Wie in Deutschland

Experte will IT-Sicherheitsgesetz für Österreich

(Bild: Matthias Balk/dpa)

Das geplante IT-Sicherheitsgesetz in Deutschland zum Schutz strategisch wichtiger Branchen wie Finanzen oder Energie vor Cyberangriffen ist trotz mehrfacher Überarbeitung des Regierungsentwurfs noch immer heftig umstritten. In Österreich sei ein solches Gesetz aber nicht einmal geplant, kritisiert der IT-Sicherheitsexperte Markus Robin und warnt vor einem Standortnachteil für Österreich.

"Eine Kernvorgabe des geplanten IT-Sicherheitsgesetzes in Deutschland ist, dass sicherheitskritische Vorfälle von Unternehmen an zentrale Stellen zu melden sind. Die zweite ist, dass es Mindeststandards gibt, an die sich die Betreiber zu halten haben und die überprüft werden", erklärte Robin, geschäftsführender Gesellschafter des IT-Sicherheitsberaters SEC Consult. "Es ist dann nicht mehr wahlfrei, ob man gewisse Mindeststandards erfüllt, oder nicht."

Experte befürchtet Standortnachteil
In Deutschland hat die IT-Branche positiv auf den Mitte Dezember von der Regierung vorgelegten Gesetzesentwurf reagiert. "Die deutschen Kollegen sagen, es ist notwendig, das zu tun, um gesamtstaatlich stabiler zu sein", sagte Robin. "Es wird einen Standortnachteil geben, wenn es nicht zeitnahe eine adäquate Kopie von diesen Vorgaben auch für österreichische Firmen geben wird."

Die in Wiener Neustadt ansässige IT-Sicherheitsfirma SEC Consult hat ihre Zentrale in Wien und Töchter in Deutschland, Kanada, Russland, Litauen und Singapur. Von den insgesamt 60 Mitarbeitern seien 40 "White Hat Hackers", erklärte Robin, also IT-Sicherheitsspezialisten im engeren Sinne.

"Das österreichische Internet ist kein Ponyhof"
"Das österreichische Internet ist kein Ponyhof, es ist nicht von anderen EU-Ländern abgeschottet", sagte Robin. "Es gibt Kostenschätzungen, wonach etwa ein Stromausfall alleine in Wien für eine gewisse Anzahl von Stunden bis zu 500 oder 600 Millionen Euro kosten würde."

Einen solchen Ausfall zu verursachen wäre vergleichsweise billig, verweist Robin auf ein Bedrohungsszenario des Abwehramtes (einer der beiden Nachrichtendienste des österreichischen Bundesheeres), wonach "mit Hackerangriffen, mit der einen oder anderen Sabotageaktion und mit dem Einsatz von etwa zehn Millionen Euro im Wesentlichen Österreich abschaltbar ist".

Mehr Sicherheit kostet 100 Millionen Euro
Man würde in Österreich etwa 100 Millionen Euro brauchen, um einen Analyse durchzuführen und die ersten Maßnahmen zur Absicherung der grundlegenden Infrastruktur zu setzen, schätzt Robin. Und durch Zuwarten werde es nicht besser, "die Bedrohungslage steigt".

Gegen das in Deutschland geplante Gesetz, das der IT-Sicherheitsbranche lukrative Aufträge bescheren würde, gibt es aber auch massive Bedenken. Die Unternehmen, die die neue Vorgaben umsetzen sollen - etwa Energie- und Wasserversorger, Telekom-Betreiber, Banken und Versicherungen, Krankenhäuser - befürchten hohen bürokratischen und damit auch zusätzlichen finanziellen Aufwand. Der Branchenverband Bitkom und der Industrieverband BDI schätzen die zusätzlichen Ausgaben auf bis zu 1,1 Milliarden Euro.

Unternehmen fürchten mögliche Rufschädigung
Auch machen sich die Unternehmen Sorgen wegen möglicher Rufschädigung, wenn sie verpflichtet werden, schwerwiegende Sicherheitsvorfälle publik zu machen. Dieses Bedenken versucht der überarbeitete Gesetzesentwurf auszuräumen, indem er vorsieht, dass betroffene Unternehmen solche Vorfälle anonymisiert an das zuständige Bundesamt für Sicherheit in der Informationstechnik melden können - es sei denn, es ist durch einen Angriff tatsächlich zu einem Ausfall gekommen.

Auch der deutsche Bundesrat fordert jetzt Nachbesserungen am Regierungsentwurf, die Bundesländer lehnen unter anderem eine Ausdehnung der Vorratsdatenspeicherung ab.