Eberhard Grein (Ed.)

Cyber Security

Angriffe verhindern und abwehren - Militärische und zivile Infrastrukturen schützen

1. Edition 2019, ISBN print: 978-3-8288-4404-9, ISBN online: 978-3-8288-7401-5, https://doi.org/10.5771/9783828874015

Tectum, Baden-Baden
Bibliographic information
Eberhard Grein (Hrsg.) Cyber Security Eberhard Grein (Hrsg.) Cyber Security Angriffe verhindern und abwehren – Militärische und zivile Infrastrukturen schützen DialogForum Sicherheitspolitik am 11.11.2018 in München Tectum Verlag Eberhard Grein (Hrsg.) Cyber Security. Angriffe verhindern und abwehren – Militärische und zivile Infrastrukturen schützen © Tectum – ein Verlag in der Nomos Verlagsgesellschaft, Baden-Baden 2019 E-Book: 978-3-8288-7401-5 (Dieser Titel ist zugleich als gedrucktes Werk unter der ISBN 978-3-8288-4404-9 im Tectum Verlag erschienen.) Umschlagabbildung: shutterstock.com © Rawpixel.com Alle Rechte vorbehalten Informationen zum Verlagsprogramm finden Sie unter www.tectum-verlag.de Bibliografische Informationen der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Angaben sind im Internet über http://dnb.ddb.de abrufbar. Bibliographic information published by the Deutsche Nationalbibliothek The Deutsche Nationalbibliothek lists this publication in the Deutsche Nationalbibliografie; detailed bibliographic data are available online at http://dnb.ddb.de. Mit freundlicher Unterstützung durch: 5 Inhaltsverzeichnis Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Begrüßung und Eröffnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Oberst d.R. Prof. Dr. Eberhard Grein, Stv. Landesvorsitzender VdRBw und Leiter DialogForum Sicherheitspolitik Grußwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Oberst d.R. Oswin Veith, MdB, Präsident des Reservistenverbandes (VdRBw) Keynote: Cyber Security: Angriffe verhindern und abwehren – militärische und zivile Infrastrukturen schützen . . . . . . . . . . . . . . . . . . . . . .15 General a.D. Hans-Peter von Kirchbach, ehemaliger Generalinspekteur der Bundeswehr Herausforderung Verteidigung im Cyber- und Informationsraum . . . . . . 27 Generalmajor Jürgen Jakob Setzer, Stellvertretender Inspekteur im Kommando Cyberund Informationsraum sowie Chief Information Security Officer der Bundeswehr Terrorismus, Cybercrime und Cyberspionage verhindern . . . . . . . . . . . . . . 49 Hans-Christian Witthauer, Vizepräsident Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITIS) TISAX – Das Branchenprüfmodell zur Informationssicherheit und seine Bedeutung für Cyber Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Dr. Martin Unterberger, Verband der Automobilindustrie (VDA) Lennart Oly, ENX Association 6 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Panel: Terrorismus, Cybercrime und Cyberspionage verhindern . . . . . . . . 69 Uli Lechte, MdB, Mitglied des Auswärtigen Ausschusses und Vorsitzender des Unterausschusses der Vereinten Nationen, Internationale Organisationen und Globalisierung des Deutschen Bundestages Bernd Schlömer, MdA, Sprecher für Digitalisierung, Datenschutz und Kommunikationstechnologie des Berliner Abgeordnetenhauses Generalmajor Jürgen Jakob Setzer, Stellvertretender Inspekteur im Kommando Cyber und Informationsraum sowie Chief Information Security Officer der Bundeswehr Hans-Christian Witthauer, Vizepräsident Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITIS) Philipp S. Krüger, Managing Director des „Digital Hub Cybersecurity“ beim Fraunhofer- Institut für Sichere Informationstechnologie SIT, Non-Resident Fellow am Institut für Sicherheitspolitik an der Universität Kiel (ISPK) Patrick O’Keeffe, Non-Resident Fellow am Institut für Sicherheitspolitik an der Universität Kiel (ISPK) in der Abteilung Strategische Entwicklung in Asien-Pazifik Dr. Martin Unterberger, Verband der Automobilindustrie (VDA) Lennart Oly, ENX Association Moderation: Oberst d.R. Prof. Dr. Eberhard Grein, Leiter DialogForum Sicherheitspolitik Digitale Infanterie: Hacken fürs Vaterland – Wie sich die Bundeswehr für den Kampf im Cyberraum aufstellt . . . . . . . 99 von Julia Egleder Cyber-Reserve: So hilft die RAG Cyber bei der Suche nach IT-Experten . . 107 von Benjamin Vorhölter 7 Einleitung DialogForum Sicherheitspolitik am 11.11.2018 in München Mehr als 200 Gäste, darunter zahlreiche Experten aus Wirtschaft, Sicherheitsbehörden und Wissenschaft nahmen am 11. November 2018 im Bayerischen Hof in München am DialogForum Sicherheitspolitik teil. Unwägbarkeiten im Internet betreffen Bundeswehr, zivile Infrastruktur und vor allem auch deutsche Unternehmen und Schlüsselindustrien gleichermaßen. Dabei besteht die Gefahr, dass militärische Daten gestohlen oder aber vertrauliche Informationen, wie u. a. Patente oder auch Dokumente aus dem Bereich der Politik mit außen-, verteidigungs-, sicherheits- oder aber rüstungspolitischen Bezügen, von Behörden und Unternehmen gehackt werden. Unter der Überschrift „Cyber Security: Angriffe verhindern und abwehren – militärische und zivile Infrastrukturen schützen“ wollte die Konferenz dafür sensibilisieren, Gefahren aufzeigen und mögliche Lösungsansätze aufzuzeigen. 9 Begrüßung und Eröffnung Oberst d.R. Prof. Dr. Eberhard Grein, Stv. Landesvorsitzender VdRBw und Leiter DialogForum Sicherheitspolitik Meine sehr geehrten Herren, Damen und Herren des diplomatischen Korps, aus der Politik, der Wirtschaft, Militär, Wissenschaft und befreundeten Verbänden! Wenn ich Sie heute als Leiter des DialogForum Sicherheitspolitik begrü- ße, so tue ich das natürlich in bewegten Zeiten. Sie alle lesen Zeitung, sind gut informiert und auch über dieses Thema. Die Auseinandersetzung um die Auflösung des INF-Vertrages, die verschärften Iran-Sanktionen Präsident Trumps, die sich immer weiter zuspitzenden Handelssanktionen der USA gegen China und umgekehrt, der gestrige Konflikt zwischen dem französischen Präsidenten Macron und US-Präsident Trump anlässlich der Feierlichkeiten zur Beendigung des Ersten Weltkrieges und auch und vor allem immer noch virulente Nachbeben der Finanzkrise mit einer etwaigen und enormen Sprengkraft sowie der immer näher kommende Brexit kennzeichnen die derzeitige Situation im politischen Raum. Und: Die neue Züricher Zeitung berichtete erst wieder vor kurzem über den zunehmend und immer mehr aus den Fugen geratenen Staatshaushalt der USA und auch China mit bereits bestehenden und aufwachsenden Immobilienblasen sowie das weltweite Phänomen rechtskonservativ regierter Staaten. Die Destabilisierung zum Teil mühevoll erkämpfter Demokratien durch Cyberattacken staatlicher und nichtstaatlicher Akteure kennzeichnen zudem die internationale Lage, wobei wir beim Thema sind. Kurzum: Unwägbarkeiten im Internet betreffen unsere Bundeswehr, zivile Infrastruktur und vor allem auch deutsche Unternehmen und Schlüsselindustrien. Deshalb haben wir auch 10 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren ganz bewusst den Verband der Automobilindustrie dazu genommen. Dabei besteht insgesamt die Gefahr, dass militärische Daten gestohlen oder aber vertrauliche Informationen und Patente oder auch Dokumente aus dem Bereich der Politik mit außen-, verteidigungs-, sicherheits- oder aber rüstungspolitischen Bezügen von Behörden und Unternehmen gehackt werden. Die heutige Konferenz möchte dafür sensibilisieren, welche Gefahren bestehen und wie diese erfolgreich bekämpft werden können. Ich wünsche Ihnen spannende Stunden. Ich darf aber auch noch erwähnen: Diese Veranstaltung wäre nicht möglich ohne die seit Jahren bestehende Zuwendung finanzieller Mittel unserer Unterstützer Airbus DEFENCE AND SPACE, Krauss-Maffei Wegmann und Nomos. Abschließend noch zwei Dinge: Auch im Bereich unseres Wissenschaftspreises sind wir gut unterwegs. Dort prämieren wir Dissertationen und Master-Thesis zu außen- und sicherheitspolitischen Themen, und hier gibt es eine Neuigkeit: Die Bundesministerin der Verteidigung hat uns einen neuen Schirmherrn für das Format zugeteilt und dabei handelt es sich um den Parlamentarischen Staatssekretär, Dr. Peter Tauber. Ich darf Ihnen nun spannende Stunden und einen anregenden Dialog in den Gesprächen danach wünschen. Ich danke für Ihre geschätzte Aufmerksamkeit. 