Könen: Cybersicherheit und Cyberverteidigung stärkerer Schutz durch ressortübergreifende Zusammenarbeit: ethikundmilitaer.de
In der von der Bundesregierung 2016 verabschiedeten Cyber-Sicherheitsstrategie für Deutschland werden im Handlungsfeld 3 "Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur" Kriterien und Handlungsmaximen für die nationale Cyber-Sicherheitsarchitektur dargelegt. Wesentliches strategisches Ziel und Maßnahme zugleich ist dabei die Stärkung der Verteidigungsaspekte der Cybersicherheit. Bereits in der Cyber-Sicherheitsstrategie werden daher im entsprechenden Absatz die vordringlichen Aspekte der Cyberverteidigung als militärischer Teil der Gesamtverteidigung im Cyberraum benannt: "Die Verteidigungsfähigkeiten der Bundeswehr im Cyber-Raum sind [...] wesentlicher Teil der Cyber-Sicherheitsarchitektur. Sowohl die inhaltliche Übereinstimmung bei der technischen Umsetzung von Schutzmaßnahmen als auch die Nutzung und Mitgestaltung von Strukturen, Prozessen und Meldewesen der Cyber-Abwehr unter verteidigungsrelevanten Aspekten und Situationen zeigen die enge Abhängigkeit."1
Mit der Aufstellung des Kommandos Cyber- und Informationsraum (KdoCIR) hat das BMVg im April 2017 eine herausragende Maßnahme umgesetzt, die in der Cyber-Sicherheitsstrategie angekündigt wurde. Es lohnt sich daher, einige strategische Ziele und Maßnahmen, die im Jahr 2016 beschrieben wurden, erneut zu beleuchten, in Beziehung zu aktuellen Entwicklungen in der Cyberpolitik zu setzen und daraus gegebenenfalls neue Schlussfolgerungen zu ziehen. Dies betrifft vor allem das Zusammenwirken von zivilen und militärischen Cybersicherheitsmaßnahmen in den Feldern Schutz kritischer Infrastrukturen, Gefährdungslage im Cyberraum, internationale Cybersicherheitspolitik und aktive Cyberabwehr.
Der Schutz kritischer Infrastrukturen
Besondere Aufmerksamkeit wurde in den letzten Jahren dem Schutz kritischer Infrastrukturen gewidmet. Mit dem IT-Sicherheitsgesetz von 2015, der daraus resultierenden Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (KRITIS-Verordnung) und der europäischen Netzwerk- und Informationssicherheits-Richtlinie wurde ein gesetzlicher Rahmen für den Schutz der versorgungskritischen Infrastrukturen geschaffen.
Hierbei nutzt der Gesetzgeber einen doppelten Ansatz, um Cyber- und Informationssicherheit zu befördern: Einerseits legt er den Unternehmen die Pflicht zur Erstellung von firmenspezifischen Informationssicherheitskonzepten sowie deren Realisierung und Auditierung auf. Dieser präventive Ansatz wird idealerweise durch die Schaffung eines branchenspezifischen Mindeststandards gestützt, an dem sich die Unternehmen orientieren können. Dies wurde zum Beispiel in der Versicherungsbranche erfolgreich umgesetzt. Im zweiten Ansatz, durch den Detektion und Reaktion unterstützt werden sollen, etabliert der Gesetzgeber mit der Einführung einer Meldepflicht für Cybersicherheitsvorfälle die Basis für eine branchen- und sektorenübergreifende Erstellung eines Cybersicherheitslagebildes der kritischen Infrastrukturen.
