Institutionen der Cybersicherheit

Sicherheit im Cyberraum hat einen immer größeren Stellenwert in unserem Denken und Handeln. Für Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), zählt der Cyberraum längst zu den Kritischen Infrastrukturen genau wie die Institutionen der Energieversorgung oder die Verkehrswege und andere, die definitionsgemäß zu KRITIS zählen: „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten“.

Daher wurden in den vergangenen Jahren etliche Institutionen geschaffen, die eigens zum Schutz des Cyberraums arbeiten. Der Artikel gibt einen Überblick zur aktuellen Situation auf diesem Gebiet und stellt die einzelnen Organisationen vor.

CERT-Bund

CERT-Bund, das Computer Emergency Response Team für Bundesbehörden, ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen.

Das Computer-Notfallteam

• erstellt und veröffentlicht präventive Handlungsempfehlungen zur Schadensvermeidung,
• weist auf Schwachstellen in Hardware- und Software-Produkten hin,
• schlägt Aktionen vor, um bekannte Sicherheitslücken zu beheben,
• unterstützt bei der Reaktion auf IT-Sicherheitsvorfälle,
• empfiehlt reaktive Maßnahmen zur Schadensbegrenzung oder -Beseitigung
• arbeitet eng mit dem IT-Lagezentrum und dem IT-Krisenreaktionszentrum zusammen und unterstützt beide personell.

Die Dienstleistungen von CERT-Bund stehen in erster Linie den Bundesbehörden zur Verfügung und umfassen derzeit

• gemeinsam mit dem IT-Lage- und Analysezentrum eine 24-Stunden-Rufbereitschaft,
• die Analyse eingehender Vorfallsmeldungen,
• die Erstellung daraus abgeleiteter Empfehlungen,
• die Unterstützung bei IT-Sicherheitsvorfällen,
• den Betrieb eines Warn- und Informationsdienstes sowie
• die aktive Alarmierung der Bundesverwaltung bei akuten Gefährdungen.

Das Cyber-Abwehrzen­trum

Das Cyber-Abwehr­zentrum (Cyber-AZ) ist ein Kernelement der 2011 von der Bundesregierung verabschiedeten Cyber-Sicherheitsstrategie.

Das Ziel: Schneller Informationsaustausch, schnelle Bewertungen und daraus abgeleitete konkrete Handlungsempfehlungen.

Im Cyber-AZ werden alle Informationen zu Cyber-Angriffen auf Informationsinfrastrukturen zusammengeführt, von denen die sicherheitsrelevanten Behörden erfahren. Sie tauschen dort ihre Erkenntnisse aus und bewerten sie. Jede Behörde aus ihrer Sicht und in ihrer Zuständigkeit. So sollen alle Behörden in ihrem jeweiligen Zuständigkeitsbereich von dem gemeinsamen Wissen profitieren. Damit das reibungslos funktioniert, ist das Cyber-AZ mit den Lagezentren und entsprechenden Einrichtungen der beteiligten Behörden vernetzt.

So bewertet das BSI einen Cyber-Angriff aus informationstechnischer Sicht. 

Das BfV, der MAD und der BND bewerten ihn aus nachrichtendienstlicher Sicht. 

Das BKA, das ZKA und die BPOL bewerten ihn aus polizeilicher Sicht. 

Das BBK schließlich bewertet die Aspekte der Katastrophenvorsorge und Belange der Kritischen Infrastrukturen. 

So wie die Gefährdungslage sich seit 2011 verändert hat, hat sich auch das Cyber-AZ gewandelt. Es entwickelte sich von einer reinen Informationsdrehscheibe hin zur zentralen Kooperationsplattform der IT-Sicherheitsbehörden.

Dies ist vor allem auf die entwickelten Routinen und Produkte, auf ein wachsendes Vertrauen zwischen den beteiligten Behörden und auf die Mitarbeiterinnen und Mitarbeiter zurückzuführen. Sie haben einen behördenübergreifenden Teamgedanken entwickelt und arbeiten zielgerichtet, hoch integriert und effizient im Rahmen etablierter Prozesse zusammen: In der täglichen Lagebesprechung, in Arbeitskreisen zu speziellen Themen oder in gemeinsamen Terminen bei Betroffenen eines Cyber-Angriffs.

Auch die Produkte des Cyber-AZ haben sich als zielführend und tragfähig erwiesen. Neben der Cyber-Lage, einer tagesaktuellen Erstbewertung, entstehen analysebasierte Auswertungen verschiedener Sachverhalte. Beide Produkte zeichnen sich dadurch aus, dass alle zuständigen Cyber-AZ-Behörden mit ihren Fähigkeiten und im Rahmen ihrer Befugnisse mitwirken. Dabei werden nachrichtendienstliche und polizeiliche Informationen gleichermaßen berücksichtigt. 

Das IT-Lagezentrum

Der Aufbau des IT-Lagezentrums ist eine Maßnahme aus dem Nationalen Plan zum Schutz der Informationsinfrastrukturen (NPSI), den die Bundesregierung im Juli 2005 als übergreifende Dachstrategie zur IT-Sicherheit verabschiedet hat.

Im Rahmen der drei strategischen Ziele Prävention, Reaktion und Nachhaltigkeit definiert er unter dem Teilziel „wirkungsvoll bei IT-Sicherheitsvorfällen handeln“ folgende Aufgaben:

• Erkennen, Erfassen und Bewerten von Vorfällen,
• Informieren, Alarmieren und Warnen,
• Reagieren bei IT-Sicherheitsvorfällen.

