8. bundeskanzleramt.gv.at
Aktueller Stand
• Hochprofessionelle, multinationaleTätergruppen
• Angriffe gesteuert aus Ländern mit bestem Rechtssystem (höchstem
„Daten“schutz)
• RaaS – „Ransom as a Service“
• Cyber als ein Mittel der hybriden Kriegsführung:Cyberangriffe & Desinformation
8
9. bundeskanzleramt.gv.at
Schaden weltweit
9
• 2018 (lt Allianz): 600 Milliarden US-Dollar
2020 (ltWashington Post): 1 Billion US-Dollar
2025: Ausblick bis 10,5 Billionen US-Dollar
• Verursachter Schaden wächst 10 x so schnell wie die reale Cybersicherheitsindustrie
• KeineVeränderung in Sicht
übersteigt den
weltweitenWert des
Drogenhandels in 2018
wäre nach BIP die
drittgrößten
Volkswirtschaft derWelt
2 3
1
10. bundeskanzleramt.gv.at
Cybercrime iwS1 vs Gewaltdelikte
10
0
10000
20000
30000
40000
50000
60000
70000
80000
90000
2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022
Fälle Cybercrime Gesamt Gewaltdelikte
1 Straftaten, bei denen die Informations- und Kommunikationstechnik als Tatmittel zur
Planung, Vorbereitung und Ausführung von herkömmlichen Kriminaldelikten eingesetzt
wird, zB Online-Betrugsdelikte, Drogenhandel im Darknet, pornographische
Darstellungen Minderjähriger im Internet, etc
11. bundeskanzleramt.gv.at
Verschärfung der Strafen bei Cybercrime (Begutachtung)
11
• Strafdrohungen (StGB) von derzeit 6 Monaten auf 2 Jahren erhöht (bei kritischer
Infrastruktur in Kombination mit kriminellerVereinigung bis zu 3 Jahren)
• Dadurch bessere Ermittlungsbefugnisse möglich (zB europäischer Haftbefehl)
• Schutz von Geschäfts- und Betriebsgeheimnissen (UWG): Strafdrohung bis zu einem
Jahr (statt 3 Monaten) und Ermächtigungs- statt Privatanklagedelikt
• Prävention ist immer noch das wirksamste Mittel gegenCyberkriminalität
13. bundeskanzleramt.gv.at
NIS-Richtlinie
• Einführung von Cybersicherheitsstandards für Unternehmen
• Aufbau von nationalen Regulatoren für den Cyberspace
− 8 Sektoren der kritischen Infrastruktur (NIS 1) – Energie,Verkehr, Bankwesen,
Finanzmarktinfrastruktur, Gesundheit,Trinkwasser, Digitale Infrastrukturen +
digitale Dienste
− Insgesamt 18 Sektoren (NIS 2) – rund Verzwanzigfachung der
normunterworfenen Unternehmen
− WKO Online Ratgeber: https://www.wko.at/service/innovation-technologie-
digitalisierung/nis2-uebersicht.html
13
14. bundeskanzleramt.gv.at
Künstliche Intelligenz
• KI: gekommen um zu bleiben
• FürVerwaltung Chance, steigende Aufgaben mit bestehenden Ressourcen zu
erledigen
• KI ist fürVW auf 3 Ebenen relevant
1. Operativ: AlsTool umVW-Aufgaben zu erledigen
2. Inhaltlich:VW muss KI-induzierteVeränderungen in verwalteten Bereichen
erkennen und Antworten entwickeln.
3. Strategisch: wie nutzen wir vorhandene Daten mittels KI für mehr und
besseres Bürgerservice (überVeröffentlichung/OpenData hinaus)
14
15. bundeskanzleramt.gv.at
Künstliche Intelligenz - Wie muss sichVerwaltung vorbereiten?
