Industrielle Sicherheit

Grundlagen der Informationssicherheit und klassifizierte Informationen

Sicherheit berührt jede Einzelne/jeden Einzelnen in öffentlichen Institutionen, Unternehmen und Organisationen – von der Standortwahl bis zur Systemadministration, vom Management bis zur Anwenderin/zum Anwender. Vor dem Hintergrund der rasch fortschreitenden Globalisierung und einer damit einhergehenden weltweiten Konkurrenzsituation kommt es zu einer zunehmenden Bedrohung österreichischer Unternehmen. Einerseits sind heimische Unternehmen mit der Ausspähung von Betriebsgeheimnissen und neuen Technologien konfrontiert. Andererseits sind sie mit Schädigungsabsichten oder anderen Straftaten, wie zum Beispiel Erpressung nach ungewolltem Informationsfluss, konfrontiert.   

Informationssicherheit hat somit generell das Ziel, "alle wichtigen und benötigten Daten und Informationen zu identifizieren und die dafür erforderlichen Prozesse und Maßnahmen zu steuern, so dass Verfügbarkeit, Vertraulichkeit und Integrität jederzeit garantiert werden können" (ISO 27001). Das "Österreichische Informationssicherheitshandbuch ( BKA)" bietet dazu einen Leitfaden, mit dessen Hilfe einfach und effizient ein umfassender Grundschutz in Unternehmen und Organisationen realisiert werden kann.

Über diesen generellen Grundschutz hinaus wird, vor dem Hintergrund der Informationssicherheit,  unter "industrieller Sicherheit" der Schutz von klassifizierten Informationen im Sinne des Informationssicherheitsgesetzes (InfoSiG) durch private Unternehmen und Forschungseinrichtungen verstanden. Solche klassifizierten Informationen werden den Unternehmen und Forschungseinrichtungen von einem Bundesministerium zur weiteren Verarbeitung zur Verfügung gestellt. Im Zuge von internationalen Aufträgen und Projekten können klassifizierte Informationen auch von internationalen Organisationen oder Drittstaaten stammen, sofern Österreich mit diesen ein völkerrechtliches Abkommen zum Austausch und Schutz klassifizierter Informationen abgeschlossen hat.

Klassifizierten Informationen sind Informationen, unabhängig ihrer Darstellungsform, die eines besonderen Schutzes gegen Kenntnisnahme und Zugriff durch Unbefugte bedürfen, da ein Bekanntwerden zu einem Schaden bestimmter öffentlicher Interessen führen kann. Je nach Ausmaß des potenziellen Schadens werden Informationen den Klassifizierungsstufen

  • EINGESCHRÄNKT
  • VERTRAULICH
  • GEHEIM

(bzw. deren internationalen Äquivalenten) zugeordnet. Um klassifizierte Informationen umfassend zu schützen, hat der Gesetzgeber bindende Maßnahmen und Handlungsanweisungen erlassen, die sowohl die physische Sicherheit (zum Beispiel bauliche Maßnahmen oder Zutrittskontrollen) als auch die personelle, organisatorische und – bei Verarbeitung klassifizierter Informationen mittels Informationstechnologie – die IKT-mäßige Sicherheit (INFOSEC) umfassen. Je höher die Klassifizierungsstufe ist, desto strenger sind auch die rechtlichen Vorgaben.

Besonders wichtig ist, dass für den Zugang zu klassifizierten Informationen bestimmte Voraussetzungen erfüllt werden müssen:

  1. Need-to-Know: Der Zugang zu klassifizierten Informationen darf nur jenen Personen gewährt werden, die den Zugang benötigen, um ihre dienstlichen Aufgaben zu erfüllen.
  2. Unterweisung: Alle Personen, die im Unternehmen mit klassifizierten Informationen befasst werden sollen, sind im Umgang mit klassifizierten Informationen zu unterweisen. Die Nachweise der durchgeführten Unterweisungen sind an das zuständige Fachministerium zu übermitteln.
  3. Sicherheitsüberprüfung: Das Unternehmen hat alle Personen, die im Zuge der Auftragsvergabe im Unternehmen Informationen erhalten sollen oder können (inklusive Geschäftsführung, Prokura und Weisungskette), welche als VERTRAULICH oder höher (bzw. einer äquivalenten ausländischen Klassifizierungsstufe) klassifiziert sind, namhaft zu machen. Diese Personen müssen vor dem Zugang einer Sicherheitsüberprüfung unterzogen werden, welche vom Bundesministerium für Inneres (BMI) bzw. vom Bundesministerium für Landesverteidigung (BMLV) durchgeführt (Verlässlichkeitsprüfung) wird.

