Österreichische Strategie für Cyber Sicherheit (ÖSCS) Umsetzungsbericht 2015

Transkript

1 Bundesministerium für Landesverteidigung und Sport Österreichische Strategie für Cyber Sicherheit (ÖSCS) Umsetzungsbericht 2015 Einleitung Die österreichische Bundesregierung hat am die Österreichische Strategie für Cyber Sicherheit beschlossen 1. Die Umsetzung dieser Strategie wird von der Cyber Sicherheit Steuerungsgruppe koordiniert. Die Steuerungsgruppe hat am einen entsprechenden Implementierungsplan mit klar geregelten Verantwortlichkeiten beschlossen, der die Grundlage für die Umsetzung der Strategie darstellt. Gemäß ÖSCS erfolgt alle zwei Jahre durch die in der Cyber Sicherheit Steuerungsgruppe vertretenen Ressorts ein Umsetzungsbericht an die Bundesregierung. Umsetzungsbericht Handlungsfeld 1 Strukturen und Prozesse Die Cyber Sicherheit Steuerungsgruppe (CSS) hat unter Vorsitz des Bundeskanzleramtes ihre Tätigkeit aufgenommen und bisher sieben Sitzungen abgehalten. Die Besprechungen der Steuerungsgruppe werden vom CSS Team vorbereitet. Zur Vertiefung der Kooperation mit der Wirtschaft sind Vertreter aus den Sektoren Energie, Finanzen, Internet Service Provider, Industrie, Gesundheit. Transport und Kommunikation eingebunden. 1 MRB 180/8 1

2 Aufbauend auf bestehenden Einrichtungen wurde eine gesamtstaatliche Struktur zur Koordination auf der operativen Ebene geschaffen. Diese Struktur gewährleistet den raschen Austausch aktueller Informationen über Cyber Sicherheitsvorfälle, stellt das Cyberlagebild Österreich bereit, unterstützt und koordiniert gesamtstaatliche Notfallmaßnahmen und leistet damit einen essentiellen Beitrag zur Erhöhung der Cyber Sicherheit Österreichs. Diese Arbeiten werden unter Einbindung der Ressorts und operativen Strukturen aus Wirtschaft und Forschung vom BM.I koordiniert, das dabei vom BMLVS unterstützt wird. Im Cyber Verteidigungsfall geht die Zuständigkeit auf das BMLVS über. Dazu arbeiten das Cyber Sicherheit Center (CSC) des BM.I und das Cyber Defence Zentrum (CDZ) des BMLVS, welche beide derzeit in Aufstellung befindlich sind, eng zusammen. Weiters eingebunden sind das GovCERT (Government Computer Emergency Response Team), das MilCERT (Military Cyber Emergency Readiness Team) und das Cyber Crime Competence Center (C4). Diese bilden zusammen mit weiteren staatlichen Einrichtungen den zentralen, inneren Kreis der operativen Koordinierungsstruktur. In einem erweiterten, äußeren Kreis werden private CERTs (CERT.at, BRZ-CERT, Banken-CERTs, ), Wirtschaft und Forschung eingebunden. Die Kommunikation nach außen und damit insbesondere die Entgegennahme der Meldungen von Betroffenen, aber auch die Weitergabe von Handlungsempfehlungen, Informationen und sektorspezifischen Lagebildern erfolgt durch die Branchen-CERTs und die Cyber Crime Meldestelle des BM.I. Das CSC im BM.I, bzw. in einer militärischen Situation das CDZ des BMLVS, nimmt sowohl eine Koordinationsfunktion zur Sammlung und Verteilung der Informationen wahr, als auch der zu erbringenden Leistungen innerhalb der operativen Koordinierungsstruktur. Damit ist ein rascher Austausch aktueller Informationen, eine klare Aufgabenverteilung, eine Koordinierung von Notfallmaßnahmen im Anlassfall sowie ein aktuelles Cyber Lagebild sicher gestellt. Zur Bewältigung von Cyberkrisen wurde ein Cyber Krisenmanagement (CKM) eingerichtet. Das CKM ist ein gesamtstaatlicher Koordinations- und Kooperationsmechanismus mit dem Ziel, im Fall einer Cyberkrise eine effektive Reaktion sicherzustellen und den Einsatz vorhandener Mittel zur Bewältigung dieses Ereignisses und zur Wiederherstellung des Normalzustandes