Web Cyberfahnder
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Februar 2011
24.02.2011 Cyber-Abwehrzentrum
     
zurück zum Verweis zur nächsten Überschrift Beratungsdienst ohne operative Befugnisse

 

11-02-47 
Am 23.02.2011 hat das Bundeskabinett eine Cyber-Sicherheitsstrategie beschlossen (1), deren Grundzüge in einer Broschüre veröffentlicht wurden (2). Ihr geht es um die Verbesserung der Rahmenbedingungen für den sicheren Betrieb der Informationstechnik und ihrem Schutz gegen Angriffe aus dem In- und Ausland.

Die "IT-Gefährdungslage" wird zutreffend beschrieben <S. 3>: Wirtschaft und Verwaltung betreiben in aller Regel mit Standardkomponenten geschäftswichtige Anwendungen, die zunehmend mit dem Internet verbunden sind. Die Broschüre spricht insoweit von dem Cyber-Raum (3). Kriminelle, terroristische und nachrichtendienstliche Akteure nutzen den Cyber-Raum als Feld für ihr Handeln und machen vor Landesgrenzen nicht halt. Auch militärische Operationen können hinter solchen Angriffen stehen. <S. 3>

Zur Gewährleistung von Sicherheit im Cyber-Raum, die Durchsetzung von Recht und der Schutz der kritischen Informationsinfrastrukturen setzt die Bundesregierung vor allem auf die Zusammenarbeit der Bundesbehörden, der Wirtschaft und mit ausländischen Partnern <S. 4>, des Informationsaustausches und Koordination, wobei zivile Ansätze und Maßnahmen ... bei der Cyber-Sicherheitsstrategie
im Vordergrund
stehen <S. 5>.

Im Zusammenhang mit den strategischen Maßnahmen setzt die Bundesregierung auf den "Umsetzungsplan KRITIS" <S. 6>. Dahinter steckt die Nationale Strategie zum Schutz Kritischer Infrastrukturen (4), die zwar eine sehr breite Definitionen für Kritische Infrastrukturen und ihre "Kritikalität" vorgibt, aber die Stromversorgung, die Informations- und Kommunikationstechnologie, das Transportwesen und die Wasserversorgungswirtschaft als technische Basisinfrastrukturen in den Vordergrund stellt <KRITIS, S. 8>. Diese Eingrenzung bleibt weit hinter dem zurück, was McAfee (5) oder die US-Air Force als kritisch ansehen (6).
 

 
Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. <KRITIS, S. 4>
Kritikalität ist ein relatives Maß für die Bedeutsamkeit einer Infrastruktur in Bezug auf die Konsequenzen, die eine Störung oder ein Funktionsausfall für die Versorgungssicherheit der Gesellschaft mit wichtigen Gütern und Dienstleistungen hat. <KRITIS, S. 7>
 

Daneben stellt KRITIS die Sozioökonomischen
Dienstleistungsinfrastrukturen:

Gesundheitswesen, Ernährung
Notfall- und Rettungswesen, Katastrophenschutz
Parlament, Regierung, öffentliche Verwaltung, Justizeinrichtungen
Finanz- und Versicherungswesen
Medien und Kulturgüter

KRITIS verfolgt als Ziel die Schaffung einer "Risikokultur", um die Gesellschaft im Umgang mit wachsenden Verletzlichkeiten robuster und widerstandsfähiger zu gestalten. <KRITIS, S. 11> Sie soll im wesentlichen aufgrund der Eigenverantwortung der IT-Betreiber, des Erfahrungs- und Informationsaustausches sowie der Koordination geschaffen werden. <KRITIS, S. 12> Die dazu diskutierten Instrumente beschränken sich vor allem auf die Risikoerkennung, Übungen, ein effektives Notfall- und Krisenmanagement und effiziente Redundanzen sowie eine wirkungsvolle Selbsthilfekapazität der unmittelbar Betroffenen. <KRITIS, S. 12> und die Fortschreibung von Gefährdungsanalysen. Dadurch wird ein Reifeprozess-Modell erstrebt, wie es auch aus dem strategischen IT-Management bekannt ist <KRITIS, S. 13>.
 

