„Die Risiken sind multidimensional“

Als stellvertretender Vorsitzender des Unterausschusses für Sicherheit und Verteidigung (SEDE) und Mitglied des Ausschusses für auswärtige Angelegenheiten (AFET) setzt Mandl sich für die Verbesserung der Cybersicherheit und die Abwehr von Cyberbedrohungen ein. Er betont dabei vor allem die Notwendigkeit einer engen Zusammenarbeit zwischen den EU-Mitgliedstaaten, um effektive Maßnahmen zu entwickeln und die digitale Souveränität Europas zu stärken. Zudem fördert er die Cyberdiplomatie, um internationale Standards und Kooperationen im Bereich der Cybersicherheit zu etablieren.

Können Sie uns kurz zusammenfassen, worum es beim Cyber Resilience Act geht und warum dieser gerade jetzt von so großer Bedeutung ist?
Es geht im Kern um den Schutz für Unternehmen vor Cyberattacken. Solche Angriffe, die meist aus dem Verborgenen geschehen, richten sich gegen kleine und größere Betriebe, in unterschiedlichen Ausprägungen, und reichen bis hin zu Sabotageversuchen gegen staatliche Institutionen. Wir sehen oft nur die Auswüchse und die schädlichen Resultate. Diese können ein Unternehmen oft lange lahmlegen, sei es um der Zerstörung Willen oder zur Erpressung. Die Akteure, die hinter solchen Angriffen stecken, geben sich nicht zu erkennen, manchmal – und hier denke ich etwa an die geopolitische Ebene – stecken dahinter auch staatliche Organisationen, die Einfluss nehmen wollen auf demokratische Prozesse. Der Fachbegriff dafür ist „hybride Kriegsführung“. Dagegen müssen sich die Europäische Union und ihre Partner wehren, wir müssen widerstandsfähiger werden, denn solche Attacken können uns alle treffen. Der „Cyber Resilience Act“ schafft eine Art systemisches Immunsystem zur Abwehr von Cyberattacken.

Wie sieht der Zeitplan für die Umsetzung des Cyber Resilience Act in Österreich aus? Welche Schritte stehen als nächstes an?
Das fachlich-rechtliche Ziel war, bis Oktober 2024 in Österreich die EU-Richtlinie umzusetzen, mit der das allgemeine Sicherheitsniveau im digitalen Raum für Unternehmen verstärkt wird. Da wir uns täglich mit Computern, Handys und in einer vernetzten Welt bewegen, sind die Dinge und ihre Funktionstüchtigkeit für uns fast selbstverständlich geworden. Wenn sie einmal nicht mehr funktionieren, weil sie Ziel eines Angriffs von außen, etwa durch eine Schadsoftware, geworden sind, werden wir uns unserer Verletzlichkeit bewusst. Das Handy ist ganz klarer Bestandteil der Alltagsbewältigung geworden. Fehlt es, liegen oft viele Prozesse lahm. Das gilt für Einzelpersonen ebenso wie für Unternehmen. Die NIS-2-Richtlinie (The Network and Information Security, NIS) Directive) als Leitparameter, um die Widerstandsfähigkeit für die eigene Cybersicherheit zu erhöhen: Hier helfen etwa die Erarbeitung von Risikoanalysen für Betriebe und Maßnahmen zur Bewusstseinsbildung von Gefahrenquellen im digitalen Raum. Sicherheitsschulungen – und das beginnt bei vermeintlich einfachen Schritten wie verschlüsselten Passwörtern oder der Erstellung von Daten-Backups – sind solche kleinen Schritte, die sich im Großen dann auf unser aller Wissen um Cybergefahren auswirken. Wichtig ist, dass das Bewusstsein aller dafür steigt.

