Industrielle Sicherheit Grundlagen der Informationssicherheit und klassifizierte Informationen

Sicherheit berührt jede Einzelne/jeden Einzelnen in öffentlichen Institutionen, Unternehmen und Organisationen – von der Standortwahl bis zur Systemadministration, vom Management bis zur Anwenderin/zum Anwender.

Vor dem Hintergrund der rasch fortschreitenden Globalisierung und einer damit einhergehenden weltweiten Konkurrenzsituation kommt es zu einer zunehmenden Bedrohung österreichischer Unternehmen. Einerseits sind heimische Unternehmen mit der Ausspähung von Betriebsgeheimnissen und neuen Technologien und andererseits mit Schädigungsabsichten oder anderen Straftaten, wie zum Beispiel Erpressung nach ungewolltem Informationsfluss, konfrontiert.

Informationssicherheit hat somit generell das Ziel, „alle wichtigen und benötigten Daten und Informationen zu identifizieren und die dafür erforderlichen Prozesse und Maßnahmen zu steuern, so dass Verfügbarkeit, Vertraulichkeit und Integrität jederzeit garantiert werden können“ (ISO 27001).

Das „Österreichische Informationssicherheitshandbuch“ bietet dazu einen Leitfaden, mit dessen Hilfe einfach und effizient ein umfassender Grundschutz in Unternehmen und Organisationen realisiert werden kann.

Über diesen generellen Grundschutz hinaus wird, vor dem Hintergrund der Informationssicherheit,  unter  „industrieller Sicherheit“  der Schutz von klassifizierten Informationen iSd Informationssicherheitsgesetzes (InfoSiG) durch private Unternehmen und Forschungseinrichtungen verstanden. Solche klassifizierten Informationen werden den Unternehmen und Forschungseinrichtungen von einem Bundesministerium zur weiteren Verarbeitung zur Verfügung gestellt. Im Zuge von internationalen Aufträgen und Projekten können klassifizierte Informationen auch von internationalen Organisation oder Drittstaaten stammen, sofern Österreich mit diesen ein völkerrechtliches Abkommen zum Austausch und Schutz klassifizierter Informationen abgeschlossen hat.

Klassifizierte Informationen

Unter klassifizierten Informationen versteht man Informationen, unabhängig ihrer Darstellungsform, die eines besonderen Schutzes gegen Kenntnisnahme und Zugriff durch Unbefugte bedürfen, da ein Bekanntwerden zu einem Schaden bestimmter öffentlicher Interessen führen kann. Je nach Ausmaß des potenziellen Schadens werden Informationen den Klassifizierungsstufen

  • EINGESCHRÄNKT
  • VERTRAULICH
  • GEHEIM

(bzw. deren internationalen Äquivalenten) zugeordnet (§ 2 InfoSiG). Um klassifizierte Informationen umfassend zu schützen, hat der Gesetzgeber bindende Maßnahmen und Handlungsanweisungen erlassen, die sowohl die physische Sicherheit (wie z.B. bauliche Maßnahmen oder Zutrittskontrollen) als auch die personelle, organisatorische und – bei Verarbeitung klassifizierter Informationen mittels Informationstechnologie – die IKT-mäßige Sicherheit (INFOSEC) umfassen. Je höher die Klassifizierungsstufe ist, desto strenger sind auch die rechtlichen Vorgaben.

Besonders wichtig ist, dass für den Zugang zu klassifizierten Informationen bestimmte Voraussetzungen erfüllt werden müssen (§ 3 Abs. 1 InfoSiG):

  1. Need-to-Know: Nur jenen Personen, für die der Zugang zu klassifizierten Informationen für die Erfüllung ihrer dienstlichen Aufgaben erforderlich ist, darf dieser auch gewährt werden.
  2. Unterweisung: Alle Personen, die im Unternehmen mit klassifizierten Informationen befasst werden sollen, sind im Umgang mit klassifizierten Informationen zu unterweisen. Die Nachweise der durchgeführten Unterweisungen sind an das zuständige Fachministerium zu übermitteln.
  3. Sicherheitsüberprüfung: Das Unternehmen hat alle Personen, die im Zuge der Auftragsvergabe im Unternehmen Informationen erhalten sollen oder können (inklusive Geschäftsführung, Prokura und Weisungskette), welche als VERTRAULICH oder höher (bzw. einer äquivalenten ausländischen Klassifizierungsstufe) klassifiziert sind, namhaft zu machen. Diese Personen müssen vor dem Zugang einer Sicherheitsüberprüfung unterzogen werden, welche gemäß §§ 55 bis 55 b Sicherheitspolizeigesetz (SPG) vom Bundesministerium für Inneres (BMI) bzw. gemäß §§ 23 und 24 Militärbefugnisgesetz (MBG) vom Bundesministerium für Landesverteidigung (BMLV) durchgeführt (Verlässlichkeitsprüfung) wird.

