Der Aufmarsch wird lautlos sein. Kein Panzer rollt, keine Geschütze donnern, keine Flieger dröhnen durch die Luft. Nur Tastaturklappern und Mausklicks – so klingt der Krieg der Zukunft. Die Attacke kann von überall aus erfolgen, zu jeder Zeit, ohne dass der Staat überhaupt weiß, wer genau ihn angreift. Als Abwehr helfen weder Raketen noch Maschinengewehre, nur Rechner und vor allem IT-Fachleute. "Österreich ist hoch vernetzt und damit ein potenziell verwundbares Ziel", sagt Walter Unger, Leiter der Abteilung C im Abwehramt des Bundesheers. Er arbeitet daran, dass Österreich gerüstet ist für einen Cyberwar. Die kritische Infrastruktur der Republik, Luftüberwachung, Energieversorgung, Banken, ist eines der Einfallstore für digitale Krieger.

In einem Aufsatz hat Unger vor einiger Zeit Klaus Naumann zitiert, den ehemaligen Vorsitzenden des Nato-Militärausschusses. Der sagte voraus, im Jahr 2020 könnten potente Länder kleinere Gegner einfach elektronisch ausknipsen. Ein paar erfolgreiche Angriffe auf die kritische Infrastruktur, und schon wäre das Ziel sturmreif gehackt.

Das große Problem für die Republik: Eine solche Attacke ist nicht nur in einem Cyberwar-Szenario denkbar. Denn im Internet gibt es alles, womit die Sicherheitsbehörden auch im analogen Leben zu kämpfen haben – Terrorismus, Spionage, Kriminalität. Was es nicht gibt, ist Frieden.

Erst vor wenigen Wochen haben Unbekannte das Netz des Deutschen Bundestags angezapft und offenbar mehrere Gigabyte Daten, Mails und Kontakte abgeschöpft. Wer dahintersteckt? Es könnte ein feindlicher Geheimdienst sein oder ein freundlicher; Terroristen, vielleicht Kriminelle, die die Daten zum Kauf anbieten. Der Staat gerät ins Visier von Hackern. Dorthin, wo die Bürger schon lange sind. Fast jeder zweite Österreicher, der das Internet nutzt, hatte bereits Viren auf dem Rechner. Jeder zehnte sollte schon einmal Geld bezahlen, um gestohlene Daten wiederzubekommen.

Organisierte Kriminelle, politisch motivierte Hacktivisten, die IT-Abteilungen von Geheimdiensten und Armeen – die Republik steht vor der Frage, wie sie sich und ihre Bürger vor den Gefahren aus dem Netz schützen kann. Die Antwort ist einfach und wenig beruhigend: So gut wie gar nicht.

"Es ist ein grundsätzliches Problem der IT-Sicherheit", sagt Wolfgang Czerni. "Wer angreifen will, kann das auch tun, und er ist immer im Vorteil." Czernis Firma Infraprotect hilft Unternehmen, sich auf Bedrohungen einzustellen. "Wichtig ist: Wie erkenne ich Ausspähversuche, wie einen Angriff? Und wie kann ich optimal reagieren?" Zu Czernis Kunden gehören auch die Betreiber von kritischen Infrastrukturen wie der Stromnetzbetreiber Austrian Power Grid. Für sie spielt er auch schon mal den Hacker und versucht, in ihre Systeme einzudringen, um Schwachstellen zu finden.

Dieser Artikel stammt aus der Österreich-Ausgabe der ZEIT Nr. 28 vom 09.07.2015. Sie finden diese Seiten jede Woche auch in der digitalen ZEIT.

In Deutschland brauchten Hacker in einem Test zwei Tage, um die Strom- und Wasserversorgung der Stadt Ettlingen unter ihre Kontrolle zu bringen. Ein Horrorszenario, gegen das sich Österreich nur bedingt wappnen kann. Achtzig Prozent der kritischen Infrastrukturen sind in privater Hand. Für ihre Sicherheit sind die Unternehmen selbst verantwortlich, der Staat kann sie nur unterstützen.

Wie das aussehen soll, steht in der Österreichischen Strategie für Cyber Sicherheit von 2013. Mitgemischt haben bei dem Papier das Bundeskanzleramt, das Innenministerium, das Außenministerium und das Bundesheer. Sicherheitsexperte Czerni hält es für einen wichtigen Schritt: "Man hat erkannt: Es gibt ein Problem, wenn wir es lösen wollen, müssen wir Ressourcen frei machen." Wie viel sich die Republik die Sicherheit genau kosten lassen will, verrät sie nicht: Kernstück der Strategie ist das Cyber-Security-Center des Innenministeriums. Es soll 2017 einsatzfähig sein – mit welchem Budget, will das Ministerium nicht sagen. Ähnlich auskunftsfreudig gibt sich das notorisch klamme Bundesheer, wenn es um das Cyber-Defence-Center geht, das unter Federführung des Verteidigungsministerium entstehen soll. Die österreichische Firewall, sie befindet sich noch im Aufbau.

