Die zunehmende Abstützung aller gesellschaftlichen Bereiche auf vernetzte Informations- und Kommunikationstechnologie (IKT)-Systeme führt zu vitalen Abhängigkeiten von deren Funktionieren. Die Schwachstellen der IKT-Systeme können zu Cyber-Angriffen gegen Einzelpersonen, Unternehmen, Behörden und den ganzen Staat genutzt werden. Nur eine gemeinsame Anstrengung und das Setzen eines Bündels von Absicherungsmaßnahmen ermöglicht die Reduktion der Risiken auf ein beherrschbares Ausmaß.

Im Jahr 2020 werden mehr als 5 Milliarden Menschen Zugang zum Internet haben und mehr als 20 Milliarden Dinge mit dem Internet verknüpft sein. Dieser Trend, vom "Internet of Things" zum "Internet of Everything" ("Volldigitalisierung"), wird sich weiter fortsetzen, mit dem Ergebnis, dass mittelfristig beinahe die gesamte Menschheit und 50 Milliarden Dinge mit diesem gigantischen Netz verbunden sein werden. Eng verknüpft mit dieser Entwicklung sind Trends wie Industrie 4.0, Roboter und Drohnen, Big Data, Cloud Computing, Methoden der prognostischen Analyse (Predictive/Forecast Analytics) sowie Mobilität und permanente Erreichbarkeit.

Mit dieser dynamischen, technologischen Entwicklung geht ein rasanter und dramatischer Wandel bestehender Strukturen in Staat, Wirtschaft und Gesellschaft einher, der mittlerweile weltweit nahezu alle Menschen berührt. Trotz der damit verbundenen Vorteile, wie eine enorme Produktivitätssteigerung in vielen wirtschaftlichen Bereichen, effizientere Verwaltung oder den globalen Kommunikationsmöglichkeiten, dürfen die Risiken nicht ausgeblendet werden.

Die Digitalisierung aller Gesellschaftsbereiche führt nämlich zu einer massiven Abhängigkeit von der Verfügbarkeit der gespeicherten Daten, der Funktionsfähigkeit der Informations- und Kommunikationstechnik-Infrastrukturen (IKT-Infrastrukturen) und dem reibungslosen Fluss riesiger Datenmengen.

Leider gibt es weder fehlerfreie Soft- noch Hardware, täglich werden neue Schwachstellen entdeckt. Zudem ergeben sich am Übertragungsweg der Daten zahlreiche Möglichkeiten für Angriffe.

Daher müssen Staaten, Unternehmen, Organisationen und Einzelpersonen mit folgenden, neuen Bedrohungsszenarien rechnen: Missbrauch personenbezogener Daten durch Predictive Analytics-Methoden, Cyber-Angriffe um Geld zu ergaunern, Cyber- Wirtschafts- und Konkurrenzspionage, Sabotageangriffe gegen strategisch bedeutsame Unternehmen und Behörden sowie großangelegte Attacken auf die Souveränität eines Staates.

Dabei sind folgende Trends erkennbar: Cyber-Attacken kommen laufend und treffen jeden, Unternehmen, Behörden und Einzelpersonen. Angreifer werden immer professioneller, beschäftigen sich intensiv mit den Opfern. Angriffe werden indirekt geführt und werden als Dienstleistungen im Netz angeboten (Attacks-as-a-Service). Angriffe gegen strategische Infrastrukturen nehmen zu. Schadprogramme werden industriell gefertigt, täglich tauchen 100.000e neue auf.

Am oberen Ende der Bedrohungsskala steht der durch großangelegte Cyber-Angriffe verursachte digitale Stillstand. Die grundsätzlichen Überlegungen für ein derartiges Szenario gehen davon aus, dass ein Staat von seinen strategischen Infrastrukturen wie die Elektrizitätsversorgung, Telekommunikation, Internet, Bundesbahn- und andere Logistiksysteme, Wasser- und Lebensmittelversorgung, Abwasserentsorgung, Banken und Geldversorgung, Militär, Sicherheits- und andere Behörden, Kraftwerk- und Staudämme, Krankenhäuser und Notfalleinrichtungen, ORF, andere Medien, Luftverkehrskontrollzentren und Flughäfen abhängig ist. Alle diese strategischen Infrastrukturen sind massiv von deren IKT abhängig und eng miteinander vermascht.

Ein massiver Angriff auf diese strategisch bedeutsamen IKT-Systeme hat damit unter Umständen ähnliche Wirkungen wie ein massiver Angriff auf die industrielle Basis eines Staates und könnte zu einem politisch verwertbaren Ergebnis genutzt werden. Zur strategischen Bedrohung werden diese Angriffe, wenn sie einen langfristigen, digitalen Stillstand des gesamten Staates zur Folge haben. Solche massive, großflächige Angriffe mit dem Ziel durch Herbeiführung eines digitalen Stillstandes einen Staat in die Knie zu zwingen, entsprechen einem Cyberwar-Szenario. Davon sieht man im Frieden nicht viel, denn die Entwicklung und Testung von Cyberwaffen erfolgt in Laborumgebung. Was man erkennen könnte, sind Handlungen zur Auskundschaftung und Infiltrierung relevanter Ziele.

Den Kehrseiten der digitalisierten, vernetzten Welt muss durch ein Bündel von Sicherheitsmaßnahmen auf allen Ebenen begegnet werden. Wichtig ist, dass Behörden, Unternehmen und die Bevölkerung sich dieser Bedrohung bewusst sind. Jeder kann mit einfachen Maßnahmen für PC und mobile Geräte, wie die permanente Aktualisierung aller Programme, die Verwendung einer Firewall und Anti-Virensoftware und sicherheitsbewusstes Verhalten im Netz, ein Mindestmaß an persönlichem Schutz erreichen und damit einen Beitrag zu mehr Sicherheit im Netz leisten.

Bei Behörden und Unternehmen ist permanent IKT-Sicherheit auf hohem Niveau erforderlich. Das erfordert zwingend eine Sicherheitsorganisation, die eine rasche, professionelle Reaktion (Incident Management) bei Sicherheitsvorfällen leisten kann. Dabei ist eine Frühwarnung zur vorbeugenden raschen Reaktion äußerst wertvoll, eine der Hauptaufgaben für staatliche Cyber-Elemente (Cyber Defence Centre, Cyber Security Center, GovCERT). Zur Bewältigung von Angriffen und Minimierung deren Folgen ist es notwendig, Redundanzen aufzubauen und Notfallpläne vorzubereiten.

Die militärische Landesverteidigung im Cyber-Raum (Cyber Defence) beschäftigt sich ausschließlich mit dem zuletzt beschriebenen Szenario: Nur bei Vorliegen eines Angriffes auf die staatliche Souveränität und selbstverständlich nach politischer Entscheidung ist das Militär zuständig. Alle anderen Szenarien fallen in die Zuständigkeit des BMI, dem das Militär auf Anforderung Assistenz leisten kann, wenn Ressourcen verfügbar sind.

Das beinahe voll digitalisierte österreichische Bundesheer kann den Auftrag, "Schutz und Hilfe" als strategische Reserve Österreichs, nur erfüllen, wenn die Verfügbarkeit, Integrität und Vertraulichkeit der militärischen IKT-Systeme sichergestellt sind. Weiters bereitet das ÖBH einen Beitrag zur Resilienz anderer Behörden und den strategischen zivilen Infrastrukturen vor und setzt Verteidigungsmaßnahmen bei großangelegten Angriffen.