2018-05-17 06:39:58

Cybersicherheitsgesetz? Bitte warten!

Im Windschatten der DSGVO ist die Umsetzung der NIS-Richtlinie in das nationale Cybersicherheitsgesetz für Österreich völlig untergegangen. Die Frist dafür endet bereits diese Woche, am Mittwoch, den 9. Mai 2018. Die Zeit drängt, Cybersicherheitsstandards EU-weit zu vereinheitlichen, eigentlich ist es aber bereits fünf nach Zwölf.

Die NIS-Richtlinie definiert Mindestanforderungen und Meldepflichten für die Betreiber kritischer Infrastruktur und Anbieter bestimmter digitaler Dienste. Wesentliche Kategorien kritischer Infrastruktur werden in der NIS-Richtlinie zwar skizziert – beispielsweise Versorgungsunternehmen, Verkehrsbetriebe, bestimmte Arten von Finanzdienstleistern und das Gesundheitswesen – die exakte Festlegung bleibt jedoch jedem Land überlassen. Es gilt daher, die strategische NIS-Behörde einzurichten, die nationalen Organisations- und Koordinationsstrukturen zu definieren, etwa die Sicherheit von Netz- und Informationssystemen zu bewerten oder verbindliche Anweisungen zur Abhilfe bei festgestellten Mängeln festzulegen. Darüber hinaus enthält die Richtlinie die Anforderung, sicherheitskritische Vorfälle zu vermeiden.

„Wohlgemerkt zu vermeiden! Und damit drängt die NIS-Richtlinie relevante Unternehmen sowie deren Sublieferanten, sich ernsthaft mit präventiven Maßnahmen der Cybersicherheit auseinanderzusetzen. Die zentrale Fragestellung verschiebt sich von bloßem Reagieren in Richtung proaktives Agieren. Aus Sicht der Wirtschaft müssen also Anbieter digitaler Dienste, wie Online-Marktplätze, Online-Suchmaschinen und vor allem Cloud-Computing-Dienste, geeignete Maßnahmen ergreifen, um die Sicherheit ihrer Infrastruktur zu gewährleisten. Diese Aufgabe ist keinesfalls auf die leichte Schulter zu nehmen. Hier ist professionelle Beratung und Unterstützung gefragt. Zudem müssen größere Zwischenfälle den nationalen Behörden ‚ohne unangemessene Verzögerung‘ gemeldet werden. Eine ungleich größere Herausforderung für Unternehmen, die oftmals lange Zeit gar nicht bemerken, dass sie Opfer einer Cyberattacke geworden sind“, sagt Markus Robin, General Manager SEC Consult.

Neue Herausforderungen

Aktuell sorgen neue Lücken im Zusammenhang mit „Spectre“ für weitere Verunsicherung und vereinfachen Angriffe über Systemgrenzen hinweg. Konkret könnte ein Angreifer seinen Exploit-Code in einer virtuellen Maschine (VM) starten und von dort aus das Wirts-System attackieren – also etwa den Server eines Cloud-Hosters.

Am Horizont zeichnen sich somit verschiedene Szenarien ab, die sicher nicht bis zum 9. Mai gelöst sein werden: Das Cybersicherheitsgesetz muss in Österreich erst noch verabschiedet werden. „Es steht zu befürchten, dass lediglich Minimalstandards vorgegeben werden und dass Österreich erneut eine Chance verstreichen lässt, sich als Vorreiter in Europa zu positionieren“, so Robin abschließend.

mat

Druckversion