effizient und zielgerichtet zu gewährleisten. Das CKM ist funktional in das bereits bestehende Staatliche Krisen- und Katastrophenmanagement (SKKM) integriert. Seine Arbeitsweise und Zusammensetzung orientiert sich daher eng am SKKM. Das BM.I hat die Federführung im zivilen CKM. Analog zum SKKM hat das BM.I dabei keine Richtlinienkompetenz sondern ausschließlich die Federführung zur Mobilisierung der Kräfte und zur notwendigen Koordination aller beteiligten Akteure. Im militärischen CKM (Cyber Defence) geht diese Federführung auf das BMLVS über. Die operative Koordinierungsstruktur ist das Ausführungsorgan des CKM. 2

3 Sämtliche neu definierten Strukturen und Prozesse basieren auf bereits bestehenden, wohl etablierten und bewährt effektiven Cyber Strukturen (z.b. CERTs). Eine Stärkung dieser bestehenden Cyber Strukturen ist daher ein zentrales Anliegen der ÖSCS. In diesem Sinn wurden für das GovCERT eine Geschäftsordnung und ein Konzeptpapier für eine strategische Weiterentwicklung aufgrund neuer Anforderungen im Kontext der operativen Koordinierungsstrukturen und des aktuellen Entwurfs der NIS-Richtlinie (Netzwerk- und Informationssicherheit) verfasst. Ein vergleichbares Dokument wurde für den Ausbau der nationalen CERTs erstellt. Handlungsfeld 2 Governance Durch die Cyber Sicherheit Steuerungsgruppe wurde am die Arbeitsgruppe Ordnungspolitischer Rahmen eingesetzt und mit der Erarbeitung eines Berichtes über die Notwendigkeit der Schaffung zusätzlicher rechtlicher Grundlagen, regulatorischer Maßnahmen und nicht-rechtlicher Selbstverpflichtungen für die Gewährleistung der Cyber Sicherheit in Österreich beauftragt. Nach Auflistung bereits bestehender Rechtsgrundlagen und umfangreicher Abstimmungen mit den Arbeiten zur Schaffung einer gesamtstaatlichen Struktur zur Koordination auf der operativen Ebene wurde im April 2015 ein Zwischenbericht der Arbeitsgruppe vorgelegt. Als wesentliche Regelungsinhalte eines neu zu schaffenden Cyber Sicherheit Gesetzes wurden die Einrichtung nationaler Cyber Sicherheit Strukturen, eine Verpflichtung zur Meldung von schwerwiegenden Cyber Vorfällen, verpflichtende IKT-Sicherheitsmaßnahmen in relevanten Unternehmen sowie Informationsaustausch zwischen den Behörden und Unternehmen sowie zwischen Unternehmen untereinander identifiziert. Der Endbericht der Arbeitsgruppe, der auch die Ergebnisse der Arbeiten auf EU- Ebene zur Richtlinie für Netzwerk- und Informationssicherheit (NIS-RL) berücksichtigt, wird Anfang des Jahres 2016 vorliegen Seit 2014 wird ein jährlicher Bericht zur Cyber Sicherheit erstellt, der einen Überblick über die Cyber Lage (Bedrohungsanalyse), nationale und internationale Entwicklungen sowie die durchgeführten Cyber Übungen gibt. Der Bericht ist im Internet verfügbar

4 Handlungsfeld 3 Kooperation Staat, Wirtschaft und Gesellschaft Am wurde die Cyber Sicherheit Plattform (CSP) mit mehr als 100 Stakeholdern aus Wirtschaft, Wissenschaft und Verwaltung konstituiert. Die CSP gewährleistet einen periodischer Informationsaustausch zu wesentlichen Fragen der Cyber Sicherheit, stellt die Initiierung von Kooperationen zwischen den beteiligten Partnern sicher und bildet ein Dach für bereits bestehende Kooperationsformate (Austrian Trust Circle, KSÖ 3 Cyber Sicherheit Forum, A-SIT 4, CSA 5, ). Weiter steht die CSP der Cyber Sicherheit Steuerungsgruppe in einer beratenden Funktion unterstützend zur Seite. Die Plattform soll vorhandene Aktivitäten und Arbeitsgruppen zusammenführen, ohne diese in ihrer Struktur und Zusammensetzung zu verändern. Vorrangiges Ziel ist dabei, Aktivitäten im Bereich Cyber Sicherheit für alle