Mit dem Entwurf des IT-Sicherheitsgesetzes 2.0 wird nun ein nächster Schritt zum Schutz herausragender Unternehmen der deutschen Wirtschaft unternommen. Neben einer Ausweitung des bisherigen versorgungskritischen Ansatzes etwa auf die Branche Entsorgung beziehungsweise den Sektor Kultur und Medien sollen in einer Anpassung dieses versorgungsorientierten Ansatzes nun auch Unternehmen reguliert werden, die durch fortschreitende Digitalisierung in einem erhöhten Maße von Informationstechnologie abhängig sind und bei denen Ausfälle der IT, die etwa durch einen Cyberangriff verursacht werden, die Geschäftstätigkeit zum Erliegen bringen oder sogar in der Folge zu Großschadensereignissen führen können. Es handelt sich bei solchen Unternehmen unter Prägung einer neuen Begrifflichkeit um IT-kritische Unternehmen. Diese IT-Kritikalität würde aber allein eine Regulierung nicht rechtfertigen. Erst wenn eine besondere Bedeutung für das Gemeinwesen sichtbar wird, ergibt sich eine Fürsorgepflicht des Staates zum Schutz der Unternehmen und letztlich für die Bürgerinnen und Bürger: Herausragende Beispiele für die Notwendigkeit einer solchen Regulierung sind etwa die chemische Industrie wegen ihres Großschadenspotenzials, die Verteidigungs- und Sicherheitswirtschaft in ihrer Rolle als Lieferant für die Bundeswehr und die anderen Sicherheitsbehörden in Bund und Ländern, die Automobilwirtschaft wegen ihrer gesamtwirtschaftlichen Bedeutung mit Blick auf die Produktions- und Steuerungs-IT oder auch Unternehmen mit substanziellem schützenswerten Know-how ("Intellectual Property").
Wo besteht nun in der gesamten zivilen Thematik der Cybersicherheit kritischer Infrastrukturen der Bezug zu den Strukturen der militärischen Verteidigung? Betrachtet man den erweiterten Begriff kritischer Infrastrukturen als IT-kritische Unternehmen mit gesamtgesellschaftlicher Bedeutung, so wird unmittelbar klar, dass man die Bundeswehr und ihre Zulieferindustrie in diesem Sinn durchaus als kritische Infrastruktur identifizieren kann, und dies auch bereits in Friedenszeiten. Mit der Digitalisierung und Vernetzung der Streitkräfte generell, mit dem Einsatz hochkomplexer IT in Waffensystemen, der Automatisierung mobiler Fahr- und Flugzeuge sowie einer voll digitalisierten Kommunikations- und Führungsinfrastruktur wird dies unmittelbar deutlich. Andererseits ist die Bundeswehr sowohl in Friedenszeiten als auch im Verteidigungsfall auf das Funktionieren der zivilen kritischen Infrastrukturen im obigen erweiterten Sinne angewiesen. Die Verfügbarkeit der nationalen und internationalen Telekommunikation sowie des nationalen und internationalen Internets ist hier ein wichtiges Beispiel.
Aufgrund der Zuständigkeit des BMI für die öffentliche Sicherheit und die Versorgungssicherheit der Bevölkerung im Friedensfall auf der einen Seite sowie der Notwendigkeit des Rückgriffs auf die kritischen Infrastrukturen durch BMVg beziehungsweise Bundeswehr im Verteidigungsfall entsteht auch bei Gefährdungen und Angriffen aus dem Cyberraum eine neue Herausforderung für eine gemeinsame Aufstellung beider Ressorts. Eine sorgfältige Analyse und Bewertung der jeweiligen IT-Abhängigkeiten von den kritischen Infrastrukturen sowie deren Interdependenzen sind daher für die innere und äußere Sicherheit schon im Friedensfall unerlässlich. Dies betrifft insbesondere die Vorsorge für Krisen- und Katastrophenfälle und letztlich auch den Verteidigungsfall. Hieraus müssen abgestimmte Reaktionsmechanismen abgeleitet werden, die auch bereits im Vorfeld geübt werden.
Konkret betrifft dies zum Beispiel abgestimmte oder sogar identische Informationssicherheitsanforderungen an IT-Produkte oder an die Cybersicherheit von (gemeinsam oder etwa im Rahmen der NATO genutzten) Netzwerk- oder Kommunikationsinfrastrukturen. Viele dieser Anforderungen werden bereits heute, etwa in Zulassungsverfahren des BSI im Rahmen des Geheimschutzes oder bei Beschaffungsvorhaben der IT-Konsolidierung des Bundes, gemeinsam erstellt und in die Praxis überführt. Der neue IT-Grundschutz des BSI mit anwenderspezifischen Profilen bei Cybersicherheitsanforderungen ist hier das Werkzeug der Wahl auch für die Bundeswehr.