Um klassifizierte Informationen als solche zu erkennen, werden diese durch einen bestimmten Klassifizierungsvermerk "Marking" gekennzeichnet. Das "Marking" wird grundsätzlich vom Urheber vorgenommen, das heißt von jener Stelle, von der die klassifizierte Information stammt. Da bei klassifizierten Informationen das öffentliche Interesse geschützt wird, kann ein Urheber nur eine Behörde sein. Privatpersonen und Unternehmen können keine klassifizierte Informationen im Sinne des InfoSiG für sich selbst erstellen. Sie können sie immer nur im Auftrag für die zuständige Behörde erstellen. Dabei sind immer die vertraglichen Bestimmungen (insbesondere die jeweiligen Sicherheitsanweisungen des Projekts/Auftrags und Klassifizierungsrichtlinien) zu beachten.

Im alltäglichen Sprachgebrauch wird der Begriff "vertraulich" oft im Zusammenhang mit der nicht gewollten Weitergabe privater oder unternehmensrelevanter Informationen verwendet. Dabei handelt es sich jedoch nicht um Informationen der Klassifizierungsstufe VERTRAULICH im Sinne des InfoSiG. Weiters ist zwischen den zu schützenden personenbezogenen Daten Sinne des Datenschutzgesetzes und klassifizierten Informationen Sinne des InfoSiG zu unterscheiden. Auch andere privatrechtlich begründete Verschwiegenheitspflichten (wie z.B. Verschwiegenheitsklausel oder das weit verbreitete Traffic Light Protocol) dürfen mit dem Schutz klassifizierter Informationen nicht verwechselt werden.

Klassifizierte Projekte oder Aufträge

Möchten Unternehmen oder Forschungseinrichtungen an einem klassifizierten Projekt teilnehmen, so müssen sie der ausschreibenden Stelle den Nachweis erbringen, dass der Schutz der klassifizierten Informationen in dem Unternehmen, in dem die Verarbeitung vorgenommen werden soll, entsprechend den Vorgaben gewährleistet werden kann. Diese Bestätigung wird in Österreich "Sicherheitsunbedenklichkeitsbescheinigung" genannt.

Da in vielen Fällen bereits die Ausschreibungsunterlagen für klassifizierte Projekte/Aufträge klassifizierte Informationen von EU, NATO bzw. eines Staates enthalten, muss das erforderliche Sicherheitsniveau des Unternehmens oftmals bereits zum Zeitpunkt der Vertragsverhandlungen überprüft worden sein.

Die relevanten Sicherheitsanforderungen für eine Sicherheitsunbedenklichkeitsbescheinigung werden von der zuständigen überprüfenden Stelle vorgegeben.

  1. Der Antrag auf Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung ist an das zuständige Fachministerium zu richten. Dabei handelt es sich um jenes Ministerium, in dessen Zuständigkeitsbereich der Auftragsgegenstand (z.B. Forschungstätigkeiten der Industrie) fällt. Auf der Website des  Bundeskanzleramts ist eine Liste mit den Kontaktdaten der einzelnen Bundesministerien zu finden. Bei Unklarheiten betreffend der Frage der Zuständigkeit ist das Büro der Informationssicherheitskommission (isk@bka.gv.at) zu kontaktieren.
  2. Das Unternehmen verpflichtet sich gegenüber dem zuständigen Fachministerium vertraglich zur Einhaltung der einschlägigen gesetzlichen Bestimmungen zum Schutz klassifizierter Informationen.
  3. Das Unternehmen hat gegenüber dem zuständigen Fachministerium einen Sicherheitsbeauftragten (Security Officer) und Stellvertreterin/Stellvertreter zu benennen, der die Einhaltung der einschlägigen Bestimmungen im Unternehmen überwacht und hierfür verantwortlich ist.
  4. Im ersten Schritt wird im Zuge einer Überprüfung die "Vertrauenswürdigkeit" des Unternehmens (Integrität, Beeinflussbarkeit etc.) festgestellt.
  5. Das Unternehmen muss daraufhin alle Vorgaben zur physischen und organisatorischen Sicherheit umsetzen und gegebenenfalls IKT Systeme einer Akkreditierung unterziehen.
  6. Alle Personen, die im Unternehmen mit klassifizierten Informationen befasst werden sollen, inklusive Geschäftsführung, Prokura und Weisungskette, müssen die Voraussetzungen für den Zugang zu diesen Informationen erfüllen.
  7. Ob das Unternehmen die allgemeinen Sicherheitsanforderungen und sicherheitsrelevanten Vorgaben erfüllt, wird mittels Sicherheitsinspektionen (externe Audits) im Unternehmen, in dem die Verarbeitung klassifizierter Informationen stattfindet, überprüft. Für Auftragsgegenstände, die in den zivilen Bereich fallen, wird diese Überprüfung durch das BMI und für Auftragsgegenstände, die in den militärischen Bereich fallen, durch das BMLV durchgeführt.  Darüber hinaus können während der kompletten Dauer des klassifizierten Auftrages oder Projektes auch weitere Inspektionen durch die zuständigen Behörden durchgeführt werden. Die Bewertung des Ergebnisses der Inspektion obliegt jedoch wieder dem zuständigen Fachministerium. Bei militärischen Aufträgen oder Projekten fallen diese beiden Rollen zusammen.