Akteure transparent zu machen und die Bildung von Synergien zu fördern. Mit dieser Plattform soll nicht nur die laufende Kommunikation mit allen Stakeholdern unterstützt, sondern auch die Zusammenarbeit zwischen öffentlichem und privatem Sektor intensiviert werden. Für kleine und mittlere Unternehmen (KMU) besteht ein Cyber Sicherheit Schwerpunkt, welcher vom BMWFW koordiniert wird. Der Fokus dieses KMU Schwerpunkts liegt auf Bewusstseinsbildung für Vorsorgebedarf und Risikoprävention. Wesentlich ist die Erreichung einer größtmöglichen Zahl an KMU und die Senkung der ersten Gefahrenschwelle. Zusätzliche Verpflichtungen werden - vor dem Hintergrund aktueller Entbürokratisierungsbestrebungen - nicht angestrebt. Im Zuge der TELEFIT Roadshow 2014 wurden von September bis November österreichweit rund 30 Veranstaltungen zum Thema IT Sicherheit für interessierte Unternehmen durchgeführt. Zusätzlich wurde im Herbst 2014 die Erarbeitung eines auf KMU maßgeschneiderten Kommunikationskonzeptes beauftragt, welches eine Reihe von Maßnahmen empfiehlt, die nach Maßgabe der finanziellen Ressourcen in Kooperation zwischen BMWFW und WKÖ umgesetzt werden sollen. Zur Optimierung der Kommunikation unter den Cyber Sicherheit Stakeholdern in Österreich wurde eine Cyber Sicherheit Kommunikationsstrategie erarbeitet. Diese enthält u.a. einen Überblick über die Akteure und Plattformen zum Thema Cyber Sicherheit, eine Liste von Ansprechpersonen der Ressorts sowie eine Liste aller Redakteure für das IKT-Sicherheitsportal. 3 Kuratorium Sicheres Österreich 4 Zentrum für sichere Informationstechnologie Austria 5 Cyber Security Austria 4

5 Handlungsfeld 4 Schutz kritischer Infrastrukturen Die Bundesregierung hat am das Österreichische Programm zum Schutz kritischer Infrastrukturen beschlossen. Die Gewährleistung von Sicherheit und Resilienz von Infrastrukturen im Bereich der Informations- und Kommunikationstechnologien (CIIP) ist ein wesentlicher Bestandteil dieses Programms. Der Schwerpunkt der Umsetzung des Programms liegt im Aufbau von Sicherheitspartnerschaften mit strategischen Unternehmen, die kritische Infrastrukturen betreiben. Diese Sicherheitspartnerschaften umfassen von staatlicher Seite Informationen über aktuelle Gefährdungen, Beratung zu sicherheitsrelevanten Themen, Objektschutzmaßnahmen, Risikoanalysen, branchenbezogene Lagebilder und Übungen. Die strategischen Unternehmen wiederum sollen eine umfassende Sicherheitsarchitektur (Risiko- und Krisenmanagement) einrichten sowie einen Sicherheitsbeauftragten benennen. Die Erstellung eines Konzepts zu Cyber Sicherheits- und branchenbezogener Standards erfordert eine Erfassung und Analyse existierender Cyber Sicherheitsstandards. Für den öffentlichen Sektor erfolgt diese Erhebung im Zuge des KIRAS Projekts "Secure egov", welches durch die Bedarfsträger BM.I, BMF und BKA unterstützt wird. Ergebnisse aus der Analyse dieses Projekts werden Anfang 2016 vorliegen. Handlungsfeld 5 Sensibilisierung und Ausbildung Das IKT-Sicherheitsportal, erreichbar unter ist eine interministerielle Initiative in Kooperation mit der österreichischen Wirtschaft und fungiert seit Februar 2013 als zentrales Internetportal für Themen rund um die Sicherheit in der digitalen Welt. Initiatoren des Portals sind BMF, BKA und das Zentrum für sichere Informationstechnologie Austria (A-SIT). Zu den insgesamt 39 Kooperationspartnern zählen Bundesministerien, Landesregierungen, Behörden, Universitäten, Fachhochschulen, Forschungsinstitute, Unternehmen, Vereine und Interessensvertretungen. Die Initiative verfolgt das Ziel, durch Sensibilisierung und Bewusstseinsbildung der betroffenen Zielgruppen sowie durch Bereitstellung zielgruppenspezifischer Handlungsempfehlungen die IKT- und Cyber-Sicherheitskultur in Österreich zu fördern und nachhaltig zu stärken. Das IKT-Sicherheitsportal richtet sich an Kinder und Jugendliche, Eltern, Lehrende, Konsumentinnen und Konsumenten sowie die Generation 60plus. Aber auch Unternehmen, deren Mitarbeiterinnen und Mitarbeiter, die öffentliche Verwaltung sowie die Sicherheitsforschung werden zum Thema IKT- und Cyber-Sicherheit umfassend unterstützt. 5