11 Grußwort Oberst d.R. Oswin Veith, MdB, Präsident des Reservistenverbandes (VdRBw) Sehr geehrte Damen und Herren, sehr geehrter Herr Stellvertretender Landesvorsitzender Gebhard, sehr geehrter Herr Oberst Prof. Grein, zunächst bedanke ich mich in aller Form für die Möglichkeit, als einer der Mitveranstaltenden, ein Grußwort an Sie richten zu können. München, der Austragungsort des DialogForums Sicherheitspolitik, erinnert mich an meine Zeit als wissenschaftlicher Mitarbeiter am Bundesverwaltungsgericht, in der die beiden Wehrdienstsenate aufgrund des Viermächteabkommens noch in der Schwere-Reiter-Straße beheimatet waren. Hier durfte ich als gebürtiger Hesse die Vorzüge der Stadt München und Bayerns kennenlernen. An diese Zeit erinnere ich mich sehr gern zurück! Als ehemaliger Fernmelder, der seine Ausbildung und seine Lehrgänge an der Fernmeldeschule in Feldafing am Starnberger See verbrachte, könnte ich Ihnen im Hinblick auf die Thematik an dieser Stelle Geschichten aus meiner Grundausbildung und den mittlerweile 47 Wehrübungen, die mich in den Spitzendienstgrad der Reserve geführt haben, erzählen. Ich fürchte jedoch, dass mein Wissen über den Cyber-Bereich mittlerweile etwas überholt ist und einige Spezialisten schnell meine Wissenslücken erkennen würden. 12 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Deshalb erkläre ich Ihnen in einigen Worten, warum wir mit unseren 2 500 Gliederungen, betreut von 105 Geschäftsstellen von Flensburg bis Sonthofen und unseren 300 hauptamtlichen Mitarbeiterinnen und Mitarbeitern unterwegs sind. Als VdRBw erhalten wir für unsere Arbeit zur Aus- und Weiterbildung der Reserve knapp 18 Millionen Euro aus dem Verteidigungshaushalt des Deutschen Bundestages. Unter den rund 30 000 sicherheitspolitischen Veranstaltungen, die dieser einzigartige Verband der Reservisten der Deutschen Bundeswehr e.V. pro Jahr durchführt, sind auch Leuchtturm-Veranstaltungen dabei, wie diese, das DialogForum Sicherheitspolitik. Deshalb sei hier im Namen des Präsidiums dem neuen Landesvorstand unserer größten Landesgruppe in Bayern herzlich gedankt! Sie haben meinen tiefen Respekt und unseren Dank für die Tatkraft und für das Engagement, das die Landesgruppe Bayern nicht nur für Ihr Heimatland, sondern für unser ganzes Land im VdRBw erbringt. Außerdem beglückwünsche ich alle, die in neue Funktionen gewählt wurden. Meine Teilnahme am DialogForum Sicherheitspolitik unterstreicht diese Wertschätzung und den engen Schulterschluss zwischen Bundes- und Landesebene im Verband. Wir alle wissen, wie fordernd unser Auftrag ist, die Sicherheits- und Verteidigungspolitik der Bundesrepublik aktiv zu unterstützen und mitzugestalten. Wir tragen die Themen der deutschen Sicherheitspolitik an die Stammtische und in die Bevölkerung unseres Landes und das bereits seit fast 60 Jahren. Als Abgeordneter im Verteidigungsausschuss und Berichterstatter des Deutschen Heeres für meine Fraktion im Deutschen Bundestag kämpfe ich jeden Tag für die Anliegen der Reserve. Dabei geht es oft um viele Milliarden Euro, die für die Bedürfnisse unserer Soldatinnen und Soldaten sowohl im aktiven Dienst als auch im Reservistenstatus bereitgestellt werden müssen. Viele der Projekte gehen über meinen Schreibtisch und deshalb weiß ich, wie groß unsere Herausforderungen sind. Doch gleich welchen Herausforderungen wir begegnen: Wir erfüllen unseren Auftrag im Ehren- und Hauptamt. Vom aktiven und ausgeschiedenen Bundesminister, über Staatsministerinnen und Staatsministern aller 16 Bundesländer, vom Kinderherzchirurgen, über den Postboten und Abgeordnete aller Ebenen, vom Handwerker bis zum Vorstandsvorsitzenden, sie sind alle Mitglieder unseres Verbandes. Dies 13 Veith: Grußwort ist einzigartig, ein wahres Unikat. Jeder von uns, der einmal bei der Bundeswehr war und ihr aus Überzeugung bis zum heutigen Tag treu geblieben ist – bei mir ist es das 38. Dienstjahr –, der weiß, warum wir eingetreten sind und heute noch für die Reserve und damit für die Bundeswehr streiten. Wir alle wissen, warum die Bundeswehr aktuell so viel Unterstützung braucht. Wir alle, und hier nehme ich niemanden aus, haben es mit zu verantworten, dass innerhalb Europas alle demokratisch legitimierten Streitkräfte schrittweise reduziert wurden. Das war ein Ergebnis der damaligen Sicherheitslage. Diese hat sich jedoch gewandelt! Unsere Aufgabe ist es nun, die Bundeswehr in die Lage zu versetzen, ihren von uns gegebenen Auftrag umzusetzen. Und das ist unsere Pflicht! Nicht nur meine persönliche im Verteidigungsausschuss, sondern die von uns allen, gleich welcher Position. Das ist insbesondere in unserer heutigen Zeit wichtig, in der es eine ganze Reihe von Personen gibt, die nichts anderes im Sinn haben, als unsere staatlichen Sicherheitsorgane – darunter zählen Verfassungsschutz- und Kriminalämter – zu diskreditieren. Dass es diese Kräfte gibt, darf und muss man offen aussprechen, vor allem, weil ich dies auch persönlich im Verteidigungsausschuss erlebe. Und auch die Presse spielt in diesem Prozess eine große Rolle. Verstehen Sie mich nicht falsch. Es ist richtig und gut, zu berichten und kritisch zu hinterfragen. Es ist jedoch nicht hinnehmbar, dass Journalisten in einen Wettbewerb um Negativüberschriften treten. Wir fordern eine Truppe, in der alles reibungslos funktioniert, vergessen aber, dass das Geld und Unterstützung kostet – und zwar eine Menge. Auch hier sollten wir ehrlich und sachlich bleiben. Am Schluss meines Grußwortes weise ich darauf hin, dass die Neuaufstellung eines Kommando Cyber und Informationsraum mittlerweile in vollem Gang ist und auch der Reservistenverband hier aktiv unterstützt. Wir haben vor etwa eineinhalb Jahren unter großem Engagement unserer Verantwortlichen rund 200 Reservisten der Cybertruppe zuführen können, die in nationalen und internationalen Unternehmen bisher ihre Expertise fernab von der Bundeswehr eingebracht haben, diese nun jedoch auch der Bundeswehr zur Verfügung stellen können. Auch für diese Leistung des Verbandes bin ich sehr dankbar. 14 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Ich wünsche Ihnen alles Gute und den bayerischen Freunden danke ich nochmals von Herzen für Ihr Engagement. Mit kameradschaftlichen Grüßen Ihr Oswin Veith Oberst d. R. Mitglied des Deutschen Bundestags Präsident des Verbandes der Reservisten der Deutschen Bundeswehr e.V. 15 Keynote Cyber Security: Angriffe verhindern und abwehren – militärische und zivile Infrastrukturen schützen General a.D. Hans-Peter von Kirchbach, ehemaliger Generalinspekteur der Bundeswehr Meine sehr verehrten Damen und Herren, danke für die Einladung und heute bei dieser wichtigen Tagung zu sprechen. Ich habe gezögert die Einladung anzunehmen, weil ich zum eigentlichen Thema der Tagung der Cyber-Sicherheit kein Spezialist bin. Herr Professor Grein hat mich aber davon überzeugt, dass es nützlich ist, dem eigentlichen Thema eine Gesamtlagebeurteilung vorauszuschicken, in die sich dann das spezielle Thema einordnen lässt. Das Umfeld Die Weltlage ist unsicherer geworden und hat sich in den letzten Jahren dramatisch verändert und damit auch die Beurteilung dessen, was in Europa, der Bundesrepublik und der Bundeswehr geschehen muss, um dieser neuen Lage Rechnung zu tragen. Lassen Sie mich skizzenhaft einige Ausführungen zu den Änderungen in den sicherheitspolitischen Rahmenbedingungen machen: Die Vorstellung, Russland als dauerhaften Partner gewinnen zu können, ist mit der rechtswidrigen Aneignung der Krim im Jahre 2014 jedenfalls 16 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren auf längere Zeit zerbrochen. Russland hat internationale Verträge gebrochen und gezeigt, dass es, um politische Ziele zu erreichen, vor dem Einsatz militärischer Mittel nicht zurückschreckt. Auch wenn es vermutlich keine direkte Konfrontation mit der NATO riskieren wird, jedenfalls, soweit und solange die Abschreckung des Bündnisses Wirkung zeigt, so sind die Handlungen Russlands ein bleibendes Risiko für Europa. Risiken drohen auch aus dem Nahen Osten. Ich zitiere jetzt aus einem Vortrag, den der Ihnen bestens bekannte General Klaus Naumann vor einigen Monaten gehalten hat: „Die Staatenwelt des Nahen Ostens ist im Umbruch und Aufruhr. Ich weiß nicht, so General Naumann, wie die politische Landkarte zwischen Bosporus und der Straße von Hormuz in 10 oder 20 Jahren aussehen wird, ich nehme aber an, wir werden sie kaum wiedererkennen. Inzwischen wird es Bürgerkriege und Stellvertreterkriege geben, möglicherweise auch den direkten Krieg zwischen Iran und den sunnitischen Staaten am Golf.“ Dieser Beurteilung schließe ich mich an. Neue Flüchtlingsbewegungen, die auch neue Herausforderungen für Europa beinhalten, sind auf keinen Fall auszuschließen. Fraglich bleibt auch, ob es zusätzlich zu Israel weitere atomar bewaffnete Staaten geben wird, damit würde die Gefahr einer atomaren Aus einan der setzung vor den Toren Europas steigen. Das Abkommen mit dem Iran, wenn es den Bestand hat, bietet ja nur eine vorläufige Sicherheit bis 2025. Gefahren drohen auch im Fernen Osten. Trotz des zur Zeit in den USA zur Schau getragenen Optimismus vermag ich nicht daran zu glauben, dass Nordkorea seine atomaren Waffen aufgeben wird, sind sie doch auch eine Lebensversicherung für das Regime. Bestenfalls scheint eine Eindämmung im Sinne einer Rüstungsbegrenzung möglich. Die Entwicklung dort halte ich insgesamt noch immer für unkalkulierbar. Festzuhalten ist auch, dass, jedenfalls zur Zeit die chinesische Herausforderung auf der Suche nach einer neuen globalen Weltordnung weitgehend unbeantwortet bleibt. 