Die Netz- und Informationssicherheits-Richtlinie

Stellen Sie sich vor, ein Cyberangriff legte z. B. das System der Europäischen Zentralbank lahm; oder des Europäischen Stromverbundsystems, wie es 2012 Gegenstand des Romans Blackout von Mark Elsberg war. Dutzende andere Einrichtungen lassen sich denken. Die Auswirkungen wären verheerend, denn im globalen Zeitalter sind wir in allen Bereichen des Lebens miteinander durch das „World Wide Web“ verbunden.

Zu Beginn dieser Vernetzung berichtete man über die Vorteile und Möglichkeiten dieser grenzenlosen Verbindung. Negative Aspekte konnte man sich noch kaum vorstellen. Allmählich dämmert es, dass der virtuelle Cyberraum, angereichert mit realer krimineller Energie, seine eigene reale Bedrohungslage aufweist.

Die Cyberwelt wird von vielen als rechtsfreier Raum angesehen. Das führt zu einem Verhalten, wie es in der „normalen“ Welt nicht geduldet würde. Der normale Internet-Nutzer denkt bei dem Wort „Cyberangriff“ an die gehackten iCloud-Konten der Promis, die eventuell Nacktfotos oder private Momente enthüllen. Unter „Cyberangriff“ sind aber unterschiedliche kriminelle Tätigkeiten zu subsumieren, herkömmliche Straftaten (Betrug, Fälschung) ebenso wie inhaltsbezogene (z. B. online stellen von kinderpornografischem Material) und solche, die nur über Computer und Informationssysteme möglich sind (z. B. Überlastungsangriffe, Schadprogramme, Viren).

Solche Angriffe richten sich nicht nur gegen einzelne Personen, private Unternehmer oder öffentliche Behörden, sondern stellen eine erhebliche Bedrohung für das Wirtschaftsleben und die öffentliche Versorgung mit grundlegenden, für die Bürger selbstverständlichen Dienste, wie zum Beispiel Wasserversorgung, Strom, Mobilfunk dar.

Auch der Europäischen Union ist längst klar geworden, dass sich ein Sicherheitsvorfall im Netz auf das Funktionieren des Binnenmarktes nachteilig auswirken wird. Ein solcher Sicherheitsvorfall kann viele Gründe haben. Angefangen von menschlichem oder technischem Versagen bis zu einem gezielten Angriff sind die Vielfalt der Störungen unendlich und ihre Auswirkungen unvorhersehbar. Den Bürgern sind diese Risiken im Internet keineswegs unbekannt. Laut einer Eurobarometer-Umfrage 2012 trauen fast ein Drittel der Europäer dem Internet bei der Erledigung von Bankoperationen oder Käufen nicht.[1] Noch erschreckender ist, dass mehr als jeder zehnte Internetznutzer bereits einmal Opfer von Online-Betrug war! Durch das fehlende Vertrauen in die Informations- und Kommunikationstechnologie entgeht der Europäischen Union jährlich eine Erhöhung des BIPs um fast € 500 Mrd.[2] Zum Vergleich: Die bisher ausgezahlten Rettungspakete für Griechenland umfassten € 240,7 Mrd.,[3] und die Republik Österreich kostet ihr bislang größtes Abenteuer Hypo Alpe Adria nur vergleichsweise günstige € 12,5 Mrd.

Cyberkriminalität ist kein neues Phänomen

Bisher waren die Einzelstaaten bei der Bekämpfung von Cyberkriminalität auf sich selbst gestellt. Manche versuchten lediglich mit innerstaatlichen Regelungen dagegen vorzugehen, andere gemeinsam über vertragliche Vereinbarungen. Beispielsweise führten die USA und China 2015 Verhandlungen über ein Rüstungsabkommen für den Cyberraum[4] und einigten sich im Endeffekt auch erfolgreich auf ein solches.[5]

Auch Österreich bemühte sich zunächst in Eigenregie darum, den Cyberraum und die Menschen, die sich darin bewegen, abzusichern. Der erste Schritt wurde durch die Bundesregierung gesetzt mit dem Bericht über eine Österreichische Sicherheitsstrategie (ÖSS) im März 2011 gesetzt. Diese Strategie war federführend für das Kapitel Sicherheit und Rechtsstaat des österreichischen Regierungsprogramms 2013 bis 2018. Aus der ÖSS leitete sich die österreichische Strategie für Cyber-Sicherheit (ÖSCS) ab.

