Die österreichische Handy-Signatur – Vorzeigeprojekt mit Sicherheitslücken? Interview mit Reinhard Posch, CIO der öst. Bundesregierung?

Die österreichische Handy-Signatur gilt weltweit als Erfolgsgeschichte und Vorzeigeprojekt im Bereich des e-Government und der elektronischen Partizipationsmöglichkeiten für BürgerInnen. In den letzten Wochen wurde plötzlich Kritik laut rund um vermeintliche Sicherheitslücken. Wir hatten dazu im Blog ein Interview mit Wolfgang Prentner, der in einem ZIB2 Bericht Schwächen in der Sicherheitsarchitektur der Handy-Signatur anprangerte. Aufgrund der Unsicherheit, die der Medienlärm verursacht hat und dem hohen Interesse unserer Leser haben wir uns um eine Stellungnahme der Verantwortlichen bemüht. Lesen Sie nun was Prof. Reinhard Posch meint, der CIO der österreichischen Bundesregierung. Was macht den bisherigen Erfolg der Handy-Signatur aus? Welchem Risiko sind die Anwender der Handy-Signatur tatsächlich ausgesetzt? Inwieweit besteht Handlungsbedarf?

Welche Anforderungen bringt der Digitale Wandel an die Öffentliche Verwaltung und insbesondere an die IT?

Bereits 2015 wurden mehr mobile Geräte als PCs und Workstations auf den Markt gebracht. Dieser Trend wird nicht nur anhalten, sondern verstärkt zu beobachten sein. Die Verwaltung kann sich solchen Trends nicht verschließen, sondern muss diese Anforderung an die Agilität der Services annehmen. Sicherheit darf dabei nicht auf der Strecke bleiben und bei proaktiven Strategien, für die Österreich seit 15 Jahren international bekannt ist und im E-Government als Vorreiter gilt, kann dies auch im Sinne eines Sicherheitsfortschritts genutzt werden.

Die Handy-Signatur gilt als eine der Erfolgsgeschichten des e-Government und findet international Anerkennung – Was macht den Erfolg der Lösung tatsächlich aus?

Österreich ist nicht nur bekannt und anerkannt mit der Handy-Signatur, sondern es hat diese innovative Form von Sicherheitstechnologie auch explizit in der neuen EU-Verordnung eIDaS Niederschlag gefunden. Erreichbar wurde dies durch den Konzept und Produktzyklus, den Österreich im E-Government eingeführt hat und der in den Basiselementen (Portalverbund, Handy-Signatur, ….) nun auch flächendeckende Wirkung zu zeigen beginnt. Der Zyklus reicht in einer abgestimmten Strategie von der offenen Innovation über die Verwaltungsebenen übergreifenden Koordination und Abstimmung hin zur Umsetzung.

Im Falle der Handy-Signatur ist dies ein koordiniertes Zusammenwirken von Technologie- und Verhaltensaspekten, die nicht nur die Akzeptanz im privaten Bereich auf das Vielfache der Karte als Signaturtoken gesteigert hat, sondern aus dem Design heraus auch bedeutende Sicherheitsfeatures hinzugebracht hat. Dazu nachfolgend nur exemplarisch herausgegriffene Beispiele.

·         Verlust und Widerruf: Der Verlust, das Entwenden des Mobiltelefons wird aller Regel nach innerhalb von ein paar Stunden evident und damit ist dieser zeitliche Risikofaktor gegenüber einer Karte – auch einer Multifunktionskarte –, die oft über Tage hinweg ungenutzt und damit ein Verlust unerkannt bleibt, um einen Faktor verbessert.
·         Der Widerruf selbst hat totale Wirkung, da nicht nur der Widerruf im Verzeichnis als Information erfolgt, sondern zusätzlich der Signaturschlüssel nicht mehr verwendet werden kann bzw. vernichtet wird.
·         Mit dem Smartphone besitzt jeder eine „intelligente Tastatur“. Dies wurde im Kartenumfeld immer wieder versucht; intelligente Tastaturen haben sich aber aus Usability und Preisgründen nicht durchsetzen können. Mit der QR-APP als kryptographisch gesicherten, technisch an das initialisierte Gerät gebundenen SMS-Ersatz kommt dieser Effekt nicht nur zum Nulltarif, sondern bringt zusätzlichen Komfort, den die BenutzerIn an Bedürfnisse anpassen kann.