17 Kirchbach: Keynote Bleiben einige Worte zu Afrika. Die Bevölkerung wächst in rasendem Tempo, Jahr für Jahr um etwa 30 Millionen. Misswirtschaft, z. T. unfähige Regierungen, kaum beherrschbare Korruption kommen dazu. Auch hier sind Flüchtlingsbewegungen, auch in weit größerem Ausmaß als die bisher erlebten nicht, auszuschließen. Die Verbindung zu den USA ist brüchiger geworden Zur Beurteilung des sicherheitspolitischen Umfelds gehört ein Blick auf unseren größten Bündnispartner, die USA. Die USA ziehen sich unter Präsident Trump mehr und mehr aus ihrer globalen Verantwortung zurück. Belege dafür sind die Kündigung von internationalen Handelsverträgen und Abkommen zur Rüstungsbegrenzung wie dem INF-Vertrag, die weitgehende Preisgabe des Nahen Ostens, allerdings schon seinem Vorgänger zuzuschreiben, vor allem aber ein Nationalismus, der an die Ideen und Ideale des Westens immer weniger gebunden scheint. Europa hat 2017 erkennen müssen, dass es sich auf die Sicherheitsgarantie der USA nicht mehr vorbehaltlos verlassen kann. Die Brücken über den Atlantik sind brüchiger geworden. Das NATO- Bündnis ist glücklicherweise in seinen Strukturen intakt, wird dadurch aber geschwächt. Die Bundeskanzlerin hat sich dazu in München nach dem NATO-Gipfel 2017 so ausgedrückt: „Die Zeiten, in denen wir uns auf andere verlassen konnten, sind ein Stück vorbei.” Und: „Wir Europäer müssen unser Schicksal wirklich in die eigene Hand nehmen.” Die Handlungsfähigkeit Europas ist eingeschränkt Die Handlungsfähigkeit Europas auf dem Gebiet der Verteidigung ist nach wie vor eingeschränkt. Es bleibt auf den Schutz der Vereinigten Staaten und die Zusammenarbeit mir den Vereinigten Staaten angewiesen. Europa ist sehr mit sich selbst beschäftigt, die Bewältigung des Brexit bindet Aufmerksamkeit und Ressourcen. Populistische Strömungen und populistische Regierungen schränken die gemeinsame Handlungsfähigkeit ein. Eine gemeinsame außenpolitische Stimme gibt es nur gelegent- 18 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren lich. Eine gemeinsame Strategie, den Nahen Osten oder Afrika betreffend ist nicht zu erkennen. Die kühne Initiative des französischen Präsidenten findet nur zögerliche Antworten. Die Herausforderungen sind groß. Sie sind für uns allein nicht zu bewältigen, sie dürften auch für die europäischen Staaten und nur in intensivem Zusammenwirken aller Akteure zu bewältigen sein. Die NATO Ungeachtet der Unsicherheit nach dem NATO-Gipfel 2017 hat die NATO in den letzten Jahren wichtige Beschlüsse gefasst. Die NATO-Speerspitze, deren Führung die Bundeswehr 2019 übernehmen wird, wird noch einmal in ihrer Wirksamkeit verstärkt. Sie ist Teil der NATO Response Force, besteht aus einer verstärkten Brigade und soll binnen kurzer Frist, d. h. binnen 48–72 Stunden eingesetzt werden können. Die Bundeswehr wird die Führung ab 2019 und dann wieder ab 2023 übernehmen. Neue Planungs- und Führungszentren, so u. a. in Ulm, sollen vor allem die Verlegefähigkeit der Truppen verbessern. Die an der Ostgrenze der NATO liegenden NATO-Staaten wurden und werden durch Stationierungsentscheidungen (enhanced forward presence) und verstärkte Übungstätigkeit in Polen und dem Baltikum unterstützt, gleichzeitig damit an Russland eine wichtiges Signal des Zusammenhalts im Bündnis und der Fähigkeit der NATO, ihr Bündnisgebiet zu verteidigen, gegeben. Demselben Ziel gilt auch die zur Zeit mit 50 000 Soldaten laufende Übung Trident Juncture, eine Übung die in dieser Grö- ßenordnung viele Jahre nicht mehr stattgefunden hat. Die Verteidigungsausgaben mehrerer Bündnispartner steigen, obwohl das vereinbarte Ziel, die Verteidigungsausgaben auf 2 Prozent des Bruttosozialprodukts zu steigern, bislang nur von wenigen Bündnispartnern erreicht wird. 19 Kirchbach: Keynote Die Europäische Union Eine grundsätzliche Bündelung der europäischen Ressourcen für die Verteidigung liegt nach wie vor in weiter Ferne. Der immer wieder und jetzt auch vom französischen Präsidenten ins Spiel gebrachte Gedanke der Gründung einer europäischen Armee liegt aus meiner Sicht in weiter Ferne. Dies würde für alle Staaten bedeuten, nationale Souveränität in einem Kernbereich abzugeben. Die Bereitschaft hierzu kann ich nirgends, auch in Deutschland nicht, erkennen. Die jüngsten Äußerungen der Verteidigungsministerin bestätigen diese Vermutung. Im Gegenteil, der Parlamentsvorbehalt lässt bei unseren Verbündeten immer wieder Zweifel aufkommen, ob auf die Deutschen wirklich Verlass ist. Das Glas ist allerdings und glücklicherweise nicht völlig leer. Die Erkenntnis ist gewachsen, dass Europa mehr tun muss, um sein Schicksal in die eigenen Hände zu nehmen. Mittlerweile hat es einige Fortschritte gegeben. 23 Europäische Staaten haben sich 2017 auf eine sogenannte ständige strukturierte Zusammenarbeit geeinigt, auch unter dem Namen PESCO (Permanent Structured Cooperation) bekannt, und die Umsetzung von 47 Projekten ins Auge gefasst, die z. T. durchaus ehrgeizig sind. Die konkrete Umsetzung von 17 dieser Projekte wurde mittlerweile beschlossen. Teil der PESCO- Initiative ist z. B. auch eine engere Zusammenarbeit im Bereich der Cyber Defence. Alle europäischen Staaten, die dieser Kooperation beitreten, haben sich verpflichtet, mehr Geld für die Verteidigung auszugeben und mittelfristig 20 Prozent der Verteidigungsausgaben für Rüstung aufzuwenden. Hintergrund der strukturierten Zusammenarbeit ist Europas Sicherheit zu verbessern, die Abhängigkeit von den Vereinigten Staaten zu verringern, aber natürlich auch, die Ausgaben durch Zusammenarbeit rationeller zu gestalten. Die Kooperation der Streitkräfte hat sich deutlich verbessert. Neun EU-Staaten darunter auch Deutschland, haben sich, wenn auch zögerlich, einer Initiative des französischen Präsidenten Macron zur Gründung einer Europäischen Interventionsinitiative, einem geplanten autonomen europäischen Verteidigungsbündnis, angeschlossen. Hier steht das Bemühen um eine gemeinsame strategische Kultur, die gemeinsame Lageanalyse und die grundsätzliche Bereitschaft im Vordergrund, Kräfte zu bündeln und eine schnellere Reaktion in Krisen zu ermögli- 20 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren chen. Da die Initiative außerhalb von PESCO liegt, könnte sich auch Großbritannien beteiligen. Das Schicksal dieser Initiative bleibt ungewiss. Es bleiben also Zweifel. Manches europäische Projekt wurde in der Vergangenheit angestoßen und konnte seine Wirksamkeit nie unter Beweis stellen. Es wird darauf ankommen, ob den Beschlüssen entschlossenes Handeln folgt. Bundesrepublik Deutschland In der Bundesrepublik Deutschland ist die Erkenntnis gewachsen, dass Deutschland im internationalen Bereich mehr Verantwortung übernehmen muss. Äußerungen des Bundespräsidenten, der Kanzlerin und der Verteidigungsministerin gehen in diese Richtung. Die Verteidigungsausgaben wurden im Haushaltsansatz 2018 deutlich auf nunmehr 38,9 Milliarden erhöht, im nächsten Jahr ist eine weitere Steigerung vorgesehen. Führende Politiker, so u. a. die Verteidigungsministerin, stellen bis 2024 eine Erhöhung der Verteidigungsausgaben auf 1,5 Prozent des Bruttoinlandprodukts in Aussicht, dies ist in der mittelfristigen Finanzplanung allerdings bis jetzt nicht ablesbar. Bei den Bemühungen um Vertiefung der europäischen Zusammenarbeit der Streitkräfte nimmt Deutschland eine führende Rolle ein, dies gilt auch für die Beteiligung der Bundeswehr zur Krisenbewältigung im internationalen Umfeld. Die Streitkräfte als Mittel anzusehen, das in der Politik immer selbstverständlich mitbedacht werden sollte, auch wenn klar ist, dass viele Probleme durch Streitkräfte nicht lösbar sind, dieses Denken ist uns noch weitgehend fremd. Die stereotypen Äußerungen bei nahezu jeder Krise lassen darauf schließen, dass sich dies auch nicht so schnell ändern wird. Die Diskussionen über Bewaffnung von Drohnen oder die recht künstliche Unterscheidung zwischen offensiven und defensiven Cyber-Fähigkeiten unterstreichen diese Vermutung. 