Um klassifizierte Informationen als solche zu erkennen, werden diese durch einen bestimmten Klassifizierungsvermerk (Marking) gekennzeichnet. Das Marking wird grundsätzlich vom Urheber vorgenommen, d.h. von jener Stelle, von der die klassifizierte Information stammt. Da bei klassifizierten Informationen das öffentliche Interesse geschützt wird, kann ein Urheber nur eine Behörde sein. Privatpersonen und Unternehmen sind demnach nicht in der Lage, klassifizierte Informationen gemäß InfoSiG für sich selbst, sondern immer nur im Auftrag für die zuständige Behörde zu erstellen. Dabei sind immer die vertraglichen Bestimmungen (insbesondere die jeweiligen Sicherheitsanweisungen des Projekts/Auftrags und Klassifizierungsrichtlinien) zu beachten.

Abgrenzung zu anderen Geheimhaltungspflichten

Achtung

Im alltäglichen Sprachgebrauch wird der Begriff „vertraulich“ oft im Zusammenhang mit der nicht gewollten Weitergabe privater oder unternehmensrelevanter Informationen verwendet. Dabei handelt es sich jedoch nicht um Informationen der Klassifizierungsstufe VERTRAULICH gemäß InfoSiG. Weiters ist zwischen den zu schützenden personenbezogenen Daten iSd Datenschutzgesetzes und klassifizierten Informationen gemäß InfoSiG zu unterscheiden. Auch andere privatrechtlich begründete Verschwiegenheitspflichten (wie z.B. Verschwiegenheitsklausel oder das weit verbreitete Traffic Light Protocol) dürfen mit dem Schutz klassifizierter Informationen nicht verwechselt werden.

Klassifizierte Projekte oder Aufträge

Möchte ein Unternehmen oder eine Forschungseinrichtung an einem klassifizierten Projekt teilnehmen, so muss der ausschreibenden Stelle der Nachweis erbracht werden, dass der Schutz der klassifizierten Informationen in dem Unternehmen in dem die Verarbeitung vorgenommen werden soll, entsprechend den Vorgaben gewährleistet werden kann. Diese Bestätigung wird in Österreich "Sicherheitsunbedenklichkeitsbescheinigung" genannt (§ 11 InfoSiG).

Da in vielen Fällen bereits die Ausschreibungsunterlagen für klassifizierte Projekte/Aufträge klassifizierte Informationen von EU, NATO bzw. eines Staates enthalten, muss das erforderliche Sicherheitsniveau des Unternehmens oftmals bereits zum Zeitpunkt der Vertragsverhandlungen überprüft worden sein.

Vorgaben

Die relevanten Sicherheitsanforderungen für eine Sicherheitsunbedenklichkeitsbescheinigung werden von der zuständigen überprüfenden Stelle vorgegeben.

