Vorwort

Vorwort: Erich Albrechtowitz

Erich Albrechtowitz

Leitung der Gruppe I/B
Bundeskanzleramt

Cybersicherheit, Voraussetzungen für die digitale Souveränität Österreichs und Europa

Österreichs Wirtschaft und Gesellschaft befinden sich aufgrund der digitalen Vernetzung im größten Transformationsprozess der letzten Jahrzehnte. Ein Leben ohne digitale Informationstechnologien ist heute kaum noch vorstellbar. Analysten von Gartner prognostizierten, dass im Jahr 2017 bereits 8,4 Milliarden Maschinen, Geräte oder Fahrzeuge mit dem Internet verbunden sind. Gerade das Internet der Dinge (IoT) trägt durch die rasante Zunahme mangelhaft geschützter Geräte im Internet dazu bei, eine Vielzahl neuer Angriffsszenarien zu ermöglichen. Laut einer Studie von KPMG waren 61 Prozent österreichischer Unternehmen in den letzten zwölf Monaten Opfer einer Cyberattacke.

Die Sicherheit der genutzten Daten, ihre Vertraulichkeit, Integrität und Verfügbarkeit, spielt dabei eine wesentliche Rolle. Es sind nämlich genau diese Faktoren, welche letztendlich die Akzeptanz digitaler Lösungen im privaten wie auch im öffentlichen Leben bestimmen. Erst durch eine strategisch gesteuerte Stärkung von Cyber Sicherheit kann somit das volle Potential der Digitalisierung ausgeschöpft werden, wodurch sich eine starke, digitale Wirtschaft in Österreich entwickeln kann. Aus diesem Grund ist die Zusammenarbeit von Wirtschaft, Politik und anderen Stakeholdern, etwa aus dem akademischen Bereich, im Rahmen von cybersicherheitspolitischen Initiativen von hoher Bedeutung. Dank ganzheitlicher Security-Ansätze soll es diesen Initiativen gelingen, geeignete Rahmenbedingungen zu schaffen, um die Übertragung, Speicherung und Nutzung von Daten ausreichend gegen Ausspähung, Manipulation oder Zerstörung zu schützen. Diese Stärkung der Cyber Sicherheit in Österreich kann nur durch die Zusammenarbeit, den Erfahrungsaustausch und durch Kooperationen auf nationaler und internationaler Ebene gelingen.

In der Österreichischen Strategie für Cyber Sicherheit (ÖSCS) werden Angriffe aus dem Cyber Raum als unmittelbare Gefahr für unsere Sicherheit und für das Funktionieren von Staat, Wirtschaft, Wissenschaft und Gesellschaft genannt. Es gehört somit zur obersten Priorität aller österreichischen Stakeholder auf nationaler und internationaler Ebene, gemeinsam an der Absicherung des Cyber Raums zu arbeiten. Um dies zu gewährleisten, sieht die ÖSCS vor, den neuesten Entwicklungen im Cyber Raum in der Praxis Rechnung zu tragen. Dies geschieht beispielsweise im Rahmen von Cyber Übungen, wo die Praxistauglichkeit der organisatorischen Strukturen, Notfallpläne und -dokumentationsprozesse der betroffenen Stakeholder geübt wird. Das Ziel dabei ist es, im Fall einer Cyberattacke die stressbedingte Fehleranfälligkeit bei den betroffenen Akteuren zu minimieren und die dahingehend bereits umgesetzten Maßnahmen in einem "sicheren" Übungsrahmen zu überprüfen. Im Jahr 2017 konnten sich die österreichischen Stakeholder, darunter auch CERT.at und das GovCERT, bei mehreren solchen Cyber Übungen bewähren.