Welche Rolle spielt die Handy-Signatur beim österreichischen e-Government? Wie sehen die Perspektiven aus?

Qualifizierte Signatur als EU-weit anerkanntes Sicherheitstool ist zur Zeit Kernbestandteil des österreichischen E-Government und hat uns bereits seit 2010 in die Lage versetzt, den grenzüberschreitenden Bedarf genauso wie den nationalen Bedarf einzusammeln. Ohne dieses Sicherheits- und Datenschutzkonzept wäre uns der Vorsprung im Bereichen wie z.B. ELGA nicht gelungen – und dies wird nicht nur in Österreich so gesehen. Stetig steigende Nutzerzahlen und vor allem Nutzungen sowie Applikationen, die darauf abstellen, sind ein lebender Beweis dafür. Qualifizierte Heranführung der BürgerInnen und der Unternehmen an die Verwaltung sind Grundvoraussetzung für hohe Qualität der Daten und der Verfahren in der Verwaltung. Die Handy-Signatur ist dabei ein Grundpfeiler.

In den letzten Wochen wurde die Sicherheitsarchitektur der Handy-Signatur in den Medien stark kritisiert – Wie gefährdet sind Handy-Signatur Nutzer tatsächlich?

Auch wenn diese Situation medial sehr prominent aufgegriffen wurde, sind sich alle anerkannten Fachleute einig, dass darin keine neuen Erkenntnisse stecken. Die Grundproblematik „Phishing“ ist in IT-Zeiträumen gerechnet uralt und wurde in wesentlich ausgefeilterer Form als hier schon vor Jahren am BSI-Kongress diskutiert. Würde dieser Hinweis nicht allzu sehr einer Anleitung oder gar einem Anstiften nahekommen, könnten wir diese sogar als Beitrag zur User-Awareness begrüßen. Dieser Effekt scheint aber weder intendiert noch unintendiert hinüberzukommen. Die Sicherheitsarchitektur wurde in meinen Augen, da der aufgezeigte „Angriff“ nicht spezifisch auf die Handy-Signatur wirkt und auch kein Architekturelement ausnutzt, nicht wirklich angesprochen. Der so genannte Angriff wäre vergleichbar mit einem Pappkartonbankomaten, wo Sie ihre Karte stecken, PIN eingeben und dann eine falsche Karte mit dem Hinweis „funktioniert leider nicht“ zurückbekommen. Auch hier – und solche Fälle gab es vor Jahren im Ausland auf Autobahnstationen - ist Ihre Bank oder Ihr Kartenbetreiber nicht beteiligt und wird kaum Maßnahmen – mit Ausnahme der immer notwendigen Awareness - treffen können. Ein Unterschied ist allerdings hervorzuheben: Der „Betreiber des gefälschten Bankomaten“ wird nicht seinen gültigen Lichtbildausweis vorne auf den Bankomaten kleben, da Verbrecher sich eben nicht gerne ausweisen. Aber genau das müsste beim aufgezeigten Angriff geschehen, da die Handy-Signatur nur über https-Verbindungen - über Ausweise von Servern, die von anerkannten Zertifizierungsdiensteanbietern ausgegeben werden – funktioniert und daher diese Phishing-Attacke – wie das übrigens auch in der in den Medien vorgezeigten der Fall war – eine https-Verbindung aufbauen muss, um nicht sofort aufzufallen.

Welche Maßnahmen sind von Seiten der Verwaltung angedacht? Was müssen Nutzer beachten?

Wie gesagt, ist die Attacke nicht auf die Handy-Signatur abgestimmt und nutzt auch „keine Schwachstelle derselben“ aus. Natürlich muss man – und das machen auch die Banken regelmäßig – dem Benutzer sagen: Klicken eines Link in einer Mail ist ein großes Sicherheitsrisiko, weil man sich damit in den Bereich des oft gar nicht erkennbaren Absenders der Mail begibt und sich diesem ausliefert. Man muss sich schon die Mühe machen, solche Links abzutippen – zumindest einmal, dann kann man sie in die Lesezeichen geben, sofern man bei den Lesezeichen tatsächlich nur vertrauenswürdige Links verwaltet.

