Österreichische Strategie für Cyber Sicherheit

Die nationale und internationale Absicherung des Cyber Raums ist eine der obersten Prioritäten Österreichs. Mit der Österreichischen Strategie für Cyber Sicherheit (ÖSCS) wurde von der Bundesregierung am 20. März 2013 ein umfassendes und proaktives Konzept zum Schutz des Cyber Raums und der Menschen in ebendiesem beschlossen. Die Strategie für Cyber Sicherheit bildet das Fundament der gesamtstaatlichen Zusammenarbeit in diesem Bereich. Die Implementierung der ÖSCS ist ein permanenter Prozess, der von mehreren Arbeitsgruppen vorbereitet, diskutiert und in weiterer Folge begleitet wird. Die ersten Ergebnisse und Empfehlungen der Arbeitsgruppen liegen nun vor, von denen wir nachfolgend einige vorstellen.

Neuer koordinativer Überbau

Ein wichtiges Kernelement in der Umsetzung der ÖSCS ist die Erarbeitung von Prozessen und Strukturen zur permanenten Koordination auf der operativen Ebene. Ziel des Aufbaus einer solchen operativen Koordinierungsstruktur ist es, sowohl auf politischer, strategischer wie auch operativer Ebene funktionierende Beziehungsstrukturen aufzubauen, um für künftige Sicherheitsvorfälle besser gerüstet zu sein.

Abbildung 12: Darstellung des funktionellen Aufbaus der Beziehungsstrukturen im Rahmen der Österreichischen Strategie für Cyber Sicherheit (ÖSCS), Quelle: BKA

Die Grundprinzipien einer solchen operativen Struktur umfassen einen inneren Kreis gemäß Regierungsprogramm, der alle Cyber Security Organisationen Österreichs bündelt. Im äußeren Kreis organisieren sich darüber hinaus die Wirtschaftssektoren eigenständig, übernehmen Verantwortung im Sektor, bauen in diesem eigenständige Strukturen auf und fungieren dort quasi als Kommunikationsdrehscheibe und "Single Point of Contact" der Branche. Zum äußeren Kreis dieser operativen Struktur gehören sinnvollerweise auch Organisationen aus dem privaten Bereich (zB Unternehmens- oder Branchen-CERTs, insbesondere aus dem Bereich kritischer Infrastrukturen), die hier eine zentrale Rolle einnehmen.

Ausbau des sektorspezifischen Know-hows

Die im Zuge der aus der ÖSCS abgeleiteten operative Struktur soll künftig sicherstellen, dass der Austausch aktueller Informationen rasch erfolgt, hochwertige und vor allem aktuelle Informationen und Analysemethoden in die Erstellung von Cyber Lagebildern einfließen und auf Basis dieser proaktiv gesamtstaatliche Cyber Sicherheitsmaßnahmen abgeleitet bzw. empfohlen werden können. Vor allem aber gewährleistet die operative Struktur die Unterstützung und Koordinierung von gesamtstaatlichen Notfallmaßnahmen im Anlassfall. Entscheidend dabei ist immer auch die Einbindung der bestehenden CERTs im staatlichen wie auch privaten Bereich zu sehen, ebenso wie weiterer Cyber Zentren (wie etwa das Cyber Security Center im BM.I oder das Cyber Defence Zentrum im BMLVS).

Gesamtstaatlicher Mehrwert

Der Vorteil dieses Systems liegt auf der Hand: Damit verfügt Österreich in Zukunft jederzeit über einen aktuellen Cyber Status und kann bei Bedarf entsprechende Maßnahmen vorbereiten, um mögliche Bedrohungen rechtzeitig abzuwehren. Vor allem die sektorspezifischen Stellen haben dabei eine hohe Relevanz. Sie verfügen ebenfalls über diese Informationen und setzen jeweils auf ihren eigenen Bereich abgestimmte Maßnahmen um. Gerade bei größeren Sicherheitsvorfällen übernimmt künftig eine zentrale Stelle die Koordination aller Akteure. Durch klare Aufgaben- und Rollenverteilung und die Stärkung der Kommunikationskette zwischen allen Beteiligten verbessert sich in letzter Konsequenz die Handlungsfähigkeit Österreichs enorm. Eine gemeinsame Koordinationsplattform bildet dafür eine wichtige Basis für den laufenden Erfahrungs- und Informationsaustausch. Um eine bestmögliche Umsetzung dieser Zielstruktur zu gewährleisten, befasst sich unter anderem auch eine eigene Arbeitsgruppe mit dem ordnungspolitischen Rahmen, der dafür erforderlich ist. Vorschläge und Ergebnisse dazu werden im Laufe des Jahres 2015 vorliegen.

Österreich ist auf dem richtigen Weg

Im Anlassfall ist entscheidend, dass die erarbeiteten bzw. vorgeschlagenen Prozesse in der Praxis auch praktikabel sind. Daher wurden jüngst abgehaltene Cyber Sicherheitsübungen (wie etwa die CE.AT 14 im Rahmen der Cyber Europe 2014) bereits vor einem neuen Hintergrund abgehalten. Die Ergebnisse der Übungsszenarien waren jedenfalls sehr vielversprechend und zeigen, dass Österreich mit diesem Ansatz – auch im internationalen Vergleich – auf einem guten Weg ist.

Internationale Vernetzung immer wichtiger

Wie wichtig in der Abwehr von Cyber Sicherheitsbedrohungen die internationale Vernetzung ist, steht außer Zweifel. Denn nur in den seltensten Fällen lassen sich die Herkunft wie auch das Aktivitätsfeld von Angreifern auf ein geografisches Gebiet einschränken. Neben dem Ausbau von Koordinationsprozessen und –abläufen auf nationaler Ebene setzt sich Österreich im Kontext der internationalen Zusammenarbeit auch stark für weitere vertrauensbildende Maßnahmen ein (sog. Confidence Building Measures). Eine dieser Maßnahme ist beispielsweise die Benennung zentraler Points of Contact in den OSZE Staaten, die im Anlassfall zur Verfügung stehen, wenn es zu Cyber Vorfällen kommt. Österreich selbst verfügt mit dem GovCERT Austria bereits über einen national wie auch international etablierten Kontaktpunkt, der diese Rolle aktiv wahrnimmt.

Ausblick auf 2015: Ein neues Dach für bestehende Kooperationen

Um die Koordination aller Beteiligten in Zukunft noch besser zu gewährleisten soll sich im Laufe des Jahres 2015 eine eigene Cyber Security Plattform (CSP) konstituieren. Aufgabe dieser neuen Plattform wird es sein, unter anderem den periodischen Informationsaustausch zu wesentlichen Fragen der Cyber Sicherheit zwischen Stakeholdern aus Verwaltung, Wirtschaft sowie Wissenschaft und Forschung zu verbessern. Hinzu kommt die Initiierung von Kooperationen zwischen den beteiligten Partnern in den Bereichen Sensibilisierung und Ausbildung sowie Forschung und Entwicklung. Die Plattform soll dabei ein neues Dach für bereits bestehende Kooperationsformate bilden, wie zum Beispiel für: Austrian Trust Circle, das Cyber Sicherheit Forum des Kuratorium Sicheres Österreich, Zentrum für Sichere Informationstechnologie (A-SIT), Cyber Security Austria (CSA) und andere.

Weitere Informationen:





<< Vorige Nächste >>