Cybersecurity: Systematisierung, Forschungsstand und Innovationspotenziale

Das österreichische Parlament hat das Institut für Technikfolgen-Abschätzung der Österreichischen Akademie der Wissenschaften (ÖAW) und das  Austrian Institute of Technology (AIT) mit einer Studie zu Fragen der Cybersecurity beauftragt. Die Studie beinhaltet eine Systematisierung, den aktuellen Forschungsstand zum Thema sowie Innovationspotentiale für die Zukunft und nennt acht Handlungsempfehlungen:

  • Bewusstsein über Cybersecurity in der Gesellschaft stärken
  • Cybersecurity als integralen Bestandteil von IKT-Produkten und Services etablieren und Security-by-Design Methoden anwenden
  • Foresight für Cybersecurity durchführen
  • Koordination und Kooperation zwischen Akteuren und Stakeholdern stärken
  • Aktive Gestaltung auf europäischer und internationaler Ebene vornehmen
  • Stärkefelder und Nischen ausbauen
  • Wissenschaftskommunikation und Wissenstransfer stärken
  • Den Wirtschaftszweig Cybersecurity gezielt aufbauen und stärken

Executive Summary

“Die Durchdringung unserer Gesellschaft mit Informations- und Kommunikationstechnologie (IKT) als wesentlicher Effekt der Digitalisierung bietet unbestritten neue Chancen, aber auch große Herausforderungen. Die vielen neuartigen Services auf multifunktionalen Geräten, die Verbesserung der Kommunikation, die Möglichkeit effektiver zu wirtschaften, neue Organisationsformen, und neue Arten die Freizeit zu erleben sind nur einige der Auswirkungen der digitalen Transformation. Die hochgradige IKT-Vernetzung in allen Lebensbereichen wirft Fragestellungen zur Verletzlichkeit digitaler Technologien und schlussendlich unserer Gesellschaft auf. Um als Gesellschaft diesen Pfad der Digitalisierung aktiv zu gestalten, müssen gleichzeitig auch Sicherheitsaspekte berücksichtigt werden. Einerseits muss Schutz gegen bewusste Angriffe auf (öffentliche und private) IKT-Strukturen, aber auch gegen unbewusstes Fehlverhalten mit potenziell großen Auswirkungen auf unser soziales Zusammenleben hergestellt werden.

Die große Herausforderung besteht darin, dass die Digitalisierung mittlerweile alle Lebensbereiche betrifft. Demzufolge muss auch die Sicherheit und Resilienz digitaler Systeme in all diesen Bereichen berücksichtigt werden. Diese immer intensivere Dynamik macht auch vor den staatlichen Strukturen und ihren Institutionen nicht halt. Cybersecurity ist damit keine für sich alleinstehende Domäne, sondern vielmehr eine essenzielle Querschnittsmaterie mit vielschichtigen Verbindungen in andere Lebensbereiche. Diese inhärente Komplexität von digitaler Sicherheit macht das Thema Cybersecurity schwer abgrenzbar.

Die hier vorliegende Arbeit versucht dieser Denkweise Rechnung zu tragen und unternimmt den Versuch einer systematischen Strukturierung des Themas Cybersecurity aus technischer, gesellschaftlicher sowie Forschungs- und Innovationsperspektive. Um aus österreichischer Sicht Cybersecurity aktiv gestalten zu können, wurden folgende Schlussfolgerungen und Handlungsoptionen unter Einbeziehung von langjährigen ExpertInnen in Interviews und einem Workshops entwickelt:

Cybersecurity ist ein Thema mit hoher gesellschaftlicher Relevanz

Mit der fortschreitenden Digitalisierung und der Durchdringung aller Aspekte des Lebens durch digitale Technologien verwandelte sich auch der Sicherheitsaspekt von rein technisch-bezogener IT-Security in ein breiteres Verständnis der Cybersecurity. Cybersecurity ist nunmehr ein Synonym für umfassenden Schutz des digitalen Lebens und soll somit auch die Vielschichtigkeit des Themas signalisieren.