Die ohnehin bereits seit einiger Zeit festgelegte Kommunikationsstrategie ist, Benutzer zur weiteren Verbesserung anzuraten, auf die QR-APP, die seit einigen Monaten als zusätzliche Möglichkeit angeboten wird, umzusteigen. Dort kann man auch die ausgelöste Transaktion – z.B. Anmeldedetails bei Finanz-Online mit Bürgerkarte – unmittelbar vor Freigabe und damit ohne Sicherheitsrisiko über den zweiten, unabhängigen Smartphonekanal anzeigen. Generell muss man den BenutzerInnen sagen, dass abgebrochene – also irreguläre – Sitzungen bei jeder Internetanwendung ein gewisses Verdachtsmoment auslösen sollten. Ich mache in einem solchen Fall einen Screenshot von der Abbruchssituation. Im Streitfall – der behauptete Angriff ist ohnehin nur dann nutzbar, wenn der Angreifer mit der Behauptung eines signierten Dokumentes auftritt – könnte man die Logs der Handy-Signatur anfordern. Der Zeitpunkt ist mitsigniert und kann ohnehin nicht verändert werden. Da allerdings dieses Phishing zweimalige Identifikation des Angreifers erfordert – einmal bei der http-Verbindung des Phishing und einmal bei der Nutzung des signierten Dokumentes, können wir die Einschätzung des Risikos nicht teilen und die Tatsache, dass dieses Thema vor einiger Zeit auch öffentlich nachvollziehbar diskutiert wurde und dass es keinen Beschwerdefall, der dazu passt gibt, führt uns zu einer gänzlich anderen Einschätzung der Gefährdungslage.

Wie geht es weiter dem österreichischen e-Government?

eIDaS bringt neben eID und Signatur weitere Elemente. Hier werden wir uns gut überlegen müssen, wie wir daraus Nutzen erzielen können. Dies wird auch von den Synergien mit anderen Mitgliedsstaaten abhängen. Die große Herausforderung ist das Schritthalten mit den Entwicklungen in mobilen Bereich und im Sicherstellen der Attraktivität. Diese Attraktivität muss unter Beibehalten der Grundmauer und damit der Building Blocks der österreichischen E-Government Infrastruktur erreicht werden. Nur so kann das hohe Vertrauen in die Sicherheit und das effiziente Funktionieren und die Motivation aller Beteiligten erhalten bleiben.

Auf der Confare Veranstaltung #Digitalize 2016 treffen Sie u.a. Christian Rupp, Sprecher der Plattform Digitales Österreich aus dem Bundeskanzleramt. Anmeldung und Details auf www.confare.at

Die Top 3 Faktoren für Risikomanagement im Digitalen Zeitalter: Samuel Brandstätter, avedos im Bloginterview

Wenn sich Alles verändert, hilft professionelles Riskmanagement mit dem Unvorhersehbaren umzugehen. Samuel Brandstätter, CEO von avedos, zeigt bei seinem Vortrag auf dem 9. Confare CIO SUMMIT gemeinsam mit Franz Hoheiser Pförtner, dem CISO des Wiener KAV, wie moderne Tools für Compliance und Risikomanagement in der Praxis funktionieren.

Was bedeutet Risiko in Zeiten des Digitalen Wandels? Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?

Die Bedeutung von Risiken in der digitalen Welt hat sich gegenüber der Bedeutung in der analogen Welt nicht geändert. Es geht im Kern des Risikomanagements nach wie vor darum, sicher zu stellen, dass organisationale oder individuelle Ziele erreicht werden. Dabei bildet Risikomanagement den Rahmen um mit unvorhergesehenen Ereignissen oder Entwicklungen umzugehen und aktive Steuerungsmaßnahmen zu setzen. 

Spezifische Domänen des Risikomanagements – wie beispielsweise das Informationsrisikomanagement – gewinnen durch den digitalen Wandel stark an Bedeutung. Informationen, die bis vor einigen Jahren ausschließlich in physischer Form vorlagen, existieren heute digital – und sind damit überall und zu jeder Zeit abrufbar. War es vor einigen Jahren noch ausreichend, wertvolle Informationen mit einem guten Perimeterschutz gegenüber außen zu schützen, so bringen die viel intensivere unternehmensübergreifende Vernetzung, der Trend Daten in der Cloud abzulegen und die viel einfachere Zugänglichkeit zu Informationen über mobile Devices die Notwendigkeit mit sich, den Informationsschutz neu zu überdenken und zu gestalten. Die zunehmende Vernetzung aller Bereiche des Lebens und die damit verbundene Generierung von Daten (herfür gibt es zahllose Beispiele – vom Fitness-Tracker bis zum Connected Car, vom intelligenten Kühlschrank bis zur digitalen Patientenakte) bringt darüber hinaus auch noch völlig neue Angriffsszenarien mit sich.  