Durch diese Strategie wurde nun versucht eine Struktur zur Koordination auf der operativen Ebene zu schaffen. Mit anderen Worten, man wollte schon damals den regelmäßigen Informationsaustausch fördern, die Gefahren im Cyber-Raum laufend beobachten, bewerten und aufzeichnen. Zugleich wurden gemeinsame konkrete Maßnahmen festgelegt, um die Cybersicherheit in Österreich zu erhöhen und kritische Infrastrukturen gegen Cyber-Attacken widerstandsfähig zu machen. Damit verfolgte man die Ziele Verfügbarkeit, Zuverlässigkeit und Vertraulichkeit des Datenaustausches, die Bildung einer Kultur der Cyber-Sicherheit, Aufbau von Wissen, Fähigkeiten und Kapazitäten.

Nichtsdestotrotz verzeichnete das Bundeskriminalamt im Jahr 2016 über 10.000 Cyber-Angriffe auf Privatpersonen bzw. Unternehmen! Das entspricht einem Plus von 11,6 Prozent im Vergleich zum Vorjahr.[6] Schon alleine diese Zahlen zeigen, dass in der geografisch grenzenlosen Cyberwelt innerstaatliche Regelungen etwa dieselbe Wirkung haben, wie wenn ein Zwergstaat den Weltfrieden erklärt.

Aufgrund dieser Erkenntnis haben sich im Dezember 2015 das Europäische Parlament, der Rat und die EU-Kommission auf Basis des Kommissionsvorschlags aus 2013 geeinigt, Schritte zur Erreichung einer hohen gemeinsamen Netz- und Informationssicherheit einzuleiten.

Nun liegt das Ergebnis dieser Zielsetzung in Form der Netz- und Informationssicherheitsrichtlinie (NIS) vor, die am 8. August 2016 in Kraft getreten ist und von den Mitgliedstaaten bis zum 9. Mai 2018 umgesetzt werden muss. Die RL bezweckt die Einrichtung eines einheitlichen europäischen Sicherheitsniveaus zur Abwehr von Angriffen. Damit möchte man die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, die über ein Netz- und Informationssystem angeboten werden bzw. zugänglich sind, vor Angreifern schützen. Eine bessere Kommunikation samt Meldepflichten bei signifikanten Störfällen für die Betreiber wesentlicher Dienste und Anbieter digitaler Dienste soll der Cyberkriminalität Schranken auferlegen. Auch sieht die Richtlinie die Möglichkeit vor, internationale Übereinkünfte mit Drittländern oder internationalen Organisationen zu schließen.[7] Dafür soll ein Rechtsrahmen geschaffen werden, in dem sich die Betroffenen mit Vertrauen gegenübertreten und über Risiken, aktuelle Bedrohungen und Vorfälle austauschen können.

Die Vereinheitlichung setzt im Wesentlichen die Vornahme folgender Schritte vor:

  • Die Annahme einer nationalen Strategie für die Sicherheit von Netz- und Informationssystemen:
    Die Mitgliedstaaten trifft primär die Pflicht eine nationale Strategie zu entwickeln und damit auch geeignete politische und technische Maßnahmen festzulegen, mit denen ein hohes Sicherheitsniveau erreicht werden kann. Die Strategie muss auf Basis der Sicherheitsrisiken und -vorfälle aktuell analysiert werden. Damit diese Strategie und die mit ihr verbundenen Ziele auch erreicht werden können, müssen Maßnahmen zur Abwehrbereitschaft, Reaktion und Wiederherstellung, einschließlich die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor festgelegt sowie Aufgaben und Zuständigkeiten der staatlichen Stellen, aber auch anderer Akteure bestimmt werden.