21 Kirchbach: Keynote Die Bundeswehr Cash, Capabilities und Commitment sind die drei wichtigsten Beurteilungskriterien der NATO für Streitkräfte. Die deutschen Streitkräfte schneiden dabei zur Zeit in zweien dieser Kategorien schlecht ab, nur bei den commitments erfüllen wir die Erwartungen weitgehend. Leider können wir nicht von einer rundweg in gutem Zustand befindlichen, einsatzbereiten Bundeswehr ausgehen. Jahre der Unterfinanzierung haben ihre Spuren hinterlassen. Fast jeden Tag gehen neue Hiobsbotschaften durch die Presse. Die, allerdings verständliche, Priorisierung der Auslandseinsätze in den vergangenen Jahren haben zu einer deutlichen Schwächung der Fähigkeiten zur Verteidigung unseres Landes an den Außengrenzen des Bündnisses geführt. Die Einsatzbereitschaft des Materials ist ungenügend. Die angekündigten richtigen und zwingend notwendigen Trendwenden werden ihre Wirksamkeit erst noch unter Beweis stellen müssen. Diskussionen an der Peripherie haben, jedenfalls zeitweise, von den wichtigsten Problemen abgelenkt. Zur Behebung der Mängel haben sich Bundesregierung und Bundeswehr ein Programm gegeben. Ausgehend vom Weißbuch der Bundesregierung 2016 wurde vor einigen Monaten die Konzeption der Bundeswehr erlassen, dem folgte vor einigen Wochen die Entwicklung eines Fähigkeitsprofils, das festlegt, welche Fähigkeiten in welchen Schritten die Streitkräfte bis 2031 erwerben sollen. Dabei geht es um Modernisierung, um das Auffüllen hohler Strukturen und die Entwicklung neuer Fähigkeiten. Dieses Fähigkeitsprofil soll jährlich geprüft und ggf. angepasst werden. Es sieht z. B. im Bereich des Heeres vor, die vollständige Einsatzbereitschaft einer Brigade bis 2023 herzustellen, entsprechende Ziele werden für die Luftwaffe und die Marine vorgegeben. Die volle Einsatzbereitschaft dreier Divisionen des Heeres und von vier Einsatzverbänden der Luftwaffe sind bis 2031 vorgesehen. Die Zielvorstellungen für die Marine reichen über das Jahr 2032 hinaus. Mir scheint vor allem der erste Zwischenschritt sehr wenig ehrgeizig zu sein. 22 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren In das Dokumentengefüge passt sich das Thema unserer Tagung ein. Im Aufgabenprofil, das die Konzeption der Bundeswehr umreißt, wird von der Bundeswehr im Rahmen des internationalen Krisenmanagements gefordert, einen Beitrag zum Kampf gegen Bedrohungen aus dem Cyber- und Informationsraum zu leisten. Als durchgängig wahrzunehmende Aufgabe ist aufgelistet: „Verteidigungsaspekte der gesamtstaatlichen Cybersicherheit, Beiträge zum gesamtstaatlichen Lagebild im Cyber- und Informationsraum im Rahmen der nationalen und multinationalen Sicherheitsvorsorge sowie die Gewährung der Cybersicherheit in bundeswehreigenen Netzen.“ Der Generalinspekteur hat dies wie folgt umrissen: „In den folgenden Jahren gilt es vor allem Fähigkeiten aufzubauen, um beispielsweise digitale Forensik zu betreiben, Schadsoftware zu analysieren, ein Cyber-Lagebild zu erstellen, um Cyberattacken abwehren zu können.“ Erste Schritte zur Erfüllung dieser Aufgaben sind mit der Aufstellung des Cyber Kommandos als eigene Teilstreitkraft eingeleitet worden. Dies scheint mir eine zukunftsweisende Lösung zu sein. Die grundlegenden Vorstellungen zur Behebung der Mängel und Weiterentwicklung der Streitkräfte, um der aktuellen Lage gerecht zu werden, liegen also vor. Zukunftsweisende Gedanken hat auch der Verband der Reservisten in die Diskussion eingebracht. Ich denke hier an die Aufstellung von Landesregimentern und die Ausbildung Ungedienter für einfache militärische Aufgaben in diesen Regimentern. Bemerkenswert sind auch die gemeinsamen Anstrengungen, spezielle Fähigkeiten auch Ungedienter für die Bundeswehr nutzbar zu machen. Insgesamt bleiben Zweifel. Wie schon beschrieben ist der Aufwuchs des Verteidigungshaushalts in der mittelfristigen Finanzplanung bislang nicht unterlegt. Die Vorstellungen der Koalitionspartner über die Entwicklung des Verteidigungshaushalts sind unterschiedlich, die Unsicherheit über das künftige Schicksal der Bundesregierung nach dem Verzicht der Kanzlerin auf eine erneute Kandidatur für das Amt der Parteivorsit- 23 Kirchbach: Keynote zenden der CDU könnte entschlossenes Regierungshandeln für längere Zeit lähmen. Handeln Lassen Sie mich versuchen, aus dieser Lagebeschreibung neun Grundsätze des Handelns thesenartig abzuleiten. 1. Es ist alles zu tun, die Verbindungen zwischen Europa und den Vereinigten Staaten zu erhalten ggf. wieder zu vertiefen. Hier sollten alle, die dies können, einen Beitrag leisten, die Regierungen, die Abgeordneten, die Soldaten. Die Brücken über den Atlantik müssen so stabil bleiben, wie irgend möglich. 2. Schritt für Schritt muss die politische und die militärische Zusammenarbeit in Europa weiter vertieft werden, so dass eine spätere Integration möglich wird. Die gefassten Beschlüsse sind mit Leben zu erfüllen. Diese Anstrengungen sollten in Abstimmung mit dem Bündnis erfolgen. 3. Die Einsatzbereitschaft der Bundeswehr ist Schritt für Schritt zu verbessern, dabei ist auch ein Sofortprogramm in Erwägung zu ziehen. 4. Die vorgesehenen Zeitabläufe für die Herstellung einer begrenzten Einsatzbereitschaft von Truppenteilen der Bundeswehr sind mit dem Ziel einer deutlichen Verkürzung zu prüfen. 5. Die erfolgte Verlagerung der Prioritäten hin zur Landesverteidigung nach neuem Verständnis muss konsequent zu Ende gedacht werden. 6. Zweck von Streitkräften ist der Einsatz. Alles, was in den Streitkräften geschieht, muss vom Einsatz her gedacht werden. Wo Streitkräfte nicht eingesetzt werden können, haben sie ihren Zweck verfehlt. Einsatz beinhaltet die Fähigkeit und Bereitschaft zum Kampf. 7. Hinsichtlich des Einsatzes der Bundeswehr im Inneren muss über das Verständnis von Subsidiarität nachgedacht werden. 8. Der Weg, ungedienten Bewerbern einen Weg als Soldaten der Reserve in die Bundeswehr zu ebnen, ihre speziellen Fähigkei- 24 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren ten zu nutzen und sie unkompliziert auszubilden, sollte konsequent weiterverfolgt werden. 9. Neue Formen der Bedrohung sollten ständig mit dem Ziel der frühzeitigen Reaktion geprüft werden. Trotz aller Kritik bleibt festzuhalten: Die Bundesrepublik Deutschland verfügt mit der Bundeswehr noch immer über eine gute, geachtete, im Bündnis bewährte Armee mit einem hohen internationalen Ansehen. Sie verfügt über ein gutes Korps von Offizieren und Unteroffizieren. Das System der Bildung und Ausbildung von Offizieren, mehrfach geändert und von Helmut Schmidt sehr grundsätzlich reformiert, hat sich bewährt. Die Bundeswehr ist in internationale Organisationen, dabei denke ich nicht nur an die NATO und Europäische Union, fest eingebunden. Bei allem Wandel von Umfängen und Strukturen ist sie, die Erfüllung der Aufgaben betreffend, beständig geblieben. Die Bundeswehr hat den Zeitbruch der Vereinigung herausragend bestanden. Zweifel an ihrer Fähigkeit und Bereitschaft zu kämpfen, hat sie spätestens in Afghanistan sichtbar zerstreut. Sie ist ein unverzichtbares und zuverlässiges Instrument der deutschen Politik, der Gefahr zu einem „Staat im Staate“ zu werden, ist sie zu keiner Zeit erlegen. Krisen hat sie erfolgreich bewältigen können. Die Zeiten ändern sich, und die Bundeswehr musste sich immer wieder ändern. Eine solche Zäsur steht jetzt wieder an. Es bleibt ein Kennzeichen und Wesenskern einer guten Armee, dass sie kämpfen kann und dies entschlossen tut, wenn die rechtlichen Voraus set zungen gegeben sind und die politische Führung dies mit Zustimmung des Parlaments verlangt. Die Bundeswehr hat mit dem Leben von Soldaten die höchsten Opfer gebracht, die man von ihr verlangen konnte. Eine solche Gefahr besteht bei jedem Einsatz von Streitkräften. Die politische Führung und das Parlament müssen dies beachten, die Entscheidung zum Einsatz von Streitkräften darf man, muss man sich schwer machen. Die derzeitige politische Lage verlangt viele neue Überlegungen. Sie verlangt, Fehlentwicklungen der letzten Jahre zu korrigieren. Dies wird Mut, Entschlossenheit und auch erhebliche Mittel erfordern. 25 Kirchbach: Keynote Achten wir dabei stets darauf, dass nicht zivile Kompatibilität, sondern die Fähigkeit zum Kampf Maßstab für die Qualität unserer Armee bleibt. 27 Herausforderung Verteidigung im Cyber- und Informationsraum Generalmajor Jürgen Jakob Setzer, Stellvertretender Inspekteur im Kommando Cyber- und Informationsraum sowie Chief Information Security Officer der Bundeswehr Sehr geehrter Herr Präsident, sehr geehrter Herr General, sehr geehrte Herren Abgeordnete, sehr geehrte Damen und Herren, liebe Kamareden der Reserve, Ich möchte Ihnen heute vorstellen, wie sich die Bundeswehr mit dem neuen Organisationsbereich Cyber- und Informationsraum (OrgBer CIR) auf die Bedrohungen in diesem Raum aufstellt. Ohne Digitalisierung sind weder unsere Gesellschaft noch wir als Einzelne heutzutage in gewisser Weise lebensfähig. Digitale Entwicklungen bestimmen unser Leben nachhaltig und in immer kürzeren Rhythmen. Auch die Bundeswehr profitiert von der zunehmenden Digitalisierung. 