Mit diesen Entwicklungen Schritt zu halten ist eine der wesentlichen Herausforderungen um im digitalen Wandel das Sicherheitsniveau aufrecht zu erhalten.

Welche Anforderungen stellt das Risikomanagement an die Prozesse und Organisation des Kunden?

Risikomanagement hat heute oft den Ruf des „Verhinderers“ – vor allem wenn es nur von wenigen Risikomanagern betrieben wird, die involviert werden müssen um bei kritischen Entscheidungen von einem Veto-Recht Gebrauch zu machen. Tatsächlich ist Risikomanagement aber eine Management-Disziplin, die von den operativen Management-Strukturen einer Organisation nicht zu trennen ist. Jeder Entscheidungsträger wägt Risiken in jedem Aspekt seines Handelns ab – ob mittels Bauchgefühl oder mit formalisierten Methoden. Das unternehmensweite Risikomanagement hat die klare Aufgabe einheitliche Methoden und Werkzeuge bereit zu stellen, die dem operativen Management dabei helfen, bessere Entscheidungen zu fällen. Interessanterweise ist zu beobachten, dass Organisationen mit einer starken Zielfokussierung Risikomanagement nicht als Hemmschuh, sondern als aktives Steuerungselement der Zielerreichung anerkennen – die operativen Manager sehen dabei die in das Risikomanagement investierte Zeit als Hilfestellung, ihre Ziele zu erreichen.

Welche Bedeutung hat dabei der „menschliche Faktor“?

Wie sich in diversen Wirtschaftskrisen gezeigt hat, kann man auch mit den besten Algorithmen nicht aus der Vergangenheit valide auf die Zukunft schließen. Risikoeinschätzungen – und die daraus resultierenden Einschätzungen der künftigen Entwicklung -  basieren im Wesentlichen immer auf drei Quellen: Daten aus der Vergangenheit, Parameter der Gegenwart in Verbindung zu den Daten der Vergangenheit und menschlichen Einschätzungen, Schlussfolgerungen, Ableitungen – also „Experts Judgement“. Ich bin der Überzeugung, dass auch in Zeiten von Big Data und mit Unmengen an verfügbaren historischen Daten der Mensch die entsprechende Schlussfolgerung ziehen wird und dabei auch immer seine subjektiven Erfahrungen und Eigenschaften eine Rolle spielen werden.

Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?

Aus meiner Wahrnehmung gibt es zwei Arten von Softwarewerkzeugen im GRC-Umfeld. Es gibt Experten-Tools, die einen meist sehr kleinen Kreis von Experten dabei unterstützen, Daten aufzubereiten, mit speziellen Analyse- und Simulationsverfahren zu bearbeiten und auf sehr konkrete Fragestellungen statistisch nachvollziehbare Ergebniswahrscheinlichkeiten aufzuzeigen.

Die zweite Art von Werkzeugen sind Management-Systeme – also Werkzeuge, die das zentrale Risikomanagement enablen seine Governance-Funktion auszuüben. Dabei werden Prozesse und Methoden aufgebaut, die dabei helfen, eine homogene Risikomanagement-Vorgehensweise in die gesamte Management-Organisation zu tragen um damit die Zielfokussierung sowie die Resilienz gegenüber unvorhergesehenen Entwicklungen im Gesamtunternehmen zu stärken. Der größte Nutzen für Unternehmen entsteht genau dann, wenn begonnen wird, mehrere solche Management-Systeme zu integrieren um Synergien zwischen ERM, IKS, Audit Management, Compliance Management, Security Management und anderen GRC-Prozessen zu ziehen. Durch diese Integration entwickelt GRC seinen eigentlichen Mehrwert.

Was sind die 3 wichtigsten Erfolgsfaktoren für GRC im Digitalen Zeitalter?