Daraus leiten sich für das IT-Lagezentrum der Auftrag ab jederzeit über ein verlässliches Bild der aktuellen IT-Sicherheitslage in Deutschland zu verfügen sowie den Handlungsbedarf und die Handlungsoptionen bei IT-Sicherheitsvorfällen sowohl auf staatlicher Ebene als auch in der Wirtschaft schnell und kompetent einschätzen zu können.

Die Ziele sollen mit den folgenden Maßnahmen erreicht werden:

• Das IT-Lagezentrum ist für Bundesbehörden, Kritische Infrastrukturen und Partner täglich 24 Stunden mit einer Fachkraft in Bereitschaft erreichbar.
• Das IT-Lagezentrum selbst wird täglich zu den Bürozeiten besetzt. Für die Nacht ist eine Grundüberwachung durch das Gemeinsame Lagezentrum Bund Länder (GMLZ) des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sichergestellt.
• Zur Analyse der aktuellen IT-Lage werden täglich über 80 offene und vertrauliche Quellen ausgewertet. Hinzu kommt die Beobachtung der Regierungsnetze und von Partnernetzen mit technischen Sensoren zur Frühwarnung sowie die Erreichbarkeitsüberwachung der für die Bundesverwaltung relevanten „Top 100“-Webadressen.
• Diese Informationen und ihre Bewertung fließen in monatliche Lageberichte ein.

Das Lagezentrum stellt dem Cyber-Abwehrzentrum Lageberichte, Hintergrundinformationen zu IT-Sicherheits­vorfällen und Schwachstellen­informatio­nen/-war­nungen zur Verfügung. Um für die Lagebewertung und zur Erfüllung des Schutzauftrages weiterführende Informationen zu erhalten, werden auch gezielt Fragen gestellt. Vom Cyber-Abwehrzentrum werden Bewertungen, Ergänzungen und langfristige Lageanalysen aus seiner umfassenderen behördenübergreifenden Sicht bereitgestellt sowie Fragen beantwortet.

IT-Krisenreaktionszentrum

Wie das IT-Lage- und Analysezentrum ist auch das IT-Krisenreaktionszentrum infolge des Nationalen Plan zum Schutz der Informationsinfrastrukturen (NPSI) entstanden. Ausgehend von der Überlegung, dass Störungen in Informationsinfrastrukturen schnell und wirksam behoben werden müssen, soll das IT-Krisenreak­tions­zentrum im BSI

• die schnelle Reaktion auf schwerwiegende Vorfälle sicherstellen, um so 
• rechtzeitige Gegenmaßnahmen zu ermöglichen sowie Schäden größeren Ausmaßes zu vermeiden.

Zu diesem Zweck werden IT-Sicherheitsvorfälle analysiert, bewertet und an die relevanten Stellen weitergeleitet. Außerdem koordiniert das IT-Krisenreaktionszentrum die Zusammenarbeit sowohl mit den lokalen als auch mit den brancheninternen Krisenmanagementorganisationen. Falls eine Krise auftritt, die über lokale Verantwortlichkeiten hinausgeht und auf größere Teile der Bundesverwaltung Auswirkungen hat, werden die nötigen Gegenmaßnahmen durch ein Koordinierungsgremium der entsprechenden Ressorts abgestimmt und durch das IT-Krisen­reaktionszentrum veranlasst.

Damit es diesem Auftrag gerecht werden kann, wurde eine Organisation aufgebaut, die je nach Krisenlage nicht nur in mehreren Stufen erweitert werden, sondern im Fall eines Alarms auch weitere Experten hinzuziehen kann. Der täglich rund um die Uhr erreichbare Bereitschaftsdienst alarmiert in der Folge die Stabsorganisation und beruft sie der Lage entsprechend ein. Standardisierte Verfahren für den möglicherweise notwendigen Aufwuchs dieser Institution sowie für die Stabsarbeit stehen genauso zur Verfügung wie eigens entwickelte Arbeitshilfen für die Leitungskräfte. 

Die für diese Arbeit nötigen Räume sind vorhanden, die notwendige technische In­frastruktur, bestehend etwa aus Notstromversorgung, Telefon- und Videokonferenzmöglichkeit sowie IT-Unterstützung, ist ebenfalls vorbereitet. Dabei wurden auch für redundante Kommunikationswege wie getrennte Telefonanlagen, Mobiltelefone oder Satellitenkommunikation gesorgt. Regelmäßige Einsätze und Übungen tragen zur stetigen Verbesserung der Stabsorganisation und ihrer Arbeit bei.

Die Allianz für Cyber-Sicherheit

Die Allianz für Cyber-Sicherheit bietet als Plattform zur Kooperation mit Wirtschaft, Behörden, Forschung und Wissenschaft sowie anderen Institutionen ein breites Informationsangebot zu verschiedensten Themen der Cyber-Sicherheit. Im besonderen Fokus der Initiative stehen KMU.

Die 2012 durch BSI und BITKOM initiierte Allianz für Cyber-Sicherheit hat sich das Ziel gesetzt die Cyber-Sicherheit des Standortes Deutschland zu stärken. Dazu stellt die Initiative ein umfangreiches Informationsangebot mit Empfehlungen für die Wirtschaft und andere professionelle Bedarfsträger bereit. Ein weiterer wesentlicher Bestandteil der Arbeit der Initiative ist die Förderung des Erfahrungsaustausches unter den Teilnehmern.

Registrierte Teilnehmer der Allianz für Cyber-Sicherheit erhalten Zugriff auf ein erweitertes Informationsangebot, insbesondere zur Cyber-Sicherheitslage durch monatliche Lageberichte, Warnmeldungen sowie weitergehenden Hintergrundinformationen. Aufgrund der teilweise vertraulichen Natur dieser Informationen muss die Weitergabe dieser Inhalte re­striktiv gehandhabt werden und unterliegt Beschränkungen nach dem Traffic-Light-Protocol (TLP).