• Identifikation der Auswirkungen auf alle Gesellschaftsbereiche mit jeweiligem
Handlungsbedarf fürVerwaltung
• Strukturelle Zuständigkeiten für all diese Aspekte definieren
• KI "Anpassungsstrategie": alle Herausforderungen durch KI identifizieren (zB
Schulsystem) undVerantwortlichkeit für Beantwortung festlegen
• Öffentlicher Dienst braucht bei KI höchste Standards
− KI kann Menschen entlasten, sie nicht ersetzen
− Vertrauenswürdigkeit der Systeme sicherstellen
15
16. bundeskanzleramt.gv.at
Cloud
• Die modernsten Produkte der dominierenden Marktteilnehmer werden oftmals nur mehr in der Cloud
angeboten
• Herausforderungen für den Bund:
− Wahrung der Souveränität
− Beachtung von Erfordernissen des Datenschutzes
− Schutz der technischen Integrität (Sicherheit)
− Anpassung von Cloud-Lösungen bei schwierigen gesetzlichenVoraussetzungen (zB Bundesbesoldung)
− Standardisierung eigener Geschäftsprozessen, damit sie durch Cloud-Lösungen abgebildet werden
können
− Kooexistenz von „on premise“ Architekturen mit Cloudlösungen
− Technisch-organisatorischen Einrichtung eines Multicloudmanagements
16
18. bundeskanzleramt.gv.at
Gefahrenszenarien
18
• Jegliche ans Internet angeschlossene Infrastruktur wird angreifbar
• Quantencomputer können kritische (staatliche) Infrastruktur angreifen
• Mögliche auswirkungen:
− (Wirtschafts-) Spionage
− Zahlungsverkehr
− Energiesicherheit
− Verkehr
19. bundeskanzleramt.gv.at
KIRAS-Projekt „QKD4GOV“
• Erprobung und Knowhow-Aufbau im Bereich der Quantenkryptographie für den Bund
• Prüfung der Eignung von Quantenkryptographie für dieVerschlüsselung von Daten bei der Übertragung
innerhalb des Bundes & mit Partnern (Ministerien, BRZ, UniWien undVienna International Exchange 1)
• Besonderer Berücksichtigung inÖsterreich entwickelterVerschlüsselungstechnologien
• Vernetzung mehrere Ressorts und Partner unter realen Bedingungen
• Erarbeitung von Grundlagen für Standards und Zertifizierungen
• Erarbeitung einer Roadmap zur Sicherstellung der Datensouveränität für die Speicherung als auch
Austausch von Daten in Behördennetzen
19
Phase 1 - Verfügbarkeit
Zu Beginn ging es nur darum, eine möglichst hohe Verfügbarkeit sicherzustellen, dh eine Funktionsfähigkeit der Systeme und Dienste sicherzustellen.
Phase 2 – Vertraulichkeit
Die Möglichkeit zu kontrollieren, wer auf welche Daten zugreifen darf.
… der Router wurde zur Firewall.
Phase 3 – Integrität und Authentizität:
Integrität: Die Vollständigkeit und Richtigkeit der Daten zu bestätigen sowie Datenmanipulationen zu entdecken
Authentizität_ die Echtheit und Glaubwürdigkeit von Objekten zu garantieren.
Informationssicherheit:
„Die Sicherstellung der Verfügbarkeit, Vertraulichkeit, und Integrität von technischen Systemen“.
Im Jahr 2023…
3 x mehr Connected Devices als Erdbewohner - 45 % davon Mobile Devices
66 % der Weltbevölkerung haben Internetzugang
Durchschnittliche Datenübertragungsrate von 46 Mbps to 110 Mbps
Von der Informationssicherheit zur Cybersicherheit
„Maßnahmen, um Computer, Server, Mobilgeräte, elektronische Systeme, Netzwerke und Daten und damit die Infrastrukturen gegen Angriffe zu schützen und zu verteidigen.“
Durch wenn ist die Cybersicherheit bedroht? -Schaubild
Auswirkungen auf Cyber-Österreich?