Zu kleine Budgets für IT-Sicherheit

Wenn sie einmal steht, bleibt die Frage, ob der Staat schlagkräftig genug ist. "Gerade bei den engen Budgets ist es nicht leicht, die richtigen Leute und Strukturen zu organisieren", sagt Otmar Lendl. Der 45-Jährige hat schon Rechner vernetzt, da war noch Windows 3.1 das neueste Betriebssystem. Heute ist er der Mann, den man anrufen muss, wenn man das österreichische Internet sprechen will. Er leitet das CERT, das Computer Emergency Response Team – die Feuerwehr für das Netz. Wenn ein Virus oder eine Sicherheitslücke auftaucht, wissen Lendl und sein achtköpfiges Team es meist kurze Zeit später. Sie geben die Informationen weiter an die Provider und helfen, den Fehler zu beheben.

IT-Sicherheitsexperten wie Otmar Lendl und Wolfgang Czerni sind für den Staat schwer zu rekrutieren: Sie können in der freien Wirtschaft weit mehr verdienen als bei der Polizei oder in den Ministerien. Die Besten der Branche wandern ohnehin ins Ausland ab. Schon in Deutschland sind Tagessätze ab 1.000 Euro normal, IT-Angestellte verdienen dort im Schnitt rund 20 Prozent mehr als in Österreich.

Lendl trägt keine Uniform, sondern Jeans. Durch das Büro läuft er barfuß. Das CERT ist keine Behörde, sondern ein Privatunternehmen, finanziert vom Bundeskanzleramt und nic.at, dem Verwalter der österreichischen Internetadressen. Lendl sitzt mit am Tisch, wenn überlegt wird, wie der Staat auf mögliche Hackerattacken reagieren könnte.

Das CERT gibt über die Medien auch Hinweise an die normalen Internetnutzer weiter. Die, sagt Lendl, stünden ständig unter Beobachtung: "Jeder, der mit seinem PC oder seinem Smartphone online ist, wird das Ziel von kriminellen Aktivitäten." Permanent scannen Schadprogramme die Computer potenzieller Opfer wie ein Taschendieb die Rucksäcke.

Wie oft Kriminelle mit dem Abtasten Erfolg haben, ist schwer zu sagen. Die Anzeigen wegen widerrechtlichem Zugriff auf Computersysteme sind von 391 im Jahr 2013 auf 677 im Jahr 2014 gestiegen. "Die Dunkelziffer ist aber kaum abzuschätzen", sagt Manfred Riegler. Er leitet den Ermittlungsbereich des Cyber Crime Competence Centers des Bundeskriminalamts. Derzeit, erzählt Riegler, habe die klassische Erpressung im digitalen Gewand Hochkonjunktur: In einer E-Mail drohen die Täter damit, die Internetseite einer Firma abzuschießen. Zehn "Bitcoins" Schutzgeld verlangen die Kriminellen, eine virtuelle Währung. Ein Bitcoin kostet derzeit 225 Euro.

Vor einer Woche nahmen Beamte des Bundeskriminalamtes und von Europol in der Ukraine fünf Personen fest, die einem Netzwerk angehören sollen, das weltweit TAN-Codes für Online-Bankgeschäfte ausspioniert und sich damit selbst Geld überwiesen hat. Der Schaden allein in Österreich: 1,2 Millionen Euro. Solche Fahndungserfolge haben Seltenheitswert, gibt Riegler zu: "Häufig können wir die Täter und ihre Hintermänner nicht ausfindig machen." Die Aufklärungsquote für Cybercrime liegt unter dem Durchschnitt für Straftaten. Meist verlieren sich die Spuren der Täter auf Servern im Ausland.

Momentan arbeiten 36 Beamte im Cyber Crime Competence Center, bis 2016 sollen es 50 werden. Man rüstet sich für das "Verbrechen der Zukunft", wie Riegler es nennt: Kriminalität als Dienstleistung. Man könnte es auch Rent a Hacker nennen. Für den Internetbetrug muss man keine eigene Zeile Code programmieren können, Geld und Kontakte reichen.

Dieser Weg steht auch Terroristen offen. Alles, was es braucht, sind ein Geldgeber und ein paar Hacker mit einem schiefen moralischen Kompass, und schon könnten die kritischen Infrastrukturen Österreichs ins Visier geraten. Deren Verteidigung obliegt dem Bundesheer.

Auch die Militärs kämpfen mit Personalproblemen, sagt Unger. "Das ist die kritische Ressource – qualifizierte Leute zu kriegen, zu binden und fortzubilden." Trotzdem soll das Cyber-Defence-Center helfen, die kritischen Infrastrukturen zu schützen. Die wären auch in einem Cyberwar das erste Angriffsziel, sagt Walter Unger. "Wenn die in die Knie gehen, dann auch der Staat."