Inhalt

Sicherheit in der Informations- und Kommunikationstechnik (IKT)

Die Kommunikation zwischen Behörden oder zwischen Bürgerinnen, Bürgern und Behörden muss sicher sein, vor allem beim Versenden von sensiblen Daten. IKT-Sicherheit bildet einen wichtigen Bestandteil von E-Government. Sie gewährleistet die Integrität und Authentizität der Dokumente und deren vertrauliche Übermittlung in öffentlichen Netzen.

Hauptpunkte der IKT-Sicherheit

  • Vertraulichkeit: Es darf keine Möglichkeit zur unbemerkten und unautorisierten Kenntnisnahme der Daten geben.
  • Integrität: Die Vollständigkeit und Richtigkeit der Daten wird bestätigt und Datenmanipulationen werden festgestellt.
  • Verbindlichkeit: Die Rechtsgültigkeit von Aktionen ist zu gewährleisten.
  • Authentizität: Die Echtheit und Glaubwürdigkeit von Objekten muss garantiert sein.
  • Verfügbarkeit: Systeme und Dienste müssen verfügbar und funktionsfähig sein.
  • Privatsphäre, Datenschutz und Datensicherheit: Im Sinne des Datenschutzes wird die Anonymität und die Verhinderung der Profilerstellung über Einzelne sichergestellt.

Vorgaben und Richtlinien

Um den verantwortungsvollen Umgang mit persönlichen Daten der Bürgerinnen und Bürger zu garantieren, wird kontinuierlich an der Schaffung von geeigneten Normen, Richtlinien und Empfehlungen gearbeitet. Verschiedenste themenspezifische Arbeitsgruppen befassen sich mit den unterschiedlichen Aspekten der IKT-Sicherheit unter Berücksichtigung gesetzlicher Rahmenbedingungen und Vorgaben.

In diesem Zusammenhang hat das österreichische Strafrechtsänderungsgesetz 2002, mit dem auch die Cybercrime-Konvention des Europarates vom November 2001 umgesetzt wurde, neue Deliktstatbestände geschaffen. Diese sind beispielsweise:

  • Widerrechtlicher Zugriff auf ein Computersystem
  • Störung der Funktionsfähigkeit eines Computersystems
  • Missbräuchliches Abfangen von Daten
  • Datenfälschung

Das Strafrechtsänderungsgesetz 2008 hat hier nochmals einige Anpassungen vorgenommen.

Das österreichische Informationssicherheitsgesetz 2002 definiert die rechtlichen Grundlagen für die Umsetzung völkerrechtlicher Verpflichtungen Österreichs zur sicheren Verwendung von klassifizierten Informationen.

Mit dem Datenschutzgesetz werden die verfassungsrechtlichen Bestimmungen zum Schutz personenbezogener Informationen in die gültige Rechtspraxis umgesetzt.

Weitere Gesetze - zum Beispiel das E-Commerce-Gesetz oder das Signatur- und Vertrauensdienstegesetz - definieren den Rechtsrahmen für den Einsatz innovativer Technologien. Sie sind im Rechtsinformationssystem des Bundes (RIS) einsehbar.

Informationssicherheitshandbuch

Das vorliegende "Österreichische Informationssicherheitshandbuch ist ein Leitfaden, mit dessen Hilfe einfach und effizient ein umfassender Grundschutz in Unternehmen und Organisationen realisiert werden kann. Sicherheit berührt jeden Einzelnen und jede Einzelne in öffentlichen Institutionen, Unternehmen und Organisationen – von der Standortwahl bis zur Systemadministration, vom Management bis zum Anwender und der Anwenderin.

Das Handbuch besteht aus den Teilen Informationssicherheitsmanagement und Informationssicherheitsmaßnahmen. Die Thematik Sicherheit von Informationen wird darin ganzheitlich dargestellt. Unabhängig davon, ob diese sich auf Papier befinden oder in elektronischer Form vorliegen. Bewusst werden die Themen in allgemein formulierter Weise behandelt, um sowohl einen breiten Personenkreis anzusprechen, als auch, um auf eine Vielfalt von Informationssystemen anwendbar zu sein.

Sicherheitsstufen

Zu den klaren Strategien von E-Government zählen die Methoden der identifizierten und vertraulichen Kommunikation. Findet die Kommunikation über offene Netze statt, sind entsprechende Sicherheitsstufen vorzusehen, um den Anforderungen der eindeutigen Identifikation der Kommunikationspartner, der Unverfälschtheit und Vertraulichkeit der übermittelten Daten und des Datenschutzes zu genügen. Die Sicherheitsstufen werden in 3 Stufen unterteilt. Sie stellen eine Ergänzung zu den Sicherheitsklassen dar, die derzeit für den Portalverbund definiert wurden. Um die geeignete Sicherheitsstufe auswählen zu können, bedarf es unter anderem einer Risikoanalyse nach dem österreichischen IT-Sicherheitshandbuch.

