Parlamentskorrespondenz Nr. 284 vom 15.03.2023

Rechnungshofausschuss zum Thema Cyberkriminalität und -sicherheit

Kraker: Bekämpfung von Cyberkriminalität erfordert geeignetes Personal

Wien (PK) – Seit Beginn der Corona-Pandemie steigen Hackerangriffe oder die Ausnutzung von technischen Sicherheitslücken, verstärkt an. Im Rechnungshofausschuss stand heute die Prävention und Bekämpfung von Cyberkriminalität im Zentrum der Debatte. Prävention sei in diesem Bereich ein wirksames Mittel, hielt Innenminister Gerhard Karner fest. Höhere Strafen und zusätzliche Ermittlungsbefugnisse seien zwar notwendig, ein vorsichtiger Umgang mit den eigenen persönlichen Daten und Geräten könne den einen oder anderen Fall jedoch vermeiden. Auch Andreas Holzer, Direktor des Bundeskriminalamts, brach eine Lanze für Präventionsmaßnahmen.

Personalmangel und schwieriges Personalrecruiting dominierten die Diskussionsbeiträge der Abgeordneten zu diesem Thema. Redner:innen aller Fraktionen waren sich der Problematik bewusst und interessierten sich für die damit verbundenen Herausforderungen. Seitens der ÖVP setzte sich Lukas Brandweiner dafür ein, bestehendes Personal fortzubilden.

In eine ähnliche Richtung ging der ebenfalls behandelte Bericht des Rechnungshofs zum Thema Cybersicherheit, laut dessen Empfehlungen der Bund Pläne, Personal und Infrastruktur ausbauen soll. Beide Berichte wurden einstimmig zur Kenntnis genommen.

Rechnungshof kritisiert unterschiedliche Terminologie im Bereich Cyberkriminalität

Der Rechnungshof hat sich mit der Bekämpfung von Cyberkriminalität in den Jahren 2016 bis 2019 beschäftigt. Cyberkriminalität nehme seit Jahren kontinuierlich zu, dies betreffe die gesamte EU, heißt es in dem Prüfbericht. Darin verweist der Rechnungshof auf steigende Kosten und Schäden durch diese Form der Kriminalität. 2019 stieg in Österreich die Zahl der Cyberkriminalitätsdelikte im Vergleich zum Jahr davor um 45 % auf 28.439 angezeigte Fälle. Daher komme geeignetem Personal eine zentrale Rolle bei der Bekämpfung zu. Die Schäden betreffen Bürgerinnen und Bürger gleichermaßen wie die Wirtschaft und staatliche Institutionen. Neben finanziellen Schäden erkannte der Rechnungshof immaterielle Schäden durch "Hass im Netz" (III-335 d.B.). Als zentrale Empfehlung des Rechnungshofs sollten Innenministerium und Justizministerium gemeinsam jene Delikte festlegen, die unter den Begriff Cyberkriminalität zu subsumieren sind, um auf dieser Basis vergleichbare Zahlen erheben und darstellen sowie wirksame Steuerungsmaßnahmen ergreifen zu können.

Die Kritik des Rechnungshofs galt auch der Verwendung unterschiedlicher Begriffe durch Innenministerium und Justizministerium im Bereich Cyberkriminalität. Unterschiedliche Begriffe wie Cybercrime, Internetkriminalität oder Cyberkriminalität erschweren aus Sicht des Rechnungshofs eine abgestimmte Vorgehensweise zur Bekämpfung von Cyberkriminalität.

Kraker empfiehlt Rahmenbedingungen für modernes Personalmanagement

RH-Präsidentin Kraker riet dazu, Rahmenbedingungen für modernes Personalmanagement zu schaffen. Als zentrale Stelle zur Bekämpfung von Cyberkriminalität etablierte das Innenministerium bereits 2012 das Cybercrime Competence Center. Kraker hielt fest, dass die Personalbeschaffung im Bereich Cyberkriminalität eine große Herausforderung darstellt. Thema seien formelle Kriterien abseits der fachlichen Eignung, das Gehaltsschema des öffentlichen Dienstes, langwierige Aufnahmeprozesse oder mangelnde Möglichkeiten für Quereinsteigende. Nach Ansicht der Prüferinnen und Prüfer sind die Berufsbilder im Cybercrime Competence Center nur bedingt mit jenen anderer Organisationseinheiten des Innenministeriums vergleichbar.

Aus Sicht des Rechnungshofs bedarf es Rahmenbedingungen die ermöglichen, dass allen Organisationseinheiten, die sich mit der Bekämpfung von Cyberkriminalität befassen, geeignetes Personal mit den nötigen IT-Kenntnissen zur Verfügung steht. Präventionsmaßnahmen seien in diesem Bereich "unglaublich wichtig", da Bekämpfung und Aufklärung schwierig sind.