Die Vision von avedos für GRC umfasst wesentliche Themenbereiche, die wir als kritische Erfolgsfaktoren von GRC-Initiativen – und damit auch des Erfolges des jeweiligen Unternehmens – sehen:

1.            Integration – GRC-Verantwortliche sind mehr und mehr gefordert ihre GRC-Prozess Silos aufzubrechen und zu integrieren. Vorstände können es in einer so bewegten Zeit nicht mehr akzeptieren, dass SIE in der Pflicht sind, sich aus unzähligen, nicht integrierten Berichten, das Gesamtbild aufzubauen um entscheidungsfähig zu sein. Auch ein einheitliches GRC-Tool zu implementieren, das dann erst wieder hermetisch separierte GRC-Silos in sich trägt, wird hier das Problem nicht lösen. Der Erfolg von GRC-Initiativen – vor allem aus Sicht der Vorstände und Aufsichtsräte – wird also maßgeblich davon abhängen ob GRC-Initiativen holistisch gedacht sind oder nur „alter Wein in neuen Schläuchen“.

2.            Agilität – Je schneller sich die Umwelt weiterentwickelt, desto schneller müssen sich auch Risikomanagement- und GRC-Prozesse entwickeln können. Dies verlangt höchste Flexibilität und Anpassbarkeit der eingesetzten GRC-Systeme. Es ist erforderlich alle Aspekte einer GRC-Initiative anhand des Reifegrades des Unternehmens weiterentwickeln zu können. Methoden, Prozesse, Standards- und Normen, Integrations-Szenarien, Schnittstellen  - all diese Elemente müssen sich den jeweiligen Gegebenheiten anpassen können um Sackgassen in der IT-Umsetzung von GRC zu vermeiden.

3.            Collaboration – je größer die Zielgruppe der in einen GRC-Prozess involvierten Personen ist, desto mehr ist die möglichst einfache, schnelle und transparent dokumentierte Zusammenarbeit zu GRC-Inhalten erforderlich. Dies umfasst sowohl Möglichkeiten der Personen- / Abteilungs- / Standort-übergreifenden Interaktion zu Risiken, Maßnahmen oder anderen GRC-Inhalten, als auch die Vereinfachung der Kommunikation über die unterschiedlichen Organisationsebenen.

Das Confare CIO SUMMIT ist Österreichs größter CIO Treffpunkt mit mehr als 300 IT-Entscheidern und der Verleihung des CIO AWARD an die besten IT-Manager Österreichs. Anmeldungen und Details auf www.ciosummit.at

 Die avedos business solutions gmbh ist ein Softwareunternehmen mit Sitz in Wien, das sich auf Governance, Risk und Compliance (GRC) spezialisiert hat. Das Unternehmen bietet seit 2005 flexible Softwarelösungen, mit denen GRC-Prozesse dargestellt und verwaltet werden um Risiken frühzeitig zu erkennen und Chancen optimal zu nutzen. Die Softwareplattform risk2value deckt eine Vielzahl von Anwendungsbereichen im Umfeld Enterprise Risk Management, Internes Kontrollsystem, Compliance Management, Audit Management und Informationssicherheitsmanagement ab. Zu den Kunden zählen die weltweit größten und erfolgreichsten Automobilhersteller, Versicherungen, Telekommunikations- und Handelsunternehmen.
www.avedos.com

Die Bedrohung der Gesellschaft durch Cyberwar und was Unternehmen und Bürger für mehr Sicherheit tun können – Blog-Interview mit Oberst des Generalstabs Walter J. Unger, Abwehramt

ObstdG Mag. Walter J. Unger leitet den Bereich Cyber Defence beim Bundesministerium für Landesverteidigung und Sport. Durch die zunehmende Digitalisierung aller Lebensbereiche hat sich die Zahl der möglichen Angriffspunkte für Cyber Attacken drastisch vergrößert. Anlässlich seiner Keynote beim 9. Confare CIO SUMMIT am 6/7. April haben wir Mag. Unger zum Bloginterview gebeten. Es geht um Cyberwar Szenarien, die Rolle klassischer Streitkräfte im Digitalen Krieg und die notwendigen Vorsichtsmaßnahmen.