  • Bildung nationaler CSIRTs (Computer Security Incident Response Teams), auch CERTs (Computer Emergency Response Team) genannt
    Mindestens ein CERT muss in jedem Mitgliedstaat als Anlaufstelle zur Bewältigung von gegenwärtigen oder bevorstehenden Sicherheitsvorfällen gegründet werden. An diese aus IT-Fachleuten bestehenden Teams werden hohe Anforderungen gesetzt. Sie haben für einen hohen Grad der Verfügbarkeit ihrer Kommunikationsdienste zu sorgen. Dafür müssen sie an einem sicheren Standort eingerichtet werden, punktuellen Ausfällen vorbeugen, personell ständig bereit sein und mehrere Kanäle einrichten, damit sie jederzeit erreichbar bleiben.

    Kontinuierliche Risikoanalysen, Ausgaben von Frühwarnungen, Kooperation mit dem Privatsektor, Monitoring und Handling von Störfällen auf nationaler Ebene sind ihre Hauptaufgaben. Zu den Pflichten zählen die Teilnahme an CSIRT-Netzwerken, also Treffen, an denen Vertreter der nationalen CSIRTs und CERT-EU anwesend sind. Dieses Netzwerk hat die Aufgabe das Vertrauen zwischen den Mitgliedstaaten aufzubauen, den allgemeinen Informationsaustausch über Störfälle zu fördern und bei länderübergreifenden Vorfällen zu assistieren.

    Die CSIRTs sollen die Zusammenarbeit der Mitgliedstaaten erleichtern und über ihre Tätigkeit im Abstand von eineinhalb Jahren Berichte erstatten. Das CERT wird von der nationalen NIS-Behörde beaufsichtigt und regelmäßig geprüft.

  • Einrichtung einer oder mehrerer NIS-Behörde(n) und eines SPOCs (Single Point of Contact)
    NIS-Behörden haben die Einhaltung der RL auf nationaler Ebene zu überwachen und sind die Meldestelle bei Störfällen. Es bleibt den Mitgliedstaaten überlassen, wie viele solche Behörden sie einrichten möchte.

    Zur effizienten und wirksamen Aufgabenerfüllung müssen diese Behörden von den Mitgliedstaaten so ausgestattet werden, dass sie ausreichende technische, finanzielle und personelle Ressourcen aufweisen. Sie haben Überwachungs- und Prüfungsrechte. Zudem dürfen Störfälle, zusätzlich zu den CSIRTs, auch bei den NIS-Behörden gemeldet werden.

    Den NIS-Behörden obliegt die Aufgabe mit der Öffentlichkeit über wichtige Vorfälle zu kommunizieren. Sie sind aber auch verpflichtet die zuständigen nationalen Strafverfolgungsbehörden und nationalen Datenschutzbehörden zu informieren und mit ihnen zusammenzuarbeiten.

    Single Point of Contacts müssen als Verbindungsstelle zwischen Mitgliedstaaten, Kooperationsgruppen und dem CSIRT-Netzwerk eingerichtet werden. NIS-Behörden müssen dieses Kooperationsnetz auch dazu ausnutzen, um Frühwarnungen bezüglich Sicherheitsrisiken und -vorfällen zu geben, die sich rasch verbreiten, die nationalen Reaktionskapazitäten übersteigen und dabei mehr als einen Mitgliedstaat betreffen können.

  • Teilnahme an der strategischen Kooperationsgruppe
    Die strategische Kooperationsgruppe wurde bereits am 9. Februar 2017 eingerichtet. Mit der Einrichtung wurde auch schon das erste von ab nun alle zwei Jahre zu erstellenden Arbeitsprogrammen bekannt gemacht.

    Das Arbeitsprogramm soll ein Leitfaden zur Umsetzung der Ziele und Aufgaben der Kooperationsgruppe im Einklang mit den Zielen der NIS-Richtlinie sein. Die Kooperationsgruppe wird dafür eingesetzt, die strategische Zusammenarbeit zwischen den Mitgliedstaaten im Bereich der Umsetzung dieser Richtlinie zu unterstützen, indem Know-How ausgetauscht und über bewährte Verfahren im Bereich von Forschung und Entwicklung informiert wird. Die strategische Beratung des CSIRT-Netzwerks und die Erstellung von Leitlinien für sektorspezifische Kriterien zur Bestimmung der erheblichen Störfälle sind einige weitere Aufgaben.

