitergabe Rechtssicherheit geschaffen wurde.
Die Umsetzung der NIS-RL in österreichisches Recht war von einem durchaus komplizierten Prozess an Konsultationen in diversen Arbeitsgruppen begleitet. Dieses Vorgehen führte naturgemäß zu einem erheblichen Zeitaufwand und einigen Ehrenrunden in der finalen Abstimmung. Im Ergebnis bin ich aber der Meinung, dass in Österreich ein ausgewogenes und gut sehr abgestimmtes rechtliches Rahmenwerk geschaffen wurde. Der eingeschlagene Weg mit zahlreichen Abstimmungen und einer echten Einbeziehung aller relevanten Stakeholder in Diskussionen auf Augenhöhe sind eine gute Grundlage für eine vertrauensvolle Zusammenarbeit in der realen Umsetzung der gesetzlichen Vorgaben.
Ein wesentlicher Baustein ist dabei auch die gesetzliche Verankerung der Meldewege für CERTs sowie das Festschreiben eines Melderechtes abseits von gesetzlichen Meldeverpflichtungen, die zwar in vielen Bereichen durchaus ihre Berechtigung haben, im Ergebnis alleine betrachtet aber zu kurz greifen. Dieses Information-Sharing auf Basis von Selbstorganisation der betroffenen Sektoren wurde von österreichischer Seite schon in die NIS-RL eingebracht und schließlich im österreichischen NISG konsequent weiter umgesetzt.
Ich muss gestehen, dass es mich auch ein bisschen stolz auf unsere Arbeit macht, wenn ich heute von vielen Mitstreitern aus allen Bereichen der Cybersecurity ein klares Bekenntnis zu Informationsaustausch und Kooperation auf Basis gegenseitigen Vertrauens höre. Kein noch so gutes System kann diesen menschlichen Faktor ersetzen.
In diesem Sinne möchte ich mich auch ganz herzlich bei allen Weggefährten für das Vertrauen und die langjährige Unterstützung bedanken. Ohne diese "Überzeugungstäter" könnten wir nicht erfolgreich arbeiten.