Angesichts der fortschreitenden Digitalisierung ergeben sich hier aber permanent weitere Handlungsfelder, zum Beispiel bei der Cybersicherheit von "Internet of Things"-Produkten oder bei der Kommunikation über (virtuelle) Netzwerke unterschiedlicher Sicherheitsniveaus. Für die gemeinsam von BMVg und BMI aufgestellte Agentur für Innovation in der Cybersicherheit resultiert hieraus bereits jetzt eine Fülle möglicher Forschungsansätze. Darüber hinaus ist aber auch ein gemeinsames Vorgehen in der Standardisierung von Cybersicherheitsanforderungen in europäischen und internationalen Standardisierungsgremien wünschenswert.
Die Gefährdungslage im Cyberraum und ihre gemeinsame Bewältigung
Mit dem Cyberabwehrzentrum (CyberAZ) wurde beim BSI 2011 eine Kooperations- und Koordinierungsplattform geschaffen, der aus dem Geschäftsbereich des BMVg insbesondere auch das Kommando Cyber- und Informationsraum (KdoCIR) zuarbeitet. Das KdoCIR arbeitet hier gemeinsam mit den anderen Sicherheitsbehörden des Bundes, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), aber auch den Aufsichtsbehörden kritischer Infrastrukturen zusammen und tauscht Informationen, Analysen und Bewertungen zur Cyberlage aus. Auf Basis dieses Informationsaustauschs hat die Arbeit des CyberAZ folgende herausragenden Ziele: koordinierte operative Bearbeitung von Cybersicherheitsvorfällen, Erstellung des dynamischen nationalen Cybersicherheitslagebildes und die Bereitstellung abgestimmter und eingeübter Krisenreaktionsmechanismen der beteiligten Behörden für die Cyberkrise. Perspektivisch sind eine Erweiterung des CyberAZ und die Einbeziehung der Bundesländer und der Wirtschaft geplant.
Für das CyberAZ stellen sich an der Nahtstelle zwischen ziviler und militärischer Verteidigung neue Herausforderungen: Das Cybersicherheitslagebild des CyberAZ fußt zu einem herausragenden Anteil auf den Erkenntnissen ziviler Einrichtungen wie der Computer Emergency Response Teams (CERT) verschiedener Behörden und Einrichtungen. Die verwendeten Quellen spiegeln im Regelfall eine Situation in den nationalen und internationalen Netzen wider, die von verschiedensten Cybersicherheitsvorfällen zivilen Charakters geprägt ist, die vornehmlich auf cyberkriminelle Aktivitäten, Cyberspionage oder Cybersabotage zurückzuführen sind. Militärische Cybersicherheitsszenarien gehören nicht zum Spektrum der Aufgaben der beteiligten Behörden und werden vom KdoCIR klarerweise in eigener Verantwortung und in eigenen Strukturen wahrgenommen. Auch die militärische Cybersicherheitslage wird dort erstellt. Eine Differenzierung zwischen zivilen und militärischen Cybersicherheitsszenarien erschloss sich dabei in der Vergangenheit aus der Einbettung von Cybersicherheitsvorfällen in Sicherheitsvorkommnisse in der physischen Welt. Diese klare Trennung ist allerdings mittlerweile nicht mehr möglich.
Denn Cybersicherheitsvorfälle der jüngeren Vergangenheit machen deutlich, dass mit einer Zunahme von Vorfällen im Cyberraum zu rechnen ist, die hybriden Charakter tragen. Cyberangriffe können und werden zunehmend unterhalb der Schwelle militärischer Angriffe in Szenarien zwischenstaatlicher diplomatischer oder politischer Krisen genutzt werden und führen zu einer erhöhten Komplexität der Cybersicherheitslage. Eine konsistente und alle Aspekte umfassende Analyse und Bewertung solcher Vorfälle kann daher nur in Kooperation zwischen dem KdoCIR, dem BSI und den anderen Behörden im CyberAZ erfolgen. Eine spezifische Herausforderung bei der Bewertung hybrider Angriffe besteht klarerweise darin, die technische Bewertung des CyberAZ mit der Bewertung der außenpolitischen und militärischen Lage zusammenzuführen. Hier sind insbesondere BMVg, Auswärtiges Amt, BKA und BMI aufgerufen, gemeinsam mit den nachgeordneten Behörden eine Kooperation und Koordination der jeweiligen Lagezentren zu ermöglichen und zu strukturieren.
