NIS2: Verpasste Chance für Österreichs IT-Sicherheit
Es vergeht fast kein Tag, an dem kein Cyberangriff groß in den Medien steht. Egal ob ein gesamtes Bundesland (Kärnten), das Außenministerium oder österreichische Unternehmen – die Zahl der Angriffe auf Computer, Handy oder andere Geräte steigt massiv, sowohl Privat als auch im öffentlichen Bereich. Deshalb wurde auf europäischer Ebene schon 2022 eine Richtlinie verabschiedet, die für verstärkte Cybersicherheit in den Mitgliedsstaaten sorgen soll. Die Umsetzungsfrist läuft im Oktober ab, deshalb will die Bundesregierung das Gesetz jetzt noch schnell umzusetzen, um kein Vertragsverletzungsverfahren zu riskieren. Dieser Versuch scheitert aber gleich auf mehreren Ebenen kläglich. Wir haben den Entwurf des Netz- und Informationssystemsicherheitsgesetzes (NISG 2024) genau analysiert und werden die problematischen Regelungen und Versäumnisse beim heutigen Hearing im Innenausschuss des Parlaments anbringen:
Konstruktionsfehler der Cybersicherheitsbehörde
Um das Niveau der IT-Sicherheit tatsächlich erhöhen zu können, braucht es eine unabhängige Cybersicherheitsbehörde die das Vertrauen der Bevölkerung genießt. Schon daran scheitert der aktuelle Entwurf aber.
Zum einen sollen die Aufgaben der Cybersicherheitsbehörde und damit auch die dazugehörigen erweiterten Überwachungskompetenzen beim Bundesminister für Inneres angesiedelt sein. Die Bündelung von Einzelstrafverfolgung und IT-Sicherheit in einer Behörde führt aber zu einem Zielkonflikt. Wie wir am Beispiel des Bundestrojaners sehen, widersprechen sich beide Regelungsbereiche oft in ihrem Ziel und Handlungsbedarf. Während sich eine unabhängige Cybersicherheitsbehörde, für die Schließung von Sicherheitslücken einsetzen würde, fordert die Strafverfolgung lieber deren Offenhaltung für Spionagesoftware und mehr Kompetenzen im Zugriff auf fremde IT-Systeme. Durch diesen fatalen Zielkonflikt innerhalb der Behörde laufen wir Gefahr, dass unsere allgemeine IT-Sicherheit unter die Räder der Einzelstrafverfolgung kommt.
Um eine fachlich kompetente Cybersicherheitsbehörde zu schaffen braucht es neben IT-Spezialisten auch die enge Zusammenarbeit mit Wissenschaft und Zivilgesellschaft. Auch diesen Ansprüchen wird der aktuelle Entwurf nicht gerecht. Das Gesetz schafft keine Anreize Expert:innen einzubinden oder Fachkräfte anzuwerben. Statt den Personalnotstand zu lösen, drängen vergleichsweise niedrige Einstiegsgehälter und historisch schwere kollaborative Arbeitsweise mit dem Ministerium die Expertise schon fast in die Privatwirtschaft. Das sieht auch der Rechnungshof so.
Massive Ausweitung der Kompetenzen
Selbst ohne Zielkonflikt, ist der Umfang der Datensammlung und Verarbeitung höchst problematisch. Die Verarbeitung personenbezogener Daten darf nicht nur zu Zwecken des NIS-Gesetzes erfolgen, sondern darf vom Innenministerium auch zum „Schutz vor und zur Abwehr von Gefahren für die öffentliche Sicherheit“ verwendet werden. Das unterstreicht noch einmal den fatalen Zielkonflikt. Durch mehr Überwachungskompetenzen im BMI entsteht die Möglichkeit des Missbrauchs von Cybersicherheitsbefugnissen für allgemeine sicherheitspolizeiliche Aufgaben. Auch die Datenübermittlung ist zu weit und zu ungenau gefasst. Der Entwurf erlaubt die Übermittlung der Daten an ausländische Sicherheitsbehörden und schafft damit die Gefahr der Verfolgung von Personen aufgrund ihrer Herkunft, politischen Einstellung, sexueller Orientierung oder anderer Merkmale. Auch die Datenschutzfolgeabschätzung des Entwurfs ist für uns klar unzureichend und wird der enormen Dringlichkeit und Relevanz des Themas nicht gerecht.