28 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Die Führungsfähigkeit im Einsatz und im Grundbetrieb in Deutschland ist geprägt von Übertragungstechnik und Informationstechnik (IT). Das Waffensystem Eurofighter hat 80 Computer, CPUs genannt, an Bord. Deren Versorgbarkeit mit Ersatzteilen, sowohl im Einsatz als auch zu Hause, funktioniert ausschließlich mit Unterstützung betriebswirtschaftlicher Anwendungssoftware SASPF. Das zeigt, welche Bedeutung auch in positiver Weise, Digitalisierung hat. Die Möglichkeiten unserer Gesellschaft und der Streitkräfte haben sich wesentlich nach vorne entwickelt. Allerdings können auch solche Chancen bedroht sein bzw. werden. 29 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum Angriffe werden immer komplexer, wohingegen der Angriffsaufwand sinkt. Bereits heute kann man für kriminelle Zwecke Schadsoftware im Darknet kaufen, und die Nachfrage regelt hier das Angebot. Somit steigt die Verwundbarkeit von Gesellschaft als auch Bundeswehr durch Digitalisierung und Vernetzung. Die Eintrittsschwelle ist gering und eine Attribution schwierig. Es bleibt eine Herausforderung festzustellen, wer der Täter oder Eindringling ist. 30 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Lassen Sie mich hierzu kurz einige Beispiele der vergangenen Jahre aufgreifen. Der Angriff auf den Informationsverbund Berlin-Bonn (IVBB-Hack) aus 2018, der bereits in 2017 begonnen hat, ist Ihnen allen durch die Medien bekannt. Im gleichen Atemzug nenne ich den Bundestag-Hack aus dem Jahr 2015. Diese Beispiele zeigen, dass demokratische Institutionen wie Bundestag und Bundesregierung ebenfalls von Angriffen unmittelbar betroffen sind, insbesondere unter dem Aspekt der Spionage. Die in 2017 ausgebrachte Schadsoftware WannaCry betraf insbesondere das Gesundheitswesen und die Krankenhäuser in England. Operationen mussten teilweise über Wochen verschoben werden. Die Ausbringung des Virus wirkte weltweit. Bei uns in Deutschland nahm WannaCry Einfluss auf die Logistikketten der Deutschen Bahn AG und deren Tochterunternehmen Schenker. Ein weiterer Vorfall ereignete sich 2015/2016. An Weihnachten 2015 fiel in der Westukraine die Stromversorgung hunderttausender Ukrainer für sechs Stunden aus. Dies wiederholte sich zu Beginn des Folgejahres. Mit Ausschaltung der Stromversorgung wurde zusätzlich das Telefonnetz lahmgelegt und somit die Bevölkerung zur Bekanntmachung des Fehls 31 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum gehindert. Hier wurde im Rahmen einer komplexen Aktion tatsächlich kritische Infrastruktur angegriffen und lahmgelegt. Ergänzend der „Fall Lisa“ aus dem Jahr 2016. Hier war, ähnlich wie vor der Präsidentschaftswahl in den Vereinigten Staaten von Amerika, eine Beeinflussung der Meinung und der Meinungsbildung in der Bevölkerung offensichtlich. Hybride Bedrohungen sind eine gesamtstaatliche Herausforderung, auch für die Bundeswehr. Gehen wir kurz nach Litauen. Hier unterstützt die Bundeswehr seit 2017 im Rahmen der NATO Enhanced Forward Presence (eFP). Im Februar 2017 erhielt der Parlamentspräsident von Litauen eine E-Mail, die auch zeitgleich den Medien zugespielt wurde, dass deutsche uniformierte Soldaten ein 17-jähriges, ukrainisches Mädchen vergewaltigt hätten. Hier ist eine rasche Reaktion erforderlich, um die tatsächlich unwahren Meldungen in den Griff zu bekommen, durch eigene Berichte aus der Welt zu schaffen und die Unterstützung der Bevölkerung zu erhalten. Ich möchte ein weiteres Beispiel anbringen und lenke ihre Blicke auf die beiden Bilder oben rechts. Bei genauer Prüfung können Sie erkennen, dass die männliche Person rechts (kurze Jacke) unterschiedliche Gesich- 32 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren ter hat. Mit dieser Gesichtsmanipulation wurde in den Medien versucht zu belegen, dass der deutsche Bataillonskommandeur der NATO eFP ein Spion der russischen Streitkräfte sei. Als Grundlage für diese FakeNews- Kampagne verwandte man das Bild eines NASA-Angehörigen (aufgenommen in Moskau) und hat die Gesichter mit einer Bildbearbeitungssoftware ausgetauscht. Zusätzlich wurde der Pressemitteilung das manipulierte Facebook- Profil (unten rechts) einer Melanie Huber, der angeblichen Ehefrau des angesprochenen Kommandeurs, beigefügt. Abgesehen von dem falschen Namen der Ehefrau, hat man mit dem angehefteten Screenshot den Wahrheitsgehalt der Meldung unterstreichen wollen. Zumal auf dem FB-Profil der Abgebildeten die russische Flagge zu sehen ist, was implizieren soll, dass auch seine Frau Verbindungen nach Russland habe. Mit dieser Kampagne versuchte man die Loyalität der Bundeswehrsoldaten, angeblich in Masse Russlanddeutsche, und somit nicht verlässlich für die Verteidigung Litauens eintretend, zu diskreditieren. Den Urheber konnte man abschließend nicht nachweisen. Bereits heute setzen wir uns als Bundeswehr mit solchen Bedrohungen auseinander und reagieren schnellstmöglich auf derartige FakeNews. Zum Schutz unserer Soldaten, aber auch um deren Unterstützung aus der Bevölkerung nicht zu verlieren. 33 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum Derartige Kampagnen betreffen aber nicht nur unsere Streitkräfte, sondern auch die Gesellschaft. Hierzu hat die Bundesregierung 2016 die sogenannte Cyber-Sicherheitsstrategie für Deutschland erstellt und erlassen. Im gleichen Jahr wurde mit dem Weißbuch 2016 das Grundlagendokument für die sicherheitspolitische Lage der Bundesrepublik Deutschland verordnet. Die Verantwortung zur Cyber-Abwehr, Inneren Sicherheit und Schutz ziviler Infrastruktur wurde dem Bundesministerium des Inneren, für Bau und Heimat (BMI) zugewiesen. Für die Cyber-Außenpolitik ist das Auswärtige Amt (AA) zuständig, Cyberverteidigungsaufgaben obliegen dem Bundesministerium für Verteidigung (BMVg). Angriffe aus dem World Wide Web machen weder Halt vor Territorien, Ländern noch Zuständigkeiten. Damit wird deutlich, dass bekannte zivile als auch militärische Strategien an ihre Grenzen stoßen. Doch was bedeutet das für die Bundeswehr? Für uns haben sich im Weißbuch festgeschriebene, unmittelbare Forderungen ergeben: 1. Wir müssen die Fähigkeiten der Bundeswehr bündeln, um in der neuen Dimension Cyber- und Informationsraum wirken und schützen zu können. 2. Es ist keine Aufgabe, die in unserem Land jemand alleine machen kann, sondern es ist eine gesamtstaatliche Aufgabe von unterschiedlichsten Playern. 3. Für die Bundeswehr ist dies nicht nur eine Aufgabe der aktiven Soldaten und Soldatinnen. Vielmehr brauchen wir ungediente Hochqualifizierte zur Bewältigung dieser Herausforderungen im Bereich des Reservedienstes. 34 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Operationelle Einsatzausrichtung, Betrieb und Schutz des IT-Systems der Bundeswehr als auch Aufklärung und Wirkung im Cyber- und Informationsraum stehen nunmehr auf der Aufgabenliste des Organisationsbereichs Cyber- und Informationsraum, den der Inspekteur CIR als ebenengerechter Ansprechpartner auf nationaler wie internationaler Seite zu leisten hat. Alle Kräfte, die in dieser Dimension eingesetzt sind, unterliegen einer konzentrierten Personalführung und der Organisationshoheit durch das Kommando CIR in Bonn. 35 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum In der Bundeswehr wurden bisher Land, See, Luft und Weltraum als militärische Wirkebenen definiert. Neu dazugekommen ist die Dimension Cyber- und Informationsraum, kurz CIR, die sich teilweise von den anderen Dimensionen unterscheidet. Zum einen sind Grenzenlosigkeit und Geschwindigkeit Besonderheiten des OrgBer CIR. Ihre Wirkung entfaltet sich innerhalb von Bruchteilen von Sekunden über Datenwege weltweit. Das Dritte ist die schwere Attribuierung eines Aggressors bzw. die Urheberschaft seiner Maßnahmen. Die Dimension „Cyber“ ist neben der Enabler-Rolle für Informations- und Kommunikationstechnologie für andere Domänen auch komplementär zu diesen eine eigene Aktions- und Gestaltungsdomäne. Wesentliche Säulen des OrgBer CIR sind der Schutz und Betrieb des IT- Systems der Bundeswehr als Dauereinsatzaufgabe, ergänzt durch die Felder Militärisches Nachrichtenwesen und Aufklärung sowie Wirkung im CIR. Daten und Analysen im Segment der Geo-Information bereitet das Zentrum für Geoinformationswesen der Bundeswehr auf. Dort ist in besonderer Weise die Geolokalisierung im Hinblick auf die Verbindung zwischen der Dimension CIR und den Dimensionen Luft, Land, See und Weltraum von ganz entscheidender Bedeutung. Nicht zu vergessen unser Beitrag zur gesamtstaatlichen Cybersicherheit und -verteidigung. 