Hackergruppen hat Target-Listen gegen österreichische Unternehmen veröffentlicht
die anzugreifenden Unternehmen wurden der „Community“ am morgen desselben Tages bekannt gegeben – Angriffe erfolgten mittels Angriffswellen
Bisher zwei Angriffswelle: ab 3. Dezember und ab 9. Dezember 2022
Tlw Ausfall der Websites von Ministerien, Energieunternehmen, Betreiber digitaler Dienste und Medienunternehmen
Cybercrime in Österreich
2022: mehr als 60.000 dokumentierte Delikte im Bereich Internetkriminalität(vgl 78.000 Gewaltdelikte); + 67,6 % im Vgl zu 2020
Aufklärungsrate 2022 nur 21,1 %
Cybercrime im engeren Sinn:
2018 – 3070 Delikte
2022 – 22.300 Delikte
Widerrechtlicher Zugriff auf ein Computersystem:
2018 – 403 Delikte
2021 – 952 Delikte
2022 – 1.796 Delikte Anstieg + 88,7 %
Großteil der Delikte bleibt aus Angst vor Reputationsverlust im Verborgenen
Starke Zunahme von professionellen Cyberangriffen:A1, GIS, PORR, ÖVP, SPÖ, BMEIA, ÖBB, Palfinger, Salzburg Milch, etc
KMPG-Studie: 57 % der Unternehmen war in den letzten 12 Monaten Opfer einer Cyberattacke
Cybercrime ieS
§ 107c StGB Fortdauernde Belästigung im Wege einer Telekommunikation oder eines Computersystems
§ 118a StGB Widerrechtlicher Zugriff auf ein Computersystem
§ 119 StGB Verletzung des Telekommunikationsgeheimnisses
§ 119a StGB Missbräuchliches Abfangen von Daten
§ 126a StGB Datenbeschädigung
§ 126b StGB Störung der Funktionsfähigkeit eines Computersystems
§ 126c StGB Missbrauch von Computerprogrammen oder Zugangsdaten
§ 148a StGB Betrügerischer Datenverarbeitungsmißbrauch
§ 225a StGB Datenfälschung
Warum Cybercrime?
Mangelnde Awareness: bislang hauptsächlich Chancen der Digitalisierung gesehen, aber Risiken ignoriert / unterschätzt
Perfektes Verbrechen: große Upside, (fast) keine Downside für Kriminelle
minimalinvasiv und skalierbar (economy of scale gilt auch für Cybercrime)
keine (Landes-)Grenzen im Cyberraum, schwierige Strafverfolgung
Befeuert durch Aufstieg der Cryptocurrencies (Bitcoin, Monero & Co)
Hohe Attraktivität durch sich ständig veränderndes Gefahrenumfeld (neue Applikationen, Updates, etc)
Woher kommt das Wachstum?
Zunehmende Digitalisierung aller Systeme in allen Lebens- und Wirtschaftsbereichen (verstärkt durch COVID19)
Immer stärkere Internetnutzung
Immer mehr Dienste & Service im Netz („IP to everything“)
Immer mehr Menschen immer länger im Internet
Steigender Kostendruck und steigende Leistungsanforderungen bei gleichzeitig sinkenden Headcounts und immer kürzeren Umsetzungszeiträumen
Immer stärkeres Outsourcing von Services (Cloud, Applikationen, SaaS, CaaS, etc)
ErmächtigungsdelikteDie Strafverfolgung erfolgt nur dann durch die Staatsanwaltschaft, wenn die Betroffene/der Betroffene sie dazu ermächtigt. Die Initiative der Strafverfolgung geht von der Staatsanwaltschaft aus (z.B. Täuschung, Hausfriedensbruch, Entziehung eines Minderjährigen aus der Macht der/des Erziehungsberechtigten).
PrivatanklagedelikteDie Strafverfolgung erfolgt nur über Verlangen der Betroffenen/des Betroffenen. Sie/er muss Privatanklage erheben (z.B. bei übler Nachrede, Verletzung des Briefgeheimnisses).
Beispiel:
Eine Buchhalterin eines kleinen Installateurbetriebes öffnet während ihrer Arbeit eine E-Mail samt Anhang
Die Mitarbeiterin denkt sich nichts weiter dabei – während sich unbemerkt eine Verschlüsselungssoftware im gesamten EDV-System der Firma festsetzt
Diese Verschlüsselungssoftware legt das gesamte Computersystem der Firma lahm und sämtliche Kundendaten, Kundenaufträge und Rechnungen sind nicht mehr einsehbar – die Firma wurde sprichwörtlich lahmgelegt
Kurz darauf langt von Seiten des Hackers ein E-Mail mit einer Lösegeldforderung für die Freischaltung des Computersystems ein
Viele Unternehmer geben diesen Forderungen aus Angst vor einem potenziellen Reputationsverlust nach und bezahlen
Dieses fiktive Beispiel spielt sich in Österreich in dieser – oder einer ähnlichen Form mehrmals im Monat ab
Diese Hackergruppen sitzen in den überwiegenden Fällen im Ausland und sind höchstprofessionell organisiert
Unternehmen unterschiedlichster Größe sind davon betroffen
Über den öffentlichen Dienst:
IT-Konsolidierung des Bundes
Eine einheitliche IT-Infrastruktur macht es möglich, möglichst hohe Schutzstandards kosteneffizient einzuführen und auszurollen
Herausforderung Ministerverantwortlichkeit / Ressortzuständigkeit
Lösungsansätze:
Standard-Arbeitsplatz mit Sicheren Basisdiensten (BRZ-Produkt)
Security Framework Bund: Ist-Stands-Erhebung ausgewählter Ministerien für den Bereich Cybersicherheit und Soll-Analyse anhand von Benchmarkings
Aber nur „Soft Tools“ – am Ende des Tages Ministerentscheidung
Der Blick in die Zukunft:
KI ist eine Technologie, die verändern wird, wie wir arbeiten und leben.
