Als Leiter der Abteilung für IKT-Sicherheit und Cyber-Verteidigung im Abwehramt des österreichischen Bundesheeres ist Oberst des Generalstabsdienstes Walter Unger absoluter Experte, wenn es um Cyberkriminalität geht. Im Interview hat er uns erzählt, warum das Bundesheer so gut geschützt ist und was Behörden und Unternehmen tun können, um gut abgesichert zu sein.
Herr Unger, wie gut sind wir in Österreich vor Cyberkriminalität geschützt?
Bei so einer Frage muss zunächst einmal geklärt werden, was überhaupt alles unter Cyberkriminalität fällt. Dabei sprechen wir nämlich von allen kriminellen Vorgängen, die im Strafgesetzbuch mit Strafe bedroht sind. Darunter fallen natürlich Hackerangriffe, aber auch Erpressung, Spionage und Sabotage. Die neueste Kriminalstatistik verzeichnete einen Anstieg von 18.000 auf 28.000 Delikte innerhalb eines Jahres. Man muss aber natürlich davon ausgehen, dass viele Fälle gar nicht angezeigt werden. Die Dunkelziffer ist also deutlich höher.
Wie sieht es aus, wenn es weniger um Privatpersonen als um den Behördenapparat geht …
Gelegentlich liest man, dass auch große Behörden und Unternehmen zu Angriffszielen von professionellen Gruppierungen werden. Aber auch hier kennt man die Dunkelziffer nicht. Spannend ist vor allem die Frage, wie viele Angriffe gegen die sogenannte kritische Infrastruktur erfolgen. Zwar gibt es auch in Österreich mittlerweile die Möglichkeit, das zu erheben, allerdings läuft das erst langsam an. In Deutschland gibt es für solche Fälle schon länger eine Meldepflicht, dadurch konnte auch hier ein Anstieg bemerkt werden. Insgesamt würde ich sagen, dass Österreich genauso bedroht ist wie andere Länder.
Wie gelingt es Behörden und Unternehmen trotzdem, sich zu schützen? Was können sie sich vom bestimmt sehr gut geschützten Bundesheer abschauen?
Zunächst muss man analysieren, was man wirklich gut schützen muss. Es macht keinen Sinn etwas zu schützen, das keinen Wert hat. Auf meine Geldbörse muss ich in der Regel ja auch nur dann gut aufpassen, wenn sie Dinge von Wert enthält. Das Bundesheer hat beispielsweise mehr als 30.000 Endgeräte, die ich natürlich nicht alle gleich gut schützen kann. Muss ich aber auch gar nicht. Im zweiten Schritt filtere ich heraus, wie gefährlich es wäre, wenn diese Dinge gehackt werden. Daraus leitet man dann die Schutzmaßnahmen ab.
Beim Bundesheer haben sich diese Schutzmaßnahmen mit Sicherheit oft verändert. Wie sahen die Anfänge aus?
Anfang der 1990er-Jahre wollten wir vor allem verhindern, dass unsere teuren Programme gestohlen werden. Es gab also für die Nutzerinnen und Nutzer keine Möglichkeit, etwas zu exportieren oder zu importieren, außer man besaß die entsprechenden Rechte. Das ist bis heute so. Damit konnte eine große Schwachstelle eliminiert werden. Außerdem hat beim Bundesheer jeder Arbeitsplatz einen individuellen Schlüssel. Die Daten auf den Rechnern sind verschlüsselt und werden auch am Übertragungsweg verschlüsselt.
Gab es beim Bundesheer trotzdem schon einmal einen schwerwiegenden Angriff?
Glücklicherweise gab es beim Bundesheer noch keine Trojaner oder andere schwerwiegende Vorfälle. Spannend ist in diesem Zusammenhang vielleicht, dass wir beim Bundesheer seit 14 Jahren einen Akkreditierungsprozess haben, der jedes IKT-Projekt begleitet, wenn es für eine klassifizierte Anwendung vorgesehen ist. Von meinem Team werden also entsprechende Auflagen erarbeitet, aus denen hervorgeht, was an Sicherheit zu implementieren ist. Das wird geplant und ausgetestet. In regelmäßigen Abständen wird wieder akkreditiert. Damit stellen wir sicher, dass die Software und Hardware, die wir einführen, den aktuellen internationalen Sicherheitsstandards entspricht. Das ist vor allem bei Lieferungen aus anderen Ländern wichtig. Wenn Einbruchsspuren festzustellen sind, schicke ich meine Forensiker aus.