Die Digitalisierung und der steigende Vernetzungsgrad bewirkt, dass Cybersecurity nun alle Gesellschaftsbereiche und Akteure, von Staaten und Unternehmen bis hin zu Einzelpersonen, betrifft. In diesem Sinne bezieht sich Cybersecurity nicht nur auf das Verhindern vorsätzlicher Cyberattacken, sondern auch auf die zahlreichen anderen vielschichtigen Risiken für AnwenderInnen und Gesellschaft. Dazu zählen etwa Bedenken zum Datenschutz und der Privatsphäre, wenn AnwenderInnen mit einer stetig wachsenden Zahl an Kameras, Mikrofonen und Sensoren ausgestattet sind, oder die befürchteten Einschränkungen der Entscheidungs- und Meinungsfreiheit, wenn durch automatisierte Systeme der Informationsstrom zunehmend personalisiert und gefiltert wird.

Die zunehmende Professionalisierung der AngreiferInnen, die Entwicklung von Ransomware-Geschäftsmodellen sowie die effektiveren Angriffsmethoden, z.B. Ransomware, DDoS, APT, stellt Cybersecurity vor wachsende Herausforderungen. Durch die steigende Gefahr von hybriden Bedrohungen und Cyber Warfare, also die von Staaten geduldeten oder geförderten Angriffe auf staatliche Institutionen, kritische Infrastrukturen oder gezielte Verbreitung von Desinformation, entstehen auch Risiken für gesellschaftliche Strukturen und demokratische Grundwerte. Nur durch Cybersecurity kann diesen Gefahren begegnet und demokratische Institutionen gestärkt werden.

Angesichts der Bedeutung von Cybersecurity haben interviewte ExpertInnen sowie TeilnehmerInnen des Workshops einstimmig ein fehlendes Bewusstsein für Cybersecurity sowie den Auswirkungen der Digitalisierung festgestellt. Dies betrifft alle Akteure, von Organisationen und Unternehmen bis hin zu Einzelpersonen und EndnutzerInnen.

Handlungsempfehlung 1: Bewusstsein über Cybersecurity in der Gesellschaft stärken

Die Digitalisierung hat in den letzten Jahren viele Handlungsfelder geschaffen, mit denen sich Österreich weit mehr als bisher beschäftigen muss. Neuartigen Trends, Gefahren, Risiken und Entwicklungen muss proaktiv begegnet und entgegengewirkt werden. Dabei ist es wichtig, in der breiten Bevölkerung, bei Unternehmen wie auch bei Einzelpersonen aller Altersgruppen ein hohes Maß an Grundverständnis und Bewusstsein zu entwickeln. Vor dem Hintergrund der hohen gesellschaftlichen Relevanz von Cybersecurity und dem gleichzeitig festgestellten Mangel an Bewusstsein über die Risiken der Digitalisierung sind Maßnahmen zur Bewusstseinsbildung über Cybersecurity für Politik, Privatunternehmen bis hin zur Bevölkerung und Einzelpersonen zu empfehlen. Gleichzeitig könnte somit ein gesellschaftlicher Diskurs über Cybersecurity und die proaktive Auseinandersetzung mit den Folgen der Digitalisierung forciert werden. Für Organisationen und Unternehmen könnten im Rahmen der Bewusstseinsbildung Cybersecurity-Übungen und Trainings unter Anwendung moderner Ansätze umgesetzt werden. Bewusstseinsbildung bei Einzelpersonen sollte im Kontext der Digital Literacy geschehen. Digital Literacy bezeichnet die Fähigkeit, sich sicher in einer digitalen Gesellschaft bewegen und dort auch lernen und arbeiten zu können. Diese Fähigkeit sollten im Idealfall schon in jungen Jahren, beispielsweise im Rahmen der Schulausbildung, erlernt und ständig weiterentwickelt werden.

Handlungsempfehlung 2: Cybersecurity als integralen Bestandteil von IKT-Produkten und Services etablieren und Security-by-Design Methoden anwenden

In engem Zusammenhang mit dem schwach ausgeprägten Bewusstsein über Cybersecurity und die Risiken der Digitalisierung steht auch das Verständnis von Cybersecurity als rein technisches Thema. Durch die fortschreitende Vernetzung hat sich Cybersecurity jedoch längst zu einem gesellschaftlichen Querschnittsthema gewandelt. Vor diesem Hintergrund sollte Cybersecurity als integraler Bestandteil von IKT-Produkten und Services betrachtet werden. Zum Beispiel sollten Security-by-Design Methoden beim Aufbau und der Konzeption neuer IKT-Systeme, Netzwerke oder Software berücksichtigt werden. So können Sicherheitseigenschaften bereits initial als Designkriterium integriert werden. Dadurch lassen sich Systemfehler vermeiden und potenziellen AngreiferInnen werden kleinere Angriffsflächen geboten.

