#Brieferl No.120 – Anlassfall Cyberherbie

Lieber Cousin Herbert,

gestern konnte ich erfreut nachlesen, dass auch das Innenministerium Brieferln versendet hat. Und zwar an Gemeindenstuben, aber auch an Betreiber öffentlicher Personenverkehrsunternehmen oder Spitäler. Weil nämlich die Polizei künftig gerne auf deren Kameras zugreifen will. Live, versteht sich.

Ob das tatsächlich (nur) zum Vorteil der Bevölkerung ist, darüber sind sich manche uneinig, weil es heißt “der Gesetzestext sei ungenau formuliert“.

Ungenau, weil man beispielsweise nicht weiß, was “ein Anlassfall“ für eine solche Live-Überwachungs-Übertragung sein soll.
Hmmm? Ich habe mir mal so meine Gedanken gemacht. Und potentielle Antworten gefunden.

Christian “Höbi“ Höbart: Marokkaner sind immer ein Anlassfall. Marokkanisches Aussehen reicht.
Gottfried Waldhäusl: Anlass sind Hunde und Wölfe im Falle nichtheimischen Fells. Ausnahmefarbe ist braun.
Sebastian „Basti Fantasti“ Kurz: Wenn es um die Schließung auch nur einer einzigen Route geht, ist jeder Fall ein Anlassfall.
KHB: Lassen Sie mich einbegleitend sagen, dass wir uns freuen, als Regierung für alle Anlässe Fälle einzubegleiten. Wichtig ist, dass der Bürger für die gleichen Beiträge mehr Leistungen in Form von Liveüberwachung bekommt.

In Anlehnung an UHU würde ich vorschlagen:

Im Falle eines Falles
ist Anlass wirklich alles!

Neben der Polizei-Live-Überwachung habe ich noch etwas gefunden, das mich besonders stolz macht. Du bist jetzt nicht nur mehr der “Leberkasberti“, nein, du mutierst zum noch cooleren “Cyberherbie“.

https://derstandard.at/2000087739564/IT-SicherheitsgesetzInnenminister-bei-Cyberkrisen-zustaendig

Weil du nämlich ab sofort für Cyberkrisen zuständig sein darfst. Und weil ich das so besonders super finde, habe ich den Gesetzesentwurf näher begutachtet.

Worum geht es eigentlich bei diesem Gesetz? Die Richtlinie (EU) 2016/1148 zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union soll damit umgesetzt werden.

******************************************

Gegenstand und Ziele des Gesetzes
§ 2. (1) Mit diesem Bundesgesetz werden Maßnahmen festgelegt, mit denen ein hohes
Sicherheitsniveau von Netz- und Informationssystemen von Betreibern wesentlicher Dienste (§ 3 Z 8) in
den Sektoren
1. Energie,
2. Verkehr,
3. Bankwesen,
4. Finanzmarktinfrastrukturen,
5. Gesundheitswesen,
6. Trinkwasserversorgung und
7. Digitale Infrastruktur
sowie von Anbietern digitaler Dienste (§ 3 Z 10) und Einrichtungen des Bundes (§ 3 Z 15) erreicht werden soll. Diese Betreiber, Anbieter und Einrichtungen sind von hoher Bedeutung für das Funktionieren des Gemeinwesens, weil durch einen Sicherheitsvorfall (§ 3 Z 6) Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit oder Funktionsfähigkeit von staatlichen Einrichtungen eintreten würden.

******************************************

Das finde ich schon mal super, dass nicht nur die wirklich lebenswichtigen Bereiche wie Energie, Wasser und Gesundheitswesen, sondern auch die “digitale Infrastruktur“ als “wesentlicher Dienst“ anzusehen ist.

Was ist nun so ein Sicherheitsvorfall?

******************************************

Begriffsbestimmungen
§ 3 Z 6. „Sicherheitsvorfall“ eine erhebliche Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Netz- und Informationssystemen, die zu einem Ausfall oder einer Einschränkung der Verfügbarkeit des betriebenen wesentlichen oder digitalen Dienstes geführt hat; bei der Beurteilung der Erheblichkeit sind insbesondere folgende Parameter zu berücksichtigen: Die voraussichtliche
a) Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
b) Dauer des Sicherheitsvorfalls,
c) geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet und
d) Auswirkung auf wirtschaftliche und gesellschaftliche Tätigkeiten;

******************************************

Was kannst bzw. sollst du als Innenminister nun tun, damit es erst gar nicht zu solchen “Sicherheitsvorfällen“ kommt?