Verpasste Chance: Responsible Disclosure
Welche Risiken das Aufdecken von Sicherheitslücken in Österreich mit sich bringen kann, mussten wir am eigenen Leib spüren. Erst im April sind wir mit der Anzeige des Gesundheitsministerium gegen uns, trotz verantwortungsvoller Aufdeckung schwerer Mängel im Epidemiologischen Meldesystem (EMS), an die Öffentlichkeit gegangen. Mit dem EMS-Skandal konnten wir aufzeigen, wie schlecht es um die rechtliche Absicherung von Sicherheitsforscher:innen in Österreich steht. Die EU-Richtlinie hat die perfekte Vorlage dazu geboten, den Schutz von Sicherheitsforscher:innen endlich national zu verankern. Doch Österreich positioniert sich gegen die Empfehlungen der Europäischen Agentur für Cybersicherheit („ENISA”) und orientiert sich an der Minimalvariante der Richtlinie. Der Entwurf ermöglicht zwar eine anonyme Meldung, regelt aber weder straf- noch zivilrechtliche Fragen der Immunität. Auch wenn in Österreich noch keine Verurteilung im Zusammenhang mit der Offenlegung von Sicherheitslücken bekannt ist, reicht wohl schon die Strafdrohung und der mögliche (finanzielle) Aufwand um Menschen davon abzuschrecken mit Missständen an die Öffentlichkeit zu gehen. Die Möglichkeit dieser Angst entgegen zu wirken und sich so auf die selbe Seite wie verantwortungsvolle Sicherheitsforscher:innen zu stellen, hat Österreich hier eindeutig verabsäumt.
Österreich verliert im Ländervergleich
Auch im europäischen Vergleich lässt sich die österreichische Umsetzung leider nur als unterdurchschnittlich bewerten. Zum Beispiel hat Deutschland ein eigenes Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtet, das aus den oben genannten Gründen nicht im Bereich des Innenministeriums angesiedelt wurde. Die Behörde wurde auch mit Unabhängigkeit ausgestattet um die Expertise effektiv und effizient zu bündeln und weiter auszubauen. Zu den Vorreitern in Sachen „responsible disclosure“ gehört Litauen. Hier wurde ein sicherer Rechtsrahmen für Sicherheitsforscher:innen geschaffen, der schon im ersten Jahr nach der Einführung zu einer Verdoppelung der gemeldeten Sicherheitslücken und damit einer massiven Steigerung der IT-Sicherheit geführt hat.
Fazit
Am Ende der Legislaturperiode und kurz vor der Deadline der Umsetzung der EU-Richtlinie am 17. Oktober 2024 steht ein Gesetz, das kaum die Mindestanforderungen der EU-Richtlinie erfüllt. Der Vergleich mit anderen Mitgliedstaaten zeigt wie sehr wir in Sachen IT-Sicherheit hinterherhinken. Statt sich Expertise ins Haus zu holen, schottet sich das Ministerium ab und schafft mit der massiven Ausweitung der Überwachungskompetenzen genau das Gegenteil des Regelungsziels. Wenn tatsächliche IT-Sicherheit zumindest der Opposition am Herzen liegt, darf dieser Gesetzesentwurf die notwendige Verfassungsmehrheit nicht erlangen.
UNSERE JURISTISCHE STELLUNGNAHME
Da du hier bist!
… haben wir eine Bitte an dich. Wenn Regierungen laufend neue Überwachungsmaßnahmen fordern, immer mehr Daten über uns sammeln, oder Konzerne auf unsere Kosten ihre Profite steigern, dann starten wir Kampagnen, schreiben Analysen oder fordern unsere Rechte vor Gerichten ein. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!
Spenden