Der Rechnungshof (RH) hält in einem heute veröffentlichten Bericht eine bessere Abstimmung der zuständigen Stellen im Fall eines Cyberangriffs auf staatliche Einrichtungen für nötig.
Entsprechende Entscheidungsgrundlagen, die Verantwortlichkeiten und Verfahrensschritte klarstellen, sollten in einer (noch nicht fertigen, Anm.) Leitlinie zur „Cyber-Defence“ geregelt sein.
Der RH vermisst aber auch Cyberübungen für den Fall einer Souveränitätsgefährdung. Ein „Souveränitätsfall“ tritt laut RH ein, wenn Informations- und Kommunikationstechnologie (IKT) der obersten Organe der Republik sowie kritische Infrastruktur wie Krankenhäuser und Energieversorger aus dem Cyberraum angegriffen werden sowie deren Unabhängigkeit und Funktionsfähigkeit maßgeblich beeinträchtigt sind.
Ab wann „Souveränitätsfall“?
Unklar sei, wann eine Überleitung von einer Cyberkrise in einen „Cyber-Defence“-Fall vorgenommen wird und welche Schritte dabei zu setzen sind. Die Koordination der Cybersicherheit obliegt Bundeskanzleramt, Innen-, Außen- und Verteidigungsministerium.
Für operative Maßnahmen im Vorfalls- und Krisenmanagement ist das Innenministerium zuständig. Das Bundesheer wirkt dann mit, wenn seine Assistenzleistung angefordert wird.
Wann tatsächlich ein „Souveränitätsfall“ eintritt, muss die Verteidigungsministerin oder der Verteidigungsminister entscheiden. Das Ressort habe jedoch keine konkreten Kriterien und Szenarien ausgearbeitet, ab denen ein militärischer Einsatz gerechtfertigt wäre, wie die APA mit Verweis auf den RH festhält.
Der RH empfiehlt in seinem Bericht wegen der zunehmenden Bedeutung von „Cyber-Defence“, die Entwicklung der Cyberfähigkeiten und Stärkung der Cyberkräfte des Bundesheeres zügig voranzutreiben und ein koordiniertes, rasches Eingreifen sicherzustellen.
Verweis auf „Cybergrundwehrdienst“
Handlungsbedarf ortete der RH auch bei den bis zu acht ständig verfügbaren Einsatzteams, die das Heer einrichten wollte, um auf Cyberangriffe rasch reagieren zu können. Bis Ende 2022 sollten zwei dieser Teams einsatzbereit sein, im November 2022 lagen dazu aber nur Planungsunterlagen vor.
Die Personallücken, die laut Ministerium der Grund für die Verzögerungen waren, sollten nun rasch gefüllt werden, empfahl der RH. Schließlich sollten bereits bei der Stellungskommission Personen mit IKT-Ausbildung verstärkt für den Einsatz als Cybergrundwehrdiener motiviert werden.
Im Oktober 2022 waren insgesamt 60 Cybergrundwehrdiener im Bundesheer im Einsatz. Alleine zwischen Ende Oktober und Ende November 2022 wurden im Verteidigungsministerium rund 390.000 Sicherheitsereignisse abgewehrt.