******************************************

Befugnisse zur Vorbeugung von Sicherheitsvorfällen
§ 9. (1) Der Bundesminister für Inneres ist zur Erfüllung der Aufgabe gemäß § 5 Z 4 ermächtigt, technische Einrichtungen zu betreiben, die Unregelmäßigkeiten oder Störungen von Netz- und Informationssystemen frühzeitig erkennen.“

******************************************

Das ist DER Hammer, finde ich.
Eine Einrichtung betreiben, die Störungen frühzeitig erkennen kann.
Kann mir das als wie eine NSA in klein vorstellen?

Weil man kann doch Unregelmäßigkeiten und Störungen der digitalen Infrastruktur EINES LANDES nur dann wirklich erkennen, wenn man
a) die Dienste sämtlicher Betreiber permanent überwacht und
b) das Vorkommen von „Unregelmäßigkeiten“ „proaktiv“ scannt, oder einfach gesagt, „verdächtige“ Informationen systematisch aufspürt.

Die Betreiber müssen diese “Vorkommnisse“ natürlich ebenfalls aufspüren und melden.

******************************************

Meldepflicht für Betreiber wesentlicher Dienste
§ 16 (7) Der Bundeskanzler kann im Einvernehmen mit dem Bundesminister für Inneres Kriterien für die Parameter des § 3 Z 6 lit. a bis d durch Verordnung festlegen.

******************************************

So eine Verordnung ist also sicher schnell gemacht. Im Notfall müssen dann ebensolche Teams einspringen.

******************************************

Aufgaben der Computer-Notfallteams
§ 12.(6) Computer-Notfallteams können die Aufgaben gemäß Abs. 2 Z 3 bis 5 auch gegenüber sonstigen Einrichtungen oder Personen wahrnehmen, sofern diese von einem Risiko oder einer Störung ihrer Netz- und Informationssysteme betroffen sind.

******************************************

Das finde ich toll. Ein „“Risiko“ reicht demnach zukünftig völlig aus, um das Werkl in Gang zu bringen. Freundlicherweise wurde auch ins Gesetz geschrieben, was denn nun genau ein “Risiko“ ist:

******************************************

Begriffsbestimmungen
§ 3 Z 7 „Risiko“ sind alle Umstände oder Ereignisse, die potenziell nachteilige Auswirkungen auf die Sicherheit von Netz- und Informationssystemen haben.

******************************************

“Potenziell nachteilig“ ist sehr schön. Das kann irgendwie alles sein. Oder auch nix.
Was mir auch gut gefällt, ist die Einbindung der Privatwirtschaft.

******************************************

Anforderungen und Eignung eines Computer-Notfallteams
§ 13. (3) … Sofern es sich bei einem Computer-Notfallteam um eine private Einrichtung handelt, ist diese vom Bundeskanzler im Einvernehmen mit dem Bundesminister für Inneres zur Erfüllung der Aufgaben gemäß § 12 Abs. 2 Z 1 und 2 zu ermächtigen.

******************************************

Ich bin gespannt, ob die Öffentlichkeit erfahren wird, welche privaten Einrichtungen zu solchen Notfallteams mutieren.
Vielleicht gibt‘s ja ein paar Burschenschaften, denen zwischen dem Herumfuchteln (lt. Experten kann man nämlich das Fechten dort nicht anders bezeichnen) fad ist und die sich die läppischen Förderungen ein wenig auffetten möchten.

Und das beste kommt wie immer zum Schluss. Das, was dich vom “Leberkasberti“ zum “Cyberherbie“ mutieren lässt:

******************************************

Cyberkrise
§ 21. Die Entscheidung über das Vorliegen einer Cyberkrise erfolgt durch den Bundesminister für Inneres.

******************************************

Was ich leider (noch) nicht finden konnte ist, ab wann dieses Gesetz in Kraft treten soll. Bis 31.10.2018 ist es noch in Begutachtung.
Kann man dieses Gesetz eigentlich auch rückwirkend gelten lassen?
So wie beim Gesetz zur Ausschreibung der Generalsekretäre?

Ich glaube, das wäre eine famose Idee. Weil dann könntest du der lästigen Opposition im BVT-Untersuchungsausschuss vielleicht sagen, dass gar keine Razzia durchgeführt wurde, sondern lediglich ein Notfallteam im Einsatz war.

Jedenfalls freue ich mich, dass du so weitreichende Kompetenzen erhalten hast wirst. Und ich bin schon ganz gespannt, wann denn deine erste Cyberkrise gemeldet wird.

Liebe Grüße,
Cousine Daniela

2 Antworten auf „#Brieferl No.120 – Anlassfall Cyberherbie“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.