RH fordert bessere Abstimmung bei Cyber-Defence

Ein sogenannter "Souveränitätsfall" tritt laut RH ein, wenn Informations- und Kommunikationstechnologie (IKT) der obersten Organe der Republik sowie kritische Infrastruktur wie Krankenhäuser oder Energieversorger aus dem Cyber-Raum angegriffen werden sowie deren Unabhängigkeit und Funktionsfähigkeit maßgeblich beeinträchtigt sind. Unklar sei allerdings, wann eine Überleitung von einer Cyber-Krise in einen Cyber-Defence-Fall vorgenommen wird und welche Schritte dabei zu setzen sind.

Die Koordination der Cyber-Sicherheit obliegt Bundeskanzleramt, Innen-, Außen- und Verteidigungsministerium. Für operative Maßnahmen im Vorfalls- und Krisenmanagement ist das Innenministerium zuständig. Das Bundesheer wirkt dann mit, wenn seine Assistenzleistung angefordert wird. Sollte eine Cyber-Krise in einen Cyber-Defence-Einsatz im Zuge eines Souveränitätsfalls übergehen, geht die Zuständigkeit dann auf den Verteidigungsminister bzw. die Verteidigungsministerin über. Wann tatsächlich ein Souveränitätsfall eintritt, muss die Verteidigungsministerin oder der Verteidigungsminister entscheiden.

Das Ressort hatte jedoch noch keine konkreten Kriterien und Szenarien ausgearbeitet, ab denen ein militärischer Einsatz gerechtfertigt wäre. Außerdem darf das Bundesheer erst aktiv werden, wenn bei einem Angriff der Verdacht auf ausländische staatliche Akteure vorliegt. Die Leitlinie zur Cyber-Defence war zur Zeit der RH-Prüfung (2021 bis November 2022) jedoch erst in Ausarbeitung.

Alleine zwischen Ende Oktober und Ende November 2022 wurden im Verteidigungsministerium rund 390.000 Sicherheitsereignisse abgewehrt. Der RH empfahl wegen der zunehmenden Bedeutung von Cyber-Defence, die Entwicklung der Cyber-Fähigkeiten und Stärkung der Cyber-Kräfte des Bundesheeres zügig voranzutreiben und ein koordiniertes, rasches Eingreifen sicherzustellen. Neben den Konzepten fehlten aus Sicht der Prüferinnen und Prüfer außerdem spezifischen Übungen zu einem Cyber Defence-Fall aufgrund einer Souveränitätsgefährdung.

Handlungsbedarf ortete der RH auch bei den bis zu acht ständig verfügbaren Einsatzteams, die das Heer einrichten wollte, um auf Cyber-Angriffe rasch reagieren zu können. Bis Ende 2022 sollten zwei dieser Teams einsatzbereit sein, im November 2022 lagen dazu aber nur Planungsunterlagen vor. Die Personallücken, die laut Ministerium der Grund für die Verzögerungen waren, sollten nun rasch gefüllt werden, empfahl der RH.

Außerdem sollten bereits bei der Stellungskommission Personen mit IKT-Ausbildung verstärkt für den Einsatz als Cyber-Grundwehrdiener motiviert werden. Immerhin würden dabei auch einschlägige Kenntnisse und Berufserfahrung vermittelt. Nach der militärischen Grundausbildung werden Cyber-Grundwehrdiener in einem der Cyber-Schulungszentren des Verteidigungsministeriums ausgebildet und leisten den weiteren Präsenzdienst in IKT-Bereichen des Bundesheeres ab, fachlich geeignete Personen bekommen ein Angebot für Weiterbeschäftigung in diesem Bereich. Im Oktober 2022 waren insgesamt 60 Cyber-Grundwehrdiener im Bundesheer im Einsatz. Der RH empfahl außerdem, innerhalb des Verteidigungsministeriums vermehrt Einsatzmöglichkeiten für diese Grundwehrdiener zu schaffen.