Cybercrime betrifft alle, auch Österreich als Wirtschaftsstandort. Die Leiter von CERT.at und GovCERT.gv.at präsentierten das aktuelle Bedrohungsbild sowie den Status quo nationaler und internationaler Maßnahmen im Kampf gegen die wachsende Cyber-Kriminalität. [...]
„Würde man die Sicherheitslage in Österreich und der Welt ausschließlich anhand der Berichterstattung in den Medien beurteilen, so zeichnete sich ein düsteres Bild“, erklärt Roland Ledinger, Leiter des Bereichs IKT-Strategie des Bundes im Bundeskanzleramt, bei der Präsentation des Internet-Sicherheitsberichts 2013. „Doch es gibt auch Lichtblicke: Sicherheit im Allgemeinen und Internet-Sicherheit im Besonderen sind Themenbereiche, die durch die jüngsten Ereignisse stärker denn je in den Fokus der Aufmerksamkeit gerückt sind.“ Stichwort NSA.
Auch die gemeinsamen Anstrengungen im Kampf gegen die Gefahren aus dem Netz seien dafür verantwortlich, dass IT-Security deutlicher wahrgenommen wird. Dazu Robert Schischka, Leiter des Computer Emergency Response Teams (CERT.at): „Weltweit arbeiten Wirtschaft, Politik und Behörden gemeinsam an Lösungen, wie die Sicherheit im Internet für alle Beteiligten erhöht werden kann. Die Strukturen und Informationskanäle, die unter Federführung von CERT.at für den Privat- und Unternehmensbereich sowie GovCERT.gv.at für den Behördenbereich aufgebaut worden sind, tragen dazu bei, dass Internet-Sicherheit heute in Österreich als wichtige Querschnittsmaterie gesehen wird.“
Es ist jedenfalls höchste Zeit, aktiv zu werden. Laut der heurigen Kriminalstatistik wird der jährliche Schaden, der auf Cybercrime zurückzuführen ist, allein in Österreich auf mehr als sechs Millionen Euro geschätzt. Im ersten Halbjahr wurden im gesamten Bundesgebiet über 6.400 Delikte im Bereich der IT-Kriminalität zur Anzeige gebracht. Zu den Betroffenen gehören unter anderem österreichische Banken, Interessenvertretungen und Verlage.
CERT.at und GovCERT.gv.at führen zusätzlich umfangreiche Statistiken, um das aktuelle Bedrohungsbild möglichst genau zeichnen zu können. Im Jahr 2012 sammelte CERT.at rund 12.900 sicherheitsrelevante Meldungen („Reports“), von denen knapp 4.300 als ernstzunehmende Sicherheitsrisiken („Incidents“) eingestuft wurden. Im Zeitraum Jänner bis September 2013 zählten die heimischen Experten bereits über 30.000 Reports bzw. mehr als 9.100 Incidents. Die Gründe für das starke Wachstum liegen nicht nur in der tatsächlichen Zunahme an Bedrohungen, sondern vor allem in der immer besseren Sensorik, die eine größere Zahl von Angriffen entdecken kann.
Es ist allen Beteiligten klar, dass der Kampf gegen die Cyber-Kriminalität nur mit gemeinsamen Anstrengungen effektiv geführt werden kann. Roland Ledinger: „In Österreich wurden mit der Weiterentwicklung der ‚Nationalen IKT-Sicherheitsstrategie‘ und der Verabschiedung der ‚Österreichischen Strategie für Cyber Sicherheit‘ im März 2013 entscheidende Weichenstellungen für den Schutz des digitalen Raumes gesetzt.“
Auch auf europäischer Ebene ist Internet-Sicherheit ein bestimmendes Thema. Mit der Cyber-Sicherheitsstrategie hat die EU Anfang 2013 dargelegt, wie die europäischen Werte der Freiheit und Demokratie gefördert und die digitale Wirtschaft auf Basis einer sicheren Grundlage weiter wachsen kann. Die EU-Strategie beinhaltet konkrete Maßnahmen zur Erhöhung der Widerstandsfähigkeit der Informationssysteme im Cyber-Raum, zur Eindämmung von Cyber-Kriminalität, zur Stärkung der internationalen Cyber-Sicherheitspolitik sowie der Cyber-Verteidigung der EU.