Mit KI meinen wir heute primär Maschinelles Lernen. Das bedeutet, das Computer aus Daten Muster und Regeln erlernen, um bestimmte Aufgaben zu lösen.
Bei KI geht es immer darum, Vorhersagen zu machen: zB auf Basis der Daten historischer Aktienkurse die zukünftigen Kurse zu prognostizieren. Oder auf Basis eines riesigen Textcorpus einen Satz wie "Karl Nehammer ist..." mit dem statistisch wahrscheinlichsten nächsten Wort zu vervollständigen (dh "...Bundeskanzler der Republik Österreich").
So beeindruckend es ist: ist nur Mathematik, keine Magie. Und so sollten wir damit auch umgehen.
Wird auch die öffentliche Verwaltung massiv betreffen und verändern müssen -> müssen das als Chance sehen!
Denken Sie nur daran, dass die Verwaltung immer mehr Aufgaben erhält und wir gleichzeitig massive Personalprobleme haben. KI ist hier eine gewaltige Chance unsere Aufgaben mit dem gegebenen Personal effizienter zu erledigen. Kann Lösung für eines der drängendsten Probleme in der Verwaltung sein!
Anschauliche Beispiele bei ministerieller Standardarbeit, die massiv Zeit sparen kann:
"Überlegen Sie einmal:
- wie viele Berichte schreiben wir im öffentlichen Dienst? Wir viel Zeit verwenden unsere Bedienstete auf die Recherche und danach auf das Texten? Wie viel Zeit kann gespart werden, wenn wir aus der inhaltlichen Recherche unserer Mitarbeiter durch eine KI den Text generieren lassen können, den ein Bediensteter nur mehr überprüft, feinschleift und freigibt anstatt ihn gänzlich selbst zu schreiben?
- wie viele Berichte lesen wir? Wie viel Zeit können wir sparen, wenn umfassende Texte durch KI zB kapitelweise nach vorgegebenen Kriterien zusammengefasst werden um rasche Orientierung fürs Durchschauen zu erhalten und der Text anschließend zur Sicherheit noch auf einzelne Themen gezielt durchsucht werden kann?")
Ganz allgemein gesprochen - Relevanz der KI für öffentliche VW auf drei Ebenen:
1. Operativ: KI als Tool in der Verwaltung. KI kann Bedienstete unterstützen Aufgaben rascher zu erledigen und mehr zu leisten
2. Inhaltlich: Verwaltung muss Veränderungen in ihrem Bereich erkennen und Antworten darauf bieten. Jede öffentliche Institution ist auch dafür zuständig ihren gesellschaftlichen Bereich auf die Auswirkungen von KI vorzubereiten (zB Bildungsministerium wie Schul/Unisystem im KI Zeitalter umgestaltet werden muss, Innenministerium um die Chancen und Herausforderungen von KI im Cybersecuritybereich zu erkennen und zu nutzen).
3. Strategisch: hier vor allem die Überlegung, wie wir aus den Daten, die wir haben, mit Hilfe von KI neue, bürgernähere Services bauen können. Ist sicher die Königsdisziplin und wir müssen gut überlegen, welche Vision wir hier formulieren. (In der Unternehmerwelt würde man hier vom "Bauen neuer Geschäftsmodelle" sprechen. zB mit dem Handy und seinen Sensoren eine neue Mobilitätsplattform wie "Uber" bauen. Wann beginnen wir zu überlegen, wie man Verwaltung revolutionieren kann?).
Müssen uns als Verwaltung aber noch aufstellen, um das alles leisten zu können.