36 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Lassen Sie mich mit dem ersten Bereich, dem Schutz und Betrieb unseres IT-Systems beginnen. Unterhalb des Kommandos Informationstechnik der Bundeswehr, stellen sechs Informationstechnikbataillone und ein NATO-assignierter Fernmeldeverband die IT-Services über Satellitenkommunikation, Netzwerk- und Servertechnik als auch verschlüsselte mobile Kommunikation im In- und Ausland zur Verfügung. Darüber hinaus gewährleistet das Zentrum für Cyber-Sicherheit der Bundeswehr (ZCSBw) den umfassenden Schutz der IT-Services und IT-Systems der Bundeswehr unter Umsetzung der Schutzziele der Informationssicherheit als Teil der Cyber-Verteidigung. Firmeninterne Intranet- Netzwerke sind an ihren Übergangsstellen mit dem Internet verbunden. Zur Feststellung von Anomalien, die nicht nur im Bereich technischer Absicherung liegen, sondern auch das menschliche Fehlverhalten mit einbeziehen, setzen wir entsprechende Schutztechnik ein. Im Cyber Security Operation Center werden diese Anomalien aufgenommen und Gegenmaßnahmen wie beispielsweise der Einsatz von Emergency-Response-Teams mit IT-forensischen Fähigkeiten zur Attribution der Angriffe, gesteuert. Rund um die Uhr und an 365 Tagen im Jahr. 37 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum Mit dem Zentrum für Softwarekompetenz der Bundeswehr (ZSwKBw) haben wir zum April 2019 die Entwicklung und Integration von Software, die fachlich-technische Fortentwicklung und Harmonisierung der etablier ten Softwarelandschaft im einsatzorientierten Anteil des IT-Systems der Bundeswehr sowie die querschnittliche Simulation in den Streitkräften manifestiert. In diesem Zentrum werden eigenständig Softwareprodukte entwickelt, vorhandene kommerzielle oder militärische Software an die besonderen Bedürfnisse des Geschäftsbereichs BMVg angepasst und zu vollständigen, betreibbaren IT-Services integriert. 38 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Mit dem Kommando Strategische Aufklärung kommen wir zum Verbund Aufklärung und Wirkung im CIR. Diese Kommandobehörde wird im März 2020 zum Aufklärungs- und Wirkungskommando umbenannt und bildet eine eigene Planungs- und Einsatzführungszentrale aus. Kräfte der Elektronischen Kampfführung (EloKa), der operativen Kommunikation (OpKomBw) und der Cyberoperationen (CO) werden zukünftig von dort gesteuert und deren Wirkung in der Dimension CIR im Einsatzland als auch im Reachback (Deutschland) sichergestellt. 39 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum Zur Härtung unserer IT-Systeme und Aufdeckung möglicher Schwachstellen, greifen die CO-Kräfte eigene Netzwerke an. Ohne Kenntnis über Netzpläne oder -struktur. Dieses Vorgehen hat zwei interessante Aspekte: Erstens, CO-Kräfte lernen ihr eigenes Netz besser kennen und finden möglicherweise Einfallstore, die andere auch finden könnten. Zum anderen ist der Faktor Mensch etwas nachdenklicher, wenn er weiß, dass Angriffe nicht einen nur abstrakten Bedrohungscharakter haben. Im vergangenen Jahr verzeichnete die Bundeswehr zwei Millionen unautorisierte Zugriffsversuche. 8 000 davon hatten das Potential Schaden zu verursachen. 40 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Auch wurde auf Ebene Kommando Cyber- und Informationsraum in Bonn ein Gemeinsames Lagezentrum eingerichtet. In diesem Herzstück laufen alle Meldungen der Bundeswehr, welche die Dimension Cyber- und Informationsraum betreffen, zusammen. Hier werden Muster, Anomalien als auch mögliche Korrelationen einzelner Vorgänge und Ereignisse erkannt. Man erhält analysierte und aufbereitete Informationen, die Grundlage für korrespondierende Reaktionen im virtuellen Raum sind und zur konventionellen Landes- und Bündnisverteidigung herangezogen werden können. 41 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum Im zukünftigen Nationalen Cyber-Abwehrzentrum PLUS (NCAZ+) werden neben den gezeigten Bundesbehörden der Ressorts Inneres, Finanzen und Wirtschaft auch die Bundesländer, ergänzt durch Wirtschafts- und Sicherheitsfirmen, vereint sein. Das NCAZ+ soll alle cybersicherheitsrelevanten Informationen der Beteiligten verknüpfen, ein gemeinsames Lagebild erstellen und somit Handlungsoptionen entwickeln. Die Handlungsempfehlungen dieser Kommission bedingen rechtliche Grundlagen, die bereits in den politischen Gremien erörtert werden. 42 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Hybride Bedrohungen, bedingt durch konzentrierte Desinformation oder Beeinflussung über Medien, sind Faktoren, die unsere Gesellschaft destabilisieren können. Eine Beeinträchtigung der Lebensadern unserer kritischen Infrastruktur, wie beispielsweise Energieunternehmen, Transport- und Verkehrsnetze als auch der Gesundheitssektor können zu nachhaltigen Einschränkungen, ja sogar zu Unruhen, führen. Und das unter Verschleierung der Urheberschaft der virtuellen Lahmlegung. 43 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum Dieses enorme Feld der „Cyber-Sicherheit“ bedingt den gemeinsamen Schulterschluss. Neben dem Nationalen Cyber-Abwehrzentrum und unserem gemeinsamen Lagezentrum (GLZ KdoCIR) sind europäische als auch globale Player anzusprechen und ein Austausch von Expertise anzuregen. Auf Ebene GLZ KdoCIR sind bereits erste Verbindungen in Richtung NATO Cyber Operations Centre etabliert. Das KdoCIR ist mittlerweile auch im nationalen Bereich sehr gut vernetzt. Wir haben vor kurzem Kooperationsvereinbarungen mit der Telekom Security als auch mit dem Fraunhofer Institut FKIE zur gegenseitigen Hospitation auf den Gebieten Personal und Forensik geschlossen. 44 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Mit der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), der Universität der Bundeswehr und vielen weiteren Playern, befinden sich am Standort München ebenfalls wichtige Akteure. Cyber- Sicherheit entsagt Einzelkämpfertum und bedingt Innovation und Teamansatz. Ein guter Grund im Rahmen dieses Vortrages in München zu bleiben. 45 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum An der Bundeswehr-Universität in München vernetzt das Forschungsinstitut CODE Experten für Cybersicherheit aus Forschung, Militär, Wirtschaft, Industrie, Behörden und Verbänden und bildet ein einzigartiges, ressortübergreifendes Cyber-Cluster, in dem Wissen und Fähigkeiten gebündelt und der gegenseitige Austausch gefördert werden. 13 neu eingerichtete Professuren unterstützen dabei Forschung und Lehre auf internationalem Niveau. Durch die immer stärker zunehmende Bedeutung von IT-Sicherheit haben wir 2017 einen einzigartigen Master-Studiengang im Bereich Cyber-Sicherheit ins Leben gerufen. Im Cyber Innovation Hub in Berlin wollen wir den Kontakt zur Start- Up-Szene aufnehmen, Innovationsraten erhöhen und tradierte Entwicklungszyklen von sechs bis zehn Jahren durchbrechen um state-of-the-art zu sein. Darüber hinaus sollen mit der politisch beschlossenen Aufstellung der „Agentur für Innovation in der Cybersicherheit“ ambitionierte Forschungs- und Entwicklungsvorhaben mit hohem Innovationspotenzial auf dem Gebiet der Cybersicherheit finanziert und gefördert werden. 46 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Cyberreserve, Cybercommunity: Meine Damen, meine Herren, ich bekräftige meine eingangs erwähnte Notwendigkeit der Vernetzung auf dem Gebiet der Cybersicherheit. Wenn unser Land von etwas zu wenig hat, dann ist es die Ressource Mensch, die augenblicklich in diesem Aufgabenfeld agiert. Fachleute dieser Profession dürfen keine Konkurrenzsituationen hervorrufen. Vielmehr müssen wir Foren schaffen, um diese Menschen gemeinsam zur Wirkung zu bringen. In Zusammenarbeit mit dem Verband der Reservisten der Deutschen Bundeswehr e.V. ist uns solch ein Forum geglückt; die Cyber-Community. Hervorzuheben ist, dass es bei der Cyber-Community nicht nur um die Reservedienstleistung selbst geht, sondern darum, Cyber-IT Fachkräfte für einen Dienst in und eine Zusammenarbeit mit der Bundeswehr zu gewinnen. Bereits heute bringen sich nahezu 700 gewonnene Fachkräfte in der Cyber-Community ein. 47 Setzer: Herausforderung Verteidigung im Cyber- und Informationsraum Die Tragweite der gesellschaftsrelevanten und sicherheitspolitischen Entwicklungen der Dimension Cyber- und Informationsraum wird noch häufig unterschätzt. Der neu aufgestellte Organisationsbereich CIR der Bundeswehr stellt sich den militärischen Herausforderungen dieser Dimension und trägt somit zur gesamtstaatlichen Cybersicherheit bei. Ich danke für Ihre Aufmerksamkeit. 