Karner appelliert an umsichtigen Umgang mit Daten im virtuellen Raum

Der Bereich Cybercrime war laut Innenminister Gerhard Karner mit Steigerungen von 30 % im Jahr 2022 konfrontiert. Rahmenbedingungen für ein modernes Personalmanagement zu schaffen, sei notwendig, um sich zukünftig als attraktiver Arbeitgeber auch für technische oder IT-Berufe zu positionieren, bekräftigte er. Im Zuge der Kriminaldienstreform werde Cyberkriminalität umfassend bekämpft, betonte der Innenminister. Die wesentlichen Säulen der Reform sind die Stärkung der Kriminalpolizei in den Regionen, der Fokus auf Cybercrime und die Weiterentwicklung der Bekämpfung organisierter Kriminalität, Prävention sowie Aus- und Weiterbildung. Die Reform befinde sich in Umsetzung. Durch eine Gesetzesnovelle soll die Polizei mehr Ermittlungsmöglichkeiten in Fällen von Cyberkriminalität bekommen, zudem werden Strafen für Hacker erhöht. Wer künftig einen Computer hackt, soll mit bis zu zwei Jahren Freiheitsstrafe rechnen müssen, für Angriffe auf die kritische Infrastruktur soll die Maximalstrafe auf drei Jahre erhöht werden, sagte Karner zu Agnes Sirkka Prammer (Grüne). Als weitere Schritte nannte er die flächendeckende Etablierung einer sogenannten Cyber-Cobra.

"Es würde niemandem einfallen, seinen Haustorschlüssel am Hauptplatz liegen zu lassen", sagte der Innenminister. "Ebenso muss man auch im Online-Bereich an seine Sicherheit denken", forderte Karner die User auf, im virtuellen Raum genauso kritisch und vorsichtig zu sein, wie im echten Leben.

Abgeordnete interessieren sich für Strategie zur Bekämpfung von Cyberkriminalität

Karin Greiner ging auf den hohen Anstieg von Cyberkriminalität durch Corona ein. Die mangelnde Datenlage erschwere Rückschlüsse, machte sie die "prekäre Lage" zum Thema und beklagte auch den fehlenden Datenaustausch zwischen den Ministerien. Greiner sprach sich für eine Gesamtstrategie mit klaren Verantwortlichkeiten aus. Bei der Präventionsarbeit pochte Greiner darauf, auch Senioren anzusprechen.

Alois Kainz (FPÖ) hinterfragte die Strategie zur Bekämpfung von Cyberkriminalität und die Anzahl der erfolgten Cyberangriffe. David Stögmüller (Grüne) interessierte sich für die Aufklärungsquote. Im Rahmen der österreichischen Sicherheitsstrategie sprach sich Stögmüller für eine moderne Strategie zur Bekämpfung von Cybercrime aus und erkannte den Bedarf an moderner IT-Infrastruktur. Es sei notwendig, dass der Datenaustausch zwischen Innenministerium, Kriminalpolizei und Justiz funktioniere, unterstrich Stephanie Krisper (NEOS).

Personalmangel: Bundeskriminalamt setzt auf Kooperationen und Weiterbildung

Im 10-Jahresvergleich ist die Internetkriminalität von 10.053 Straftaten im Jahr 2013 auf 60.195 Delikte im Jahr 2022 angestiegen, informierte Holzer. Die Aufklärungsquote liege bei rund 30 %. Aufgrund des Anstiegs der Delikte sei die Aufklärungsquote gesunken. Im Rahmen der Präventionsarbeit halte das Bundeskriminalamt Informationsveranstaltungen ab und schalte zielgruppenorientierte Anzeigen. Informationskampagnen wurden auch beim derzeit kursierenden "Finanzamt"-SMS-Trick eingesetzt, unterstrich Holzer. Zur Kooperation mit dem Justizministerium hielt der Leiter des Bundeskriminalamts fest, dass die polizeiliche Kriminalstatistik eine Anzeigenstatistik sei, die sich von der rechtlichen Bewertung und Einordnung des Delikts unterscheide. Eine bereichsspezifische Personenkennzahl sei in Ausarbeitung.

"Wir können nicht so gut bezahlen, wie Google, Facebook und andere Großkonzerne, aber wir bekommen Personal", betonte er. Das vorhandene Niveau im Cyberbereich sei sehr hoch, zeigte sich Holzer von seinen Mitarbeiter:innen überzeugt. Das Bundeskriminalamt habe eine Kooperation mit der Handelsakademie Horn mit dem Schwerpunkt Cybersecurity, hob Holzer hervor. Dort werden die Schüler:innen in der Risikoanalyse und Krisenbewältigung im Bereich Cyber-Security ausgebildet.

