Sicherheit in der Informations- und Kommunikationstechnik (IKT)

  1. Allgemeines
  2. Hauptpunkte der IKT-Sicherheit
  3. Vorgaben und Richtlinien
  4. Informationssicherheitshandbuch
  5. Sicherheitsstufen
  6. Sicherheits- und Verteidigungsdoktrin
  7. Europäische Union
  8. OECD-Richtlinien für die Sicherheit von Informationssystemen und -netzen
  9. Weitere Informationen
  10. Weiterführende Dokumente

Allgemeines

Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen, Bürgern und Behörden ist es von großer Bedeutung, dass die Sicherheit gewährleistet ist, vor allem beim Versenden von sensiblen Daten. IKT-Sicherheit bildet einen wichtigen Bestandteil von E-Government und gewährleistet sowohl die Integrität und Authentizität der Dokumente als auch deren vertrauliche Übermittlung in öffentlichen Netzen.

Zum Seiteninhalt

Hauptpunkte der IKT-Sicherheit

  • Vertraulichkeit: Es darf keine Möglichkeit zur unbemerkten und unautorisierten Kenntnisnahme der Daten geben.
  • Integrität: Die Vollständigkeit und Richtigkeit der Daten wird bestätigt und Datenmanipulationen werden festgestellt.
  • Verbindlichkeit: Die Rechtsgültigkeit von Aktionen ist zu gewährleisten.
  • Authentizität: Die Echtheit und Glaubwürdigkeit von Objekten muss garantiert sein.
  • Verfügbarkeit: Systeme und Dienste müssen verfügbar und funktionsfähig sein.
  • Privatsphäre, Datenschutz und Datensicherheit: Im Sinne des Datenschutzes wird die Anonymität und die Verhinderung der Profilerstellung über Einzelne sichergestellt.
Zum Seiteninhalt

Vorgaben und Richtlinien

Um den verantwortungsvollen Umgang mit persönlichen Daten
der Bürgerinnen und Bürger zu garantieren, wird kontinuierlich an der Schaffung von geeigneten Normen, Richtlinien und Empfehlungen gearbeitet. Verschiedenste themenspezifische Arbeitsgruppen befassen sich mit den unterschiedlichen Aspekten der IKT-Sicherheit unter Berücksichtigung gesetzlicher Rahmenbedingungen und Vorgaben.

In diesem Zusammenhang hat das österreichische Strafrechtsänderungsgesetz 2002, mit dem auch die Cybercrime-Konvention des Europarates vom November 2001 umgesetzt wurde, neue Deliktstatbestände geschaffen. Diese sind beispielsweise:

  • Widerrechtlicher Zugriff auf ein Computersystem
  • Störung der Funktionsfähigkeit eines Computersystems
  • Missbräuchliches Abfangen von Daten
  • Datenfälschung

Das Strafrechtsänderungsgesetz 2008 hat hier nochmals einige Anpassungen vorgenommen.

Das österreichische Informationssicherheitsgesetz 2002 definiert die rechtlichen Grundlagen für die Umsetzung völkerrechtlicher Verpflichtungen Österreichs zur sicheren Verwendung von klassifizierten Informationen.

Mit dem Datenschutzgesetz werden die verfassungsrechtlichen Bestimmungen zum Schutz personenbezogener Informationen in die gültige Rechtspraxis umgesetzt.

Weitere Gesetze - zum Beispiel das E-Commerce-Gesetz oder das Signaturgesetz - definieren den Rechtsrahmen für den Einsatz innovativer Technologien und sind im Rechtsinformationssystem des Bundes (RIS) einsehbar.

Rechtsinformationssystem des Bundes

Zum Seiteninhalt

Informationssicherheitshandbuch

Das vorliegende Österreichische Informationssicherheitshandbuch ist ein Leitfaden, mit dessen Hilfe einfach und effizient ein umfassender Grundschutz in Unternehmen und Organisationen realisiert werden kann. Sicherheit berührt jeden Einzelnen und jede Einzelne in öffentlichen Institutionen, Unternehmen und Organisationen – von der Standortwahl bis zur Systemadministration, vom Management bis zum Anwender und der Anwenderin.

Das Handbuch besteht aus den beiden Teilen Informationssicherheitsmanagement und Informationssicherheitsmaßnahmen. Die Thematik Sicherheit von Informationen wird darin ganzheitlich dargestellt, unabhängig davon, ob diese sich auf Papier befinden oder in elektronischer Form vorliegen. Bewusst werden die Themen in allgemein formulierter Weise behandelt, um sowohl einen breiten Personenkreis anzusprechen, als auch um auf eine Vielfalt von Informationssystemen anwendbar zu sein.

