Cybersecurity: Überwachung gescheitert
Von Julian Kern
„Ich habe großartige Neuigkeiten für Sie. Mavis L. Wanczky hat Ihnen eine großzügige Summe gespendet. Für die Validierung Ihres Spendenanspruchs bestätigen Sie bitte folgenden Link: …”. Kennen Sie solche oder ähnliche E-Mails? Nach Klicken des Links folgt die Aufforderung, die Zugangsdaten des eigenen E-Bankings einzugeben. Von sogenannten Phishing-Mails, die das Ziel verfolgen, Daten abzugreifen oder an Geld zu gelangen, sind aber nicht nur Privatpersonen betroffen. Auch immer mehr Unternehmen werden Opfer von Cyberangriffen.
Derzeit schlägt etwa die Wirtschaftskammer Burgenland (WKB) Alarm. Viele burgenländische Unternehmen würden demnach englischsprachige E-Mails von einem vermeintlichen „China Intellectual Property Office“ bekommen. In der Nachricht wird dann behauptet, dass ein chinesisches Unternehmen versucht, die Marke oder den Firmennamen des österreichischen Unternehmens als Domain zu registrieren. Dabei handelt es sich aber nicht um das chinesische Patentamt, vielmehr ist die Absicht der Betrüger, überteuerte Domainregistrierungen zu verkaufen.
Dass neben Privatpersonen auch Unternehmen immer öfter Opfer von Cybercrime werden, hat auch das Europäische Parlament erkannt – und Maßnahmen dagegen am 14. Dezember 2022 in eine entsprechende Richtlinie gegossen. Die NIS-2-Richtlinie (Netzwerk- und Informationssicherheit; Anm.), mit dem Ziel ein einheitliches, hohes Cybersicherheitsniveau in der Union herzustellen.
Massenüberwachung im Innenministerium?
In der Nacht von Mittwoch auf Donnerstag wurde im Parlament über den Gesetzesvorschlag der Regierung, diese EU-Richtlinie in nationales Recht zu überführen, abgestimmt. Beschlossen wurde das Gesetz der schwarz-grünen Koalition aber nicht. Denn: Weder die SPÖ noch die FPÖ konnten für die notwendige Zwei-Drittel-Mehrheit überzeugt werden. Abgelehnt wurde das neue Gesetz vor allem aus zwei Gründen: Zum einen sollte die neue Cybersicherheitsbehörde im Innenministerium (BMI) angesiedelt werden, zum anderen wird eine „eine Vorratsdatenspeicherung durch die Hintertür“ befürchtet. Eine berechtigte Sorge?
„(Informations-)sicherheitsinteressen führen oft zu Rufen nach mehr Daten, da ist es dann besonders schwierig, wenn man diese Daten in die Hände jenes Ministeriums gibt, das für die innere Sicherheit zuständig ist.“
„Bisher sind die – sehr viel kleineren – Aufgaben des NIS-Gesetzes zwischen Bundeskanzleramt und BMI geteilt“, sagt Nikolaus Forgó, Professor für Technologierecht an der Universität Wien. Im gescheiterten Gesetzesentwurf hätten all diese Agenden ins Innenministerium übersiedeln sollen.
Nicht nur die Oppositionsparteien, auch der Digitalrechtsexperte Forgó kritisiert dieses Vorhaben: „Eine Zusammenfassung in einem einzigen Bundesministerium macht ein ,checks und balance‘ zwischen in Konflikt stehenden Grundrechtspositionen und Interessenlagen schon von allein sehr viel schwieriger.“ Dass es sich dabei um das Innenministerium handeln soll, in dem auch die exekutierende Polizei beheimatet ist, habe laut Forgó eine noch schiefere Optik.
Gefahr vor Datenmissbrauch
Denn das erhöhe die Gefahr „eines Missbrauchs oder auch Gebrauchs dieser Daten zu anderen Zwecken. Der Gesetzesentwurf sieht eine sehr breite Rechtsgrundlage für die Verarbeitung personenbezogener Daten in sehr allgemeiner Formulierung vor“, sagt der Professor für Technologierecht. Liegen die Daten erst einmal auf den Servern des BMI, „ist es nicht weit zu einem Ruf nach einer Verwendung dieser Daten für Zwecke der Kriminalitätsbekämpfung.“
Die Regierung möchte im September einen neuen Anlauf wagen und das Gesetz noch vor der Nationalratswahl beschließen. Viel Zeit bleibt aber nicht mehr. Zum einen kommt der Nationalrat vor der Wahl im September nur noch einmal (exklusive Sondersitzungen) im Plenum zusammen. Zum anderen würde Österreich ein Vertragsverletzungsverfahren riskieren, denn bis Ende Oktober muss die EU-Richtlinie in nationales Recht gegossen werden. Die Zeit drängt jedenfalls, meint auch Forgó, denn Österreich brauche „eine klare, kompetente, strategisch orientierte, informierte, einheitliche Digitalisierungspolitik. Bisher erfüllt die österreichische Digitalisierungspolitik diese Anforderungen nicht“, sagt der Experte.