Cybersicherheit: Bedarf nach verfügbarem Einsatzteam

Cybersicherheit sei in allen Bereichen der elektronischen Datenverarbeitung maßgeblich. Auf Bundesebene sind das Bundeskanzleramt, das Innenministerium, das Verteidigungsministerium sowie das Außenministerium für die Koordination der Cyber-Sicherheit zuständig. Verbesserungsbedarf sahen die Rechnungshof-Prüfer:innen bei fehlenden Krisen-, Kontinuitäts- und Einsatzplänen für das Cyber-Krisenmanagement. Ein permanent verfügbares Cyber-Einsatzteam wäre ebenso zu schaffen wie ein Cyber-Lagezentrum zur Bearbeitung von Notfällen, hielt Rechnungshofpräsidentin Margit Kraker fest. Der Prüfungszeitraum betraf die Jahre 2018 bis 2021 (III-623 d.B.).

Von Dezember 2019 bis März 2020 habe es eine Cyber-Krise gegeben, die "grundsätzlich erfolgreich bewältigt" wurde, attestierten die Prüfer:innen. Dennoch zeigten sie Verbesserungsmöglichkeiten auf: Da ein Zentrum für die Bearbeitung von Cyber-Vorfällen unmittelbar verfügbar sein sollte, wäre ein eigenes, dauerhaft eingerichtetes und jederzeit benutzbares Cyber-Lagezentrum zweckmäßig, heißt es in den Empfehlungen. Außerdem wäre ein permanent verfügbares Cyber-Einsatzteam (Rapid Response Team) zu schaffen. In diesem Zusammenhang machte der Rechnungshof auf den Personalmangel bei Cyber-Sicherheitskräften aufmerksam. Die als notwendig erachteten Personalressourcen, um die Cyber-Sicherheit aufrecht zu halten, wurden im Bundeskanzleramt und im Innenministerium nicht erreicht. Damit mehr geeignetes Personal zur Verfügung steht, wäre ein modernes Personalmanagement einzurichten.

Für ein funktionierendes Cyber-Krisenmanagement seien Krisen-, Kontinuitäts- und Einsatzpläne wesentlich, unterstrich Kraker. Solche Pläne lagen jedoch nicht vor, obwohl die Cybersicherheit- Steuerungsgruppe die Ausarbeitung solcher Pläne bereits 2014 und 2019 beschlossen hatte.

NIS-Meldeanalysesystem war noch nicht in Betrieb

Ziel der Cyber-Sicherheit ist, ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu gewährleisten. Anbieter digitaler Dienste, die öffentliche Verwaltung sowie Betreiber wesentlicher Versorgungsdienste müssen Sicherheitsvorfälle melden. Das Innenministerium ist dazu verpflichtet, die weitergeleiteten Meldungen zu Sicherheitsvorfällen zu analysieren und daraus regelmäßig ein Lagebild zu erstellen. Diese Meldungen wurden dem Rechnungshof-Prüfbericht zufolge zwar aktenmäßig erfasst, eingetragen und an das Bundeskanzleramt und Verteidigungsministerium weitergeleitet. Aber das "NIS-Meldeanalysesystem" war zur Zeit der Prüfung noch nicht in Betrieb. Der Rechnungshof empfahl daher dem Innenministerium, das Projekt zur Implementierung des Frühwarnsystems verstärkt zu betreiben und umzusetzen.

Karner: "Unternehmen auf NIS 2 vorbereiten"

ÖVP und Grüne interessierten sich für die neue europäische Cybersicherheits-Richtlinie mit der Bezeichnung "NIS 2", die für viele Unternehmen bestimmter Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen vorsieht. Cybersicherheit ist für die österreichischen Unternehmen eine zentrale Herausforderung, betonte Karner. Am 16. Jänner ist die NIS 2-Richtlinie in Kraft getreten mit dem Ziel die Cybersicherheit und Resilienz in der EU zu verbessern. Karner sah Klein- und Mittelbetriebe als besonders gefährdet an.

Innenminister Karner sagte gegenüber FPÖ und NEOS, dass derzeit bei der Anlaufstelle für Netz- und Informationssystemsicherheit 28 Mitarbeiter:innen beschäftigt sind und drei weitere Positionen besetzt werden sollen. Bei der Umsetzung von NIS 2 werde es zusätzlichen Personalbedarf geben.

Im BMI wurden Vorkehrungen getroffen, damit in Krisenfällen schnell handlungsfähige Teams zusammengestellt werden können, bekräftigte ein Experte des Innenministeriums gegenüber ÖVP und Grünen. David Stögmüller (Grüne) sprach sich insbesondere für ein Frühwarnsystem aus und wollte die Länder in eine Gesamtcyberstrategie einbinden. Phillip Kucher (SPÖ)warb für Kooperationen mit den Bundesländern und enge Zusammenarbeit mit NGOs. (Fortsetzung Rechnungshofausschuss) gla