Der Rechnungshof (RH) hat in einem Bericht festgestellt, dass klare Entscheidungsgrundlagen und Verantwortlichkeiten in einer Leitlinie zur Cyber-Defense fehlen, die bisher nicht abgeschlossen ist. Der RH bemängelte auch das Fehlen von Cyber-Übungen für den Fall einer Souveränitätsgefährdung.

Ein Souveränitätsfall tritt ein, wenn die Informations- und Kommunikationstechnologie (IKT) der Regierungsorgane sowie kritische Infrastruktur angegriffen wird und deren Unabhängigkeit beeinträchtigt ist. Es besteht jedoch Unklarheit darüber, wann eine Krise zu einem Cyber-Defense-Fall wird und welche Schritte unternommen werden müssen.

"Cyber-Grundwehrdienst" soll beworben werden

Die Koordination der Cyber-Sicherheit liegt beim Bundeskanzleramt, Innen-, Außen- und Verteidigungsministerium. Das Innenministerium ist für operative Maßnahmen im Krisenmanagement verantwortlich. Das Bundesheer wird nur aktiv, wenn ein Angriff von ausländischen staatlichen Akteuren vermutet wird. Der RH forderte eine rasche Stärkung der Cyber-Kräfte und spezifische Übungen für solche Situationen.

Es gibt auch Verzögerungen bei der Einrichtung von Einsatzteams im Verteidigungsministerium, um auf Cyber-Angriffe zu reagieren. Der RH empfahl, diese Teams zügig einzurichten und Personen mit IKT-Ausbildung zu motivieren, sich als Cyber-Grundwehrdiener zu engagieren. Bis Oktober 2022 waren 60 Cyber-Grundwehrdiener im Einsatz. Der RH schlug vor, mehr Einsatzmöglichkeiten für sie im Verteidigungsministerium zu schaffen.