Auch für einen eventuellen Verteidigungsfall muss entsprechende Vorsorge getroffen werden, damit alle Informationen der zivilen Cybersicherheitslage in einem zum Verteidigungsfall eskalierenden Krisenfall an die Bundeswehr und das KdoCIR übermittelt werden können. Die hierfür erforderlichen Strukturen, Rechtsgrundlagen und darauf aufbauenden Prozesse stehen aber noch am Anfang.
Internationale Cybersicherheitspolitik
Auch in der europäischen und internationalen Cybersicherheitspolitik spielt im Sinne einer aktiven Positionierung Deutschlands die enge Zusammenarbeit zwischen dem BMVg und dem BMI sowie zwischen dem KdoCIR und dem BSI eine wichtige Rolle, insbesondere im Rahmen der Maßnahme "Die Cyber-Verteidigungspolitik der NATO weiterentwickeln". Hierzu erneut ein Zitat aus der Cyber-Sicherheitsstrategie von 2016:
"Das Nordatlantische Bündnis ist als ein Eckpfeiler der Sicherheit Deutschlands sowie der euroatlantischen Sicherheit auf einen ausreichenden Schutz vor Angriffen aus dem Cyber-Raum angewiesen, um seine Kernaufgaben insbesondere im Bereich der kollektiven Verteidigung und bei internationalen Stabilisierungseinsätzen erfüllen zu können. [...] Ziel ist es, die Resilienz der Alliierten und der Allianz insgesamt kontinuierlich zu erhöhen und nicht zuletzt im Kontext hybrider Bedrohungen die Abschreckungs- und Verteidigungsfähigkeiten zu steigern."2
Weitgehend unbekannt ist aber die Tatsache, dass das BSI sowohl die deutsche NATO Crypto Security Authority (NCSA) als auch Cyberdefence Authority (NCDA) darstellt und damit Deutschland in verschiedenen Gremien der NATO gemeinsam mit dem KdoCIR bzw. dem BMVg vertritt. Dies trägt in der historischen Entwicklung vor allem der Tatsache Rechnung, dass das BSI im Rahmen des Geheimschutzes sowohl die nationale Zulassung von militärischem Kommunikationsequipment verantwortet als auch in den entsprechenden NATO-Zulassungsgremien seine Kompetenzen einbringt. Konsequenterweise wurde dann die Rolle des BSI auch auf die entsprechenden Fragestellungen in der Cybersicherheit (hier gleich Cyberdefence) vor allem in Netzen erweitert.
Hieran gilt es nun auch in der zukünftigen Weiterentwicklung anzuknüpfen. Für die NATO wird es in Verteidigungslagen essentiell sein, dass die Mitgliedstaaten über entsprechend robuste und verlässliche kritische Infrastrukturen verfügen, insbesondere etwa bei den Netzinfrastrukturen, auf die im Verteidigungsfall zurückgegriffen werden müsste. Es sind hier daher neben die oben formulierten nationalen und europäischen Cybersicherheitsanforderungen entsprechende Anforderungen vonseiten der NATO zu stellen und national zu realisieren. Um sowohl im zivilen Krisen- oder Katastrophenfall als auch im Verteidigungsfall über resiliente Netze zu verfügen, ist eine Abstimmung der aus dem IT-Sicherheitsgesetz resultierenden Anforderungen mit denen der NATO erforderlich. Zur Abstimmung dieser aktuell noch lose nebeneinanderstehenden Anforderungen sollten KdoCIR und BSI künftig stärker kooperieren.