6 Das Informations- und Serviceangebot wird im Rahmen regelmäßiger Redaktionssitzungen mit den Kooperationspartnern laufend erweitert. Es beinhaltet aktuelle Meldungen und Warnungen, Informatives, Beratung sowie weiterführende Informationen sowohl für Einsteigerinnen und Einsteiger als auch für Expertinnen und Experten. Beispielsweise unterstützen vier Online-Ratgeber zu den Themen Sicherheit von Facebook-Profilen, Sicherheit von Smartphones, Sicherheit von betrieblichen IT-Infrastrukturen und IT-Sicherheit für Ein-Personen- Unternehmen bei der Auswahl wichtiger Sicherheitseinstellungen bis hin zur Erfassung und Evaluierung von Risiken. Weiter ergänzen Hinweise zu nationalen Sicherheitsinitiativen das Angebot. Hier wird unter anderem über Aus- und Weiterbildungsmöglichkeiten, Computer Emergency Response Teams, IT-Notfallund Krisenübungen sowie Meldestellen informiert. Die IT-Strategie efit21 digitale Bildung des BMBF verfolgt das Ziel der Vermittlung digitaler Kompetenzen an Schülerinnen und Schüler sowie an Lehrende. IKT- und Cyber Sicherheit, Datenschutz und Datensicherheit sowie die kritische und reflektierte Nutzung der Technologien sind integrativer Bestandteil der digitalen Kompetenzen. Im Bereich der verstärkten Verankerung von Cyber Sicherheit sowie der Vermittlung digitaler Kompetenzen und Medienkompetenz werden u.a. folgende Maßnahmen umgesetzt: Ausrollung der Initiative Digikomp, Vermittlung von verantwortungsbewusstem Verhalten im digitalen Raum und damit in Zusammenhang stehender Themen im Zuge schulischer e-learning-initiativen, zielgruppen- und themenspezifische Informations- und Unterrichtsmaterialien sowie Workshops für Schulen in Zusammenarbeit mit Safer Internet, Qualifizierungsmaßnahmen für Lehrende in der Aus-, Fort- und Weiterbildung an den Pädagogischen Hochschulen, über die Virtuelle Pädagogische Hochschule und im Zuge schulinterner Fortbildung, Informationsangebote, Wissensvermittlung und bewusstseinsbildende Maßnahmen für Lehrende, SchulleiterInnen, IT-KustodInnen und weitere MultiplikatorInnen. Ein spezifischer Schwerpunkt im Bereich der verstärkten Information und Sensibilisierung der in der Bildungsverwaltung tätigen Personen wurde mit Qualifizierungsmaßnahmen (Handreichungen, Stakeholderinformationen, Informationsveranstaltungen) gestartet. Das BMWFW hat aufgrund der Autonomie der Universitäten keine direkte Umsetzungskompetenz; im Rahmen der Begleitgespräche zu den Leistungsvereinbarungen werden die Universitäten nochmals für die inhaltlichen Ziele der Strategie für Cyber Sicherheit sensibilisiert. Präventionsarbeit erfolgt durch das das Cyber Security Center bei kritischen Infrastrukturen sowie durch das Cyber Crime Competence Center (C4) im BM.I hauptsächlich im Rahmen von Projekten sowie durch die durchgehend (24/7), besetzte C4-Meldestelle Anfragen der Bevölkerung werden hier von speziell geschulten Beamten bearbeitet, wobei die meisten der monatlich rund 850 Anfragen Cybercrime-Delikte im Vorbereitungsstadium betreffen. Dank einer qualifizierten Auskunft der Spezialisten 6