Weitere Informationen zum Sicherheitshandbuch finden Sie auf den Seiten der A-SIT unter Informationssicherheitshandbuch.

Zum Seiteninhalt

Sicherheitsstufen

Zu den klaren Strategien von E-Government zählen auch die Methoden der identifizierten und vertraulichen Kommunikation. Findet die Kommunikation über offene Netze statt, so sind entsprechende Sicherheitsstufen vorzusehen, um den Anforderungen der eindeutigen Identifikation der Kommunikationspartner, der Unverfälschtheit und Vertraulichkeit der übermittelten Daten und des Datenschutzes zu genügen. Die Sicherheitsstufen werden in drei Stufen unterteilt und stellen eine Ergänzung zu den Sicherheitsklassen dar, die derzeit für den Portalverbund definiert wurden. Um nun die geeignete Sicherheitsstufe auswählen zu können, bedarf es unter anderem einer Risikoanalyse nach dem österreichischen IT-Sicherheitshandbuch.

Folgende Stufen unterschiedlicher Qualität werden definiert:

  • Sicherheitsstufe I: Hier gibt es keinen besonderen Sicherheitsbedarf. Eine Basissicherheit kann bereits mittels einer einseitig authentifizierten TLS-Verbindung (Transport Layer Security) erreicht werden (serverseitige Authentifizierung).

  • Sicherheitsstufe II: Dabei wird eine sichere Kommunikation im Verwaltungsverfahren gefordert, wobei Client und Server Klarheit darüber haben, wer der Kommunikationspartner ist und können auch von der Vertraulichkeit im Rahmen der Sicherheit der kryptographischen Schlüssel und Algorithmen ausgehen. Für die Sicherstellung einer qualitativ hochwertigen Identifikation wird mittelfristig die Bürgerkarte vorgesehen.

  • Sicherheitsstufe III: Diese Kommunikation erfordert eine hohe Sicherheit. Die höchste Sicherheitsstufe im Bereich E-Government, die auch für die Kommunikation Verwaltung – Verwaltung angewandt werden kann, wurde darauf ausgelegt, dass sie auch kompromittierten Endgeräten standhält. Bei Anwendung dieser Sicherheitsstufe haben Client und Server Klarheit über den Kommunikationspartner und können auch von der Vertraulichkeit im Rahmen der Sicherheit der kryptographischen Schlüssel und Algorithmen ausgehen. Es kommt wiederum TLS zum Einsatz, wobei nun die notwendigen Zertifikate des Clients und des Servers in vertrauenswürdigen Komponenten gehalten werden und technisch vor Modifikation geschützt sind.

Das Dokument steht unter dem Titel
Sicherheitsstufen für die Kommunikation Bürger - Behörde im Bereich E-Government zur Verfügung.

Zum Seiteninhalt

Sicherheits- und Verteidigungsdoktrin

Der Nationalrat hat am 12. Dezember 2001 die österreichische Sicherheits- und Verteidigungsdoktrin beschlossen. Inhalt dieser Doktrin ist das Ersuchen an die Bundesregierung, für alle sicherheitspolitisch relevanten Bereiche Teilstrategien auszuarbeiten. Die Teilstrategie IKT-Sicherheit wurde im Dezember 2002 mit Beschluss des IKT-Boards fertig gestellt und zur Kenntnis genommen. Ein wesentliches Thema stellt insbesondere seit dem September 2001 der Schutz von kritischen Infrastrukturen dar, der mit dem APCIP, eingebettet in entsprechende EU-weite Maßnahmen, sichergestellt werden soll.

Das Dokument steht unter dem Titel Österreichische Sicherheits- und Verteidigungsdoktrin zur Verfügung.

Zum Seiteninhalt

Europäische Union

Das Thema Informationssicherheit hat in den letzten Jahren in zunehmendem Maße internationale Organisationen beschäftigt, woraus im Rahmen der EU-Mitgliedschaft Österreichs auch rechtsverbindliche Bedeutung für die Hoheitsverwaltung resultiert. Die Europäische Kommission hat bereits in ihrer Mitteilung "Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz" (Juni 2001) die Gewichtigkeit dieser Problematik hervorgehoben: "Sicherheit ist auf dem Weg, eine Priorität zu werden, weil Kommunikations- und Informationsinfrastrukturen ein wichtiger Faktor für wirtschaftliche und soziale Entwicklung geworden sind. Netze und Informationssysteme ermöglichen Dienstleistungen und übertragen Daten in einem Maße, in dem dies noch vor wenigen Jahren unvorstellbar war. Ihre Verfügbarkeit ist für andere Infrastrukturen wie etwa Wasser- oder Stromversorgung unerlässlich. Je mehr jedermann, ob Unternehmen, Bürgerin, Bürger oder öffentliche Verwaltungen, die Möglichkeiten der Kommunikationsnetze nutzen möchte, desto mehr wird die Sicherheit dieser Systeme zu einer Voraussetzung für weiteren Fortschritt."

