Digitalisierungs-Boost durch modernste Maßnahmen zum Schutz von Staat und Unternehmen vor Cyberangriffen

Status Quo:

  • Während die Gesamtkriminalität signifikant zurückgeht – minus 11,3% [1] – steigt die Cyberkriminalität dramatisch an – plus 26,3%.
  • 60% aller österreichischen Unternehmen sind bereits Opfer eines Cyberangriffs geworden, der Großteil bereits mehrmals.
  • 70% der österreichischen Führungskräfte gehen davon aus, dass die Gefahr für Unternehmen, Opfer von Cyberangriffen und Datendiebstahl zu werden, weiterhin zunehmen wird.
  • Cybersicherheit wird von den meisten Unternehmen in Österreich als geschäftskritischer Faktor bewertet, weshalb das Budget dafür in 75% der Betriebe erhöht wurde.
  • 90% der Unternehmen fordern eine staatliche Stelle, die sich ausschließlich mit Cybersecurity auseinandersetzt.
  • Nur 19% der Unternehmen vertrauen in die Sicherheit ihrer Lieferanten und Cloud-Dienstleister.
  • Gerade bei KMU fehlt es oft an Kapazitäten im Bereich der Cybersecurity.
  • Der Mangel an geeigneten Versicherungsangeboten und konkreten Vorgaben führt zu Compliance-Problemen bei KMU, anstatt für Sicherheit auf digitaler Ebene zu sorgen.
  • Für eine effektive Strafverfolgung fehlt es derzeit an Ressourcen, ausreichenden Rechtsgrundlagen und (Ausbildungs)-Know-How (StA, SV, BKA).

Vision:

  • Staat und Unternehmen schützen sich durch Awareness- und Präventionsmaßnahmen und vertrauensschaffende Programme sowie durch Ausbildungsangebote für Grundwehrdiener:innen vor Cyber-Angriffen

Maßnahmen für die nationale Cyber Security Strategie:

Stärkung KMU im Bereich Cyber Security:

  • Verpflichtende Einführung eines Cyber-Security-Verantwortlichen ab fünf IT-Arbeitsplätzen im Unternehmen (für Betriebe, die noch nicht von der NIS2-Richtlinie umfasst sind) und ein größeres Angebot zur Wissensvermittlung und Weiterbildung durch zertifizierte Organisationen
  • Schaffung eines dafür verbindlichen Anforderungskatalogs (ähnlich NIS) für KMU
  • Definition von einheitlichen Mindeststandards, die ein Unternehmen im Sinne der Due Diligence erfüllen muss, um gegen Cyberangriffe versicherbar zu sein
  • Bestehende Standards nutzen und weiterentwickeln, um Informationen/Zertifizierungen weiterverwenden zu können und bürokratischen Aufwand gering zu halten (z.B. Anforderungen aus KSÖ Cyber Risk Rating, Cyber Trust Label, ISO27001)

Stärkung des staatlichen Schutzes vor Cyber-Angriffen und Cyber Crime

  • Ausbau des derzeitigen Cybersecurity-Ausbildungsangebotes und
    Bewusstseinsbildung für Cyber-Bedrohungen im Rahmen des Grundwehrdienstes (Cyber-Grundwehrdiener:innen)
  • Aufbau einer Cyber-Miliz durch möglichst baldige Einbeziehung der Cyber-Grundwehrdiener:innen ins Milizsystem
  • Schaffung einer intensiven sechsmonatigen Ausbildungsmöglichkeit für L1/L2 Cyber-Analysten (ähnlich wie in Dänemark, Finnland, Niederlande und Israel) für alle Grundwehrdiener:innen