zurück zum Verweis strategische Ziele

 

 
Über das kopflastige KRITIS-Modell geht die Cyber-Strategie kaum hinaus. Als strategische Ziele formuliert sie <S. 6>:

den Schutz kritischer Informationsinfrastrukturen nach Maßgabe von KRITIS, wobei auch die Einbeziehung weiterer Branchen geprüft werden soll,

sichere IT-Systeme in Deutschland, worunter vor allem die Aufklärung und Schulung zur Selbstsicherung und die Verantwortung der Provider verstanden wird <S. 7>,

die Stärkung der IT-Sicherheit in der öffentlichen Verwaltung,

die Schaffung eines Nationalen Cyber-Abwehrzentrums und

die Bildung eines Nationalen Cyber-Sicherheitsrates.

Die Federführung für das Cyber-Abwehrzentrum wird dem Bundesamt für Sicherheit in der Informationstechnik übertragen. Beteiligt werden sollen der Bundesverfassungsschutz, der Katastrophenschutz, das Bundeskriminalamt, die Bundespolizei, das Zollkriminalamt, der Bundesnachrichtendienst, die Bundeswehr und andere "aufsichtsführende Stellen" <S. 8>. Ein schneller und enger Informationsaustausch über Schwachstellen in IT-Produkten, Verwundbarkeiten, Angriffsformen und Täterbilder <soll> das Nationale Cyber-Abwehrzentrum <dazu befähigen>, IT-Vorfälle zu analysieren und abgestimmte Handlungsempfehlungen zu geben. Damit soll auch die Betrachtung des Schutzes der Wirtschaft vor Cyber-Spionage verbunden werden.

Der Nationale Cyber-Sicherheitsrat wird im Wesentlichen aus Spitzenbeamten der Bundes- und Länderverwaltungen bestehen.
 

 
Erreicht werden sollen ferner:

die wirksame Kriminalitätsbekämpfung im Cyber-Raum durch Stärkung der Fähigkeiten in der Strafverfolgung und den mit Sicherheitsfragen befassten Bundesbehörden,

das effektives Zusammenwirken für Cyber-Sicherheit in Europa und weltweit,

Fortbildung und Personalentwicklung in den Bundesbehörden und

die Schaffung eines Instrumentarium zur Abwehr von Cyber-Angriffen.

Dem Cyber-Abwehrzentrum fehlt jede operative Kompetenz. Es beschränkt sich auf Overhead-Funktionen, sichert den Informationsaustausch, erstellt Lagebilder und Pläne zur Gefahrenabwehr.

Das ist nicht falsch, aber nur ein Schritt zur Gefahrenabwehr, dem der wesentliche zweite fehlt: Die aktive und proaktive Abwehr von Cyberangriffen.

Dem Konzept fehlt der nötige Biss. Somit bleibt abzuwarten, welche Arbeitsergebnisse und Empfehlungen vom Abwehrzentrum kommen werden. Sie werden zweifellos auch operative Maßnahmen enthalten müssen, die von den beteiligten Bundesbehörden in Angriff genommen werden müssten. Auch das bleibt abzuwarten.

Im Ergebnis zielt die Cyber-Strategie nur auf die Schaffung einer beobachtenden und beratenden Kopfstelle ohne Befugnisse. Das ist sehr kurz gegriffen und wird ihrer großen Aufgabe nicht gerecht.
 

zurück zum Verweis Anmerkungen
 


(1) Bundesregierung beschließt Cyber-Sicherheitsstrategie, Heise online 23.02.2011

(2) Cyber-Sicherheitsstrategie für Deutschland, BMI 23.02.2011

(3) Gleichbedeutend mit "Cyberspace". Siehe: Bedrohungen gegen den Cyberspace, 06.02.2011.

(4) Nationale Strategie zum Schutz Kritischer Infrastrukturen, BMI 12.06.2009

(5) Schutz Kritischer Infrastrukturen, 13.02.2011

(6) Grundversorgung als Kritische Infrastruktur, 06.02.2011
 

 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 22.03.2011