49 Terrorismus, Cybercrime und Cyberspionage verhindern Hans-Christian Witthauer, Vizepräsident Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITIS) Recht herzlichen Dank für die Gelegenheit, hier bei Ihnen heute vorzutragen. Ich darf vielleicht ganz kurz anknüpfen an meinen Vorredner, an Herrn General Setzer, und zwar zu dem Thema Cybersicherheitsstrategie der Bundesrepublik Deutschland. Wir sind auch ein Teil der Cybersicherheitsstrategie, und ich möchte Ihnen jetzt einmal das Element im Bereich des Bundesministeriums des Inneren, also in der inneren Sicherheit, kurz erläutern und vorstellen und Ihnen vielleicht auch nochmal sagen, warum das angesprochene „Highlander-Prinzip“ auch bei uns gilt. Ich bin vorgestellt worden, dass ich einen militärischen Hintergrund habe. Deswegen fange ich klassisch an mit der Feindlagebeurteilung in Richtung der Bedrohungslage. Es ist viel gesprochen worden von der Frage der Cyberbedrohung, also die Frage einer Bedrohung der Netze, einer Bedrohung im Cyberbereich. Von dem, worüber ich spreche, geht es über diese Cyberbedrohung hinaus, es geht in den Bereich der Kriminalität. Kriminalitätsbekämpfung in einer digitalen Welt: Was kann das sein? Ganz unterschiedliche Fälle. Das kann Betrug sein, das kann Mord sein, das kann – wie Sie hier sehen an dem Beispiel – und vielen hier in München ist der Amoklauf in München bekannt oder in guter Erinnerung, bei dem die Waffen im Darknet beschafft worden sind oder für die Berliner der Anschlag auf den Breitscheidplatz, wo es eine wesentliche Herausforderung für die Sicherheitsbehörden war, im Nachgang mit den dort beschlagnahmten Smartphones und Laptops festzustellen, gibt es noch Folgeanschläge, was ist passiert, welche Verbindungen gibt es. Oder 50 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren auch, was sich im Internet auch ganz deutlich abzeichnet, zum Beispiel die Frage Kinderpornografie. Das ist Kriminalitätsbekämpfung in einer digitalen Welt und geht über das dargestellte Cyberszenario aus der Sicht der inneren Sicherheit ein Stück weit hinaus. Ein Problem, was wir alle haben, was wir erkennen, ist: Wir nehmen diese Cyberrisiken nicht wahr. Wir haben dafür keinen eingebauten In stinkt. Andere Gefährdungen – ein Brand oder ähnliches –, dafür haben wir einen Instinkt. Das kennen wir, das wissen wir, das können wir einschätzen. Für die Risiken, die sich aus der digitalen Welt ergeben, haben wir keinen Instinkt. Umso schwieriger ist es, dann dafür auch ein Budget, Ressourcen und ähnliches zu bekommen, um diesen abstrakten Risiken, die so schwer greifbar sind, auch begegnen zu können und mit diesen umgehen zu können. Und – das wissen Sie auch alle, und wurde auch schon mehrfach angesprochen – unsere Welt wird immer digitaler und immer schneller. Das iPhone, was vielleicht viele von Ihnen in der Tasche haben, ist gerade mal zehn Jahre alt – das ist keine Zeit – und natürlich gilt diese Digitalisierung nicht nur in unserem täglichen Leben, sondern sie gilt auch für die, die auf der anderen Seite stehen, die strafrechtlich relevant unterwegs sind, die in der organisierten Kriminalität oder ähnliches aktiv sind, die genau diese digitale Welt für sich natürlich auch mit nutzen. Die bleiben nicht stehen, sondern nutzen genauso wie wir das, was sich digital immer schneller entwickelt. Um dem ein Stück weit entgegenzukommen – und jetzt komme ich dann gleich zum Highlander-Prinzip – ist die zentrale Stelle für Informationstechnik im Sicherheitsbereich geschaffen worden, letztes Jahr im Mai. Wir sind eine neue Behörde im Geschäftsbereich des Bundesinnenministeriums, aufgestellt hier in München und wir leisten einen Beitrag für die effektive Gefahrenabwehr und Strafverfolgung für die zuständigen Behörden im Bereich der inneren Sicherheit und tragen somit auch zum Schutz der Bürgerinnen und Bürger bei. Wie tun wir das? Wir – und jetzt kommt das Highlander-Prinzip – bündeln ein technisches Know-how mit Cyberbezug und unterstützen die Sicherheitsbehörden. Warum greift hier das Highlander-Prinzip? Das, was wir tun als technischer Dienstleister, indem wir forschen, entwickeln Lösungen und Methoden, bera- 51 Witthauer: Terrorismus, Cybercrime und Cyberspionage verhindern ten und unterstützen, sind Fähigkeiten und Kompetenzen, die bis jetzt in den unterschiedlichen Sicherheitsbehörden an allen Stellen unterschiedlich verortet waren. Ob das das BKA ist, ob das der BND ist, ob das die Bundespolizei ist oder ob das 16 anschließende Länderorganisationen sind – jeder hat in seinem Bereich technologische Entwicklung, technologische Forschung und jeder hat ein bisschen daran teilgenommen. Wir versuchen das Ganze zu bündeln, als zentrale Einrichtung – wie der Name sagt –, damit eben die Sicherheitsbehörden des Bundes und der Länder davon profitieren können, wenn technologische Entwicklung und Forschung an einer Stelle durchgeführt wird – Highlander-Prinzip – und wir dadurch eine stärkere Durchschlagskraft haben. Wir sind – das muss man immer noch dazu sagen – keine Beschaffungsorganisation. Die technologischen Lösungen, die wir bereitstellen, werden durch die jeweiligen Einrichtungen dann selber beschafft – da greift natürlich auch ein bisschen der Föderalismus – und wir haben auch keine Eingriffsbefugnisse. Die Eingriffsbefugnisse sind bei der Polizei, beim BKA und ähnliches geblieben. Wer sind primär unsere Kunden? Einmal in der klassischen Form natürlich die, die dem Bereich des Bundesinnenministeriums angehören, wie schon gesagt das BKA, die Bundespolizei, der Bundesverfassungsschutz und in einer unterstützenden Rolle auch mit als Kunden der Bundesnachrichtendienst, das Bundesamt für den Militärischen Abschirmdienst und das Zollkriminalamt und über diese Zentralstellenfunktion, die das BKA und der Verfassungsschutz hat, die dazugehörigen Länderorganisationen. Für die alle versuchen wir, technologische Lösungen als solches zu entwickeln und ich will Ihnen einmal versuchen, an ein paar Beispielen deutlich zu machen, was das sein kann in dieser digitalen Welt. Ich beginne mit dem, was Sie gesagt haben, Herr General: digitale Forensik. Digitale Forensik: Letztendlich in allem, was wir haben, befinden sich Daten weit über das normale Maß hinaus von dem, was wir glauben, was tatsächlich dort ist. Wenn wir heute schauen: Smart Home, vielfach haben wir intelligente Wohnungen, intelligente Häuser und unsere Wohnungen und Häuser wissen Dinge von uns oder was darin passiert ist, was wir eigentlich gar nicht glauben. Lassen Sie mich ein ganz kleines Beispiel geben für die Frage, wie digitale Forensik in diesem Beispiel Smart Home auch für die Strafverfolgung nutzbar ist. Wann ist ein Mord 52 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren passiert, zu welchem Zeitpunkt? Der Zeitpunkt kann ermittelt werden, weil [es] in diesem Haushalt es einen Staubsaugerroboter gibt – total profan. Aber in der digitalen Forensik [durch] auslesen des Datensatzes aus diesem Staubsaugerroboter kann man ermitteln, zu welchem Zeitpunkt er noch frei durch den Raum gefahren ist und zu welchem Zeitpunkt er an den Toten gestoßen ist und drum rumgefahren ist – digitale Forensik. Neue Technologien lassen eine neue Art von Spuren, Drohnen, immer stärker in unterschiedlicher Art, Technologie entwickelt sich immer weiter. Unsere Autos – und wir kommen ja später nochmal in einem Vortrag dazu – sind – sage ich mal aus unserer Sicht – ein fahrendes Smart phone. Unsere Autos wissen Dinge von uns, von denen wir gar nicht glauben, dass sie es wissen und gerade wieder für die Strafverfolgungsbehörden ist es elementar, diese Informationen in dem entsprechenden Fall nutzen zu können und zu bekommen und auch hier, das, was mal im Film als solches als Zukunftsversion war, 2004 I Robot, autonomes Fahren ist quasi heute schon Realität. Ein anderes Feld, was wir haben, ist die Tele kom mu nikationsüberwachung, in dem klassischen Sinn natürlich auch die Frage Zugang zu Gesprächen, Zugang zu Messenger-Diensten, was Strafverfolgungsbehörden als solches können müssen, immer unter der Maßgabe richterlicher Beschluss. Das ist das eine. Das sind aber 5 Prozent. [Bei] 95 Prozent unserer Smartphones sind [es] passive Spuren, die diese Smartphones erzeugen – wie alle hier im Raum, weil sie an sind. Ich habe vorhin mal auf meins geguckt und ein Großteil dessen, was hier im Raum ist, hat die Bluetooth- Funktion an, hat die WLAN-Funktion an, ein paar sind besser geschützt, ein paar sind schlechter geschützt. Damit hinterlassen Sie einfach passive Spuren, weil Sie die Dinge angeschaltet haben und im Raum sind. Vielleicht auch davon noch ein Beispiel. Wir sind in München und – einige Zeit her – [eine Schlagzeile:] Tod im Promihaus, was auch immer, das heißt. Claudia Effenbergs Nachbarin ermordet und dann die Frage, war der kleine Bruder der Täter und es ging schlichtweg einfach um die Aufklärung dieses Mordfalls. Wie kann man das tun in einer digitalen Welt? Sie sehen hier den Tatort. Der Tatort ist mit dem roten Pfeil gekennzeichnet und Sie sehen hier an 53 Witthauer: Terrorismus, Cybercrime und Cyberspionage verhindern den unterschiedlichen Farben die unterschiedliche Netzabdeckung im Telekommunikationsbereich [Darstellung auf PPT-Folie]. Also wenn Sie – sage ich mal – mit einem Smartphone unterwegs sind, dann würde sich das, wenn Sie in dem blauen Bereich unterwegs sind, auf dieses Netz aufschalten, auf diesen entsprechenden – vereinfacht gesagt – Funkmast. Wenn Sie in dem grünen Bereich unterwegs sind, dann würde sich das dahin aufschalten, weil das Smartphone immer versucht, das günstigste Netz als solches zu bekommen. Wenn Sie das als digitale Anwendung nachermitteln können, dann können Sie feststellen, dass – diese gelbe Farbe hier – durch ein Fenster durch [und] man ermitteln konnte, dass sich ein bestimmtes Smartphone zu einer ganz bestimmten Zeit in diesem Raum als solches aufgehalten hat. Das können Sie nachweisen. Das Smartphone muss überhaupt nicht telefonieren, sondern es war schlichtweg da und es hat sich angemeldet. Damit konnte man nachweisen, dass [d]er Täter zu einem Zeitpunkt, von dem er ein angebliches Alibi hatte, eben nicht dort gewesen ist, sondern sich dort aufgehalten hat und das hat letztendlich dazu geführt, dass er überführt werden konnte. 