Ich habe mir im Zuge des vorparlamentarischen Verfahrens den  Ministerialentwurf für das Netz- und Informationssystemsicherheitsgesetz 2024 näher angesehen.

Da werden eine Reihe von Einrichtungen geschaffen, die in jedem Amt und in grösseren IT Unternehmen Einsicht bekommen sollen, wie sie ihre IKT Lösung absichern und welche Prozesse es dazu gibt.

Das Bundesministerium für Inneres erhält dadurch sehr viel zusätzliche Eingriffsmöglichkeiten. Besonders gefährlich halte ich etwa folgende Bestimmung:

§ 40. Die Cybersicherheitsbehörde kann wesentliche und wichtige Einrichtungen dazu verpflichten, spezielle IKT-Produkte, -Dienste und -Prozesse zu verwenden.

Das wäre wohl das Ende des Einsatzes von Open Source Software in vielen Bereichen, weil sich die Tech Giganten es sich eher leisten werden können, sich regelmässigen Audits zu unterziehen und dadurch ihre Software quasi als sicherer eingestuft werden wird. Es sollte umgekehrt sein, nämlich dass nur Software zugelassen werden soll, deren Code und Algorithmen veröffentlicht ist - nur das ist wirklich sicher.

§ 45 sieht Geldstrafen vor, etwa wenn der Anbieter eines Online-Marktplatzes in  jenem Zeitraum nicht erreichbar ist, in dem die jeweilige Einrichtung ihre Dienste zur Verfügung stellt - also 24/7 muss gewährleistet werden. Oder wenn regelmässige Cybersicherheitsschulungen für Leitungsrogane oder MItarbeiter nicht durchgeführt werden.  Auch muss die Möglichkeit der  Durchführung von Sicherheitsscans oder einer AdHoc Prüfung gewährleistet werden, andernfalls erfolgen Strafen.  Ebenso, wenn spezielle IKT Produkte nicht eingesetzt werden, die es zu verwenden gilt.

Einrichtungen können von der Cybersicherheitsbehörde als wichtige Einrichtung eingestuft werden und unterliegen somit den Strafbestimmungen bis zu 10 Millionen Euro. Wer Domains verwaltet, muss innerhalb von 72h der Behörde auf dessen Antrag Auskunft etwa über den Inhaber erteilen, sonst folgt eine Strafe von € 50.000.-. So werden dann auch die letzten dunklen Ecken des Internets ausgeleuchtet.

Die Frist zur Stellungnahme ist bereits abgelaufen und war mit 4 Wochen sehr knapp bemessen, ich habe noch eine Stellungnahme abgesendet.   Denn ich mag mir nicht ausmalen wer 2025 vielleicht Innenminister wird und offenbar ohne richterliche Beschlüsse in der IT aller Länder, Ministerien und vieler Unternehmen herumschnüffeln darf.

Hier gibt es alle Infos zum Ministerialentwurf.

Hier meine Stellungnahme:

Sehr geehrte Damen & Herren,

als Konsulent für IT Lösungen, welche auch in der öffentlichen Verwaltung eingesetzt werden, erlaube ich mir, einen Punkt im Ministerialentwurf des NISG 2024 näher zu beleuchten.

Im § 40 wird festgehalten, dass die Cybersicherheitsbehörde wesentliche und wichtige Einrichtungen dazu verpflichten kann, spezielle IKT-Produkte, -Dienste und -Prozesse zu verwenden. Diesen Ansatz halte ich für wenig zielführend, insbesondere im Hinblick auf die schnellen Innovationszyklen in der IT Branche. Dies würde sehr wahrscheinlich die Lösungen grosser IT Konzerne bevorzugen, weil diese auch die entsprechenden Zertifikate und Audits zeitnah nachweisen werden können. Die vielleicht agileren IT Werkzeuge kleinerer IT Unternehmen, deren es zahlreiche gibt und welche oftmals sektorenspezifisch sind, werden gegenüber vermeintlichen Universallösungen von internationalen IT Anbietern, die überall einsetzbar sein sollen, bei der Auswahl einen Wettbewerbsnachteil erleiden.  

Wenn wir auf Cyberbedrohungen und Totalausfällen im letzten Jahrzehnt zurückblicken, betraf es fast ausschliesslich Systeme mit prorietärer Software. Bei Verpflichtungen zum Einsatz gewisser IT Tools sollte wenn dann nur Software zugelassen werden, dessen Code und Algorithmen veröffentlicht sind.  Nur das ist wirklich sicher, weil tausende Augen global gleichzeitig drauf schauen und im Falle einer Sicherheitslücke innerhalb weniger Stunden reagiert und das Problem behoben wird.  Ein Beispiel hierzu war der immens schwierig zu findende Schadcode in der in fast jedem Internetserver verwendeten xz Programmbibliothek, welche zu den Osterfeiertagen 2024 bekannt geworden ist (CVE-2024-3094). Durch die schnelle Reaktion einer globalen Informatikergemeinschaft konnte innerhalb von Stunden verhindert werden, dass diese Programmbibliothek in Produktivsystemen eingespielt wird. Dieses Niveau von Sicherheit kann keine Software, welche nicht öffentlich einsehbar ist, erreichen. Daher sollten Empfehlungen oder Verpflichtungen immer darauf hinaus laufen, Open Source Tools einzusetzen.

Ich würde es im Namen vieler Kollegen und Kolleginnen, die sich täglich um eine sichere IT Infrastruktur in Österreich kümmern, begrüssen, wenn dieser Vorschlag im Gesetzwerdungsprozess berücksichtigt werden würde.

Mit freundlichen Grüßen,
DI Dr. Roland Alton-Scheidl
IT Consultant