zu viel Machtbefugnisse für Cyber-Behörde, zu wenig Mitsprache für Arbeitnehmer:innen
Nationales Informationssystemsicherheitsgesetz (NISG) fand im Parlament nicht die erforderliche Zweidrittel-Mehrheit
Am 3. Juli 2024 tagte der österreichische Nationalrat ein letztes Mal vor der Sommerpause. Eine ambitionierte Tagesordnung stand zur Debatte und zur Abstimmung. Unter anderem wurde das Homeoffice-Gesetz auf ein Telearbeitsgesetz ausgeweitet, die Zuverdienstgrenze für Familienbeihilfe beziehende Studierende an die Inflation angepasst, der Papamonat für Zivildiener eingeführt, die Briefwahlmöglichkeit für die im Herbst bevorstehenden Personalvertretungswahlen im Bundesdienst eingeführt, eine elektronische Übermittlung des Kontostand der betrieblichen Mitarbeiterkasse beschlossen ebenso wie eine dreijährige Cooling-Off-Phase für einfache Verfassungsrichter:innen und die Ergebnisse zweier U-Ausschüsse zum “Rotblauen Machtmissbrauch” und zur “Covid19-Finanzierungsagentur, COFAG” diskutiert.
Gesetz im Parlament „durchgefallen“
Der Gesetzesentwurf zum NISG 2024 kam erst nach 21 Uhr zur Diskussion. Er konnte die benötigte Zwei-Drittel-Mehrheit nicht erreichen. In diesem Fall ist das Scheitern eines Gesetzes für die Arbeitnehmer:innen ein Vorteil. Es wären nämlich der neuen Cybersecurity-Behörde im Innenministerium sehr große Machtbefugnisse zugestanden worden (z.B. detailreiche Remote-Überprüfungen von Firmen und damit Zugriff auf Arbeitnehmer:innen-Daten) denen keine entsprechende Kontrolle gegenübergestanden wäre. Es wäre Einiges schwammig geblieben wie beispielsweise die Frage wann Sicherheitsvorfälle öffentlich gemacht werden müssen, was unter einem „potentiell sensiblen Charakter“ zu verstehen ist oder welche „relevanten Informationen“ Behörden künftig austauschen müssen. Es wäre mit dem vorgeschlagenen NISG 2 wohl eine äußerst umfassende Überwachung von Arbeitnehmer:innen seitens der neu geschaffenen Behörde ermöglicht worden und das ohne ernsthafte Beteiligung der Arbeitnehmer:innen oder ihrer Interessenvertretung.
Die Initiative für mehr digitale operationale Resilienz im Finanzsektor (DORA), in der festgelegt ist, wie diese besonders heikle Branche sich gegen Cyberangriffe schützen muss, wurde hingegen angenommen. DORA beruht ebenso auf einer 2018 beschlossenen EU-Richtlinie.
Das EU-Parlament hat vor geraumer Zeit, am 14. Dezember 2022, die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union verabschiedet, mit der die IT-Infrastruktur in den Mitgliedsstaaten gewährleitet werden soll. Eigentlich müsste jeder Mitgliedsstaat diese NIS 2-Richtlinie bis 17. Oktober 2024 in das nationale Recht übernehmen. Es wird sich vermutlich für die österreichische Regierung nicht mehr ausgehen, das Gesetz bis dahin so zu überarbeiten, dass es eine Zweidrittel-Mehrheit erhält.
Für jene Unternehmen, die die NISG-Vorgaben einhalten müssen, bedeutet das, dass die bestehende Gesetzeslage vorerst beibehalten wird. Es gilt ja bereits seit 2018 Vorkehrungen zum Schutz vor Cyber-Sicherheitsrisiken zu treffen – allerdings für eine kleinere Auswahl an Unternehmen und ohne die (Über-)mächtige Behörde im Hintergrund.
der Markt für Cybersecurity boomt
Unternehmen, die NISG 2 unterliegen, müssen sich registrieren, eine umfassende und im 5-Jahres-Rhythmus wiederholte Risikoanalyse vorlegen, Sicherheitsvorfälle an die zuständige Behörde melden und rasch beheben können, Verschlüsselung und Multifaktor-Authentifizierung einsetzen, ein Zugriffsberechtigungskonzept vorlegen, Schulungen der Belegschaft gewährleisten, gesicherte Notfall-Kommunikationssysteme bereitstellen, Berichtspflichten erfüllen und weitere Vorkehrungen treffen. Die Sicherheitsvorkehrungen müssen dem Stand der Technik und dem bestehenden Risiko angemessen sein. Kurz: die IT-Sicherheit des Unternehmens wird sehr ernst genommen und somit stellt NISG 2 durchaus eine Rechtsgrundlage für – möglicherweise im Vergleich zu früher strengere – IT-Maßnahmen in den Betrieben dar.
Verschiedene technische Maßnahmen wie Kryptografie (Verschlüsselung), Firewalls, Sandboxes, mehrfach Authentifizierung (MFA), Security Information and Event Management (SIEM), User And Entity Behavior Analytics (UEBA), Intrusion Detection (ID), Endpoint Detection (ED), Mobile Device Management (MDM), das Security Operation Center (SOC) etc. dienen der IT-Sicherheit in den Betrieben und gewährleisten, dass die IT-Infrastruktur aufrecht bleibt.
Die derzeit bekanntesten Cybersecurity-Systeme bzw. deren Anbieter sind Defender, Sentiel, Purview (von Microsoft), Splunk (von Cisco), Knox (von Samsung), X Force Threat Intelligence und zScale (von IBM) oder auch das US-amerikanische, ursprünglich dem CIA entstammende Unternehmen Forcepoint.
sichere IT – überwachte Belegschaft
Für Arbeitnehmer:innen hat das durch NISG 2024 erforderliche Aufrüsten der IT-Sicherheit merkbare Konsequenzen. Denn was für die IT-Infrastruktur „sicher“ bedeutet, bedeutet für die Beschäftigten in der Regel „Kontrolle“. Kontrolle darüber, wer wann welche Software auf welche Art und Weise nutzt. Kontrolle darüber, ob die Cybersecurity und deren einzelne Komponenten wie Firewalls, User And Entity Behavior Analytics (UEBA), Intrusion Detection (ID), Endpoint Detection (ED), Mobile Device Management (MDM), das Security Operation Center (SOC) u.s.w. entsprechend funktionieren oder ob es zu Beeinträchtigungen oder im schlimmsten Fall gar zu groben Schäden kommt (z.B. DDOS-Attacken, Identitätsdiebstahl, Malware oder Erpressung).
Damit diese – für bestimmte Zwecke durchaus im wahrsten Sinne des Wortes berechtigte – Kontrolle aber nicht überhandnimmt, damit nicht sämtliche Tätigkeiten der Beschäftigten zu jeder Uhrzeit auch für ihre Vorgesetzten ersichtlich sind, damit am Arbeitsplatz ein Maß an Privatsphäre erhalten bleibt, gilt es eine Betriebsvereinbarung zu vereinbaren, die die Privatsphäre der Beschäftigten schützt. Die betriebsbetreuenden Kolleg:innen der Gewerkschaft GPA unterstützen gerne, wenn es darum geht eine solche Betriebsvereinbarung auszuhandeln.
Der VÖGB bietet Betriebsrät:innen am 9. September dazu das Seminar „NIS 2 und Cybersecurity – Ist mein Gremium betroffen?“ an.