… und mitten drin, das Computer Emergency Response Team der Bundeswehr (CERTBw). Wie lange hält die Firewall noch den Angriffen der Zylonen stand?“, fragt Admiral Adama in der Fernsehserie „Battlestar Galactica“. So sinnvoll die Frage zur Steigerung der Spannung im Kampf gegen die Zylonen ist, sie hat mit der Realität des Cyber-Raums nichts zu tun, und doch hält sich in den Köpfen vieler Menschen die Vorstellung einer tapferen Verteidigungswand, die langsam bröckelt. In der Realität von Internet, Computersystemen und Anwendungen liegt die Sicherheit unserer Daten und Netzwerke nicht in der Hand einer einzelnen Firewall, sondern setzt sich aus einer Vielzahl von Härtungsmaßnahmen und Mechanismen auf verschiedenen Ebenen zusammen. Dieses Prinzip der vielschichtigen Sicherung nennt man „Verteidigung in der Tiefe“. Dabei suggeriert die Vielzahl von Produkten, Begrifflichkeiten, Verfahren und Anbietern eine Komplexität und Kompliziertheit, die den Cyber-Raum so unendlich erscheinen lässt wie das Weltall. Aufgabe des Computer Emergency Response Team der Bundeswehr (CERTBw) ist es, diese unendlichen Weiten zu erkunden und die IT-Systeme der Bundeswehr (IT-SysBw) gegen Angriffe zu sichern.

CERTBw

Das CERTBw existiert seit 2002, gehört zum Zentrum für Informationstechnik der Bundeswehr und ist in Euskirchen beheimatet. Verfolgte man am Anfang den Ansatz „Jeder kann alles“, erkannten die Verantwortlichen schnell, dass die oben skizzierte Komplexität des Themas Cyber Security mit all seinen Facetten einer Organisation bedarf, die sich aus hochqualifizierten und spezialisierten Expertinnen und Experten zusammensetzt und die als Gesamtheit die Herausforderungen des Themas Cyber meistern kann. Nicht ein Einzelner stellt das qualifizierte Wissen über die verschiedenen Disziplinen der Cyber Security, sondern die Institution CERTBw stellt das qualifizierte Wissen für die Bundeswehr bereit. Dies führte in den letzten Jahren zu einem Dienstpostenaufwuchs auf knapp 60 Mitarbeiterinnen und Mitarbeiter. Die verschiedenen Rahmenbedingungen legten eine paritätische Dienstpostenstruktur (zivil/militärisch) nahe, die sich bestens bewährt hat. Die in Abb. 1 gezeigte Gliederung stellt die aktuelle organisatorische Struktur des CERTBw mit den Spezialisierungsbereichen dar, die die Bearbeitung der verschiedenen Disziplinen der Cyber Security gewährleistet.

Grafik

Organisationsstruktur des CERTBw. (Grafik: CERT Bw)

Der Schwerpunkt der erbrachten Leistung liegt auf präventiven Maßnahmen zur Härtung des IT-SysBw, also Maßnahmen, die bereits vor einem Angriff erfolgen. So unterhält das CERTBw ein umfangreiches Informationsnetzwerk, über das eine kontinuierliche Recherche und Auswertung der aktuellsten Entwicklungen im Cyber-Raum sichergestellt wird. Die Betriebsverantwortlichen für das IT-SysBw werden mit dem CERTBw-Advisory Dienst über aktuelle Schwachstellen ihrer Systeme und der notwendigen Information zum Schließen der Sicherheitslücken informiert. Ebenso stellt das CERTBw Konfigurationsempfehlungen und Best Practice Empfehlungen zur Verfügung, die die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Grundschutz um konkrete Handlungs- und Strukturempfehlungen ergänzen.