Das klingt ziemlich aufwendig …
Das sind natürlich viele Maßnahmen, die auch aufwendig und teuer sind, allerdings käme es einer Katastrophe gleich, wenn das Bundesheer durch einen Erpressungstrojaner lahmgelegt wird. Wir haben glücklicherweise friedliche Zeiten, das Militär braucht also in seiner Hauptaufgabe derzeit nicht auszurücken. Trotzdem haben wir viele Soldatinnen und Soldaten im Ausland, da brauchen wir ständig sichere Kommunikation, außerdem ist auch in der Luft ständig etwas zu tun. Entscheidend ist natürlich auch die ständige Wissensgenerierung in diesem Bereich. Wir sagen Lageberichte dazu.
Welche Rolle spielt das Bundesheer, wenn es darum geht Österreich vor Attacken zu schützen?
Das Militär hat, seit wir 2013 die erste österreichische Cyber-Sicherheitsstrategie veröffentlicht haben, die Aufgabe für die militärische Landesverteidigung im Cyberraum zu sorgen. Ich habe das damals ganz locker hingeschrieben, ohne mir wirklich bewusst zu sein, was das bedeutet. Die Ursprünge dieser Strategie gehen auf eine allererste Studie zum Thema Cyberwar und Cyberterrorismus zurück, an der ich vor mittlerweile rund 20 Jahren beteiligt war. Aus dieser Studie sind diverse Initiativen hervorgegangen, allerdings gab es damals in Österreich noch kaum Wissen dazu. Richtig ins Laufen kam das erst mit Stuxnet, davor wollte niemand so recht glauben, dass es wirklich eine Bedrohung gibt.
Seit 2013 ist das Militär also dafür zuständig, wenn Österreich von außen mit Cybermitteln attackiert wird. Was bedeutet das konkret?
Die Hauptarbeit muss in Friedenszeiten geleistet werden. Unternehmen, Behörden und kritische Infrastruktur sind die Hauptangriffsziele, deshalb müssen diese Ziele besonders gut geschützt werden. Dabei hilft uns das Netz- und Informationssystemsicherheits-Gesetz, das seit Dezember 2019 in Kraft ist. Es handelt sich dabei um eine europäische Initiative, die Unternehmen, die zur wichtigen Infrastruktur zählen, dazu verpflichtet, einen bestimmten Sicherheitsstandard zu erreichen. Geprüft wird das vom Innenministerium.
Können Sie uns von einer brenzligen Attacke auf eine österreichische Behörde erzählen?
Anfang 2020 wurde das Außenministerium auf höchst professionelle Weise attackiert. Der Hack erfolgte über die Weihnachtsgrüße, die vom Außenministerium jedes Jahr verschickt werden. Diese Aktion wurde von den Angreifern kopiert. Ein paar Mitarbeiter haben das manipulierte Video geöffnet, damit ein Schadprogramm auf ihre Rechner geladen, das den Zugang für den Hacker geöffnet hat. Glücklicherweise ist der Angriff rasch erkannt worden. Durch die rasche, gemeinsame Reaktion der Cyber-Abwehr des BMI, BMLV und BMEIA konnte großer Schaden verhindert werden.
Was passiert wenn man nicht an den Täter herankommt, er aber nicht aufhört zu attackieren?
Wenn alles andere versagt, kann es notwenig sein, offensive Maßnahmen zu setzen. Also andere Server von der Arbeit abzuhalten. Hackback nennt sich das. Das darf in Österreich derzeit nur das Militär im Falle von Angriffen auf die Souveränität Österreichs. Erst im Kriegsfall ist das eine denkbare Variante.
Welche Erfahrungen waren dann ausschlaggebend dafür, dass Sie sie Ihr Buch „Sicher im Netz” gepackt haben?
Ich habe lange Zeit Infoblätter für das Militär geschrieben – mit den Grundlagen zum Thema Cybersicherheit. Mittlerweile haben wir im Intranet eine eigene Seite, auf der wir die wichtigsten Themen dazu ansprechen, die sehr gerne gelesen wird. Aus dieser Tradition heraus und den vielen Fragen, die mir oft gestellt werden, oder auch wenn mir Dinge erzählt werden, die den Menschen persönlich passiert sind, ist dieser Ratgeber entstanden. Deshalb besteht das Buch zu einem Drittel aus Beispielen, also aus der Schilderung realer Vorfälle. Ein großer Teil des Buches widmet sich dem Schutz der Kinder und Jugendlichen. Zum Beispiel den Themen Cybermobbing und Hass im Netz. Außerdem geht es darum, wohin man sich in solchen Fällen wenden kann.
Hier geht es zu unseren anderen Berichten der Rubrik „Bücher & Medien”.