Cyberangriffe gegen Unternehmen hatten in den vergangenen Monaten und Jahren Hochsaison. Tendenz steigend. Bis Oktober will die EU deshalb eine neue, effektivere Richtlinie in Sachen Cybersecurity umgesetzt wissen: NIS2. Dazu sind lokale Regierungen, auch die österreichische, dazu aufgerufen, Zuständigkeiten zu verteilen und lokale Gesetze zu beschließen. Die Bundesregierung hat deshalb eine neue Behörde ins Leben gerufen, die jedoch schon früh auf starke Kritik stößt. Nachdem diese nicht nur von Experten kommt, sondern auch von der Opposition, rückt eine zeitgerechte Umsetzung bis Oktober in weite Ferne. Und das könnte Österreich teuer zu stehen kommen.

Fataler Konflikt

"Die Bundesregierung leistet sich beim Versuch der Umsetzung einer europäischen Richtlinie (für ein höheres Cybersicherheitsniveau) einen Bauchklatscher der besonderen Art." So pointiert kommentiert die österreichische NGO Epicenter Works die aktuellen Bemühungen der heimischen Regierung, gewisse Richtlinien zum Thema Cybersicherheit zu beschließen. Das sogenannte NIS2-Gesetz (Netz- und Informationssystemsicherheitsgesetz) sollte hier Verbesserungen mit sich bringen, die laut NGO allerdings verabsäumt wurden.

Am Mittwoch wurde Sebastian Kneidinger von Epicenter Works, in den Innenausschuss geladen, um dort Kritik anbringen zu können. Dort präsentierte der Experte mehrere Punkte, warum die neue Cybersicherheitsbehörde der Regierung ein "Konstruktionsfehler" sei. "Anstatt die Chance zu nutzen, die ohnehin verbesserungsbedürftige allgemeine IT-Sicherheit im Land mit einer unabhängigen Behörde zu stärken, orientiert sich Österreich nur an den Mindestanforderungen der Europäischen Union und betraut das Innenministerium mit der Rolle als Cybersicherheitsbehörde, mit fatalem Zielkonflikt", erklärte Kneidinger.

Die Ansiedelung beim Bundesministerium für Inneres (BMI) sieht er als Fehler. Angefangen bei einer mangelnden Personalausstattung und der mangelnden Einbindung von Wissenschaft und Zivilgesellschaft, hat der Experte die Befürchtung, dass beim BMI die "Einzelstrafverfolgung immer der allgemeinen IT-Sicherheit vorgezogen" werde. Eine Integration dieser Behörde in ein bestimmtes Ministerium wäre immer ein Kompromiss. Viel mehr sollte eine unabhängige Behörde bei zum Beispiel dem Verteidigungsministerium "angesiedelt sein". Dazu gäbe es bereits mehrere Beispiele, etwa die Datenschutzbehörde, die beim BMJ angesiedelt ist.

Hier endet die Kritik allerdings nicht. Die neue Behörde hätte zudem "überschießende Kompetenzen", da das BMI das alleinige Ernennungsrecht des nationalen Computer Security Incident Response Team (CSIRT) hat, das als zentrale Anlaufstelle für Cyber-Notfälle im Land gilt. "Nur wenn die Stakeholder in Österreich Vertrauen zu dieser Stelle haben, kann diese funktionieren." In dieser Zusammenstellung bezweifelt Kneidinger dieses Vertrauen.

Verpasste Chance

In Österreich gilt aktuell das NIS-Gesetz aus dem Jahr 2016, das Anforderungen an die Cybersicherheit in gesellschaftlich wichtigen Bereichen spezifiziert. Mit NIS2 wird die Zahl der betroffenen Unternehmen kräftig erweitert. Darunter fallen sowohl wesentliche (u. a. Unternehmen im Trinkwasserbereich und Energielieferanten) als auch wichtige (u. a. aus dem Lebensmittelsektor) Unternehmen. Für sie gelten künftig ein verpflichtendes Risikomanagement und Meldevorschriften bei Sicherheitsvorfällen. Viele Betroffene dürften sich der Tragweite noch nicht bewusst sein, obwohl bei Vergehen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes drohen – für die Führungskräfte auch persönlich haftbar gemacht werden können. Rund 9000 große Firmen und viele Mittelständler müssen die Vorgaben bis Oktober 2024 innerbetrieblich umsetzen.

Wie dringend bessere Sicherheitsvorkehrungen sind, lässt eine aktuelle Studie von KPMG gemeinsam mit dem Kompetenzzentrum Sicheres Österreich erahnen. Dort ist zu lesen, dass sich die Cyberangriffe zuletzt innerhalb von zwölf Monaten mehr als verdreifacht haben. Zwölf Prozent der in der Studie befragten heimischen Unternehmen hatten bei Sicherheitsvorfällen Schäden von mehr als einer Million Euro verzeichnet, mehr als die Hälfte Schäden von mindestens 100.000 Euro. Dabei wird meist die am schwächsten abgesicherte Firma in Lieferketten betroffen – daher sei NIS2 auch für die Partner und Lieferanten der großen Unternehmen relevant. "Risiken, die andere eingehen, sind auch meine Risiken", erklärt Robert Lamprecht von KPMG kürzlich in einer Podiumsdiskussion zum Thema.

Hinkender Fuß

"Der Vergleich mit anderen Mitgliedsstaaten zeigt, wie sehr wir in Sachen IT-Sicherheit hinterherhinken", ergänzt der Chef von Epicenter Works, Thomas Lohninger. Am Ende der Legislaturperiode und kurz vor der Deadline der Umsetzung der EU-Richtlinie am 17. Oktober 2024 steht laut dem Experten ein Gesetz, das kaum die Mindestanforderungen der EU-Richtlinie erfüllt. Das Ministerium schotte sich ab, anstatt wie in anderen Ländern externe Expertise "ins Haus zu holen".

Die Opposition steht erwartungsgemäß auf der Seite des Experten. In einer Presseaussendung übt etwa die Nationalratsabgeordnete der SPÖ Katharina Kucharowits scharfe Kritik an der Regierung und dem Vorschlag. "Das ist zu viel Machtkonzentration", lässt sie wissen und spricht im Ö1-"Journal" von einem "Superministerium" des zuständigen Ministers. Zudem seien die betroffenen Unternehmen zu wenig in den Prozess eingebunden, merkt die FPÖ an. Private Firmen seien weder "vorbereitet" noch "informiert", lässt der Abgeordnete Hannes Amesbauer wissen. Die beiden Parteien sind sich einig, dem Gesetz nicht zustimmen zu wollen.

Es sieht in jedem Fall schlecht aus, dass die Umsetzung rechtzeitig vor der Deadline gelingt. Zwar gibt es laut Lohninger noch zwei Plenums-Sitzungen, nach den Statements der Opposition wird das aber wohl nicht reichen. Was droht ist deshalb laut dem Experten ein Vertragsverletzungsverfahren und mögliche hohe Strafzahlungen der EU, wenn Österreich die Vorgaben nicht rechtzeitig erfüllt. (Alexander Amon, 21.6.2024)