Schwachstellenanalyse & Prävention

Die Umsetzung dieser Vorgaben und die Sicherheit von IT-Systemen überprüft das CERTBw mit so genannten technischen Schwachstellenanalysen, die nicht-invasive technische Penetrationstests sind. Ziel dieser Schwachstellenanalysen ist das Erkennen und das Abstellen bekannter Schwachstellen bzw. Konfigurationsfehler. Zu präventiven Maßnahmen gehört auch die Netzwerkwerküberwachung, die zum Erkennen eines Cyber-Angriffs maßgeblich beiträgt. So betreibt das CERTBw an allen relevanten Netzwerkknoten des IT-SysBw im In- und Ausland signaturbasierte Durchflusssensoren und korreliert die erfassten so genannten „Security Events“ mit weiteren Systemdaten, wie z. B. Log Einträgen. Führt diese Überwachung oder andere Quellen (z. B. Schadsoftwareerkennung auf Clients) zur Entdeckung eines IT-sicherheitsrelevanten Vorkommnis (Security Incident), koordiniert das CERTBw die Abwehr des Angriffes und die Wiederherstellung der Sicherheit im betroffenen IT-System. Dazu stehen dem federführendem Incident Handling Offizier neben allen anderen IT-Sicherheitsdisziplinen des CERTBw, wie z. B. forensische oder Schadsoftware Analyse, auch Incident Response Teams (IRT) zur Verfügung. Aufgrund der extremen Heterogenität des IT-SysBw sind diese militärischen Spezialisten über Jahre in allen gängigen Disziplinen der Cyber Security bis zu einer Tiefe ausgebildet, die dem CERTBw ein effektives Handeln vor Ort, auch in unbekannten Netzen, ermöglicht. Ziel des CERTBw ist eine weltweite Verlegefähigkeit der IRTs innerhalb von zwölf Stunden. Dies bedarf neben der fachlichen Vorbereitung auch einer kontinuierlichen militärischen Einsatzvorbereitung für alle Einsatzgebiete der Bundeswehr. Die grundsätzliche Vorgehensweise eines IRTs ist standardisiert und in der CERTBw „Standard Operating Procedure“ dokumentiert. Die Tücke liegt allerdings im Detail, da die betroffenen IT-Systeme zu Beginn des Einsatzes in der Regel nicht bekannt sind und oftmals keine aktuelle Dokumentation über Struktur und verwendete Komponenten, vorliegt. Somit beginnt jeder Einsatz mit einem passiven Netzwerkverkehrsmitschnitt und einem Interview des Personals vor Ort, um das Lagebild bzgl. des Security Incidents zu verdichten. Mithilfe von forensischen Methoden versucht das IRT die betroffenen Systeme zu lokalisieren. Danach führt das IRT eine gerichtsverwertbare Sicherstellung der Beweismittel und eine Grobanalyse der möglichen Ursachen durch. Ziel ist dabei eine Beurteilung der Bedrohungslage für das restliche IT-SysBw zu erstellen, um ggf. weitere Eskalationsstufen der Cyber Security einzuleiten und die IT-Sicherheit im betroffenen System wieder herzustellen. Eine Detailanalyse erfolgt immer im Nachgang durch die Fachexperten im CERTBw. Im Fall einer noch unbekannten Schadsoftware erstellen diese dann Signaturen und Filter für die Schadsoftwareerkennung und die Netzwerküberwachungssensoren. Somit schließt sich wieder der Kreis aus der reaktiven Cyber-Security zur präventiven, härtenden Cyber Security.

Schutzauftrag

Das CERTBw erfüllt seinen Schutzauftrag aber nicht alleine. Eingebunden in die bundeswehrinterne organisatorische Struktur der IT-Sicherheitsbeauftragten, arbeitet das CERTBw im Rahmen der zentralen Koordinierung von Security Incidents mit z. B. den IT-Sicherheitsbeauftragten der Organisationsbereiche, Dienststellen und Projekten eng zusammen, um gemeinsam die notwendigen Maßnahmen zur Wiederherstellung der Sicherheit in den IT-Systemen umzusetzen. National und international ist das CERTBw Mitglied in Fachverbänden (z. B. im deutschen CERT Verbund und im internationalen Forum for Incident Response and Security Teams) und arbeitet eng mit anderen CERTs (z. B. CERTBund, CERT des U.S. European Commands, NATO-CERT (NCIRC)), Organisationen (z. B. BSI, Cooperative Cyber Defence Center of Excellence (ESTLAND)) und wissenschaftlichen Instituten (z. B. Fraunhofer FKIE, Bundeswehr Universität München) zusammen.

