Digitalisierung dominiert die Sicherheitsforschung
Um mit der zunehmenden Digitalisierung sämtlicher Lebensbereiche auch in puncto nationaler Sicherheit Schritt halten zu können, braucht es verstärkte Forschungsanstrengungen. Innerhalb des staatlichen Sicherheitsforschungsprogramms KIRAS ist der Anteil jener Projekte, die sich der IT-Sicherheit widmen, kontinuierlich am Steigen.
"Das Verhältnis hat sich budgetär von grob einem Drittel der Projekte ca. 2007/2008 bis auf fast zwei Drittel 2014/2015 erhöht", erläuterte Ralph Hammer von der Stabsstelle für Technologietransfer und Sicherheitsforschung im Infrastrukturministerium (BMVIT) gegenüber APA-Science die Verschiebung in Richtung IKT (Informations- und Kommunikationstechnologien) bzw. Digitalisierung. Wohl müsse man hier noch unterscheiden zwischen IKT- bzw. Cybersecuritymaßnahmen, die Schutz vor IKT-Risiken bieten, und IKT etwa zur Unterstützung von Einsatzkräften oder für das Katastrophenmanagement. Klar sei aber, dass die "digitale Evolution" für alle Alltagshandlungen gelte, daher auch für den Alltag der Sicherheitskräfte und -organisationen.
Während sicherheitspolitisch in Österreich das Innenministerium und das Verteidigungsministerium für Maßnahmen und Umsetzung von IT-Fragen zuständig sind, laufe die nationale Sicherheitsforschung im Wesentlichen auf KIRAS hinaus: "De facto ausschließlich, wenn man die Auftragsforschung wegrechnet", so Hammer. Aber das sei schon rechtlich ein anderes Thema, weil KIRAS als angewandtes Forschungsförderungsprogramm einen anderen Zugang verfolge.
Schutz kritischer Infrastrukturen
Thematisch spannt KIRAS einen weiten Bogen. Der Terminus "Sicherheit" wird immer als "Sicherheit vor einer gewissen Bedrohung", im Sinne des englischen Begriffs "Security", verstanden. In der ersten Programm-Phase (2005 bis 2013) richtete sich der Fokus vor allem auf den Schutz kritischer Infrastrukturen, mit den Forschungssektoren "Energie", "Wasser", "Lebensmittel", "Gesundheitswesen", "Finanzwesen", "Öffentliche Sicherheit und Ordnung und öffentliche Verwaltung", "Verkehr und Transport", "Wissenschaftliche Infrastruktur" und "Kommunikation und Information".
Momentan befindet sich das Programm zwischen zwei Ausschreibungen. Der bisher letzte Call ist im Februar 2016 abgelaufen und wird derzeit begutachtet, daher lässt sich zu den konkreten Projekten noch nichts Genaues sagen. Was aber generell bei den Einreichungen auffällig sei, ist ein immer stärker werdender Fokus im Bereich digitale Währungen: "Dabei geht es um die Nutzung von Forensik und Verbrechensaufklärung genauso wie um die Analyse von Deep- und Darkweb-Usern gerade im organisierten Kriminalitätsbereich", so Hammer.
Aktuelle Bedrohungsszenarien
Hammer geht aufgrund der derzeitigen Sicherheitslage in Europa davon aus, dass in die neue Ausschreibung mit Start diesen Herbst auch Themen wie Terrorismus und Migration verstärkt einfließen werden. Das bedeute aber nicht, dass sich Bedarfsträger von dem Programm gewissermaßen schlüsselfertige Produkte bestellen könnten. "Am Ende muss man immer sagen, es ist ein Forschungsprojekt, das dabei herauskommt und kein Produkt und keine Dienstleistung. Das ist nicht die Idee eines angewandten Forschungsförderungsprogramms", schränkt Hammer ein.
Große, technologisch getriebene Trends liegen ebenfalls im Fokus des Programms. Wegen des Hauptaugenmerks auf der öffentlichen Sicherheit sei etwa Industrie 4.0 nur in Bezug auf den Schutz kritischer Infrastrukturen ein Forschungsgegenstand, nicht aber, wenn es um die Werkssicherheit einer einzelnen Firma geht. Dafür gebe es wieder andere Programme wie etwa "Produktion der Zukunft". "Internet of Things ist ein großes Thema, und das betrifft einerseits vor allem die Verschlüsselung. Anderseits muss man auch überlegen, ob man nicht auch aktive, vor allem Privacy-Maßnahmen zulässt wie zum Beispiel Scrambler gegen Drohnen oder Ähnliches."
Als ein Erfolgsbeispiel nennt Hammer das Projekt SCUDO, eine Software für Planspiele zur Vorbereitung auf Cyber-Angriffe. Mithilfe dieses Programms werden Unternehmen und Einsatzkräfte durch konkrete Schutzübungen bei der Beurteilung und Bewältigung verschiedenster Notfälle unterstützt. "Dieses privat-öffentliche Zusammenspiel funktioniert zumindest bei einigen großen Playern schon ganz gut", sagt der Experte. Speziell für KMUS wie aber auch für jeden in der vernetzten Welt sei derzeit eines der größten Probleme, einfache leistungsneutrale Verschlüsselungssysteme zu besitzen.
