Download als .pdf - Republik
Download als .pdf - Republik
Download als .pdf - Republik
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Schwerpunkt<br />
» Jeder<br />
Mitarbeiter ist<br />
auch ein<br />
IT-Sicherheitsmitarbeiter.<br />
Johannes Mariel, BRZ<br />
BRZ / Roman Seidl<br />
sonen genannt, diese Zahl will das BMVLS heute<br />
nicht mehr bestätigen. Die Quantität steht <strong>als</strong>o<br />
weniger im Vordergrund <strong>als</strong> die richtige Qualifizierung<br />
des Person<strong>als</strong>. „Wir haben ein relativ<br />
hohes Ausbildungsbudget, allerdings hapert es in<br />
der Folge an der Bezahlung“, so Walter Unger. Um<br />
dieses Manko auszugleichen, setzt das Bundesheer<br />
auf interne Weiterbildung. Seit 2007 läuft an<br />
der FH Hagenberg der Bachelor-Lehrgang Sichere<br />
Informationssysteme (SIB), der bisher 30 Experten<br />
hervorbrachte. Dieser ausbildungskostensparende<br />
Weg sollte noch weiter ausgebaut werden.<br />
Unger: „Der Bund muss sich anstrengen, um<br />
die guten Leute zu halten und nicht an die besser<br />
zahlende Industrie zu verlieren.“<br />
Österreich im Cyberkrieg?<br />
Neue Angriffszenarien werfen die Frage auf,<br />
wie der Staat seine Schutzaufgabe wahrzunehmen<br />
hat. Im „normalen“ Krieg sind die Handlungen<br />
und Handelnden im Angriffsfall eindeutig<br />
definiert. In einem Cyberwar ist der Staat zwar<br />
das Ziel, die Angreifer sind jedoch schwer bis gar<br />
nicht zu identifizieren. Die Wahrscheinlichkeit,<br />
dass Österreich im Netz von einem anderen Land<br />
attackiert wird, ist für Walter Unger eher gering.<br />
„Das heißt aber nicht, dass wir die Hände in den<br />
Schoß legen können.“ Speziell das Militär muss<br />
an den Ernstfall denken. „Denn wir schützen<br />
den Staat. Die Polizei hingegen schützt den einzelnen<br />
Bürger.“ Im schlimmsten Fall nimmt man<br />
Hacker-Angriffe auf mehrere Bereiche gleichzeitig<br />
an. Werden Strom- und Telekomnetz, Bankenund<br />
Geldversorgung, Spitäler, Wasserversorgung,<br />
Transportwesen und die Regierungskommunikation<br />
gleichzeitig lahmgelegt, geht in der ganzen<br />
<strong>Republik</strong> nichts mehr. Hier bedarf es eines neuen<br />
vernetzten Denkens, um gemeinsam handeln zu<br />
können. Gefährdete Unternehmen müssen sich<br />
wappnen und in Sicherheit investieren.<br />
Estlands Netzwerk <strong>als</strong> Kriegsschauplatz<br />
Für das Militär ist der Krieg im Netz – dam<strong>als</strong><br />
noch unter dem Schlagwort Information<br />
War – schon seit rund zwanzig Jahren Thema.<br />
Bereits seit 2004 ist Walter Unger an der Ausarbeitung<br />
von Strategien gegen mögliche Cyberangriffe<br />
beteiligt. Bis zum Jahr 2007 waren alle Szenarien<br />
relativ theoretisch, doch dann wurde es<br />
ernst: Estland – das kontinuierlich seine veralteten<br />
Infrastrukturen durch moderne Informationstechnologien<br />
ersetzte – wurde der hohe Vernetzungsgrad<br />
2007 zum Verhängnis. Vorerst Unbekannte<br />
überfluteten das Land mit schadhaften<br />
Serveranfragen und Spam-Mails und machten es<br />
so zum Ziel des ersten belegten kriegerischen Cyberaktes.<br />
Anlass waren heftige Unruhen in der<br />
