Cyber-Sicherheit

Warnungen vor neuem umstrittenen Gesetz

Cyber-Attacken sind eine enorme Gefahr – auch und vor allem für „Kritische Infrastruktur“. Die Politik muss eine EU-Verordnung zum Schutz vor Angriffen umsetzen.(Bild: stock.adobe.com)

Am Freitag wird eine Regelung zur von der EU verordneten „Netzwerk- und Informationsrichtlinie“ beschlossen. Die Grünen wollen die Zweidrittel-Mehrheit sichern. Es gibt Kritik und Befürchtungen von Machtmissbrauch. Experten fordern eine zweite Instanz zwecks Kontrolle.

Österreich benötigt dringend ein Bundesgesetz, mit dem die zweite EU-Netzwerk- und Informationsrichtlinie (NIS2) umgesetzt wird, in der besondere Cyber-Security-Maßnahmen und Meldepflichten bei Sicherheitsvorfällen für sehr wichtige Unternehmen und Organisationen geregelt werden. Darunter etwa das Gesundheitswesen, Energieversorger, Banken, Verkehrsbetriebe oder öffentliche Verwaltung. Die meisten EU-Staaten haben hier schon gesetzliche Regelungen. Gegen Österreich läuft in der Zwischenzeit ein Vertragsverletzungsverfahren, weil das Gesetz im vergangenen Jahr nicht fristgerecht erlassen wurde.

Gefahren für ein Einfallstor
Am Freitag soll es so weit sein. Im Parlament kommt ein Entwurf zur Abstimmung. Der sieht die Errichtung einer neuen Cybersicherheitsbehörde vor, die direkt an den Innenminister berichtet. Es braucht eine Zweidrittelmehrheit. Die Grünen haben ihre Zustimmung signalisiert. Auch gegenüber der „Krone“.

Dabei gibt es parteiinterne Zweifel ebenso wie von Datenschutzexperten, die diverse Gefahren sehen. Die Behörde kann bei mangelnden Sicherheitsvorkehrungen oder bei schweren Vorfällen in Unternehmen und Organisationen, die von dem neuen Gesetz betroffen sind, Strafen und Sanktionen verhängen.

Experten raten zu zweiter Instanz
Und sie kann überwachen, um nach dem Rechten zu sehen. Das heißt: voller Zugang zu allen relevanten Programmen und Daten. Erfahrene Cyber Security Experten raten dringend dazu, vor der Anordnung solcher Maßnahmen eine zusätzliche Stelle außerhalb des Innenministeriums mit der Genehmigung zu befassen.

Mit dieser wichtigen Aufgabe könnte etwa eine Aufsichtsbehörde, ein parlamentarisches Gremium oder die Justiz betraut werden. Denn die Entsendung eines „Überwachungsbeauftragten“ oder die ebenfalls mögliche Entbindung der Geschäftsführung im Bereich der Cyber Sicherheit seien schwere Eingriffe und könnten Machtmissbrauch ermöglichen.

Erinnerungen an Marsalek 
Ein Beispiel aus jüngerer Vergangenheit. Ein Kooperationspartner des flüchtigen Wirecard-Betrügers und mutmaßlichen Russenspions Jan Marsalek saß an den Schaltstellen der österreichischen Cyber Sicherheit, wie eine parlamentarische Anfrage an das Innenministerium im Jahr 2022 ergab.

Die Grünen halten auf Anfrage fest, dass man von EU-Vorgaben kaum abweichen könne. Grundsätzlich sei ein zeitgemäßer Schutz vor Cyber-Attacken Gebot der Stunde. Und die geplante Richtlinie biete für die „Kritische Infrastruktur“ – und nur um die gehe es – auch wichtige Fortschritte. „Klar ist aber auch: Bei derartigen Befugnissen ist Kontrolle unerlässlich. Für uns ist es daher besonders wichtig, dass es regelmäßige Berichte an das Parlament gibt.“ Und natürlich müsse auch die gerichtliche Bekämpfung der Einsetzung von Überwachungsbeauftragten im Nachhinein möglich sein.

„Unerlässliches Sicherheitsnetz“
Die Grüne Klubobfrau Sigi Maurer dazu: „Das Parlament wird die Arbeit der Behörde genau kontrollieren – und das Innenministerium muss dem Parlament halbjährlich berichten. Das ist für uns Grüne ein unerlässliches Sicherheitsnetz.“ Ob die Kontrolle ein halbes Jahr im Nachhinein die Verunsicherung und Ängste komplett zerstreuen kann, darf angesichts diverser bedenklicher Vorfälle der jüngeren Vergangenheit bezweifelt werden.