7 der C4-Meldestelle können vielfach die schädlichen Auswirkungen von Cyberangriffen verhindert werden. Aktuelle Warnmeldungen aufgrund neuer Erkenntnisse werden von der C4- Meldestelle zeitnahe an die Medien weitergeleitet. Im C4 Präventionsprojekt Cyber.Kids werden Kinder und Jugendliche im Alter von 8-12 Jahren im Umgang mit dem Cyberspace sensibilisiert und geschult. Zahlreiche Informationsbroschüren werden durch die Präventionsabteilung des Bundeskriminalamtes in Zusammenarbeit mit dem C4 erstellt und zum Download bereitgestellt. Einen wichtigen Beitrag zur Cyber-Prävention liefert darüber hinaus das Projekt Click & Check, in welchem in Schulen Jugendliche ab 14 Jahren über die Gefahren von Internet und Cybercrime durch speziell ausgebildete Präventionsbeamte informiert werden. Im Bereich des BM.I/C4 wurde die Ausbildung von Forensikern und Ermittlern für die Bekämpfung von Cybercrime weiter intensiviert. Durch eine Zusammenarbeit mit der SIAK (Sicherheitsakademie) im Bereich der Polizei- Grundausbildung werden SIAK-Lehrer durch das C4 geschult. In Folge sollen Absolventen der polizeilichen Grundausbildung in der Lage sein, als Ersteinschreiter bei Delikten aus dem Bereich der Computer- und Netzwerkkriminalität die richtigen Maßnahmen zu ergreifen um die Basis für zielgerichtete Ermittlungen zu schaffen ( Train the Trainer -Konzept). Im Rahmen des C4-Umsetzungskonzeptes wurden auch rund 300 Bezirks-IT-Ermittler ausgebildet, welche auf Bezirksebene Cybercrime Fälle bearbeiten und die Polizeibeamten Vorort durch ihr spezielles Fachwissen unterstützen. Darüber hinaus stehen diese Experten auch als Ansprechpersonen für Fragen im Zusammenhang mit Cybercrime zur Verfügung. Auch aufgrund der Wehrdienstreform wurde innerhalb des BMLVS/ÖBH mit Anfang 2014 das Wahlmodul Cyber-Sicherheit geschaffen. Einerseits werden seitdem im Rahmen des Grundwehrdienstes allgemeine Inhalte im Bereich der Cyber- Awareness vermittelt, andererseits haben seitdem Grundwehrdiener, welche über spezielle technische Fähigkeiten verfügen die Möglichkeit, sich zu Cyber-Soldaten ausbilden zu lassen. Seit einigen Jahren absolviert Kaderpersonal des ÖBH im Rahmen einer Zusammenarbeit mit der FH Hagenberg einen speziellen Studienlehrgang Cyber- Sicherheit zur gezielten Fort- und Weiterbildung. Dies wurde bereits von über 60 Angehörigen genutzt. 7

8 Handlungsfeld 6 Forschung und Entwicklung In der Forschung bildet das Thema Cyber Sicherheit sowohl auf nationaler Ebene im Sicherheitsforschungsprogramm KIRAS als auch auf europäischer Ebene in Horizont 2020 einen wichtigen Forschungsschwerpunkt. Im Rahmen von KIRAS wurden bisher insgesamt 31 Projekte zum Thema Cyber Sicherheit und Cyber Crime von verschiedensten Seiten beforscht. So wurden bereits Ergebnisse zur sicheren Nutzung der Cloud geliefert, eine Schutzübung für computerbasierte unternehmensübergreifende Desaster Logistik wurde entwickelt, es wurden neuartige Verfahren zur Erkennung und Bekämpfung von Schadsoftware sowie Entwicklungen zum Schutz kritischer E-Government Infrastruktur beforscht. Seit dem Beginn der europäischen Sicherheitsforschung im Jahr 2007, gab es 5 Projekte mit österreichischer Beteiligung zum Thema Cyber Sicherheit. Cyber Sicherheit wird auch in den nächsten Ausschreibungen der europäischen Sicherheitsforschung einen wichtigen Schwerpunkt darstellen. Handlungsfeld 7 Internationale Zusammenarbeit Fragen der Cyber Sicherheit werden im Rahmen von EU, VN, OSZE, NATO, OECD und Europarat sowie in multilateralen Foren (Global Conference on Cyberspace, Central European Cyber Security Platform, Freedom Online Coalition) verstärkt thematisiert. Die relevanten