Handlungsempfehlung 3: Foresight für Cybersecurity durchführen

Um den gesellschaftlichen Diskurs mit Cybersecurity zu forcieren und eine proaktive Auseinandersetzung mit Cybersecurity und den Auswirkungen der Digitalisierung zu implementieren, wird ein Foresight-Prozess zu Cybersecurity empfohlen. In diesem Rahmen kann durch Einbindung von PolitkvertreterInnen, ExpertInnen, Stakeholdern und BürgerInnen eine gesamtgesellschaftliche Diskussion über die Folgen der Digitalisierung und deren Auswirkungen auf Sicherheitsaspekte etabliert werden. Dies könnte zugleich einen Beitrag zur höheren Akzeptanz der digitalen Transformation und Etablierung einer Cybersecurity-Kultur leisten.

Cybersecurity stellt höhere Ansprüche an Kooperation und Koordination

Neben der hohen gesellschaftlichen Relevanz ist Cybersecurity auch rechtlich eine Querschnittsmaterie. Die Vielschichtigkeit und Komplexität des Themas bedingt darüber hinaus intensive Koordination, Kooperation, Informationsaustausch und gegenseitige Lernprozesse auf allen Akteursebenen. In diesem Zusammenhang wird der nationale Handlungsrahmen durch die Österreichische Cybersicherheit-Strategie und auf europäischer Ebene durch die Europäische Cybersecurity-Strategie gesetzt. Cybersecurity wird national durch das Bundeskanzleramt koordiniert, zusätzlich sind das Bundesministerium für Inneres, das Bundesministerium für europäische und internationale Angelegenheiten und das Bundesministerium für Landesverteidigungen ebenso für Aspekte von Cybersecurity zuständig. Auf strategischer und operativer Ebene wurde eine interministerielle Koordinationsstruktur etabliert, die Public-Private Partnership Cyber-Sicherheit-Plattform soll zudem den Austausch und die Koordination zwischen Wirtschaft, Wissenschaft und öffentlicher Verwaltung fördern.

In den Interviews und im Workshop wurde von den ExpertInnen die grundsätzlich gute Vernetzung innerhalb der Cybersecurity-Community hervorgehoben. Jedoch wurde trotz der etablierten Strukturen der Bedarf nach intensiverer und effektiverer Koordination und Abstimmung zwischen Akteuren und Stakeholdern geäußert. Dies betrifft einerseits die Koordination zwischen staatlichen und privaten Akteuren, andererseits die Kooperation auf operativer Ebene. In diesem Zusammenhang wurde im Rahmen von Interviews und Workshop auch der Bedarf nach aktiver Gestaltung von Digitalisierung und Cybersecurity geäußert. Einerseits würde das eine proaktive Auseinandersetzung mit Cybersecurity auf allen Ebenen, andererseits auch die proaktive Gestaltung und Positionierung Österreichs in diesem Themengebiet auf europäischer und internationaler Ebene bedeuten. Cybersecurity ist ein länderübergreifendes Thema und kann zudem nicht durch eine einzelne Gruppe von Akteuren oder Stakeholdern erreicht werden.

Handlungsempfehlung 4: Koordination und Kooperation zwischen Akteuren und Stakeholdern stärken

Um der Vielschichtigkeit und Komplexität des Themas gerecht zu werden, sollte die Kooperation und der Austausch auf operativer Ebene, genauer gesagt zwischen CERTs, CSIRTs, sowie mittels etablierter Informationsaustauschplattformen (z.B. CSP), gestärkt werden. Zusätzlich sollte auch die Abstimmung zwischen öffentlichen und privaten Akteuren intensiviert werden. Die CSP könnte in diesem Kontext eine prominentere Rolle einnehmen, indem Formate und Prozesse für bidirektionalen Informationsaustausch verstärkt werden. Gleichzeitig sollte auch die Kooperation zwischen staatlichen Institutionen und Forschungsakteuren sichergestellt werden, um geeignete Rahmenbedingungen und Schutzmechanismen etablieren zu können. Die effektivere Abstimmung und Kooperation der Akteure könnten das proaktive strategische, politische und gesetzliche Handeln sowie die Steuerung des Cybersecurity-Themas unterstützen.

