Mit fortschreitender Digitalisierung werden wir immer abhängiger von der Technik, die unseren Alltag reguliert. Damit die Vorteile der Digitalisierung realisiert werden können, braucht es weitreichendes Vertrauen. Dieses Vertrauen hängt entscheidend davon ab, dass Daten, Infrastrukturen und Kommunikation wirksam vor Missbrauch, Manipulation und Angriffen geschützt sind.

Die Risiken sind längst keine theoretischen Szenarien mehr: viele Menschen und Unternehmen erleben bereits heute die Schattenseiten der Digitalisierung. IT-Angriffe legen kritische Infrastrukturen lahm, Ransomware-Attacken erbeuten Millionenbeträge, Phishing-Kampagnen treffen gezielt besonders vulnerable Gruppen und schwerwiegende Sicherheitslücken finden sich in alltäglich genutzten digitalen Diensten, Produkten oder Infrastrukturen.

Angesichts dieser realen und wachsenden Bedrohungen muss die politische Antwort darin bestehen, ein Umfeld zu schaffen, das ein sicheres und vertrauenswürdiges digitales Ökosystem ermöglicht, ohne dabei auf Massenüberwachung oder andere überholte Kontrollinstrumente zurückzugreifen.

Sicherheit ist kein statischer Zustand sondern ein ständiger Prozess, der forlaufend optimiert und angepasst werden muss. Internationale Best Practices sollten Ansporn sein, um ein regulatorisches Umfeld zu schaffen, indem IT-Sicherheit als Ziel erreichbar wird.

Forderungen zur Stärkung der IT-Sicherheit

Regulierung als Grundlage
Schon eine kleine Schwachstelle kann genügen, um ganze Systeme lahmzulegen und kritische Infrastrukturen zu gefährden, mit potenziellen Auswirkungen auf die gesamte Gesellschaft. Deshalb braucht es verbindliche gesetzliche Mindeststandards, die den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten, geistigen Eigentums und kritischer Infrastruktur sicherstellen. Freiwilligkeit allein reicht nicht aus, nur verbindliche Regeln können die Gesellschaft als Ganzes effektiv schützen.

Starke und unabhängige Institutionen mit klaren Kompetenzen
Sowohl auf EU- als auch auf nationaler Ebene braucht es Institutionen, die unabhängig von polizeilichen oder wirtschaftlichen Interessen im Sinne der IT-Sicherheit agieren. Sie müssen mit ausreichenden Kompetenzen, Befugnissen und Ressourcen ausgestattet sein, um Standards durchzusetzen, Risiken frühzeitig zu erkennen und internationale Koordination sicherzustellen. Nur so lassen sich Zielkonflikte vermeiden und ein stabiles Fundament für die Umsetzung effektiver Sicherheitsziele schaffen.

Einbindung von Zivilgesellschaft und Wissenschaft
Die komplexen Herausforderungen der IT-Sicherheit kann die Verwaltung nicht alleine bewältigen. Nur durch die Bündelung der Expertise von Forschung, Wirtschaft und Zivilgesellschaft kann das Niveau erreicht werden, um modernen Bedrohungen auf Augenhöhe zu begegnen. Diese Widerstandsfähigkeit ist nur durch eine strukturelle Einbindung dieser diversen Stakeholdergruppen erreichbar. Ein gutes Beispiel liefert Italien mit seinem technisch-wissenschaftlichen Beirat, der externe Fachleute systematisch in nationale Entscheidungen einbindet.

Rechtssicherheit für Sicherheitsforscher:innen („Ethical Hacker“)
Gesetzliche Rahmenbedingungen müssen die verantwortungsvolle Offenlegung von Schwachstellen ermöglichen und schützen. Forscher:innen, die mit guter Absicht handeln und Sicherheitslücken den Verantwortlichen zur Beseitigung melden, brauchen Schutz vor zivil- und strafrechtlicher Verfolgung.

