Österreich als EU-Schlusslicht bei Cybersicherheit

Fast ein Jahr nach dem Fristende wurde die EU-Richtlinie für Sicherheit in Informationsnetzen während der Osterwoche auch in Österreich umgesetzt. Das neue Cyberfrühwarnsystem ist angesichts des EU-Wahlkampfs bereits mitten im ersten Praxistest.

Von Erich Moechel

Elf Monate nach Fristende hat auch Österreich die EU-Richtlinie für Sicherheit in Informationsnetzen (NIS) finalisiert. Anfang der Osterwoche wurden die nationalen Kontaktstellen - BVT und Bundeskanzleramt - veröffentlicht. Kernstück der NIS-Richtlinie ist ein EU-weites Alarmsystem gegen Cyberangriffe, in dem jetzt nur noch Rumänien fehlt.

Warum das so lange gedauert hat, obwohl das österreichische NIS-Gesetz zu etwa 90 Prozent auf dem Entwurf der Vorgängerkoalition basiert, war aus dem Bundeskanzleramt nicht zu erfahren. Wie aus dem Zeitablauf hervorgeht, resultierte die enorme Verspätung vor allem aus der Prioritätensetzung der Regierung. Da hatten zwei EU-Richtlinien mit Upload-Filtern sowie die österreichische EU-Initiative für eine neue Vorratsdatenspeicherung offensichtlich Vorrang.

Public Domain

Bereits im Sommer 2018 hatte sich abgezeichnet, dass die NIS-Richtlinie nicht zu den Prioritäten der Bundesregierung zählt.

Interessante Zeitabläufe

Dabei sind die von Österreich genannten Kontaktpunkte die ohnehin erwarteten. Die strategische Koordination liegt wie schon vorher beim Bundeskanzleramt, für die administrative Abwicklung ist - wie angekündigt - im Innenministerium das BVT zuständig. Dass CERT.at als operatives „Incident Response Team“ nominiert wurde, ist schon gar keine Überraschung, denn die Tochter der Domain-Vergabestellte NIC.at hat ein solches Team bereits seit 2008 aufgebaut.

Die Zeitabläufe sind da schon wesentlich interessanter. Am 14. April (Sonntag) erging eine Anfrage von ORF.at an das Bundeskanzleramt sowie an die NIS-Kontaktstelle der EU-Kommission. Die einzige Frage war, warum in der Liste aller Kontaktstellen in der Union die österreichischen Ansprechpartner fehlten. Am Montag (15. April) Nachmittag waren dann plötzlich alle fehlenden Kontaktdaten dazu im Netz. Aus der zuständigen Abteilung der EU-Kommission hieß es zum Ablauf, dass die Updates laufend erfolgten, sobald Informationen aus den Mitgliedsstaaten einträfen. Aus dem Bundeskanzleramt in Wien gab es dazu keinen Kommentar.

Public Domain

Diese Richtlinie zum Schutz der zivilen Netze in Europa war angesichts des Wettrüstens im Cyberspace ein längst überfälliger, erster Schritt.

Was 2017 alles schon fertig war

Dabei hatte die österreichische Bundesregierung diese Daten bereits im Februar in Brüssel eingereicht, das haben Hintergrundrecherchen ergeben. Warum die Daten dann zwei Monate nicht veröffentlicht wurden, kann nicht sehr viele Gründe haben. Es ist zwar möglich, dass der britische Militärgeheimdienst GCHQ, dessen National Cyber Security Center die NIS-Schnittstellen Großbritanniens betreibt, Einspruch erhoben hat.

Das GCHQ hatte bekanntlich davor für den Ausschluss Österreichs aus dem Geheimdienstgremium „Club de Berne“ gesorgt, ein Informationsaustausch auf dieser Geheimhaltungsstufe ist im NIS-System allerdings nicht geplant. Es ist also davon auszugehen, dass die Finalisierung der Richtlinie einfach liegengeblieben ist, und damit hatte auch die gesamte Umsetzung angefangen. Die große Koalition hatte eine fertige Umsetzung hinterlassen, die aus Zeitgründen nicht mehr verabschiedet werden konnte.

Public Domain

Und dann passierte: nichts

Der einzige große Unterschied war, dass damals das Bundesheer mit dabei war. Das „Kommando Führungsunterstützung und Cyber Defence“, dem der Schutz der Hochsicherheitsnetze des Bundesheers obliegt, sollte auch die technische Koordination zum Schutz des zivilen Bereichs übernehmen. In der zivilen IT-Sicherheitsbranche gilt diese Cyberabwehrtruppe des Bundesheers seit längerem schon als absolut kompetent und schlagkräftig. Dieses Kommando sollte zu einer eigenen nationalen Cyberabwehr mit eigenem Logo und eigenen Uniformen ausgebaut werden.

Bei Amtsantritt der neuen Bundesregierung Ende 2017 wurde dieser Prozess im Heer abrupt gestoppt und dann rückabgewickelt. Es passierte erst einmal gar nichts, die Umsetzungsfrist lief ab (Mai 2018), dann kam die EU-Ratspräsidentschaft. Da war die Bundesregierung mit anderem ausgelastet, nämlich eine Richtlinie (Copyright) und eine Verordnung (gegen Terrorpropaganda im Netz) voranzubringen, die beide Upload-Filter enthalten. Wie berichtet, brachte die österreichische Ratspräsidentschaft auf dem „Sicherheitsgipfel“ in Salzburg (18. September) auch noch die Initiative für eine neue EU-Vorratsdatenspeicherung auf den Weg.

Zu Ostern auferstanden

Im Namen der Sicherheit wurden also gleich drei verschiedene Überwachungsvorhaben vorangetrieben. Die Umsetzung der bereits 2016 beschlossenen EU-Richtlinie für ein Abwehrsystem gegen Cyberangriffe, die eine Mehrheit der Mitgliedsstaaten bereits Ende 2017 umgesetzt hatte, wurde da in Österreich erst wieder aus der Schublade geholt. Mitte Dezember wurde sie dann auch in Österreich verabschiedet, um dann weiter liegenzubleiben. Wie oben beschrieben, wurde sie erst in der Osterwoche finalisiert.

Bundeskanzleramt

Seit Mitte Februar dürfte im Bundeskanzleramt ganz einfach niemandem aufgefallen sein, dass Österreich noch immer nicht auf der Brüsseler Cyberlandkarte aufgeschienen war. Offenbar hatte nur eine Formalität gefehlt, denn 24 Stunden nach den Anfragen von ORF.at war das Problem behoben.

So leichtfüßig wurde mit einer Richtlinie umgesprungen, die erstmals eine Meldepflicht von großen Cyberangriffen durch betroffene Unternehmen vorsieht, besonders wenn personenbezogene Daten von Dritten dabei gestohlen werden.

Sachdienliche Informationen, Metakritiken et al. an den Autor können hier verschlüsselt und anonym eingeworfen werden. Wer eine Antwort will, sollte eine Kontaktmöglichkeit angeben.

Russischer Epilog

Das Cyberfrühwarnsystem der Union, das angesichts der zunehmenden Spannungen mit Russland von der EU Ende 2014 angegangen wurde, durchläuft schon jetzt seinen ersten Praxistest. In fünf Wochen wird in der Europäischen Union gewählt.