Handlungsempfehlung 5: Aktive Gestaltung auf europäischer und internationaler Ebene vornehmen

Vor dem Hintergrund der steigenden Risiken von Cyber Warfare ist ein europäisch und international koordiniertes Handeln in Cybersecurity von hoher Relevanz. Österreich verfolgt bereits Aktivitäten und Maßnahmen im Bereich der Cyberdiplomatie, und auch auf europäischer Ebene ist Cyberdiplomatie ein zentraler Bestandteil der Cybersecurity-Strategie. Bestrebungen in Cyberdiplomatie und der internationalen Koordination sollten weiter verstärkt werden.

Darüber hinaus könnte sich Österreich und Europa durch existierende thematische Stärken und Aktivitäten auch international positionieren. Durch den europäischen Cybersecurity Act wurde ein Rahmen für die Etablierung von Cybersecurity-Zertifizierungsschemen in Produkten, Prozessen und Dienstleistungen geschaffen und die ENISA mit der Entwicklung von Zertifizierungsschemen betraut. Österreich kann in diesem Feld mit wachsender Relevanz Vorbildfunktion einnehmen. Das österreichische Gütesiegel für Cybersecurity “Cyber Trust Austria Label” des KSÖ ist das erste dieser Art in der EU. Zudem wurde bereits ein österreichisches CyberRisk Rating etabliert, um digitale Risiken in globalen Lieferketten sichtbar zu machen und Unternehmen mit einem standardisierten Cyber-Risikomanagement für Lieferanten zu unterstützen.

Österreichische Forschung in Cybersecurity spielt eine bedeutende Rolle auf europäischer Ebene

Die Analyse der österreichischen Beteiligung im europäischen Forschungsrahmenprogramm Horizon 2020 zeigt auf, dass österreichische Organisationen eine bedeutende Rolle einnehmen können und eine hohe Beteiligung an Cybersecurity-Projekten aufweisen. Interviews und Workshop bestätigen dieses Ergebnis: die befragten Cybersecurity-ExpertInnen verweisen einstimmig auf die Existenz mehrerer exzellenter, international sichtbarer Forschungsgruppen an Österreichs Universitäten, Forschungsorganisationen und Unternehmen.

Im Rahmen der Interviews und des Workshops wurden österreichische FTI-Aktivitäten, unter anderem in kooperativen europäischen und nationalen Forschungsprojekten, in Feldern wie Quantenkryptographie, Quantencomputing, Hardwaresicherheit, neue Werkzeuge und Methoden der Cybersecurity für öffentliche Organisationen und kritische Infrastrukturen als besondere Stärkefelder genannt. Darüber hinaus wurden durch die Programmdatenanalyse von Horizon 2020 österreichische Beteiligungen an FTI-Aktivitäten zu Cybersecurity in Produkten und Prozessen identifiziert, die durch die digitale Transformation einer zunehmenden Vernetzung erfahren (z.B. Automobilindustrie, Lieferketten). Dies weist auf ein bestehendes Potenzial in der Innovation und Integration von Cybersecurity in klassischen Industriefeldern hin. Darüber hinaus haben ExpertInnen im Rahmen von Interviews und Workshops die Bereiche OT-Security, E-Identität und E-Government als zusätzliche Stärkefelder Österreichs identifiziert.

Zudem verwiesen ExpertInnen in Interviews und im Workshop auf eine Reihe an FTI-Feldern mit wachsender Bedeutung und hohem Innovationspotenzial. Dazu gehören Cybersecurity-Aspekte im Kontext der Entwicklung von Künstlicher Intelligenz und Machine Learning, Blockchain, Desinformationserkennung, Cybersecurity im Kontext von IoT und Smart Devices sowie Ethik in Cybersecurity. Entwicklungen in der Quantentechnologie könnten ebenso eine Innovationschance für Österreich darstellen, nicht zuletzt aufgrund von existierenden FTI-Aktivitäten in den Bereichen Quantenkryptographie und Quantencomputing.