Im vorliegenden Internet-Sicherheitsbericht zeigen wir die aktuellen Herausforderungen, mit denen unsere Gesellschaft konfrontiert ist auf, und geben einen Überblick über die 2017 gesetzten Aktivitäten und Maßnahmen von CERT.at und dem im Bundeskanzleramt angesiedelten GovCERTAustria. So wurden beispielsweise die bereits bestehenden CERT-Strukturen (CERT-Verbund, GovCERT) auf nationaler und auf Behördenebene weiter gefestigt, ausgebaut und operationalisiert. Das Bundeskanzleramt arbeitet weiters im Rahmen vom GovCERT gemeinsam mit seinen Partnern intensiv daran, das Thema der Cyber Sicherheit in Österreich strategisch zu verankern und gleichzeitig für die Betroffenen zugänglich zu machen, um so deren Wertschätzung für die Digitalisierung von Wirtschaft und Gesellschaft unter sicheren Rahmenbedingungen zu erhöhen.



Vorwort: Mag. Robert Schischka

Mag. Robert Schischka

Leiter des Computer Emergency Response Teams (CERT.at)

Produkte und Dienstleistungen sind von funktionierender IT-Unterstützung abhängig

Auch im Jahr 2017 ist das Thema IT-Security nicht aus den Schlagzeilen verschwunden, mit WannaCry und NotPetya gab es zwei Vorfälle, die auch in der breiten Öffentlichkeit wahrgenommen wurden. Zunehmend wird klar, wie sehr Produkte und Dienstleistungen in unserer modernen Gesellschaft von einer funktionierenden IT-Unterstützung abhängig sind. Eine Störung in der "virtuellen Welt der Daten" führt daher sehr schnell zu Ausfällen im "realen Leben". Diese mögen in vielen Fällen noch relativ harmlos sein, wie etwa die durch WannaCry gestörten Zugsanzeigen der Deutschen Bahn. In anderen Fällen kann dies aber schwerwiegende Konsequenzen haben - beispielsweise die durch NotPetya hervorgerufenen Ausfälle in der IT-Infrastruktur des weltweiten größten Containertransportunternehmens Maersk. Letztere führten zu Störungen in der Verladung und haben kurzfristig die globale Supply-Chain Infrastruktur ins Wanken gebracht und Schäden in dreistelligen Millionenbereich verursacht.

Die NIS-Direktive, die genau solche Szenarien adressiert, wurde auf EU-Ebene bereits 2017 verabschiedet, die volle Umsetzung in nationales Recht ist aber erst für 2018 vorgesehen. Trotzdem sind 2017 viele der Bausteine dieses Konstrukts aktiv geworden: Die Kooperationsgruppe hat sich konstituiert und arbeitet seitdem an der EU-weit harmonisierten Umsetzung der Direktive in Bezug auf die Identifikation der Betreiber wesentlicher Dienste und vorgeschriebener Sicherheitsmaßnahmen.

Auch das CSIRTs-Netzwerk – eine Austauschplattform der jeweiligen nationalen CSIRTs - hat 2017 seinen offiziellen Betrieb aufgenommen. Die österreichischen Vertreter dort sind CERT.at, das österreichische GovCERT und das Austrian Energy CERT (AEC).

Das Austrian Energy CERT ist eine Initiative der österreichischen Energiewirtschaft, die auf Grund einer ausführlichen Risikoanalyse zu dem Schluss gekommen ist, dass ein sektorales IT- Sicherheitsteam (wie im NIS-Gesetz vorgesehen) für die Resilienz der Branche ein wichtiger Schritt ist. Im Mai 2017 hat das AEC seinen Testbetrieb aufgenommen, es arbeitet wie das GovCERT in enger personeller Kooperation mit CERT.at.

2017 war daher für die CERTs wieder ein spannendes Jahr, in dem neben der täglichen, technischen Arbeit für die IT-Sicherheit in Österreich auch sehr viel Kommunikation und Koordination auf allen Ebenen, global im CERT-Dachverband FIRST, über europäische Foren bis hin zu nationalen Initiativen, von der Mitgestaltung des NIS-Gesetzes, über nationale Lagebildprozesse bis zu gemeinsamen technischen Analysen auf der Agenda stand.

Der hier vorliegende Jahresbericht soll einen Einblick in die Arbeit von CERT.at und GovCERT geben und zeigt klar, dass diese Kooperation zwischen nic.at und Bundeskanzleramt eine wichtige Säule in der IT-Sicherheitsstrategie von Österreich ist und bleibt.





Nächste >>