Zur Umsetzung der EU-Strategie hat die EU Kommission einen Vorschlag für eine begleitende Richtlinie zur Netz- und Informationssicherheit (NIS) veröffentlicht. Diese zielt auf den Aufbau von gemeinsamen Sicherheitsstandards sowie eines europäischen Frühwarnsystems und Kooperationsnetzes ab. In den Mitgliedsländern soll es künftig eigene, für NIS zuständige Behörden geben. Außerdem hat jeder Staat eigene NIS-Strategien sowie nationale NIS-Kooperationspläne auszuarbeiten, die in einen übergreifenden Plan auf europäischer Ebene einfließen.
Mit einer Verabschiedung der Richtlinie durch EU-Parlament und -Rat ist 2014 zu rechnen. Die NIS-Richtlinie setzt mit den verankerten Regelungen auch Meilensteine für die Umsetzung der heimischen Strategie für Cyber-Sicherheit. Österreich hat bereits bei der Erstellung der Strategie auf die sich abzeichnenden europäischen Entwicklungen im Cyber Security-Bereich Rücksicht genommen. Somit soll gewährleistet werden, dass Österreich bereits heute mit den wesentlichen Grundelementen der NIS-Richtlinie konform ist.
„Cyber-Angriffe halten sich nicht an territoriale Grenzen. Daher spielt die internationale Zusammenarbeit eine maßgebliche Rolle im Kampf gegen die Bedrohungen im Netz“, betont Ledinger. Als Zeichen der europäischen Zusammenarbeit fand im Oktober 2013 der erste „European Cyber Security Month“ (ECSM) statt, unterstützt durch die European Union Agency for Network and Information Security (ENISA) und die Europäische Kommission.
Neben Österreich beteiligten sich 25 weitere Staaten am Europäischen Monat der Cyber-Sicherheit. Die Schwerpunkte in der Alpenrepublik reichten von Informationen für Bürger über das IKT-Sicherheitsportal www.onlinesicherheit.gv.at, bis hin zu Fachtagungen für KMU, Vorlesungen und Workshops an Hochschulen und der Präsentation eines Leitfadens für die Unterstützung kleiner und mittlerer Gemeinden bei der Implementierung von Maßnahmen zur Verbesserung der IKT-Sicherheit. „Österreich war dabei federführendes Mitgliedsland, da wir mit Abstand die meisten Beiträge zu dieser EU-Kampagne lieferten. Dieser Rekord zeigt, dass wir am richtigen Weg zu einer umfassenden Bewusstseinsbildung für Netzwerk- und Informationssicherheit sind“, zeigt sich Ledinger stolz.
Neben der technischen und strukturellen Weiterentwicklung von Cyber-Security sei vor allem aber auch die Eigenverantwortung von Behörden, Unternehmen und Bürgern notwendig, um sich in Zukunft effektiv vor Risiken im Internet zu schützen. Oft reichen bereits wenige Maßnahmen aus, um einen wirkungsvollen Schutz aufzubauen. Dazu zählen vor allem der Einsatz aktueller Sicherheitssoftware auf PC, Tablets und anderen Devices sowie regelmäßige Updates. Wichtig seien außerdem der sorgfältige Umgang mit persönlichen Daten sowie die Entwicklung eines „digitalen Bauchgefühls“. Trivial, doch letztlich sehr effektiv sei auch die Grundregel: Was nicht installiert ist, kann auch nicht von Angreifern als Einfallstor genutzt werden. (pi/su)
Be the first to comment