Ein Cybercrime-Gesetz soll bis zum Ende dieser Legislaturperiode, also 2018, beschlossen werden. Dieses Ziel nannte Innenministerin Johanna Mikl-Leitner (ÖVP) bei einer Pressekonferenz am Montag in Wien. Anlass war die Präsentation der Erkenntnisse aus einem Planspiel, bei dem es um einen Hackerangriff auf den Flughafen Wien und einen Erpressungsversuch mit terroristischem Hintergrund ging.

Planspiel mit zwölf Unternehmen

Dieses Planspiel war das zweite auf dem Cyber-Sektor, das unter der Federführung des Innenministerium veranstaltet wurde. Die praktischen Erfahrungen daraus sollen in den Aufbau des Cybersecurity-Centers im Bundesamt für Verfassungsschutz einfließen und die Anforderungen an das zu schaffende Cybercrime-Gesetz eruieren.

Beteiligt waren an dem Spiel zwölf Unternehmen und Behörden mit 51 unmittelbar teilnehmenden Personen und 35 externen Experten. Für sie galt es zunächst zu verifizieren, dass bei dem Hackerangriff Daten abgesaugt wurden, zu klären, was damit geschah und mit anderen Unternehmen - zum Beispiel aus dem Bereich Telekommunikation - sowie Behörden zusammenzuarbeiten. Durchgearbeitet wurden mehrere Eskalationsszenarien, wie Mikl-Leitner erklärte.

Zusammenarbeit hat funktioniert

Die Zusammenarbeit zwischen Unternehmen und Behörden habe funktioniert, resummierte die Innenministerin, die darin auch die Sinnhaftigkeit des Cybersecurity-Centers bestätigt sieht, dessen Probebetrieb nach dem Startschuss im Juni 2014 im kommenden Jahr erfolgen soll, ehe es Ende 2017 den Echtbetrieb aufnimmt. Dieses Center soll rund um die Uhr in Betrieb sein und als Analysestelle sowie Kommunikationsdrehscheibe fungieren. "Die Maßnahmen müssen auf Herz und Nieren geprüft werden", erklärte Mikl-Leitner.

Als beträchtliche Barrieren erwiesen sich bei dem Planspiel Gesetze, wie Flughafen-Vorstand Günther Ofner berichtete. Nicht unter einen Hut zu bringen waren zum Beispiel Aktiengesetz und Wünsche bzw. Forderungen der Ermittler: Das eine verpflichtet den Flughafen als börsenotiertes Unternehmen, einen erfolgreichen Hackerangriff als kursrelevante Information umgehend der Öffentlichkeit mitzuteilen. Die anderen sehen den Erfolg ihrer Ermittlungen massiv gefährdet, wenn eine solche Attacke samt Erpressungsversuch zu früh bekannt wird.

Datenschutzgesetz

Als Hindernis nannte Ofner auch das Datenschutzgesetz, das für Unternehmen gleich strenge Bestimmungen vorsieht wie für Privatpersonen. Das bedeutet, dass auch im Krisenfall keine Informationen weitergegeben werden dürften, selbst wenn sie deren Lösung benötigt würden. Eine weitere Frage tauchte in Zusammenhang mit dem Arbeitnehmerschutzgesetz auf: Wie weit darf man eingreifen, wenn der Verdacht besteht, dass der Hackerangriff gegen ein Unternehmen von innen erfolgte - laut dem Flughafen-Vorstand grundsätzlich die wahrscheinlichere Variante als eine Attacke von außen.

Wie ein künftiges Cybercrime-Gesetz aussehen wird, ist noch völlig unklar. Mikl-Leitner sieht die Legisten vor einer "spannenden Herausforderung". (APA, 22.12.2014)