Aufklärung und Befähigung der Bevölkerung
Oft ist der menschliche Faktor die Ursache für Sicherheitsvorfälle. Bildung und Sensibilisierung zu IT-Sicherheit müssen Priorität werden. Hierbei geht es einerseits um Fachausbildungen im IT-Bereich, um ausreichend Expert:innen in diesem Feld zu haben für kommende Herausforderungen. Gleichzeitig sollte IT-Sicherheit auch ein Teil digitaler Grundbildung sein, von Schulen bis zur Erwachsenenbildung.

Bug Bounty Programme 
Für kritische IT-Systeme braucht es Bug Bounty Programme. Dabei werden kleine Belohnungen für das verantwortliche Melden von Sicherheitslücken (responsible disclosure) ausgegeben. Dies schafft nicht nur Rechtssicherheit für Forscher:innen, es ist auch ein billiger Weg Sicherheitslücken ausfindig zu machen, verglichen mit den üblichen Kosten von IT-Sicherheitsfirmen.

Bewusste staatliche Finanzierung für nachhaltige IT-Sicherheit
IT-Sicherheit kostet Geld. Besonders Personal, Weiterbildung, technische Infrastruktur und unabhängige Forschung erfordern eine solide und langfristige Finanzierung. Ohne ausreichende Mittel bleibt Sicherheit ein leeres Versprechen.

Hier ist vor allem der Staat gefordert: Er muss investieren und die Gelder bewusst einsetzen, nicht allein in die Hand von großer Tech-Oligarchen, die Datenschutz oft missachten, sondern gezielt auch zur Förderung kleinerer, lokaler Unternehmen. Nur so entsteht eine vielfältige, widerstandsfähige und grundrechtskonforme Sicherheitslandschaft.

Policy-Aktivitäten

Auf nationaler Ebene
Wir haben uns intensiv in den Gesetzgebungsprozess zur Umsetzung der NIS-2-Richtlinie eingebracht:

  • Mit einer ausführlichen Stellungnahme haben wir die Schwächen des ersten Gesetzesentwurfs aufgezeigt und dabei insbesondere auf die Gefahren durch eine im Innenministerium angesiedelte Cybersicherheitsbehörde hingewiesen .
  • Im Hearing des Innenausschusses des Nationalrats haben wir unsere Kritikpunkte präsentiert und uns für eine unabhängige, kompetente und transparente Institution eingesetzt.
  • Zusätzlich haben wir ein Forderungspapier für die Koalitionsverhandlungen vorgelegt, um sicherzustellen, dass IT-Sicherheit in Österreich strukturell nachhaltig und grundrechtskonform verankert wird.
  • Auch durch unsere Kritik ist der mangelhafte erste Entwurf des NIS-2-Gesetzes im Parlament gescheitert. Wir warten derzeit auf einen neuen Vorschlag, der die notwendige Balance zwischen Sicherheit, Unabhängigkeit und Grundrechtsschutz herstellt.

Auf europäischer Ebene
Auch auf EU-Ebene bringen wir unsere Expertise ein. Im Rahmen des Calls for Evidence zur Revision des Cybersecurity Act haben wir eine Stellungnahme eingebracht, die drei zentrale Prioritäten betont:

  1. Stärkung regulatorischer Grundlagen für eine sichere Digitalisierung,
  2. Ausbau des Mandats von ENISA, um europäische Koordination und Standardsetzung zu verbessern,
  3. Einbindung von Zivilgesellschaft und Wissenschaft in die europäische Cybersicherheits-Governance sowie Schutz von Sicherheitsforschenden vor Kriminalisierung.

Unterstützung von Sicherheitsforscher:innen (Ethical Hacking)

Wer heute in Österreich eine IT-Lücke meldet, riskiert immer noch rechtliche Konsequenzen. Das Wissen um eine gefundene Schwachstelle könnte ausgenutzt werden um Schaden anzurichten oder persönliche Vorteile zu erzielen. Wer aber ethisch handelt und stattdessen die Verantwortlichen informiert, dem gebührt Dank und keine Strafverfolgung. Damit werden falsche Anreize geschaffen und die Resilienz von IT-Systemen wird gefährdet.