Über das Nationale Cyber Abwehr Zentrum (NCAZ) beteiligt sich das CERTBw mit Fachberatung und als Arbeitsmuskel des IT-Sicherheitsbeauftragten der Bundeswehr auch an ressortübergreifenden Aufgaben, z. B. bei so genannten „Major Incidents“. In diesem Rahmen kann das CERTBw unter bestimmten Voraussetzungen z. B. die Abwehr von Cyber-Angriffen technisch unterstützen sowie zur Abwehr und zur Bewältigung eines besonders schweren Unglücksfalls, insbesondere hinsichtlich Kritischer Infrastrukturen, im Rahmen von Amtshilfe zum Einsatz kommen.

Fazit

Aber wo Licht ist, ist auch Schatten. Die Erfahrung hat gezeigt, dass in großen Organisationen eine dezentrale Cyber Security Verantwortungsverteilung in der Regel zu mangelhafter Umsetzung der Cyber Security Maßnahmen führt, da oftmals Entscheidungen auf lokalen Partikularinteressen basieren und einer Gesamtverteidigungsstrategie entgegenlaufen. In einem vernetzten IT-System kann man sich solche individuellen Löcher, vor dem Konzept der „Verteidigung in der Tiefe“, nicht erlauben. Aus Cyber Security Sicht ist eine Zentrale Verantwortung für sowohl die Cyber Security, als auch für den Betrieb eines IT-Systems die zielführendere Architektur. Ein positives Beispiel für die Qualität eines zentral verantworteten IT-Systems ist der Herkules Anteil des IT-SysBw, bereitgestellt durch den Serviceprovider BWI (BWI Informationstechnik GmbH; Dienstleistungs-GmbH für die Bundeswehr). Nun ist dieses Modell natürlich nicht auf alle Bereiche der Streitkräfte einfach auszuweiten, aber die Prinzipien der zentralen Verantwortung für Cyber-Betrieb und auf gleicher Ebene für Cyber-Security sehr wohl. Die derzeitigen Diskussionen im Bundesministerium der Verteidigung zeigen, dass hier der Handlungsbedarf bereits schon klar erkannt worden ist und zeitnahe Verbesserungen zu erwarten sind. Die Erfahrungen des Computer Emergency Response Teams der Bundeswehr haben sehr deutlich gezeigt, dass die Herausforderungen des Cyber-Raums nur gemeinsam in einer starken Organisation gemeistert werden können. Einer Organisation, die sich auf ihr Handwerk versteht und die EINEN klaren Kurs verfolgt. So wie eine gute Mannschaft ihr Schiff nur gemeinsam sicher durch den Cyber-Raum fliegt.

Dirk Ableiter

PassbildAnschrift des Verfassers:
Dirk Ableiter
Fregattenkapitän, M.Sc. CS
IT-Zentrum Bundeswehr
Kommernerstr. 188
53879 Euskirchen
Tel.: 02251/953-3130

Leiter des Bereiches Cyber Defence Operations (CDOps) im Computer Emergency Response Team der Bundeswehr (CERTBw)
Zuständig für die fachliche und organisatorische Steuerung der Incident Response Teams (IRT) und die Schwachstellenanalysen (SSA) Teams des CERTBw. Diese Aufgabe beinhaltet auch die fachliche Leitung eines IRT im Fall eines Security Incidents und die Leitung eines SSA Teams in den Einsatzgebieten der Bundeswehr.
Vor seinen IT-Fachverwendungen erwarb sich Fregattenkapitän Ableiter seine maritimen „Seebeine“ als Tornado Pilot im M