Massive Erhöhung der Aufklärungsquote bei Cyber-Kriminalität durch

  • Verdoppelung der Planstellen für im Bereich Cyber-Crime ermittelnde Behördenstellen in den zuständigen Ministerien und Möglichkeit der Beiziehung eines flexiblen externen Expert:innenpools
  • Weiterbildungsoffensive mit Fokus auf das Erkennen und Bewerten von Cyber Crimes für alle Polizeibeamt:innen
  • Einrichtung eines Security Operations Centers für WKO-Mitgliedsunternehmen, das die Umsetzung von IT-Hygienemaßnahmen überprüfen und die Unternehmen im Falle eines Cyberangriffs unterstützt
  • Stärkere internationale Kooperationen bei länderübergreifender Bekämpfung von Kriminalität und Cyber-Terrorismus und bei Abwehr der Gefährdung der nationalen Sicherheit durch wirtschaftliche, nachrichtendienstliche und terroristische Bedrohung.
  • Aufbau eines Austauschs mit anderen Staaten über den Stand der Technik und den Austausch von Best Practices und Bedrohungsbewusstsein (auch im Bereich 5G)

Resilienzaufbau durch einheitliche Gesamtkoordination für alle für Cyber Security und Cyber Defense zuständigen Behördenstellen

  • Errichtung eines „Cyber Security Competence Hubs“ in Form einer örtlich definierten Sonderzone (Regulatory Sandbox) für den Auf- und Ausbau von Cyber Security Kompetenzen mit dem Ziel internationales Know-How in Österreich anzusiedeln (nach Erhebung und Evaluierung aller bestehenden Initiativen)
  • Technologiepartnerschaften: Enge Kooperation zwischen den zuständigen Behörden und Angebote/Schulung seitens der großen Hyperscaler & SW Anbieter als auch der großen lokalen Cloud & Service
  • Definition für den in der 5G-Infrastruktur technisch-agnostischen (systemunabhängigen) Schutzbedarf, der sowohl auf der klaren regel- und kritikalitätsbasierten Prüfung von Komponenten, Transparenz der Supply Chain des Lieferanten und seine Kontinuität, als auch auf der breiteren Bewertung der Komponentenanbieter aufbaut, und damit eine rechtssichere Investitionsplanbarkeit für privatwirtschaftliche Akteure garantiert
  • Umsetzung von einheitlichen Prüf- und Zertifizierungsprozessen auf EU-Ebene für 5G-Komponenten von Telekommunikationsinfrastruktur und umfassende Implementierung der EU-Toolbox

Einrichtung einer unabhängigen, weisungsfreien Behörde und Aufsetzen einer Arbeitsgruppe zur raschen Umsetzung dieses Vorhabens unter Einbindung der wesentlichen Stakeholder

Diese Behörde:

  • dient als international vernetzte Schnittstelle für heimische Unternehmen.
  • berät zum Thema Cybersecurity und beinhaltet eine Einsatzgruppe gegen Hackerangriffe (Cyber Crime).
  • entwickelt Vorschläge für eine Vereinfachung bzw. Weiterentwicklung des Rechtsrahmens gemeinsam mit Unternehmen und Rechtsexpert:innen.
  • gilt als umfassender Regulator im Digitalbereich, der sich auch als Sparring Partner versteht. Vorbilder gibt es hierzu im Telekom- oder Energiesektor.

Diese Maßnahmen bewirken:

  • Deutliche Reduktion von wirtschaftlichen Schäden, die durch Cyberangriffe entstehen
  • Vertrauensbildung und daraus abgeleiteter Digitalisierungs-Boost in Österreich
  • Attraktivierung des Wirtschaftsstandortes durch Steigerung der Reputation von Politik und Industrie
  • Zurückerlangung von Kontrolle und Souveränität gegenüber immer größer und komplexer werdenden Bedrohung durch Cyberangriffe
  • Begrenzung wirtschaftlicher Schäden für Unternehmen (z.B.: durch Unterbrechungen von Lieferketten)
  • Unterstützung der KMU beim Digitalisierungsschritt
  • Steigerung der Akzeptanz von Milizsoldat:innen seitens der Wirtschaft
  • Attraktivierung des Bundesheeres

[1] KPMG Studie: Cyber Security in Österreich; Studie IT Advisory, April 2021, Sicherheitsforum Digitale Wirtschaft Österreich