Zivile und militärische Aspekte einer aktiven Cyberabwehr
Für den Einsatz bei zivilen Krisen oder Katastrophen im Cyberraum, die sich als Cybersabotage gegen kritische Infrastrukturen mit entsprechender Wirkung äußern, werden zurzeit Mittel der zivilen Verteidigung unter dem Begriff "Aktive Cyberabwehr" diskutiert. Während der Einsatz aktiver Verteidigungsmaßnahmen im Cyberraum im Falle der Landesverteidigung, des NATO-Bündnisfalles oder eines Auslandseinsatzes durch eine entsprechende Mandatierung der Bundeswehr beziehungsweise der Kräfte des KdoCIR durch den Deutschen Bundestag erfolgen kann, besteht hier für zivile Maßnahmen der aktiven Cyberabwehr einerseits noch gesetzgeberischer Handlungsbedarf.
Andererseits ist auch überhaupt der Aufbau entsprechender Fähigkeiten auf Basis entsprechender Befugnisse für die Maßnahmen einer zivilen Verteidigung im Cyberraum notwendig: Ein erweiterter Schutz für nationale Infrastrukturen gegen Cybersabotageangriffe aus dem Ausland könnte im ersten Schritt etwa durch (teilweise) Netzsperren, durch gezielte Blockade der Angreifer und Abriegelung der Opfersysteme durch den jeweiligen Provider erreicht werden. Im Inland wären hierzu bei Feststellung einer Krisen- und Katastrophenlage im nationalen Teil des Cyberraums Anordnungsbefugnisse und Anordnungsmaßnahmen des BSI als Ordnungsbehörde vorstellbar. Die Polizeien des Bundes und der Länder könnten das BSI in der polizeilichen Gefahrenabwehr unterstützen und zusätzlich in der Kooperation mit Polizeien im Ausland für die Unschädlichmachung von Angreifersystemen dort Sorge tragen.
Im äußersten Fall sollte zur Abwehr auch die Isolation oder Abschaltung von Angreifersystemen durch aktive Cyberabwehrmaßnahmen möglich sein, etwa wenn Gefahr im Verzuge eine Reaktion in kürzester Frist erforderlich macht. Hierzu wären dann auch geeignete Entscheidungsprozesse zu etablieren.
Selbst die Einrichtung einer zivilen aktiven Cyberabwehr wie oben skizziert ließe dennoch komplexe Fragestellungen offen: Hybride Bedrohungsszenarien, in denen zum Beispiel nicht mehr scharf zwischen Sabotage und militärischen Angriffen unterschieden werden kann, sind heute in der "analogen Welt" gängige Methodik zur Destabilisierung des Opfers. Vergleichbare Szenarien sind in der virtuellen Welt des Cyberraums erst recht und in vielfältiger Form vorstellbar. Angreifer könnten destabilisierende Maßnahmen in der analogen Welt mit Cybersabotage koppeln und somit für eine doppelt hybride Gefährdungslage - zivil versus militärisch und analog versus digital - sorgen.
Lösungen oder Lösungsansätze für solche komplexen Verteidigungsszenarien existieren heute noch nicht und bedürfen einer tiefergehenden Analyse und Bewertung. Hier eröffnet sich ein weiteres Feld für eine intensive Zusammenarbeit militärischer und ziviler Stellen im Inland wie mit unseren Partnern im Ausland, vor allem in der EU und in der NATO. Hierzu sind neben der Lösung von Fragestellungen des Völkerrechts, des Rechts der Gefahrenabwehr, der Entwicklung entsprechender technischer, organisatorischer und politischer Lösungen sowie der Schaffung geeigneter Krisenreaktionsmechanismen auch noch einmal grundsätzliche Erörterungen ethischer Verhaltensmaßstäbe in der Digital- und Cyberwelt erforderlich. Die Diskussion hat gerade erst begonnen.
Empfehlungen zur Cyberabwehr. Was, wenn ein Cyberangriff droht?
Das BSI warnt in diesen Tagen vermehrt vor Cyberangriffen, angesichts der angespannten politischen Situation. Vor allem Betreiber kritischer Infrastrukturen und nationale Behörden sind Adressaten der Warnungen. Die Empfehlungen legen dar, was Organisationen und Unternehmen dieser Art grundsätzlich in einer hohen Cyber-Gefährdungslage IMMER beachten sollten, von der Prävention bis zu Reaktionsmaßnahmen bei laufender Cyberattacke.
Wie sollten KRITIS-Unternehmen ihre Cyberabwehr stärken?
