Stell dir vor, die Stromversorgung ist einem Hackerangriff ausgesetzt, der via Smart Meter durchgeführt wird: Würdest du dir nicht wünschen, dass unsere Regierung darauf vorbereitet ist und schnell Gegenmaßnahmen einleiten kann, damit das Stromnetz nicht komplett lahmgelegt wird? Genau darum geht es beim kürzlich vorgeschlagenen Netz- und Informationssystemsicherheitsgesetz (kurz NISG). Doch anstatt wirksame präventive Maßnahmen zu ergreifen und die dafür nötigen Ressourcen bereitzustellen, wird dem Innenministerium eine zusätzliche Aufgabe zugeteilt, die im Widerspruch zu seinen Aufgaben bei der Strafverfolgung steht. Ein Interessenkonflikt ist geradezu vorprogrammiert!

Nach unserer Analyse des Vorschlages sehen wir Handlungsbedarf bei der grundsätzlichen Ausrichtung sowie bei einer Reihe konkreter Details, die in unserer Stellungnahme aufgelistet sind.

1. Zuständigkeiten trennen

Die operative Ausgestaltung liegt im vorliegenden Entwurf beim Innenministerium und beinhaltet eine umfassende Einschaubefugnis der Behörde in betriebliche Vorgänge von Betreibern kritischer Infrastruktur. Zwar spielen die Sicherheitsbehörden eine wesentliche Rolle in der Bekämpfung von Angriffen auf Netz- und Informationssysteme, die Hauptstoßrichtung der NIS-Richtlinie ist jedoch die Prävention. Umso deutlicher muss klargestellt werden, dass NIS nicht nur aus Strafverfolgungsperspektive betrieben wird.

Sicherheit ist ein laufender, umfassender Prozess, der vertrauensvolle Kommunikation aller Beteiligten auf Augenhöhe voraussetzt, doch laut dem Entwurf wird dieser Prozess in Österreich von einer Behörde gestaltet, die primär mit sicherheitspolizeilichen Aufgaben und Aufgaben der Strafverfolgung befasst ist. Für Anbieter und Betreiber von kritischer Infrastruktur schafft das Konfliktsituationen in Bezug auf deren eigene Bedürfnisse und die Interessen ihrer Kundinnen und Kunden, die eine sichere, also verfügbare und vertrauliche Infrastruktur erwarten

Dipl.-Ing. Dr. Walter Hötzendorfer
für epicenter.works federführend an der Stellungnahme beteiligt

Wir setzen uns daher für die Schaffung eines Bundesamtes für Netz- und Informationssystemsicherheit ein, das nicht in der Ressortzuständigkeit des Innenministeriums angesiedelt ist. Bei einem solchen Bundesamt könnten die Präventionskapazitäten im NIS-Bereich effektiv und effizient gebündelt, bestehende Expertise eingebracht und weitere Expertise aufgebaut werden.

2. Öffentlichkeit über Gefahren informieren

Millionen unsicherer Router, gefährdeter IoT-Geräte oder lückenhafter Anwendungen bei Endnutzerinnen und Endnutzern wegen nicht behobener – weil nicht publizierter – Sicherheitsmängel stellen eine wachsende Gefahr dar, die im vorliegenden Gesetzesentwurf nicht adäquat berücksichtigt wird. Eine umfassende Pflicht zur Information über bestehende Gefahren, zum Beispiel über Mängel und Sicherheitslücken von weit verbreiteter Software und von Geräten, die an Netzwerke angeschlossen sind, ist bisher nicht vorgesehen und sollte unbedingt hinzugefügt werden.

Bereits jetzt leisten die Computer-Notfallteams wertvolle Arbeit zur Sicherung von kritischer Infrastruktur, jedoch ist es im Entwurf nicht ersichtlich, dass diese künftig mit angemessenen Ressourcen ausgestattet werden, um ihren Aufgaben nachkommen zu können, obwohl Österreich dazu in der EU-Richtlinie verpflichtet wird. Dies sollte gesetzlich ausdrücklich vorgesehen werden.

3. Datenschutz ernst nehmen

Ob die beim Innenministerium, also im polizeinahen Bereich, anzusiedelnden "technischen Einrichtungen“ nach § 9 des Entwurfs, „die Unregelmäßigkeiten oder Störungen von Netz- und Informationssystemen frühzeitig erkennen" sollen, als Beitrag zur Vertraulichkeit von Netz- und Informationssystemen erachtet werden können, oder (auch) als technische Vorbereitung umfassender Überwachung, ist dem Gesetzesentwurf nicht zu entnehmen.

Die Einbettung in dieses Gesetz, die Zuordnung beim Innenministerium und die unspezifizierten Möglichkeiten zur Übermittlungen an andere Stellen ohne inhaltliche, technische, formale und geografische Einschränkung (§ 11) stehen in deutlichem Widerspruch zur Intention von Grundrechtsschutz (Datenschutz und Schutz der Privatsphäre), wie sie in der Datenschutz-Grundverordnung (DSGVO) und der Datenschutzrichtlinie für den Bereich Polizei und Justiz (DSRL-PJ) zum Ausdruck kommt.