Eine Sicherheitsunbedenklichkeitsbescheinigung hat eine maximale Gültigkeit von fünf Jahren und kann danach verlängert werden. Sollte sich ein Unternehmen innerhalb dieses Zeitraumes bei weiteren klassifizierten Aufträgen/Projekten bewerben (wollen), so ist dies dem zuständigen Fachministerium, welches die Sicherheitsunbedenklichkeitsbescheinigung ausgestellt hat, zu melden.

Benötigt ein Unternehmen für die Bewerbung bzw. Teilnahme an einem klassifizierten Projekt/Auftrag eine Sicherheitsunbedenklichkeitsbescheinigung, sollte der Antrag an das zuständige Fachministerium insbesondere die folgenden notwendigen Informationen enthalten:

  • Antragstellerin/Antragsteller,
  • Branche der Antragstellerin/des Antragstellers,
  • Benennen einer Kontaktperson,
  • Land/Institution des klassifizierten Auftrags/Projekts,
  • Angestrebte Klassifizierungsstufe,
  • Voraussichtliche Art der Verarbeitung (Zugang, Lagerung, elektronische Verarbeitung),
  • Zeitrahmen bzw. voraussichtlicher Beginn des klassifizierten Auftrags/Projekts.

Bei der im internationalen Rechtsverkehr gebräuchlichen "Facility Security Clearance" (FSC) handelt es sich um eine Bestätigung zwischen den jeweiligen nationalen Sicherheitsbehörden, dass ein bestimmtes Unternehmen eine Sicherheitsunbedenklichkeitsbescheinigung einer gewissen Klassifizierungsstufe besitzt. Erst nach behördlicher Bestätigung (national und international) dürfen klassifizierte Informationen an Unternehmen übergeben werden. Die Aushändigung der Sicherheitsunbedenklichkeitsbescheinigung und einer FSC an die Unternehmen ist daher nicht vorgesehen.

Kontakt

Das zentrale Gremium für Belange der Informationssicherheit in Österreich ist die Informationssicherheitskommission (ISK) im Bundeskanzleramt. Sie koordiniert zwischen den Bundesministerien, erlässt Vorgaben auf dem Gebiet der Informationssicherheit und agiert international als nationale Sicherheitsbehörde (National Security Authority). Ihr zur Seite gestellt ist das Büro der ISK, die Abteilung I/10 im Bundeskanzleramt, das einerseits als Geschäftsstelle der ISK dient und andererseits Österreich in internationalen Fachgremien, insbesondere der Europäischen Union, vertritt. Allgemeine Fragen können an das Büro der ISK gerichtet werden:

Bundeskanzleramt
Büro der Informationssicherheitskommission (Abteilung I/10)
Ballhausplatz 2
1014 Wien

Telefon: + 43 1 53115 - 202594
Fax: +43 1 53109 - 202615
E-Mail: isk@bka.gv.at

Rechtsgrundlagen

Letzte Aktualisierung: 23. Januar 2024

Für den Inhalt verantwortlich: Bundeskanzleramt