    Sämtliche von dieser Kooperationsgruppe wahrgenommenen Aufgaben ergeben sich auf der Grundlage von zweijährlichen Arbeitsprogrammen. Die Erfüllung dieser Aufgaben werden durch von der Kooperationsgruppe alle eineinhalb Jahre erstellten Berichte überprüft. Der erste Bericht ist am 9. August 2018 fällig. An der Kooperationsgruppe haben Vertreter aus den Mitgliedstaaten, der Kommission und der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) teilzunehmen. Sie können gegebenenfalls Vertreter der maßgeblichen Interessengruppen zur Teilnahme einladen.

  • Ermittlung von Betreibern wesentlicher Dienste
    Im Zuge der Umsetzung der RL haben die Mitgliedstaaten Betreiber wesentlicher Dienste festzulegen. Um auch hier einheitlich vorzugehen wurden in der Richtlinie bestimmte Kriterien festgesetzt, die für die Ermittlung herangezogen werden müssen. Diese Kriterien beinhalten, dass die Betreiber wesentlicher Dienste ihre Niederlassung im Hoheitsgebiet eines Mitgliedstaates haben müssen und die Dienste, die sie anbieten, für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich und abhängig von Netz- und Informationssystemen sind. Außerdem muss ein Sicherheitsvorfall eine erhebliche Störung bei der Bereitstellung dieser Dienste bewirken. Zu den Betreibern wesentlicher Dienste zählen Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen und Gesundheit unentbehrlich sind.

    Die Betreiber wesentlicher Dienste sind wie die Anbieter digitaler Dienste zur Meldung von Sicherheitsvorfällen verpflichtet. In der RL werden beide unter dem Begriff „Marktteilnehmer“ zusammengefasst. Anbieter digitaler Dienste sind juristische Personen, die einen der drei in der RL genannten digitalen Dienste anbieten: Online-Marktplätze, Online-Suchmaschinen, Cloud-Computing-Dienste.

    Ausdrücklich ausgenommen sind natürliche Personen und Klein- und Kleinstunternehmen, das heißt Unternehmen, die weniger als 50 Personen beschäftigen und eine Jahresbilanz von 10 Mio. Euro nicht überschreiten.

    Im Gegensatz zu den Betreibern wesentlicher Dienste dürfen die Anbieter digitaler Dienste nicht von den Mitgliedstaaten ermittelt werden. Der Grund dafür ist, dass die RL im Rahmen ihres Geltungsbereiches für alle Anbieter digitaler Dienste gelten soll. Diese Unterscheidung ist deswegen so wichtig, weil die Betreiber wesentlicher Dienste strengere Regelungen treffen. Die nationalen NIS-Behörden dürfen die Sicherheitsmaßnahmen der Betreiber jederzeit überprüfen und ihnen bindende Anweisungen erteilen. Bei den Anbietern kann nur ein Anlassfall zur Prüfung führen. Außerdem dürfen die NIS-Behörden hier keine bindenden Anweisungen erteilen, sondern nur eine Fehlerbehebung einfordern. Die Mitgliedstaaten haben ihre Liste mit den ermittelten Betreibern wesentlicher Dienste regelmäßig, mindestens aber alle zwei Jahre zu prüfen und zu aktualisieren.

  • Sanktionen festlegen
    Die RL enthält in den Schlussbestimmungen auch Vorschriften über Sanktionen. Dabei bleibt es den Mitgliedstaaten überlassen, welche Art oder in welcher Höhe sie Sanktionen vorsehen wollen. Die einzige Vorgabe in diesem Bereich ist wie sonst auch immer, dass die Sanktionen wirksam, angemessen und abschreckend sein müssen.