Dem ist seither eine ganze Reihe von EU-Dokumenten nachgefolgt, darunter allein seit dem Jahr 2006:

  • Mitteilung der Europäischen Kommission: Eine Strategie für eine sichere Informationsgesellschaft - Dialog, Partnerschaft und Delegation der Verantwortung; KOM(2006) 251.
  • Mitteilung über die Durchführung des mehrjährigen Gemeinschaftsprogramms zur Förderung der sichereren Nutzung des Internet und neuer Online-Technologien (Mehr Sicherheit im Internet); KOM(2006) 661.
  • Abschließende Bewertung der Durchführung des mehrjährigen Aktionsplans der Gemeinschaft zur Förderung der sicheren Nutzung des Internet durch die Bekämpfung illegaler und schädlicher Inhalte in globalen Netzen; KOM(2006) 663.
  • Mitteilung über die Bekämpfung von Spam, Späh- und Schadsoftware, KOM(2006) 688.
  • Mitteilung über ein Europäisches Programm für den Schutz kritischer Infrastrukturen, KOM(2006) 786.
  • Mitteilung über den Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie, KOM(2007) 87.
  • Mitteilung über die Verbesserung des Datenschutzes durch Technologien zum Schutz der Privatsphäre, KOM(2007) 228.

Explizit wird von der Europäischen Kommission festgehalten, dass insbesondere öffentliche Verwaltungen sich um die Sicherheit ihrer Systeme kümmern sollten, und zwar nicht nur um die Informationen des öffentlichen Sektors zu schützen, sondern auch um mit gutem Beispiel voranzugehen und zur generellen Bewusstseinsbildung zum Thema Informationssicherheit beizutragen.

Weiters wurde im Dezember 2006 die Ratsentschließung "Eine Strategie für eine sichere Informationsgesellschaft in Europa" von den Telekom-Ministern verabschiedet.

Mit der Verordnung des Europäischen Rates vom 28. Jänner 2004 betreffend die Errichtung der Europäischen Agentur für Netz- und Informationssicherheit wurde auf europäischer Ebene eine Institution geschaffen, die diese Zielsetzungen verfolgen beziehungsweise deren Erreichung unterstützen soll.

Weitere Informationen finden Sie unter:
Europäische Agentur für Netz- und Informationssicherheit
E-Government in Europa

Zum Seiteninhalt

OECD-Richtlinien für die Sicherheit von Informationssystemen und -netzen

Die Organisation für wirtschaftliche Kooperation und Entwicklung (OECD) befasst sich ebenfalls intensiv mit einschlägigen Fragen und hat bereits vor Jahren die OECD-Richtlinien für die Sicherheit von Informationssystemen und -netzen ausgearbeitet, um auf die Wichtigkeit von IKT-Sicherheit angesichts zunehmender Bedrohungen wie zum Beispiel Cyber-Terrorismus, Computerviren und Computerwürmer oder Hackangriffe zu reagieren.

Diese Richtlinien zielen vor allem auf die Sensibilisierung aller Beteiligten zum Schutz von Informationssystemen und Netzwerken ab. Für die Umsetzung wurde eine eigene Webseite eingerichtet, die als Plattform für den Informationsaustausch auf internationaler Ebene dient. Dort findet sich auch eine Linksammlung, die auf dem Weg zu einer globalen Sicherheitskultur behilflich sein soll. Diese Initiative wurde von der OECD Arbeitsgruppe WPISP gestartet, um mit bekannten und anerkannten Schutzmaßnahmen sowie Best Practices den Gefahren von IKT-Infrastrukturen entgegenzuwirken.

Beispielhaft können folgende Dokumente in englischer Sprache zu den aktuellen Arbeiten angeführt werden:

Weitere Informationen finden Sie auf den Seiten der OECD:

Zum Seiteninhalt

Weitere Informationen

Weitere Informationen zum Thema IKT-Sicherheit finden Sie auf den Seiten Saferinternet.at des Österreichischen Instituts für angewandte Telekommunikation unter Saferinternet.

Informationen zum Government Computer Emergency Response Team (GovCERT) für die öffentliche Verwaltung und die kritische Informations-Infrastruktur (KII) in Österreich finden Sie in den Seiten des GovCERT in Österreich.

Zum Seiteninhalt

Weiterführende Dokumente

Internet-Sicherheit Österreich 2012 (PDF 856 kB)
Sind Sie sicher? Informationssicherheit in der öffentlichen Verwaltung (PDF 1583 kB)