Handlungsempfehlung 6: Stärkefelder und Nischen ausbauen

Auf Basis der bereits sehr guten Positionierung der österreichischen FTI-Akteure auf europäischer Ebene sollte die österreichische Cybersecurity-Forschung weiter gestärkt werden. Aufgrund der Vielschichtigkeit des Cybersecurity-Themenbereichs ist es empfehlenswert, auf bestehende Stärkefelder und Nischen mit Zukunftspotenzial zu fokussieren. Zu den Stärkefeldern zählen unter anderem Hardwaresicherheit, neue Werkzeuge und Methoden der Cybersecurity, OT-Security, E-Identität und E-Government. Nischen mit Zukunftspotenzial sollten identifiziert und aktiv durch gezielten Kompetenzaufbau gefördert werden. Dazu zählen Maßnahmen wie Förderung der Grundlagenforschung, Einrichtung von Lehrstühlen sowie die Förderung von angewandter, intersektoraler und interdisziplinärer (Sicherheits-) Forschung. Cybersecurity-Aspekte in aktuellen FTI-Feldern wie Künstliche Intelligenz/Machine Learning, Blockchain und Quantencomputing könnten Chancen für österreichische FTI bieten.

Handlungsempfehlung 7: Wissenschaftskommunikation und Wissenstransfer stärken

Um die Anwendbarkeit von Forschungsergebnissen und deren Verbreitung vor allem in der breiten Bevölkerung zu erhöhen, ist es empfehlenswert, Maßnahmen zur Wissenschaftskommunikation und Wissenstransfer zu stärken. Der effektive Wissenstransfer zwischen Wissenschaft, Wirtschaft, Gesellschaft und Politik könnte neben der Sicherstellung der Anwendbarkeit der Ergebnisse für andere FTI-Akteure und andere Disziplinen auch einen Beitrag zur Bewusstseinsbildung über Cybersecurity und den Risiken der Digitalisierung leisten. Die Aufbereitung von Forschungsergebnissen in für Laien nachvollziehbarer Art und Weise, z.B. in Form von “Kids’ Corners” auf Webseiten, könnte eines der Maßnahmen darstellen.

Österreich hat ungenutzte Potenziale für ein Cybersecurity-(Innovations-)Ökosystem

Während die Analyse der österreichischen Beteiligungen im europäischen Forschungsrahmenprogramm Horizon 2020 eine sehr gute Positionierung österreichischer FTI-Akteure aufgezeigt hat, die mehrfach in Interviews und Workshop bestätigt wurde, wurde von den befragten ExpertInnen gleichzeitig eine Schwäche des Innovations- und Wirtschaftszweigs Cybersecurity festgestellt. Österreich und Europa sind in diesem Kontext abhängig von Cybersecurity-Lösungen aus Drittstaaten; es gibt kaum österreichische Lösungsanbieter. Die ExpertInnen schreiben diese Problematik vor allem einem fehlenden Ökosystem für den Wirtschaftszweig Cybersecurity zu. Zum einen besteht ein Fachkräftemangel vor dem Hintergrund der erwarteten steigenden Nachfrage, gleichzeitig auch ein Mangel sowohl an Lösungsanbietern als auch an Cybersecurity-Dienstleistern.

Handlungsempfehlung 8: Den Wirtschaftszweig Cybersecurity gezielt aufbauen und stärken

Vor dem Hintergrund der festgestellten Schwäche in der Cybersecurity-Unternehmenslandschaft und dem Mangel an Cybersecurity-ExpertInnen wird empfohlen, einen Schwerpunkt in die Unterstützung von Cybersecurity-Unternehmen zu legen. Einerseits sollte die Ausbildung von Cybersecurity-ExpertInnen, vor allem in außeruniversitären Ausbildungsstätten in der Lehre, Höheren Technischen Lehranstalten und Fachhochschulen zu forcieren. Andererseits sollten Maßnahmen in der Förderung von Cybersecurity-Lösungsanbietern und Dienstleistern umgesetzt werden. Dazu könnten Anreize für Wirtschaftsansiedlungen, Risikokapital für innovative Unternehmensgründungen sowie Maßnahmen zur Vernetzung der Unternehmen im Bereich Entwicklung von Cybersecurity-Lösungen zählen.”

Das barrierefreie PDF finden Sie am Ende der Seite.


Mehr dazu

Die Studie zum Download: ITA/AIT, Studie Cybersecurity (2021)

Alle Informationen zum Projekt Foresight und Technikfolgenabschätzung und weitere Zukunftsthemen für die österreichische Politik

Parlamentskorrespondenz Nr. 1503 vom 22.12.2021: Thema Cybersecurity als Chance für Forschung und Innovation in Österreich (PK-Nr. 1503/2021)