Umsetzung in Österreich

Die schon erwähnte Österreichische Strategie für Cyber Sicherheit (ÖSCS) stellt in Österreich das Fundament für die fristgerechte und ordnungsgemäße Umsetzung der Richtlinie dar. Die bestehenden nationalen Strukturen werden hierzu herangezogen und teilweise erweitert. Die RL muss bis zum 9. Mai 2018 von den Mitgliedstaaten umgesetzt werden. Für die Ermittlung der Betreiber wesentlicher Dienste gewährt die RL noch zusätzliche 7 Monate. Das heißt, die Mitgliedsstaaten haben bis spätestens 9. November 2018 Zeit, die von ihnen ermittelten Betreiber wesentlicher Dienste bekannt zu machen.

Nutzen für den normalen Bürger?

NIS ist so etwas wie Europol für eine sichere Cyberwelt, die wir mehr und mehr bevölkern. 85,1 Prozent der österreichischen Bevölkerung machen laut Statistik Austria Gebrauch vom Internet.[8] Aber auch die Tatsache, dass die reibungslose Zurverfügungstellung von Trinkwasser und Strom oder das Funktionieren des Flug- und Straßenverkehrs von uns beinah als so selbstverständlich wie das Atmen erachtet wird, macht die Notwendigkeit einer einheitlichen Regelung zu deren Schutz begreiflich. Schauen wir uns ein aktuelles Beispiel an:

Bis vor kurzem erweckten Medienberichte über terroristische Attacken oft das Bild von einem vollbärtigen Mann mit Sprengstoffgürtel. Doch seit den jüngsten Schlagzeilen rund um die Cyberattacke „Wanna Cry“ dämmert eine Neudefinition dessen herauf, was eine terroristische Attacke ist oder sein könnte:

Der Erpressungstrojaner „Wanna Cry“ legte 75.000 Rechner von Krankenhäusern, Bahn, Ministerien usw. in 99 Ländern lahm. Die Daten werden verschlüsselt, für die Entschlüsselung wird Lösegeld gefordert. Zwar wurde die Achillesferse der Cyberwelt vom US-Abhördienst NSA frühzeitig erkannt, deren Veröffentlichung durch Hacker aber nicht verhindert. Diese Sicherheitslücke wurde zwar grundsätzlich durch Microsoft geschlossen, allerdings nur an denjenigen Computern, auf denen ein Update durchgeführt wurde. Weil die Täter dilettantisch vorgingen, und dank eines aufmerksamen Zufallshelden, waren die erhaltenen Lösegelder der bislang größten aufgezeichneten Cyberattacke in der Cyberwelt-Geschichte noch vergleichsweise gering.

Da die Attacke viele verschiedene Länder auf verschiedenen Kontinenten getroffen hat, werden nach Einschätzungen der europäischen Ermittlungsbehörde Europol komplexe internationale Ermittlungen nötig sein, um die Täter zu finden. Auch das Ausmaß der Attacke auf die Wirtschaft ist nicht vorhersagbar. Und: beim nächsten Mal haben wir es wohl nicht mehr mit Dilettanten zu tun.

Mag. Hatice Özcoban, Mitarbeit Dr. Benedikt Wallner, 22.03.2017


[1] „Special Eurobarometer“ 390 zur Cybersicherheit (2012)

[2] Mitteilung der Europäischen Kommission über eine Cybersicherheitsstrategie für die EU

[3] https://de.wikipedia.org/wiki/Griechische_Staatsschuldenkrise

[4] New York Times-online 19.09.2015, US and China Seek Arms Deal for Cyberspace. https://www.nytimes.com/2015/09/20/world/asia/us-and-china-seek-arms-deal-for-cyberspace.html?_r=0

[5] CFR 28.9.2016, The U.S.- China Cyber Espionage Deal One Year Later http://blogs.cfr.org/cyber/2016/09/28/the-u-s-china-cyber-espionage-deal-one-year-later/

[6] Bericht Internet-Sicherheit Österreich 2016
https://www.cert.at/static/downloads/reports/cert.at-jahresbericht-2016.pdf

[7] im Einklang mit Artikel 218 AEUV.

[8] IKT-Einsatz in Haushalten https://www.statistik.at/web_de/statistiken/energie_umwelt_innovation_
mobilitaet/informationsgesellschaft/ikt-einsatz_in_haushalten/index.html