außenpolitischen Maßnahmen werden vom BMEIA koordiniert. Die rasanten Entwicklungen im Cyber Bereich werfen eine Reihe fundamentaler Fragen in Bezug auf Grund- und Menschenrechte auf. Österreich setzt sich auf internationaler Ebene für ein freies Internet ein, wobei die Ausübung aller Menschenrechte auch im virtuellen Raum gewährleistet werden soll. Dabei muss auf ein angemessenes Gleichgewicht zwischen den Interessen der Strafverfolgung von Cyber Kriminalität und der Achtung grundlegender Menschenrechte, wie dem Recht auf freie Meinungsäußerung und Informationsfreiheit sowie dem Recht auf Privatleben und Privatsphäre, geachtet werden. Die EU beschäftigt sich vor allem im Rahmen ihrer 2010 beschlossenen Digitalen Agenda für Europa mit Fragen der Cyber Sicherheit; diese ist heuer im Wesentlichen ausgelaufen und durch die am 6. Mai 2015 vorgelegte Kommissions- Mitteilung Strategie für einen digitalen Binnenmarkt für Europa ersetzt worden. Anfang 2013 legte die Hohe Vertreterin zusammen mit der Kommission eine EU Cyber Sicherheitsstrategie vor. Unter dem Titel»An Open, Safe and Secure Cyberspace«finden sich darin eine Reihe von Vorschlägen unter anderem zum Ausbau von Fähigkeiten, zur Verbesserung von Kooperation und Kommunikation sowie zur Stärkung einer gemeinsamen internationalen Politik der EU im Cyber Bereich. 8

9 Am 18. November 2014 wurde durch den Rat der EU im Format Verteidigungsminister ein EU Cyber Defence Policy Framework angenommen, das die vorrangigen Aufgaben für die Gemeinsame Sicherheits- und Verteidigungspolitik (GSVP) im Cyber Bereich identifiziert, die Rollen der diversen Akteure im europäischen Rahmen klarstellt und die Entwicklung von Cyber Verteidigungsfähigkeiten sicherstellt. Am 10. Februar 2015 wurden vom RAA Schlussfolgerungen zur Cyberdiplomatie angenommen, um einen gemeinsamen, umfassenden Ansatz der EU für die Cyberdiplomatie auf globaler Ebene weiterzuentwickeln und umzusetzen. Dies unter Bedachtnahme insbesondere auf den Schutz der Menschenrechte und Grundwerte der EU, die auch im Cyber Space gelten sollen, um bei gleichem Zugang aller zum Internet auch dessen Missbrauch zu verhindern. Unterstützt werden die EU Aktivitäten von der European Network and Information Security Agency (ENISA), deren Aufgabe es ist, gemeinsam mit den Mitgliedsstaaten und anderen EU Institutionen die Netzwerk- und Informationssicherheit zu verbessern. Das BKA stellt den nationalen Liaison Officer zur ENISA. Am 12. Februar 2013 hat die EK zudem einen Vorschlag für eine Richtlinie des EP und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS) an die Mitgliedsstaaten übermittelt. Diese sogenannte NIS-Richtlinie ist ein integraler Bestandteil zur Umsetzung der Cybersicherheitsstrategie der EU und wird im ersten Halbjahr 2016 vom Rat angenommen.. Folgende Kernforderungen wurden darin identifiziert: Annahme einer nationalen NIS-Strategie, sowie die Aufstellung einer oder mehrerer NIS-Behörde und eines oder mehrerer CSIRTs (Computer Security Incident Response Teams) als IT-Notfallteams. Verpflichtendes Risikomanagement für kritische Infrastrukturen und Meldeverpflichtung bei Sicherheitsvorfällen für wesentliche Dienste. Einsatz einer Kooperationsgruppe bestehend aus den Mitgliedstaaten, der Kommission und ENISA für strategische Aufgaben und eines CSIRT- Netzwerks für operationelle Aufgaben. Aufbau eines EU-weiten NIS-Kooperationsnetzwerks zum Austausch von Vorfällen und damit zusammenhängender, aufklärungsrelevanter Informationen. Zusätzlich wurde ab Oktober 2013 die Zusammenarbeit mit der NATO im Bereich der Cyber Sicherheit bzw. Cyber Verteidigung insbesondere durch die Abhaltung regelmäßiger bilateraler Konsultationen sowie die Beschickung und Mitarbeit eines Offiziers des BMLVS im»cooperative Cyber Defence Center of Excellence (CCDCoE)«in Tallinn/Estland intensiviert. Im OSZE-Rahmen wird angestrebt, das Risiko von Cybervorfällen bzw. angriffen, welche die Sicherheit gefährden, durch vertrauensbildende Maßnahmen zu reduzieren. Das Potenzial für Fehlinterpretationen und Eskalation infolge solcher 9

