Ruf nach mehr Cybersicherheit in Kanzleramt und Ministerien

Wien – Der Rechnungshof (RH) ortet Verbesserungsbedarf bei der Cybersicherheit im Bundeskanzleramt und dem Innen-, Verteidigungs- und Außenministerium. Die Cybersicherheit sei in allen Bereichen der elektronischen Datenverarbeitung maßgeblich. Es fehle aber an Krisen-, Kontinuitäts- und Einsatzplänen. Und ein Lagezentrum zur Bearbeitung von Notfällen müsse geschaffen werden, merkt der RH an. Prüfungszeitraum waren die Jahre 2018 bis 2021.

Ihre Schlüsse ziehen die Prüferinnen und Prüfer des Rechnungshofes unter anderem aus der Cyberkrise im Außenministerium vom Dezember 2019 bis März 2020. In dem gestern veröffentlichten Bericht heißt es dazu: Der Cyberangriff auf dieses Ressort sei „grundsätzlich erfolgreich“ bewältigt worden.

Bei dem Angriff sei erstmals in Österreich eine Cyberkrise festgestellt worden, was zur Aktivierung der dafür vorgesehenen Strukturen geführt habe. Bevor diese ihre operative Tätigkeit aufnehmen konnten, mussten allerdings noch die Infrastruktur (Räumlichkeiten) und die sonstige Ausstattung (Hardware, Software, Büroausstattung) für das Einsatzteam organisiert und beschafft werden.

Zweckmäßig wäre es aus Sicht des Rechnungshofes, wenn ein eigenes, dauerhaft eingerichtetes und jederzeit benutzbares Cyber-Lagezentrum eingerichtet würde.

Die Koordinationsstruktur des IKDOK („Innerer Kreis der Operativen Koordinierungsstruktur“), dem wichtigsten interministeriellen Gremium der Cybersicherheit, erachtet der Rechnungshof für geeignet, die ihm übertragenen Aufgaben zu erfüllen. Es wäre aber auch ein permanent verfügbares Cybereinsatzteam (Rapid Response Team) zu schaffen, heißt es.

In dem Zusammenhang machte der RH auf den Personalmangel bei entsprechenden Sicherheitskräften aufmerksam. So wurden die als notwendig erachteten Personalressourcen im Bundeskanzleramt und im Innenministerium nicht erreicht.

Mängel ortet der Rechnungshof zudem bei den für ein funktionierendes Krisenmanagement nötigen Krisen-, Kontinuitäts- und Einsatzplänen. Sie lagen nicht vor, obwohl die Cybersicherheit-Steuerungsgruppe die Ausarbeitung solcher Pläne bereits 2014 und 2019 beschlossen hatte. Das Kanzleramt und das Innenministerium wären zuständig gewesen.

Bemängelt wurde auch, dass rund zweieinhalb Jahre nach dem Inkrafttreten des Netz- und Informationssystemsicherheitsgesetzes (NISG) das gesetzlich geforderte „NIS-Meldeanalysesystem“ noch nicht in Betrieb war.

Auch ein Frühwarnsystem war 2021 erst in der Konzeptionsphase. Hier wurde das Innenministerium zu verstärkten Bemühungen aufgefordert: „Im Sinne des gesamtstaatlichen und sektorübergreifenden Ziels, Cyberangriffe zu erkennen bzw. deren Auswirkungen so gering wie möglich zu halten sowie Muster und Vorgehensweisen bei Cyberangriffen zu analysieren, sollten möglichst viele Organisationen teilnehmen.“ (APA, TT)