Wie angreifbar ist unsere Gesellschaft, sind unsere Unternehmen in Zeiten der zunehmenden Digitalisierung tatsächlich?

Die in rasanten Schritten zunehmende Digitalisierung aller Gesellschaftsbereiche führt zu einer massiven Abhängigkeit von der Verfügbarkeit der gespeicherten Daten, der Funktionsfähigkeit der Informations- und Kommunikationstechnik-Infrastrukturen (IKT-Infrastrukturen) und dem reibungslosen Fluss riesiger Datenmengen. Aktuelle Trends wie internet-of-everything, Industrie 4.0, Big Data, Clouds, Roboter, Mobilität, permanente Erreichbarkeit und Forecast Analytics verstärken diese Dependenzen.

Leider gibt es keine fehlerfreie Software, täglich werden neue Schwachstellen entdeckt und damit ergeben sich zahlreiche Möglichkeiten für Angriffe.

Folgende Bedrohungstrends sind erkennbar: Cyber-Attacken kommen laufend und treffen jeden. Angreifer werden immer professioneller. Und derartige Dienstleistungen werden auch im Netz angeboten (Cyber Attacks-as-a-Service).  Angriffe können gekauft werden, gleichzeitig gibt’s auch Angriffstools zu mieten. Damit können auch Angriffe ohne spezielle IT-Kenntnisse durchgeführt werden.

Weiters ist zu beobachten, dass Täter sich intensiv mit den Opfern beschäftigen. Angriffe werden indirekt geführt und zielen auf das schwächste Glied. Angriffe gegen kritische Infrastrukturen nehmen zu. Schadprogramme werden industriell gefertigt, täglich tauchen 100.000e neue auf. Und letztlich kann jeder vom Missbrauch seiner persönlichen Daten, auch im Zusammenhang mit Forecast Analytics, betroffen sein.

Was sind die wichtigsten Faktoren, die einen Cyberwar ausmachen?

Die grundsätzlichen Überlegungen für einen Cyberwar gehen davon aus, dass ein Staat von seinen strategischen Infrastrukturen abhängig ist. Dazu gehören die Elektrizitätsversorgung, Telekommunikation, Internet, Bundesbahn- und andere Logistiksysteme, Wasser- und Lebensmittelversorgung, Abwasserentsorgung, Banken und Geldversorgung, Militär, Sicherheits- und andere Behörden, Kraftwerk- und Staudämme, Krankenhäuser und Notfalleinrichtungen, Medien, Luftverkehrskontrollzentren und Flughäfen. Alle diese strategischen Infrastrukturen sind wiederum von deren IKT massiv abhängig.

Ein massiver Angriff auf die IKT-Systeme eines Staates könnte zu ähnlichen Wirkungen, wie ein massiver Angriff auf die industrielle Basis und damit zu einem politisch verwertbaren Ergebnis führen.  Durchschlagend wären diese Angriffe nur, wenn sie einen langfristigen, digitalen Stillstand des gesamten Staates zur Folge hätten.

Wieviel Cyberwar gibt es schon in Friedenszeiten?

Der Begriff Cyberwar in Friedenszeiten ist irreführend, verharmlosend und führt zu groben Missverständnissen. Im Frieden sollte man besser den Terminus „Cyber-Angriffe“ verwenden. Ich sehe derzeit folgendes Cyber-Bedrohungsspektrum: Missbrauch personenbezogener Daten von Forecast Analytics, Cyber-Angriffe um Geld zu ergaunern, Cyber- Wirtschafts- und Konkurrenzspionage sowie Angriffe gegen einzelne Unternehmen und Behörden der strategischen Infrastrukturen. 

Massive, großflächige Angriffe mit dem Ziel durch Herbeiführung eines digitalen Stillstandes einen Staat in die Knie zu zwingen, entspricht dem Cyberwar-Szenario. Davon sieht man im Frieden nicht viel. Wenn jemand so etwas vorbereitet, wird er Cyberwaffen im Labor entwickeln und austesten. Was man erkennen könnte, sind Handlungen zur Auskundschaftung und Infiltrierung relevanter Ziele. Da solche Maßnahmen sich nicht von anderen kriminellen Machenschaften unterscheiden, sind sie nur schwer als potenzielle Kriegsvorbereitung zu identifizieren.

Mit welchen Szenarien setzen Sie sich auseinander?

