Blackout: die Welt im Dunkeln. An einem kalten Februartag geht in großen Teilen Europas das Licht aus; aber nicht nur das Licht: Ohne Strom gibt es keine Wasserversorgung und keine Abwasserentsorgung.

Die Kommunikation bricht zusammen: keine Mobiltelefone, aber auch kein Festnetz; kein Internet, keine E-Mails. Tanken ist nicht mehr möglich. Die Ampeln funktionieren nicht – ein Verkehrschaos ist die Folge.

Die Supermärkte können nicht aufsperren. In den Kühlregalen tauen Lebensmittel auf und verderben. Nahrungsmittel werden knapp. Kreditkarten funktionieren nicht, und bei den Banken kann kein Geld abgehoben werden. Auch die Gesundheitsversorgung bricht allmählich zusammen. Schlussendlich kollabiert auch die öffentliche Sicherheit.

Der Autor Marc Elsberg schildert in seinem Thriller ein beängstigendes Szenario, das nach Aussage von Risikoforschern ein realistisches ist. Und es muss nicht immer ein Hackerangriff sein – eine Naturkatastrophe reicht auch.

Bedeutende Rolle

Wesentliche Dienste wie die Gesundheitsversorgung, der Zahlungsverkehr, die Versorgung mit Strom und Trinkwasser sowie der öffentliche Verkehr spielen in der heutigen Gesellschaft als kritische Infrastrukturen eine immer bedeutendere Rolle und werden gleichzeitig immer stärker von Netz- und Informationssystemen abhängig.

Onlinebanking, digitale Patientenakten oder digitalisierte Bestellvorgänge sind kaum mehr durch manuelle Prozesse zu ersetzen. Digitale Dienste wie Cloud-Computing, Online-Suchmaschinen oder Online-Marktplätze haben zunehmend an Bedeutung gewonnen. Sie werden nicht konventionell, sondern durch Cyberangriffe und Cyberkriminalität bedroht.

Laut einer Studie des finnischen Sicherheitsunternehmens F-Secure waren österreichische Server letztes Jahr das beliebteste Ziel von Hackern. 2018 gab es 30.000 Angriffe, etwa auf den Mobilfunkbetreiber A1, den Flughafen Wien, das Außenministerium und die Nationalbank. Das Bundesheer hat es ausgerechnet: Österreich durch Cyberattacken und Sabotageakte gegen Glasfaserleitungen lahmzulegen kostet "lächerliche" zehn Millionen Euro. Der Cyberraum ist zu einem gefährlichen Pflaster geworden.

Höheres Sicherheitsniveau

Als Antwort auf diese neuen Bedrohungen hat die Europäische Union 2016 die Netz- und Informationssystemsicherheitsrichtlinie (NIS-RL) erlassen. Zentrales Ziel der NIS-RL ist die Erhöhung des allgemeinen Niveaus der Netz- und Informationssystemsicherheit von Betreibern wesentlicher Dienste und Anbietern digitaler Dienste.

In Österreich wurde mit zwei Jahren Verspätung im Dezember 2018 das NIS-Gesetz (NISG) erlassen. Betreiber wesentlicher Dienste – Energie, Verkehr, Banken, Gesundheit, Trinkwasser etc. – ab einer bestimmten Systemrelevanz, die Anbieter digitaler Dienste sowie wesentliche Einrichtungen der öffentlichen Verwaltung sollen dadurch erstmals verpflichtet werden, relevante Vorfälle zu melden und präventiv angemessene Sicherheitsvorkehrungen zu treffen, die vom Staat überprüft werden können. Gleichzeitig werden die zuständigen staatlichen Stellen miteinander vernetzt, um so ein aktuelles und möglichst vollständiges Lagebild zu erfassen.

Der Staat darf zudem IT-Systeme betreiben, um Cyberangriffe vorzeitig zu erkennen und Angriffsmuster zu identifizieren (Honeypots). Bei Cyberangriffen sollen Computernotfallteams betroffene Unternehmen unterstützen. Fallen Netz- und Informationssysteme nachhaltig aus und ist das Funktionieren des staatlichen Gemeinwesens dadurch gefährdet, tritt ein neu geschaffenes Cyberkrisenmanagement in Kraft.

Richtiger Schritt

Mit dem NISG erfolgt zweifelsohne ein Schritt in die richtige Richtung. Offen ist noch, ab welcher Größe die Betreiber wesentlicher Dienste vom Gesetz erfasst sein werden; die dafür erforderliche Durchführungsverordnung fehlt. Dasselbe gilt für die technischen Details zu den angemessenen Sicherheitsvorkehrungen; auch diese müssen noch im Verordnungsweg festgeschrieben werden.

Das wesentliche Manko ist aber ein anderes: Die Zuständigkeiten der NIS-Behörde enden mit der "Ausrufung" der Cyberkrise. Im Dunkeln bleibt, welche aktiven Maßnahmen gesetzt werden können: Darf der Staat präventiv einschreiten und den Server des potenziellen Angreifers bei hinreichenden Anhaltspunkten zur Gefahrenabwehr abschalten? Darf er einen "Gegenangriff" durchführen? Wo endet die Zuständigkeit des Innenministeriums, und wann liegt ein souveränitätsbedrohender Cyberkrieg vor, für den das Verteidigungsministerium zuständig ist?

Im Rahmen eines gesamtstaatlichen Ansatzes sollten alle Cyberkapazitäten der verschiedenen Ressorts und Ämter gebündelt werden; nicht nur faktisch durch eine Zusammenführung an einem Ort, sondern rechtlich.

Das Fazit ist somit: Wir sind auf dem richtigen Weg, aber noch lange nicht am Ziel. (Bernhard Müller, 6.5.2019)