Das österreichische Verteidigungsministerium präsentierte am 27. Jänner das "Risikobild 2025". Wie nicht anders zu erwarten war, dominieren geopolitische Herausforderungen die Risikolandschaft. Der Ukraine-Krieg, die Spannungen zwischen China und den USA sowie der Nahe Osten sind auch die ersten Themen, die mir einfallen würden, wenn mich jemand nach aktuellen Risiken fragt. Wie ordnet sich das Thema Cybersecurity hier ein? 

Laut dem Risikobericht sind Cyberangriffe vor allem ein Werkzeug, das in den genannten geopolitischen Konflikten eingesetzt wird. Danach müssen wir uns vor allem bei Russland, China und dem Iran darauf einstellen, dass sie Cyberangriffe als Teil ihres Arsenals sehen und auch einsetzen. Der Bogen spannt sich von der Nutzung in militärischen Operationen bis zur Sabotage, letztere vor allem als russisches Mittel zur Zielerreichung. So weit, so bekannt und nicht neu. 

Gewundert hat mich beim Lesen und Hören der Präsentation des Risikobildes aber, wie oft Cyberangriffe mit Desinformation in einem Satz vorgekommen sind. Als Teil von hybriden Angriffen, hybriden Strategien, hybrider Kriegsführung werden parallel Cyberangriffe und Desinformationskampagnen durchgeführt. Beide gemeinsam gefährden laut dem Risikobild die Demokratie bzw. demokratische Prozesse. Dabei gibt es Überschneidungen zwischen beiden Risiken, auch wenn sie im Kern sehr unterschiedlich sind. 

So kann man beispielsweise argumentieren, dass mittels der Werkzeuge der Cybersecurity verhindert bzw. entdeckt werden kann, ob ein Social Media Posting über einen gehackten Account verbreitet wurde. Oder ob ein Deepfake-Videocall nur deshalb möglich war, weil der Zugang zum Call über eine Schwachstelle im Call-Protokoll herstellbar war. Oder dass eine Website gefälscht und als Ersatz für eine echte Seite präsentiert wird, wie es beispielsweise bei der Doppelgänger-Kampagne der Fall war. 

Aber der Kern von Desinformation, die Verbreitung von bewusst falschen Informationen, ist ein soziales Thema, ein politisches Thema bzw. ein Kommunikationsthema. Das Risikobild macht die beiden nicht zu einem, es wirft sie aber gemeinsam in einen Topf. Und hier könnte sich ein Problem für uns in der Cybersecurity-Welt anbahnen. Denn wie wir über die letzten Jahre gesehen haben, ist Cybersecurity schwer zu erklären, vor allem, wenn man es korrekt machen will. Desinformation hat zwar viele Aspekte, aber was eine bewusst falsche Information ist, versteht jede und jeder. 

Für die Cybersecurity-Welt entsteht daher die Gefahr, dass die gleichen Experten zu beiden Themen befragt werden und dass das eine Thema, Desinformation, vorrangig besprochen wird, weil es einfacher zu verstehen ist und emotional aufgeladen werden kann. Es wird sich zeigen, ob ich mit meiner Befürchtung recht habe und wir in den kommenden Monaten öfter dazu aufgefordert bzw. eingeladen werden, zu Desinformation eine fachliche Beurteilung oder Meinung abzugeben. Gut wäre das vermutlich nicht, wie man beispielsweise in den USA sieht, wo die nationale Cyberbehörde CISA beschuldigt wurde, im Rahmen von Desinformations-Schwerpunktprojekten "vom Weg abgekommen zu sein" (Link zu Krebs on Security Bericht)

Ein anderer Aspekt aus dem Risikobild 2025 ist aber mindestens genauso spannend. Als Gegenmaßnahme zu Cyberangriffen nennt der Bericht einen gesamtheitlichen Ansatz aus Vernetzung, Infrastruktursicherheit und Bewusstseinsbildung. Das internationale Teilen von Informationen ist, so der Bericht, ein essentieller Bestandteil wirksamer Abwehr. Zitat aus dem Kapitel über aktuelle Cyberbedrohungen und österreichische Gegenmaßnahmen: "In Österreich wird diese Vernetzung durch die Nationale Koordinierungsstruktur für die Cybersicherheit aktiv gelebt."

CERT.at ist der gelebte ganzheitliche Ansatz nach dieser Definition. Wir verbringen unsere Tage und unsere Nächte mit Information, Vernetzung, Unterstützung beim Schutz von Infrastrukturen und mit Bewusstseinsbildung. Als Teil der nationalen Koordinierungsstruktur ist das nicht nur unsere Mission sondern auch unsere Pflicht. Es ist zwar schade, dass Österreich wenige andere Mittel hat, um Cyberangriffe nachhaltig zu verhindern, aber wenn Vernetzung und Informationsverteilung auch laut dem Risikobild die beste Option sind, die wir haben, dann machen wir das zumindest so gut, wie es irgendwie geht. 

Link zum Risikobild 2025