Franz Nowotny: Was hat das österreichische Bundesheer mit IT-Sicherheit zu tun?
Walter Unger: Das Bundesheer betreibt ungefähr 35.000 Computer, Notebooks und Smartphones. Während früher die EDV nur für die Verwaltung genutzt wurde, gibt es mittlerweile automatisierte Systeme wie zum Beispiel die Luftraumüberwachung und vernetzte Waffensysteme, die ohne die dahinterstehende Informations- und Kommunikationstechnik nichts treffen würden. Wir sind vom ordnungsgemäßen Funktionieren der IKT abhängig wie jedes Unternehmen. Daher müssen wir uns auch um unsere IKT-Sicherheit kümmern, denn wenn jemand unsere Systeme attackiert, kann das Militär seinen Auftrag nicht erfüllen.
Sie sind Oberst des Generalstabsdienstes vom Abwehramt und haben in den letzten Jahren zwei neue Abteilungen, das „milCERT“ und das „Cyber Defense Center“ forciert. Können Sie mehr darüber erzählen?
Meine Abteilung wurde vor 15 Jahren aufgestellt und dann alle drei Jahre vergrößert, weil der Bereich Cyber Defense immer wichtiger wurde. 2013 haben wir daher das „milCERT, das militärische Computer Emergency Readiness Team, aufgestellt. Aus dem milCERT enstehen nun zwei Organisationselemente, um dem neuen Auftrag, Landesverteidigung im Cyber-Raum optimal entsprechen zu können: Mit 1. Jänner wurde das Kommando Führungsunterstützung & Cyber Defence aufgestellt. Dieses Kommando schützt weiterhin die vielen militäreigenen Systeme, damit das Bundesheer auch dann noch helfen kann, wenn andere es nicht mehr können. Bei mir entsteht das neue Cyber-Verteidungszentrum, das die Landesverteidigung im Cyber-Raum vorzubereiten hat.
Cyber Defense ist also ein Teil der Landesverteidigung?
Ja. Unternehmen, Behörden und öffentliche Einrichtungen sind vom Funktionieren der IKT-Systeme abhängig. Wenn diese angegriffen werden, kann im Extremfall der ganze Staat erpressbar sein. Und tatsächlich überlegen einige – auch kleinere – Länder, wie sie das in die Tat umsetzen könnten. Daher braucht man Cyber Defense nicht nur beim Militär, sondern bei allen kritischen Einrichtungen, wie zum Beispiel Energie- und Wasserversorgung, Telekommunikation, Medien und Banken. Alles, was für das Leben in Österreich von großer Bedeutung ist, muss man unter Schutz stellen.
Wie genau machen Sie das?
Indem wir frühzeitig wissen, was auf uns zukommt: Wer will uns angreifen, wen genau will er angreifen, wie können wir helfen, dass kein großer Schaden entsteht? Wir sind Teil von CERT-Verbünden, in denen man sich weltweit über aktuelle Angriffe austauscht. Und auch innerhalb Österreichs tauschen wir uns mit den elf CERTs aus, um die jeweils eigenen Systeme besser aufstellen zu können. Derzeit wird die Abteilung ja erst aufgebaut. Unsere Aufgabe wird darin bestehen Frühwarnungen auszugeben, zu alarmieren und vielleicht auch Elemente bereitzuhalten, die man den betroffenen Unternehmen schicken kann, um sie zu unterstützen.
Wie sieht die Realität aus? Wie sicher sind österreichische Unternehmen? Wie viel passiert tatsächlich und können Sie Beispiele nennen?
Österreichische Unternehmen müssen derzeit besonders auf drei Gefahren aufpassen: Zunächst die Verschlüsselungstrojaner, die in einem Jahr um das 55-fache angestiegen sind! Sie können alle auf einem Server gespeicherten Daten verschlüsseln und geben sie nur gegen „Lösegeld“ wieder frei. In Deutschland kamen 50 Prozent der Unternehmen bereits damit in Berührung. Auch 27 Spitäler waren betroffen, deren Patientendaten durch einen solchen Trojaner verschlüsselt wurden. Sie hätten viel bessere Sicherheitsvorkehrungen treffen müssen.
Bei den sogenannten DDoS (Distributed Denial of Service)-Attacken wird ein Server von außen so überlastet, dass er nicht mehr arbeiten kann und alle seine Dienste einstellt. Zahlungen werden nicht mehr abgewickelt, Kunde können sich nicht einloggen, Unternehmen werden handlungsunfähig…
Und bei Spionageangriffen kann wichtiges Know-how von österreichischen Firmen abgezapft werden. Wir haben in Österreich rund 160 Weltmarktführer, sogenannte „Hidden Champions“. Spionage kann also wohlstandsgefährdend für Österreich sein, denn wenn eine ausländische Firma deren Know-how stiehlt und billiger verkauft, sind wir Zweiter am Markt.
Sind auch Steuerberater Zielgruppe für potenzielle Angriffe?
Steuerberater sind ein äußerst interessantes Ziel für Kriminelle, denn die Steuerdaten liegen nahezu zu 100 % in digitaler Form vor. Man stelle sich vor, ein Angreifer schleust einen Verschlüsselungstrojaner in das Netz der Kanzlei ein, verschlüsselt alle Daten und verlangt Lösegeld! Oder die Klientendaten werden mit einem Spionageprogramm ausspioniert und veröffentlicht oder dafür verwendet, einen Klienten zu erpressen.
Bei all den Maßnahmen der Cyber Defense können sich die österreichischen Unternehmer ja vollkommen sicher fühlen? Oder trügt dieser Schein?
Unternehmen müssen sich unbedingt selbst um ihre Sicherheit kümmern. Wir können vorwarnen und damit einen Beitrag zur Cyber-Sicherheit leisten. Doch jedes einzelne Unternehmen mit seiner jeweiligen Infrastruktur abzusichern – das können wir nicht leisten. Es sollte selbstverständlich sein, dass ein Unternehmen seine eigenen Daten auch redundant verfügbar hat, um nicht erpressbar zu sein.
Was haben österreichische Unternehmen und unsere Wirtschaft also von den Cyber Defense Maßnahmen? Warum ist die Wirtschaft so abhängig von genau diesen Sicherheitsmaßnahmen?
Cyber Defense hat eine präventive Funktion, die vor allem die großen Einrichtungen schützt. Wir können beraten, welche Maßnahmen Unternehmen treffen können. Eine ähnliche Funktion haben auch das Cyber Security Center des Innenressorts und das govCERT des Bundeskanzleramtes, mit denen wir sehr eng zusammenarbeiten und die Informationen an die Unternehmen verteilen. Üblicherweise sind es die kleineren Unternehmen, die direkt zu govCERT gehen, um Hilfe zu erhalten. Dort haben sie eine gute Chance, im Fall eines Angriffs kostenlose Unterstützung zu bekommen.
Und was kann jeder Einzelne von uns tun?
Jeder muss Firewall und Antivirenprogramm so eingestellt haben, dass sie täglich automatisch auf dem neuesten Stand sind. Und natürlich mit seinen Daten sorgfältig umgehen: Was einmal im Internet steht, ist für immer drin! Und das ist noch die harmlosere Variante. Mit einem ungesicherten Rechner kann man auch Teil eines Bot-Netzes werden, über das Cyberangriffe geführt werden.
Und schließlich sollte sich jeder bewusst sein: Im Internet gibt es nichts umsonst. Man zahlt mit den eigenen Daten, und die werden massenhaft gestohlen.