Der Prozess der Erlangung einer Sicherheitsunbedenklichkeitsbescheinigung

  1. Der Antrag auf Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung ist gemäß § 12 Abs. 1 InfoSiG an das zuständige Fachministerium zu richten. Dabei handelt es sich um jenes Ministerium, in dessen Zuständigkeitsbereich der Auftragsgegenstand (z.B. Forschungstätigkeiten der Industrie) fällt. Auf der Internetseite des Bundeskanzleramts ist eine Liste mit den Kontaktdaten der einzelnen Bundesministerien zu finden. Bei Unklarheiten betreffend der Frage der Zuständigkeit ist das Büro der Informationssicherheitskommission (isk@bka.gv.at) zu kontaktieren.
  2. Das Unternehmen verpflichtet sich gegenüber dem zuständigen Fachministerium vertraglich zur Einhaltung der einschlägigen gesetzlichen Bestimmungen zum Schutz klassifizierter Informationen (insbesondere InfoSiG und InfoSiV).
  3. Das Unternehmen hat gegenüber dem zuständigen Fachministerium einen Sicherheitsbeauftragten (Security Officer) und Stellvertreter zu benennen, der die Einhaltung der einschlägigen Bestimmungen im Unternehmen überwacht und hierfür verantwortlich ist.
  4. Im ersten Schritt wird im Zuge einer Überprüfung die „Vertrauenswürdigkeit“ des Unternehmens (Integrität, Beeinflussbarkeit etc.) festgestellt.
  5. Das Unternehmen muss daraufhin alle Vorgaben zur physischen und organisatorischen Sicherheit umsetzen und gegebenenfalls IKT Systeme
    einer Akkreditierung unterziehen.
  6. Alle Personen, die im Unternehmen mit klassifizierten Informationen befasst werden sollen, inklusive Geschäftsführung, Prokura und Weisungskette, müssen die Voraussetzungen für den Zugang zu diesen Informationen gemäß § 3 Abs. 1 InfoSiG erfüllen (siehe oben Punkt 2).
  7. Ob das Unternehmen die allgemeinen Sicherheitsanforderungen und sicherheitsrelevanten Vorgaben erfüllt, wird mittels Sicherheitsinspektionen (externe Audits) im Unternehmen in dem die Verarbeitung klassifizierter Informationen stattfindet, überprüft. Für Auftragsgegenstände, die in den zivilen Bereich fallen, wird diese Überprüfung durch das BMI und für Auftragsgegenstände, die in den militärischen Bereich fallen, durch das BMLV durchgeführt.  Darüber hinaus können während der kompletten Dauer des klassifizierten Auftrages oder Projektes auch weitere Inspektionen durch die zuständigen Behörden durchgeführt werden. Die Bewertung des Ergebnisses der Inspektion obliegt jedoch wieder dem zuständigen Fachministerium. Bei militärischen Aufträgen oder Projekten fallen diese beiden Rollen zusammen.

Eine Sicherheitsunbedenklichkeitsbescheinigung hat eine maximale Gültigkeit von fünf Jahren und kann danach verlängert werden. Sollte sich ein Unternehmen innerhalb dieses Zeitraumes bei weiteren klassifizierten Aufträgen/Projekten bewerben (wollen), so ist dies dem zuständigen Fachministerium, welches die Sicherheitsunbedenklichkeitsbescheinigung ausgestellt hat, zu melden.

Benötigt ein Unternehmen für die Bewerbung bzw. Teilnahme an einem klassifizierten Projekt/Auftrag eine Sicherheitsunbedenklichkeitsbescheinigung gemäß InfoSiG, sollte der Antrag an das zuständige Fachministerium insbesondere die folgenden notwendigen Informationen enthalten:

  • Antragsteller,
  • Branche des Antragstellers,
  •  Bennen einer Kontaktperson,
  • Land/Institution des klassifizierten Auftrags/Projekts,
  • Angestrebte Klassifizierungsstufe,
  • Voraussichtliche Art der Verarbeitung; Zugang – Lagerung – elektronische Verarbeitung,
  • Zeitrahmen bzw. voraussichtlicher Beginn des klassifizierten Auftrags/Projekts.

Unterschied Sicherheitsunbedenklichkeitsbescheinigung und "Facility Security Clearance" (FSC)

Bei der im internationalen Rechtsverkehr gebräuchlichen „Facility Security Clearance“ (FSC) handelt es sich um eine Bestätigung zwischen den jeweiligen nationalen Sicherheitsbehörden, dass ein bestimmtes Unternehmen eine Sicherheitsunbedenklichkeitsbescheinigung einer gewissen Klassifizierungsstufe besitzt. Erst nach behördlicher Bestätigung (national und international) dürfen klassifizierte Informationen an Unternehmen übergeben werden. Die Aushändigung der Sicherheitsunbedenklichkeitsbescheinigung und einer FSC an die Unternehmen ist daher auch nicht vorgesehen.

Kontakt

Das zentrale Gremium für Belange der Informationssicherheit in Österreich ist die Informationssicherheitskommission (ISK) im Bundeskanzleramt. Sie koordiniert zwischen den Bundesministerien, erlässt Vorgaben auf dem Gebiet der Informationssicherheit und agiert international als nationale Sicherheitsbehörde (National Security Authority). Ihr zur Seite gestellt ist das Büro der ISK, die Abteilung I/10 im Bundeskanzleramt, das einerseits als Geschäftsstelle der ISK dient und andererseits Österreich in internationalen Fachgremien, insbesondere der Europäischen Union, vertritt. allgemeine Fragen können an das Büro der ISK gerichtet werden:

Adresse:

Bundeskanzleramt

Büro der Informationssicherheitskommission (Abteilung I/10)
Ballhausplatz 2
1014 Wien

Telefon: 

+43 (0)1 53115-202594

Fax: 

+43 (0)1 53109-202615

E-Mail: 

isk@bka.gv.at

Letzte Aktualisierung: 18. Dezember 2023

Für den Inhalt verantwortlich: Bundeskanzleramt