„realen“ Welt. Unter der künstlich erzeugten Datenlast<br />
brachen die Netzwerke der kritischen Telekom-<br />
und Banken-Infrastruktur und der Regierung<br />
zusammen. Teile des Internets funktionierten<br />
über Tage nicht mehr. Im Sommer 2008<br />
passierte Ähnliches in Georgien. Ein weiterer Beleg<br />
für einen schwer zurückzuverfolgenden Hacker-Angriff<br />
ist Stuxnet. Dieser äußerst geschickte<br />
programmierte Computerwurm wurde Israel<br />
und den USA zugeschrieben und bescherte dem<br />
iranischen Atomprogramm 2010 einen herben<br />
Rückschlag. All diese Ereignisse haben auch in<br />
anderen Staaten das Bewusstsein für Cybersecurity<br />
und den Schutz von Informationsinfrastruktur<br />
erhöht und einiges bewirkt.<br />
Sorglosigkeit <strong>als</strong> größte Gefahr<br />
Die Frage nach der Sicherheit im Land<br />
scheint angesichts all der möglichen Bedrohungen<br />
berechtigt. Markus Popolari vom BMI:<br />
„Unsere Netzwerke und Systeme sind in der Momentaufnahme<br />
sicher, aber die Entwicklungen<br />
schreiten rasch voran.“ Ganz besonders wichtig<br />
ist daher das Schaffen von Bewusstsein. Denn die<br />
größte Gefahr im Internet ist die Sorglosigkeit<br />
vieler User. Vor allem Bedienstete der Öffentlichen<br />
Hand können durch nachlässigen Umgang<br />
mit den neuen Medien großen Schaden anrichten.<br />
Ein Beispiel dafür sind die Ereignisse, die<br />
2009 in Kärnten ins Rollen kamen: Durch eine<br />
Unachtsamkeit wurde der Computerwurm Conficker<br />
über einen verseuchten USB-Stick u. a. in die<br />
Systeme der Kärntner Landesregierung und des<br />
Krankenanstaltenverbundes eingeschleppt. Insgesamt<br />
waren 3000 Computer mehrere Tage lang<br />
nicht mehr einsatzfähig. In Spitälern und Ämtern<br />
liefen Notprogramme.<br />
Johannes Mariel bestätigt die Notwendigkeit<br />
einer stärkeren Awareness: „Jeder Einzelne muss<br />
verantwortlich mit den Daten umgehen und Regeln<br />
einhalten. Zum Beispiel lässt man ein Notebook<br />
nicht im Auto liegen.“ In Großbritannien<br />
gibt es eine Statistik über Diebstähle von IT-Geräten<br />
in öffentlichen Einrichtungen: Circa ein Drittel<br />
davon wurden aufgrund des Dateninhaltes gezielt<br />
gestohlen. Das BRZ hat darauf schon vor Jahren<br />
reagiert: „Wir setzten Notebooks mit vollständiger<br />
Verschlüsselung der Festplatte ein“, erklärt<br />
Mariel. So beschränkt sich im Fall eines Diebstahls<br />
der Verlust zumindest „nur“ auf das teure Gerät.<br />
Der rechtliche Rahmen<br />
Im Zuge der Cyberstrategie soll es auch Anpassungen<br />
der rechtlichen Rahmenbedingungen,<br />
zum Beispiel in Sachen Datenschutz, geben. Vor<br />
allem der Infoaustausch zwischen Behörden und<br />
Unternehmen muss in Zukunft besser werden. In<br />
welchen Bereichen braucht es dazu gesetzliche<br />
Regelungen, und wo greifen Selbstverantwortung<br />
und Selbstverpflichtung? Diese Informationen<br />
können andere vor Schaden bewahren. „Derzeit<br />
passiert das nicht im gewünschten Umfang.<br />
Hier Änderungen zu erreichen, ist ein wesentliches<br />
Anliegen der Strategie“, so Cybersecurity-<br />
Experte Popolari.<br />
14 Februar/März 2013