Folgende Stufen unterschiedlicher Qualität werden definiert:

  • Sicherheitsstufe I: Hier gibt es keinen besonderen Sicherheitsbedarf. Eine Basissicherheit kann mittels einer einseitig authentifizierten TLS-Verbindung (Transport Layer Security) erreicht werden (serverseitige Authentifizierung).
  • Sicherheitsstufe II: Dabei wird eine sichere Kommunikation im Verwaltungsverfahren gefordert. Client und Server haben Klarheit darüber, wer der Kommunikationspartner ist und können von der Vertraulichkeit im Rahmen der Sicherheit der kryptographischen Schlüssel und Algorithmen ausgehen. Für die Sicherstellung einer qualitativ hochwertigen Identifikation wird mittelfristig die Bürgerkarte vorgesehen.
  • Sicherheitsstufe III: Diese Kommunikation erfordert eine hohe Sicherheit. Die höchste Sicherheitsstufe im Bereich E-Government, die auch für die Kommunikation Verwaltung – Verwaltung angewandt werden kann, wurde darauf ausgelegt, dass sie auch kompromittierten Endgeräten standhält. Bei Anwendung dieser Sicherheitsstufe haben Client und Server Klarheit über den Kommunikationspartner. Sie können von der Vertraulichkeit im Rahmen der Sicherheit der kryptographischen Schlüssel und Algorithmen ausgehen. Es kommt wiederum TLS zum Einsatz, wobei die notwendigen Zertifikate des Clients und des Servers in vertrauenswürdigen Komponenten gehalten werden und technisch vor Modifikation geschützt sind.

Sicherheits- und Verteidigungsdoktrin

Der Nationalrat hat am 12. Dezember 2001 die österreichische Sicherheits- und Verteidigungsdoktrin beschlossen. Inhalt dieser Doktrin ist das Ersuchen an die Bundesregierung, für alle sicherheitspolitisch relevanten Bereiche Teilstrategien auszuarbeiten. Die Teilstrategie IKT-Sicherheit wurde im Dezember 2002 mit Beschluss des IKT-Boards fertiggestellt und zur Kenntnis genommen. Ein wesentliches Thema stellt insbesondere seit dem September 2001 der Schutz von kritischen Infrastrukturen dar. Dieser soll mit dem APCIP (Österreichische Programm zum Schutz kritischer Infrastrukturen), eingebettet in entsprechende EU-weite Maßnahmen, sichergestellt werden.

Europäische Union

Das Thema Informationssicherheit hat in den letzten Jahren in zunehmendem Maße internationale Organisationen beschäftigt. Woraus im Rahmen der EU-Mitgliedschaft Österreichs auch rechtsverbindliche Bedeutung für die Hoheitsverwaltung resultiert. Die Europäische Kommission hat in ihrer Mitteilung "Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz" (Juni 2001) die Gewichtigkeit dieser Problematik hervorgehoben: "Sicherheit ist auf dem Weg, eine Priorität zu werden, weil Kommunikations- und Informationsinfrastrukturen ein wichtiger Faktor für wirtschaftliche und soziale Entwicklung geworden sind. Netze und Informationssysteme ermöglichen Dienstleistungen und übertragen Daten in einem Maße, in dem dies noch vor wenigen Jahren unvorstellbar war. Ihre Verfügbarkeit ist für andere Infrastrukturen wie etwa Wasser- oder Stromversorgung unerlässlich. Je mehr jedermann, ob Unternehmen, Bürgerin, Bürger oder öffentliche Verwaltungen, die Möglichkeiten der Kommunikationsnetze nutzen möchte, desto mehr wird die Sicherheit dieser Systeme zu einer Voraussetzung für weiteren Fortschritt."

Dem folgte eine Reihe von EU-Dokumenten. Darunter allein seit dem Jahr 2006:

Explizit wird von der Europäischen Kommission festgehalten, dass sich insbesondere öffentliche Verwaltungen um die Sicherheit ihrer Systeme kümmern sollten. Nicht nur, um die Informationen des öffentlichen Sektors zu schützen, sondern auch, um zur generellen Bewusstseinsbildung zum Thema Informationssicherheit beizutragen.

Weiters wurde im Dezember 2006 die Ratsentschließung "Eine Strategie für eine sichere Informationsgesellschaft in Europa" verabschiedet.

Mit der Verordnung des Europäischen Rates vom 28. Jänner 2004 betreffend die Errichtung der Europäischen Agentur für Netz- und Informationssicherheit wurde auf europäischer Ebene eine Institution geschaffen, die diese Zielsetzungen verfolgen und deren Erreichung unterstützen soll.

OECD-Richtlinien für die Sicherheit von Informationssystemen und -netzen

Die Organisation für wirtschaftliche Kooperation und Entwicklung (OECD) befasst sich ebenfalls intensiv mit einschlägigen Fragen und hat vor Jahren die OECD-Richtlinien für die Sicherheit von Informationssystemen und -netzen ausgearbeitet, um auf die Wichtigkeit von IKT-Sicherheit angesichts zunehmender Bedrohungen wie zum Beispiel Cyber-Terrorismus, Computerviren und Computerwürmer oder Hackangriffe zu reagieren.

Diese Richtlinien zielen vor allem auf die Sensibilisierung aller Beteiligten zum Schutz von Informationssystemen und Netzwerken ab. Für die Umsetzung wurde eine eigene Webseite eingerichtet, die als Plattform für den Informationsaustausch auf internationaler Ebene dient. Dort findet sich auch eine Linksammlung, die auf dem Weg zu einer globalen Sicherheitskultur behilflich sein soll. Diese Initiative wurde von der OECD-Arbeitsgruppe Working Party on Information Security and Privacy (WPISP) gestartet, um mit bekannten und anerkannten Schutzmaßnahmen sowie Best Practices den Gefahren von IKT-Infrastrukturen entgegenzuwirken.

Beispielhaft können folgende Dokumente in englischer Sprache zu den aktuellen Arbeiten angeführt werden:

Weitere Informationen

Weiterführende Dokumente