Die Bundesregierung hat das Cyber-Sicherheitsgesetz, das bis Oktober 2024 umgesetzt werden muss, nun in die Begutachtung geschickt. Die Begutachtungsphase für das Netz- und Informationssicherheitsgesetz dauert vier Wochen.
Die neue Regelung soll rund 3.000 bis 9.000 Unternehmen, Gebietskörperschaften und Vereine betreffen. Betroffene Unternehmen, die aufgrund ihrer Größe verpflichtet sind, sowie Organisationen der kritischen Infrastruktur und die meisten Behörden (ausgenommen ist u.a. das Innenministerium) müssen demnach künftig eine Reihe von IT-Sicherheitsmaßnahmen vornehmen und Sicherheitsvorfälle melden. Um diese bei der Umsetzung der Vorgaben zu unterstützen, hat das Innenministerium kürzlich eine Servicestelle für Cybersicherheit eingerichtet.
Warum die EU – aber auch die USA – Cyber-Security zur Verpflichtung machen
Cyber Security jenseits der Freiwilligkeit? Vielfach wurde diskutiert, weshalb die Europäische Union (aber auch die USA und andere) Cyber Security Maßnahmen mit einer detailreichen, zugegeben hervorragend kostspieligen Regelung belegen. Weshalb eine derart kleinteilige Regulierung in einem Bereich, der typischerweise der Disposition und Verantwortung von Unternehmen obliegt? Risikomanagement samt Einschätzung von Eintrittswahrscheinlichkeit und Kosten von Versicherung oder Abwehr gehört zu Entscheidungen der Betriebsführung, nicht des Gesetzgebers, vorausgesetzt es geht um Interna und eigene Kosten und Externe kommen nicht zu Schaden. Geneigte Interessierte fragen sich deshalb, was dahinter steckt. Und tatsächlich, neben dem grundlegenden Sicherheitsbedürfnis und der Aufrechterhaltung wichtiger Institutionen wie Banken oder etwa Energieerzeuger, gibt es noch einen weiteren Grund für das Hochrüsten von Cyber-Security:
Regelwirtschaft gegen die größte “Branche” der Welt
Mit Stand Ende 2023 haben Cyber Security Vorfälle seit Beginn der Pandemie Anfang 2020 um spektakuläre 300 Prozent zugenommen, allein im Vorjahr stiegen die Angriffe um 62 Prozent. Laut IBM Security betragen die durchschnittlichen Kosten eines Ransomware-Angriffs 4,5 Millionen US-Dollar – plus Lösegeld, das sich ebenfalls je nach betroffenem Unternehmen jeweils auf mehrere Millionen beläuft. Für 2025 wird der Gesamt-Schaden aus Cybercrime mit 10,5 Trillionen Dollar geschätzt – das ist mehr als der gesamte Welthandel mit den bekanntesten Drogen. Deutlich zu viel, was hier von der regulären Wirtschaft in die größte Branche der Welt (die kriminelle “Branche”) überwiesen wird. Das ist also Geld, das nirgends versteuert und aus nationalen Ökonomien ohne Mehrwert abgezogen wird.
Wohin die Lösegelder gehen
24 % der Cyber-Attacken gehen von China aus, 15 % von Russland – so die beim WEF im Jänner in Davos präsentierten Zahlen. Die Security-Kosten für Unternehmen und Behörden in Europa oder in den USA werden durch die neuen Regelungen um ca. 10 bis 15 % steigen. Diese Ausgaben finden allerdings in der regulären Wirtschaft statt und tragen zum BIP bei, während Lösegelder in den Untergrund gehen, zumeist nach China oder Russland. Das Wettrüsten im virtuellen Raum geht also weiter.