Wir setzen uns seit Jahren dafür ein, dass „Ethical Hacking“ rechtlich abgesichert und nicht kriminalisiert wird. Wir machen das auch, weil wir selbst oft Sicherheitslücken in staatlichen IT-Systemen entdecken, weil Medien uns mit möglichen Leaks kontaktieren und weil Sicherheitsforscher:innen ihre Funde lieber uns als staatlichen Stellen melden.

  • Beim sogenannten EMS-Hack, bei dem gravierende Sicherheitslücken im Epidemiologischen Meldesystem aufgedeckt wurden, haben wir die verantwortungsvolle Veröffentlichung begleitet und unterstützt. Statt Dankbarkeit erhielten wir eine Anzeige durch das Ministerium, wofür sich der Minister später entschuldigte.
  • Auch beim Klimabonus-Datenleck haben wir die Aufarbeitung unterstützt und aufgezeigt, welche strukturellen Lehren für die Zukunft gezogen werden müssen.
  • Zugriff auf die Daten aller COVID-19 Tests in ganz Österreich erlaubte eine Lücke in oesterreich-testet.at. Gefunden wurde die Schwachstelle von einem Sicherheitsforscher Gökhan S., der statt Dank seinen Job verlor. Wir halfen ihm Gerechtigkeit und einen neuen Job zu finden.

  • Eine konzeptionelle Sicherheitslücke hätte das vollständigen Auslesen des COVID-19 Status der gesamten Bevölkerung erlaubt. Das fertig gestellte IT-System musste aufgrund unserer öffentlichen Warnung eingestellt werden und ist nie in Betrieb gegangen.

  • In einem Vortrag zur aktuellen Rechtslage haben wir die Rechtsunsicherheiten für Sicherheitsforschende dargelegt und betont, dass Österreich dringend einen klaren Rechtsrahmen braucht, der verantwortungsvolle Offenlegung schützt und fördert – gleichzeitig haben wir auch eine kleine Checkliste bereitgestellt was Sicherheitsforscher berücksichtigen sollten.

Diese Fälle zeigen deutlich: Wer in Österreich im öffentlichen Interesse handelt und Sicherheitslücken aufdeckt, muss mit Repression statt Anerkennung rechnen. Wir fordern daher eine gesetzliche Absicherung von Ethical Hackern, um verantwortungsvolles Handeln nicht länger zu bestrafen, sondern als unverzichtbaren Beitrag zur Cybersicherheit anzuerkennen.

Wenn du Informationen hast, die du mit uns teilen willst, melde dich gerne über PGP, Signal oder Threema bei uns.

Vertraulich Kontakt aufnehmen

Digitale Selbstverteidigung

IT-Sicherheit ist nicht nur eine politische Aufgabe, sondern betrifft auch jede und jeden Einzelnen. Wer seine Geräte, Daten und Kommunikation schützt, stärkt die eigene digitale Resilienz und damit die gesamte Gesellschaft.

Mit der epicenter.academy haben wir von epicenter.works eine eigene Bildungsorganisation ins Leben gerufen. Sie bietet einerseits kostenlose Online-Lernmodule zur digitalen Selbstverteidigung an, in denen du praxisnah erfährst, wie du dich im digitalen Alltag besser schützt: von sicherer Kommunikation über Passwort-Management bis hin zum Schutz vor Phishing und Überwachung.

Darüber hinaus führt die epicenter.academy auch Workshops für Schulen, Unternehmen und im Bereich des digitalen Gewaltschutzes durch. So machen wir digitale Selbstverteidigung für ganz unterschiedliche Zielgruppen zugänglich, verständlich, praktisch und sofort anwendbar.