Wird es zentrale Anlaufstellen oder Behörden geben, die Unternehmen bei der Umsetzung der neuen Anforderungen unterstützen?
Primäre Anlaufstelle in Österreich ist das Innenministerium, wo man sich als Unternehmen registrieren lassen kann, wo die Fachexpertinnen und -experten sowohl Kleinbetriebe als auch größere Unternehmen in der Umsetzung unterstützen. Der Bau einer widerstandsfähigen Mauer gegen kriminelle Machenschaften geht uns jedenfalls alle an. Vorfälle sind innerhalb von 24 Stunden zu melden; je mehr Informationen die Behörden haben, umso eher gelingen dann auch die strafrechtliche Nachvollziehbarkeit und die gleichzeitige Hilfe für das Unternehmen.

Wo sehen Sie die größten Herausforderungen bei der Umsetzung des Cyber Resilience Act auf europäischer und nationaler Ebene?
Der Schlüssel liegt in der Vernetzung und dem Austausch untereinander. Dazu braucht es Kommunikation und jenes Vertrauen, das durch Transparenz wächst. Nur wenn wir unseren Wissensstand teilen, können wir Kriminellen Angreiferinnen und Angreifern das Handwerk legen. Ich bringe das nicht zuletzt auch in die „Joint Parliamentary Scrutiny Group“ ein, das parlamentarische Begleitgremium von Europol.

Gibt es bereits identifizierte Problemfelder, die besonders für Österreich relevant sind, etwa in Bezug auf die Datensicherheit und die Einhaltung des Gesetzes?
Cyberangriffe stellen Unternehmen und Individuen als angreifbar oder verletzlich dar. Und die Verursacherinnen und Verursacher beginnen, die Attacken zu tarnen, zu verschleiern – oft ist nicht mehr nur eine Cyberattacke mit Schadsoftware allein zielführend, sondern die über den digitalen Raum vollzogene Infiltration und Unterwanderung. Was ich damit meine, sieht man in der heuer wieder stark entfachten Diskussion um Datensicherheit in Bezug auf soziale Medien und Messengerdienste: Wir werden geflutet mit Inhalten, die aber nicht immer Informationsgehalt haben, sondern oft sogar falsch sind und uns auf die sprichwörtliche falsche Fährte locken. Hier ist die Grenze fließend zu Fake News, Hassreden und versuchter Einflussnahme von Kräften von außen, etwa auf demokratische Prozesse wie Wahlen.

Wie wird sich der Cyber Resilience Act auf das österreichische Gesundheitswesen auswirken, insbesondere im Hinblick auf Krankenhäuser und andere Gesundheitseinrichtungen?
Krankenhäuser und andere Gesundheitseinrichtungen gehören zum Bereich der kritischen Infrastruktur, die durch die angesprochene NIS-2-Richtlinie verstärkt geschützt wird. Fallen ihre Systeme und Prozesse im Falle eines Cyberangriffs aus, trifft uns das alle, das ist klar. Dahingehend bin ich überzeugt, dass uns der Cyber Resilience Act hilft, durch die jeweiligen auf das Unternehmen abzustimmenden Maßnahmen digitale Schutzwälle zu errichten.

Glauben Sie, dass der Cyber Resilience Act dazu beitragen wird, das Vertrauen in digitale Gesundheitslösungen zu stärken?
Das Zeitalter der künstlichen Intelligenz, in dem wir uns befinden, schreitet in rasendem Tempo voran. Es wäre falsch, nur die Risiken zu sehen, und nicht auch die großen Chancen. Leider neigen wir in Kontinentaleuropa noch zur Abwehrmentalität gegen neue Technologien. Das kann uns empfindlich schaden, uns wirtschaftlich zurückwerfen und damit auch unsere Sozial- und Gesundheitssysteme gefährden. Es braucht hier Innovation und die Förderung von Talenten in allen Bereichen, auch im Gesundheitsbereich. Europa muss Abhängigkeiten abbauen und darf nicht der Kontinent des Konsums werden. Denn vom Konsum kann man nicht leben. Derzeit konsumieren wir digitale Dienstleistungen, wir produzieren sie zu wenig.