Effizienz oft vor Sicherheit
Die kritische Infrastruktur in Österreich - dazu zählen zum Beispiel Kraftwerke oder die Wasserversorgung - sei nicht besser oder schlechter gesichert als anderswo in Europa. Die Frage sei aber deshalb heikel, weil die meiste kritische Infrastruktur privat betrieben, aber staatlich reguliert sei: "Dadurch, dass sie privat ist, geht sie grundsätzlich von wirtschaftlichen Überlegungen aus, und in einer modernen Volkswirtschaft heißt das Effizienz vor allem anderen. Und je effizienter und ausgelagerter ich bin, desto angreifbarer bin ich auch und desto weniger redundant oder resilient kann ich sein." Das große Grundproblem sei weniger eines der Technologie als eines des politisch/wirtschaftlichen Willens, die Frage sei wie so oft, "wer das alles zahlen soll".
Viele solcher Sicherheitsprobleme sind aber ohnehin nicht mehr national zu lösen. "Ein nicht geringer Teil meiner Arbeit macht auch die Verbindung zu Europa aus. Weil dort ist das große Geld vorhanden. Und da sind wir als BMVIT primär dafür zuständig, eine gemeinsame Ausschreibung der nationalen Programme aufzusetzen." Entsprechend stelle sich das Programm neben reinen Fördermaßnahmen darüber hinaus zur Aufgabe, als Steigbügelhalter für das europäische Sicherheitsforschungsprogramm zu dienen, "für Akteure, die in der aufgrund der Vernetzungsnotwendigkeiten relativ komplexen Sicherheitsforschung noch nicht erfahren sind".
Raum für Geisteswissenschaften
Großen Wert legt man im Rahmen von KIRAS auch darauf, dass die Geistes-, Sozial- und Kulturwissenschaften (GSK) ausreichend Raum bekommen. Um Technologien "akzeptabel gesellschaftlich vorzubereiten", nimmt etwa die Technologiebegleitforschung einen entsprechend großen Anteil an den KIRAS-Projekten ein. Das werde von Geistes- und Sozialwissenschaftern zwar oft nicht unkritisch gesehen, wähnt man sich mitunter doch als "Feigenblatt" für die Technologieentwicklung, doch sei gesellschaftliche Akzeptanz bei Technologien, die dem Schutz der Bevölkerung dienen sollen, eben besonders wichtig, erklärt der Experte.
Ein implizites Dauerthema ist der Datenschutz. Dahin gehende Bedenken ließen sich bei den Projekten aber meist zerstreuen. So habe man für das auf Großveranstaltungen ausgerichtete Projekt "EN MASSE" (Einsatzsystem für Großevents mit Multi-Sensor Personenstromanalyse zur Echtzeitlagevisualisierung und Kurzfristprognose) eine diesbezügliche Anfrage der Piratenpartei - Einsatzgebiet war das Nova Rock Festival - zu deren Zufriedenheit beantworten können. Diese hielt in ihrer Antwort fest, "dass die geplante Optimierung der Sicherheitsmaßnahmen unter Einhaltung des Datenschutzes und der Einhaltung der Privatsphäre erfolgen werden" und die Bedenken somit ausgeräumt seien.
"Konsequenzerziehungsangebote"
Dass der Mensch in Sachen IT meist selbst der größte Unsicherheitsfaktor ist - Stichwort DAU, "der Dümmste Anzunehmende User" -, gilt mittlerweile als Binsenweisheit. "Der Mensch ist der, der im Kern geschützt gehört, dem das Programm immer auch zugutekommen soll. Sicherheit ist dann gut, wenn sie nicht bemerkt wird", sagt Hammer. Gerade beim Thema vernetzte Welt sei das "Human-Machine-Interface" ganz zentral, daher brauche es entsprechende Ausbildungsangebote für die Nutzer, die das Grundverständnis erhöhen, wie was funktioniert im IKT-Bereich: "Ich würde es ein Konsequenzerziehungsangebot nennen, nämlich dass es keine Gratisangebote gibt bei den ganzen Apps und Clouds - da muss ich Daten hergeben."
Im Rahmen von KIRAS wurden bisher 172 Forschungsprojekte mit 58 Mio. Euro gefördert und Wertschöpfungseffekte von 116 Mio. Euro erzielt, teilte das BMVIT anlässlich des zehnjährigen Programmjubiläums im November 2015 mit. Die KIRAS-Gesamtjahresbudgets bewegen sich laut Hammer im Schnitt um die 6,5 Mio. Euro, während die Rückläufe aus dem europäischen Sicherheitsforschungsprogramm durchschnittlich bei sieben Mio. Euro liegen. Die Laufzeit des Programms ist bis Ende 2020 verlängert worden.
Von Mario Wasserfaller / APA-Science