Drei zentrale Punkte aus meiner Sicht:
1. Stocktaking, wie genau KI alle Gesellschaftsbereiche beeinflussen wird, wo es Herausforderungen gibt und wo wir als Verwaltung Handlungsbedarf haben, um Antworten zu entwickeln..
Sehen das bei anderen Querschnittstransformationen wie dem Klimawandel: Anpassungsstrategien fragen systematisch, welche konkreten Herausforderungen wir im Auge haben und beantworten müssen.
Das brauchen wir auch für KI: sowohl sofern es die Verwaltung betrifft als auch die Themengebiete die sie verantwortet (zB Schulsystem).
Und wir müssen auch fragen, ob es für jeden dieser inhaltlichen Aspekte auch eine Stelle gibt, die sich dafür zuständig sieht. Sonst ist Gestalten nicht möglich.
(Anm.: die "KI Strategie" beschreibt schon Auswirkungen von KI auf einzelne Politikfelder, aber eher um KI fördernde Maßnahmen abzuleiten (zB Anpassung der Forschungspolitik um kluge KI Köpfe nach Ö zu bekommen) und weniger, um die einzelnen Handlungsfelder und To Dos für die VW aufzuzeigen, um mit den Auswirkungen umzugehen, zB wie muss ich Schulsystem adaptieren, wenn GPT Hausaufgaben schreibt).
2. KI-Kompetenz aufbauen
Müssen ehrlich sein: haben diese Expertise bei uns nicht
Müssen realistisch sein: es werden nicht viele hochqualifizierte Experten von der Industrie in den Bundesdienst wechseln.
Müssen vorsichtig sein: dürfen in diesem wichtigen Bereich nicht von externen Beratern abhängig werden.
Müssen daher eine Qualifizierungsoffensive starten und unsere eigenen Leute in Leitungsfunktionen in den Grundzügen des Arbeitens mit Daten&Machine Learning zu schulen (Anm.: ist in wenigen Tagen für Exekutives zu machen, ist kleine technische Einführung&strategische Fragen wie man KI&Datenprojekte in eigener Institution identifiziert, konzipiert und aufsetzt).
Damit wir zumindest die Kompetenz haben selbst die strategischen Initiativen für KI Einsatz in der VW zu entwickeln, ihre Konsequenzen abschätzen zu können und die Umsetzung qualifiziert zu überwachen.
3. Brauchen klare Orientierung bez KI als öffentlicher Dienst
Werden von Bürgern besonders genau beobachtet werden und müssen uns erklären können
Ein paar Grundsätze, die aus meiner Sicht besonders wichtig sind:
- KI muss Menschen entlasten und effizienter machen, darf sie aber nicht ersetzen.
(Optionales Beispiel: Ein Umweltbericht, den ein Experte nicht inhaltlich und textlich freigegeben hat oder ein Bescheid, dessen Grundlage ein Mensch nicht plausibilisiert hat ist für mich schwer vorstellbar. Ich glaube es ist gerade im Bundesdienst wichtig, dass es für jede öffentliche Entscheidung auch einen Menschen gibt, der sie getroffen hat und verantwortet.)
- Vertrauenswürde KI: Bundesdienst muss transparent sein, wo er KI einsetzt und wie die Entscheidungen zustande kommen. Die Arbeit dieser Algorithmen muss auch nachvollziehbar sein. Und es braucht auch immer Menschen, die korrigieren können. Auch bleibt der Faktor Mensch relevant.
(Optional: - Müssen einen realistischen Blick auf KI haben: leistet beeindruckendes, aber hat auch klare Grenzen. Müssen auch aufpassen, dass wir nicht ungeklärte politische Fragen technisch auf KI abwälzen. Beispiel "KI gibt vorurteilsbehaftete Auskünfte": Könnten wir uns gesellschaftlich heute eigentlich noch auf einen Absatz über die korrekte Darstellung Winnetous, seiner Zeit und die damaligen Geschehnisse einigen? Wie soll das dann KI schaffen? Und wie soll KI einen Absatz zur Coronapandemie schrieben, den in Ö alle für "wahr" halten? Dürfen in der Diskussion nicht politische Fragen mit technischen verwechseln.)
Investitionen in Quantencomputer:
2018 – 143 Mrd
2021 – 800 Mrd
Davon rd. 70 % in die Hardware