10 Vorfälle wird als hoch eingeschätzt. Daher einigten sich die OSZE- Teilnehmerstaaten im Dezember 2013 auf ein erstes Paket solcher vertrauensbildender Maßnahmen. Der Fokus liegt dabei vor allem im Bereich der Kommunikation und des freiwilligen Informationsaustausches auf mehreren Ebenen. Dieser Ansatz hat sich bewährt und es laufen derzeit Verhandlungen zu einem Ausbau dieser Maßnahmen. Zusammenfassende Bewertung Auf Grundlage der am von der Bundesregierung beschlossenen Österreichischen Strategie für Cyber Sicherheit angeführten Maßnahmen konnten in allen Handlungsfeldern wesentliche Fortschritte erzielt werden. Insbesondere wurden folgende Maßnahmen realisiert: Maßnahmen der Cyber Sicherheit erfordern einen zeitgemäßen ordnungspolitischen Rahmen, der die Zuständigkeiten von Staat und nichtstaatlichen Akteuren festlegt und deren Zusammenwirken regelt. In diesem Kontext sind die Vorarbeiten für ein Cyber Sicherheit Gesetz bereits weit gediehen. Aufbauend auf bestehenden Einrichtungen wurde eine gesamtstaatliche Struktur zur Koordination auf der operativen Ebene geschaffen. Diese Struktur gewährleistet den raschen Austausch aktueller Informationen über Cyber Sicherheitsvorfälle, stellt das Cyberlagebild Österreich bereit, unterstützt und koordiniert gesamtstaatliche Notfallmaßnahmen und leistet damit einen essentiellen Beitrag zur Erhöhung der Cyber Sicherheit Österreichs. Zur weiteren Vertiefung der Kooperation zwischen Staat, Wirtschaft und Wissenschaft wurde eine Cyber Sicherheit Plattform (CSP) eingerichtet. Die CSP gewährleistet einen periodischer Informationsaustausch zu wesentlichen Fragen der Cyber Sicherheit, stellt die Initiierung von Kooperationen zwischen den beteiligten Partnern sicher und bildet ein Dach für bereits bestehende Kooperationsformate Darüber hinaus steht die CSP der Cyber Sicherheit Steuerungsgruppe in einer beratenden Funktion zur Seite. Durch Sensibilisierung und Ausbildung wurde in der Bevölkerung die notwendige Wahrnehmung, das persönliche Interesse sowie die Aufmerksamkeit für Cyber Sicherheit weiter gestärkt. Das IKT- Sicherheitsportal ( fungiert seit Februar 2013 als zentrales Internetportal für Themen rund um die Sicherheit in der digitalen Welt. Ziel ist es, durch Sensibilisierung und Bewusstseinsbildung der betroffenen Zielgruppen sowie durch Bereitstellung zielgruppenspezifischer Handlungsempfehlungen die IKT- und Cyber-Sicherheitskultur in Österreich zu fördern und nachhaltig zu stärken. Wesentliche Präventionsarbeit erfolgt auch durch das Cyber Security Center, das Cyber Crime Competence Center 10

11 sowie im Rahmen der Cyber-Grundausbildung des ÖBH, wo die Bewusstseinsbildung in allen Bereichen der Cyber Sicherheit und der Cyber Kriminalität gestärkt wird. Der Forschungsschwerpunkt zum Thema Cyber Sicherheit konnte sowohl im nationalen als auch im europäischen Sicherheitsforschungsprogramm gestärkt werden. Die Arbeit der nächsten Monate wird sich auf die Fertigstellung eines Entwurfs für ein Cyber Sicherheit Gesetz, die Konsolidierung der operativen Strukturen und die weitere Intensivierung der Zusammenarbeit mit Betreibern von kritischen IKT Infrastrukturen konzentrieren. 11