Etablieren Sie präventive kritische Sicherheitskontrollen
Cyberangriffe und Datenverlust haben schwerwiegende Folgen. Lassen Sie es erst gar nicht dazu kommen. Durch Device Control vermindern Sie das Risiko, dass Schadcode in Ihr Unternehmen gelangt und durch Application Control dessen Ausführung. Jede vereitelte Aktion muss später erst gar nicht erkannt („detection“) werden.
Planen Sie organisatorische und infrastrukturelle Maßnahmen
Prüfen und stellen Sie die Erreichbarkeit und Verfügbarkeit Ihres Fachpersonals und Ihrer Dienstleister für Präventions- und Reaktionsmaßnahmen sicher, und dokumentieren Sie diese schriftlich (offline).
Prüfen Sie Business Continuity Management (BCM)-Notfallpläne. Berücksichtigen Sie, dass externe Dienstleister ggfs. nicht zur Verfügung stehen könnten und wie Sie dann den potenziellen Schaden bewältigen könnten.
Reduzieren Sie Ihre Angriffsflächen
Gerade jetzt ist es an der Zeit, ihre Systeme auf aktuellen Patch-Stand zu bringen. Bereiten Sie das Einspielen von Notfall-Patches vor. Zu den Grundlagen eines Vulnerability-Managements gehört eine vollständige Bestandsaufnahme aller Hardware- und Software-Assets im gesamten Unternehmensnetzwerk. Bevor Sie Ihre Angriffsfläche angemessen schützen können, müssen Sie alle darin enthaltenen Assets identifizieren. Vulnerability Management bewertet kontinuierlich Risiken und wird durch Automatisierung zur täglichen Routine.
Erschweren (Härten) Sie die Authentifizierung in ihr Unternehmensnetzwerk durch Multi-Faktor-Authentifizierung, mindestens durch die Sicherstellung unterschiedlicher Passwörter für jedes System. Verwenden Sie für unterschiedliche Netze verschiedene Konten und vermeiden Sie Administrator-Konten wo es geht. Erschweren Sie Lateral Movement ins/innerhalb des internen Netzwerks.
Verstärken Sie Detektionsmaßnahmen, um Angriffe schnellstmöglich zu entdecken
Etablieren Sie ein Sicherheits-Logging und überwachen Sie insbesondere externe Zugriffe durch kontinuierliches Monitoring. Configuration Monitoring umfasst Aktivitäten, mit denen festgestellt werden soll, ob Systeme in Übereinstimmung mit den vereinbarten Baseline-Konfigurationen der Organisation konfiguriert sind und ob die im System identifizierten Komponenten mit dem von der Organisation geführten Component Inventory übereinstimmen.
Das Monitoring identifiziert unentdeckte und nicht dokumentierte Systemkomponenten, Fehlkonfigurationen („misconfigurations“), Schwachstellen sowie nicht autorisierte Änderungen. Werden sie nicht angegangen, setzen sich Organisationen einem erhöhten Risiko aus. Der Einsatz automatisierter Tools hilft Unternehmen, effizient zu erkennen, wann das System nicht mit der genehmigten Baseline-Konfiguration übereinstimmt und wann Abhilfemaßnahmen („remediation actions“) erforderlich sind.
Denken und bereiten Sie Reaktionsmaßnahmen vor
Erstellen Sie aktuelle Datensicherungen (Backups). Lagern Sie Kopien offline und redundant. Testen Sie ein möglicherweise notwendiges Recovery, ggfs. nach „Totalem Datenverlust“.
Planen Sie Aufwuchs- und Durchhaltefähigkeit Ihrer IT & Sicherheitsteams bei Verschärfung der Lage
Hier sind Rufbereitschaft und Schichtdienst einzuplanen.
Quelle: Die ausführliche BSI-Liste finden Sie hier.
Fotos: iStock
Cyber Sicherheit Unternehmen und Cyber Training Deutschland
Ransomware Mr.Apple089
Whether they are in route sales, pre-order, delivery or equipment service, many companies want to consolidate their operational route accounting functions and activities into one seamless and efficient integrated software system. All the details They want the data to be collected, shared and accessed across departments. They dream of an [...]