Cyber Defence beschäftigt sich ausschließlich mit dem zuletzt beschriebenen Szenario: Nur bei Vorliegen eines Angriffes auf die staatliche Souveränität und selbstverständlich nach politischer Entscheidung ist das Militär zuständig. Alle anderen Szenarien fallen in die Zuständigkeit des BMI. Das BMLVS unterstützt hier nach Anforderung im Rahmen eines Assistenzeinsatzes.

Welche Rolle haben bewaffnete Streitkräfte in Digitalen Kriegsszenarien?

Das Bundesheer hat vor 25 Jahren mit der Einführung der EDV begonnen und ist mittlerweile fast voll digitalisiert. Damit das ÖBH als strategische Reserve Österreichs den Auftrag „Schutz und Hilfe“ erfüllen kann, ist die erste Hauptaufgabe der Cyber Defence-Elemente, die Verfügbarkeit, Integrität und Vertraulichkeit der militärischen IKT-Systeme sicherzustellen. Zusätzlich leisten wir einen Beitrag zur Resilienz anderer Behörden und den strategischen zivilen Infrastrukturen.

Die strategischen Infrastrukturen müssen selbst permanent ein hohes Maß an IKT-Sicherheit gewährleisten. Bei großangelegten Cyber-Attacken könnte das Militär durch frühzeitige Information über die Angriffe und Unterstützung bei der Abwehr einen wesentlichen Beitrag leisten.

Wie sicher ist Österreich?

Sicherheit ist schwer messbar. Im reichen Österreich gibt es etwas zu holen: es gibt beispielsweise sehr innovative erfolgreiche Unternehmen und zahlreiche interessante Forschungsprojekte. Daher sind Angriffe auf unser Land grundsätzlich für kriminelle Akteure und Spione sehr interessant. Ich gehe davon aus, dass es bei uns täglich zu Cyber-Angriffe auf Unternehmen, Verwaltungen und Privatnutzer kommt.

Welche Möglichkeiten haben Behörden, Unternehmen und Bevölkerung um dazu beizutragen?

Es ist wichtig, sich dieser Bedrohung bewusst zu sein. IKT-Sicherheit ist permanent auf hohem Niveau erforderlich. Das erfordert zwingend eine eigene Sicherheitsorganisation.

Rasche, professionelle Reaktion (Incident Management) muss institutionalisiert werden. Dabei ist eine Frühwarnung zur vorbeugenden raschen Reaktion äußerst wertvoll.  Diese Informationsweitergabe ist eine der Hauptaufgaben für staatliche Cyber-Elemente (Cyber Defence Center, Cyber Security Center, GovCERT).

Zur Bewältigung von Angriffen und Minimierung deren Folgen ist es notwendig Redundanzen aufzubauen und Notfallpläne vorzubereiten.

Welche Vorbereitungen kann man persönlich treffen um sich auf Szenarien des Cyberwars vorzubereiten?

Jeder kann einen Beitrag zu mehr Sicherheit im Netz leisten. Mit einfachen Maßnahmen wie die permanenten Aktualisierung aller Programme und die Verwendung von einer Firewall und Anti-Virensoftware kann ein Mindestmaß an Schutz erreicht werden.

Dazu kommen noch das Anlegen eines User-Kontos (anstatt alles mit Administrator-Konto), die Verwendung eines Zweitgerätes zum Surfen und eine sicherheitsbewusstes Verhalten im Netz. So sollte man Mails von Unbekannten löschen, Vorsicht bei Nutzung von dubiosen kostenlose Angeboten bzw. Software walten lassen und E-Shopping nur bei seriösen Anbietern abwickeln.

Ganz wichtig ist auch dieses Bewusstsein an den Partner oder die Kinder zu vermitteln. Und auch im privaten ist ein Notfallplan wichtig – an wen kann ich mich wenden?

Zuletzt noch ganz wichtig – auch unsere mobilen Device (Smartphone, Tablets) sind Computer und gehören geschützt.

Die Keynote von ObstdG Mag. Walter J. Unger findet im Rahmen des 9. Confare CIO SUMMIT am 6/7. April in Wien in den Räumlichkeiten der Schönbrunner Orangerie statt. Anmeldung und Details auf www.ciosummit.at – Für IT-Manager ist die Teilnahme kostenlos.