95 Prozent der Spuren im digitalen Bereich eines Smartphones haben gar nichts mit Telefonie zu tun. Big Data, auch eins unserer Geschäftsfelder, auch hier wieder eins der klassischen Beispiele, wo man sagt: Na ja, wie hat sich Technologie entwickelt? Minority Report 2002, kennen viele von Ihnen, Voraussage von entsprechenden Kriminalitätsfällen, von Straftaten und Ähnliches. Das ist heute bedingt – natürlich nicht in dem Umfang – Realität. Precops, Predictive Policing, ist Realität, ein System, das auch die bayrische Polizei in abgewandelter Form – auch andere – nutzen, um bestimmte Voraus sa gen zu treffen. Die können natürlich nicht voraussagen den Einzelfall, sondern sie können nach bestimmten Kriterien, nach Datenmengen voraussagen und sagen: In dem Bereich ist die Wahrscheinlichkeit, dass etwas passiert höher und dann kann man polizeilich entsprechend reagieren und einsetzen. Das verbessert sich immer wieder, künstliche Intelligenz als Schlagwort, der Umgang mit großen Datenmengen. Ein aktuelles Beispiel, warum der Umgang mit großen Datenmengen für die Strafverfolgungsbehörden essenziell ist und warum das so schwierig ist: Sie erinnern sich vielleicht an den Straftäter, der in Köln festgenom- 54 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren men worden ist, der einen Anschlag mit Rizin, also einen biologischen Anschlag durchführen wollte. Als man ihn festgenommen hat, hat man in den entsprechenden technischen Handys, Smartphone oder Laptop als solches, was er hatte, diese Datenmengen gefunden: 180 000 Bilder; 2 000 Videodaten; 33 000 Nachrichten; 9 000 Chats in unterschiedlichen Sprachen und 11 000 Kontakte. Jetzt ist es für die Strafverfolgungsbehörden essentiell, da einen Zugriff zu bekommen und zwar nicht nach einem Jahr, nicht nach zwei Jahren – da können Sie jemanden hinsetzen, der kann die 11 000 Kontakte Stück für Stück durchgehen –, sondern die Fragestellung ist in dem Moment des Zugriffes: Gibt es einen zweiten Täter, gibt es einen dritten Täter, was ist wo geplant, wie schnell muss ich reagieren? Das wird immer komplizierter, weil die Datenmengen immer größer werden. Auch das ist eine Aufgabe, innerhalb dieser großen Datenmengen die Dinge zu finden, die man braucht, um weiter im Sinne der Strafverfolgungsbehörden tätig zu werden. Wichtig ist, dass der Staat in diesem Bereich handlungsfähig bleiben muss. Er muss weiter in der Lage sein, im Sinne der Strafverfolgung agieren zu können. Da stoßen wir jetzt an ein Problem, dass Cybersicherheit, Sicherheit, Datensicherheit sich teilweise nur begrenzt mit dem vermeintlich vereinbaren lässt, was die Aufgabe der Strafverfolgungsbehörden ist. Auf der einen Seite finden wir Technologie ganz toll, neue Generationen von Smartphones lassen sich mit Gesichtserkennung entsperren – cool, brauche ich sonst nichts mehr machen – und auf der anderen Seite stehen wir da und sagen: Gesichtserkennung zur Strafverfolgung, die Kamera am Bahnhof, die Kamera am Flughafen als solches greift in meine persönlichen Rechte ein. Wir bewegen uns hier immer in einem Spannungsfall hin zu der Frage: Sicherheit unserer Daten und was kann und darf der Staat, um im Sinne der Kriminalitätsbekämpfung wirksam zu sein? Wenn Sie sich das anschauen, bleiben wir einfach bei dem Beispiel der Verschlüsselung, natürlich, Schutz der Privatsphäre, Schutz vor Wirtschaftsspionage, Datenschutz, Meinungsfreiheit, die Frage, dass ich einem Generalverdacht ausgesetzt bin, das hat alles mit Datensicherheit zu tun. Auf der anderen Seite Kriminalität: Schwerverbrechen bewegen sich in den dunklen Seiten des Netzes, sie verschwinden schlichtweg in der digitalen Welt, ich habe keinen Zugriff mehr auf forensische Daten – wie eben dargestellt. Das Ganze wird nur noch eine Blackbox, ich weiß nicht mehr, was damit passiert ist, ich kann keine rechtlich relevanten 55 Witthauer: Terrorismus, Cybercrime und Cyberspionage verhindern forensischen Daten auswerten, damit die Strafverfolgung und die Gerichte agieren können. Damit behindere ich die Strafverfolgung und die Sicherheitsbehörden können nur im begrenzten Maß ihre Befugnisse ausüben. Für und Wider, aber eben die Frage: Was muss der Staat können, um in dem Bereich der Kriminalitätsbekämpfung auch dort wirksam werden zu können. Technologie verändert sich rapide – das habe ich schon gesagt – und im Kern – und das ist meine Botschaft – muss auch der Staat weiterhin die Möglichkeit haben, Zugriff zu bekommen, im Rahmen seiner Aufgaben um im Bereich der Kriminalität weiterhin wirksam zu können. Ich bedanke mich für Ihre Aufmerksamkeit. 57 TISAX – Das Branchenprüfmodell zur Informationssicherheit und seine Bedeutung für Cyber Security Dr. Martin Unterberger, Verband der Automobilindustrie (VDA) Lennart Oly, ENX Association Unterberger: Schönen guten Tag nochmal, nachdem Sie jetzt dann auch zwei Gesichter sehen. Mein Name ist Martin Unterberger. Ich darf Herrn Lennart Oly von der ENX Association ebenfalls mit einem guten Morgen begrüßen. Wir haben jetzt das Thema Sicherheit, Cybersicherheit, Informationssicherheit – solche Worte sind ja gerade sehr häufig gefallen – von verschiedenen Facetten her gehört und ganz interessant, was ich natürlich wusste, dass ein Eurofighter mit 160 CPUs bestückt ist. Ich kann nur sagen, in einem modernen Fahrzeug heutzutage, da reden wir von einer größeren Anzahl von Steuergeräten (60–80 Steuergeräte) von denen jedes eine Zentraleinheit besitzt. Um das Ganze nochmal ein bisschen auf die Spitze zu treiben, Herr Witthauer meinte gerade, ein Fahrzeug ist ein Smartphone. Ich gehe noch ein ganz großes Stück weiter: Fortbewegungsmittel, egal ob sie nun eine Schiffsschraube oder vier Räder haben, ob sie die Ketten haben, sind vom Grunde her nichts anderes als rollende Computer, rollende Rechenzentren und rollende Rechenzentren deshalb, da wir es hier mit sehr, sehr inhomogenen Netzwerkstrukturen zu tun haben. Gerade wenn man über solche rollenden Rechenzentren nachdenkt und die Bussysteme, also die Kommunikationstechnik in solchen Systemen betrachtet, dann sind diese aus einer Zeit, als das Thema Cybersicherheit/Informationssicherheit eine eher untergeordnete Rolle gespielt hat. Ich denke hierbei an einen Begriff und der eine oder andere wird es sicherlich schon einmal in Fachzeitschriften gelesen haben: Eines der wesentlichen Bussysteme in Fahrzeugen ist der CAN-Bus. Der CAN-Bus 58 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren ist mittlerweile mehrere Jahrzehnte Jahre alt. Jetzt dann solche Systeme resilient zu machen, das ist eine riesige Herausforderung, wenn nicht gar unmöglich. Warum sage ich das als kleines Entree? Weil die Wertschöpfungstiefe in der Automobilindustrie über die letzten Jahrzehnte immer geringer geworden ist. Das heißt, die Automobilindustrie lebt eigentlich davon, dass die Entwicklungen nicht mehr nur im eigenen Haus durchgeführt wurden. Wo früher in der noch nicht klassischen analogen Welt Reißbretter das Mittel der Konstrukteure waren, da konnte ein Ingenieur noch zeichnen und Konstruktionen an einem Reißbrett entstehen. Seit mehr als 30 Jahren bedient man sich aber auch hierfür Computerprogrammen und eben nicht nur beim Automobilhersteller, – sondern auch bei externen Ingenieurdienstleistern. So langsam dürfte es eigentlich jedem im Auditorium bewusst werden: Wenn wir Daten/Informationen an Dritte übergeben, dann ist eine wesentliche Voraussetzung, dass diese Daten/Informationen bei einem Dritten in einer vergleichbaren – ich sage nicht in derselben –, Weise geschützt sein müssen als wenn diese in unserem Rechenzentrum gehalten werden. Im eigenen Unternehmen sind wir selber dafür verantwortlich, dass die Daten/Informationen in einer vergleichbaren Weise behandelt und prozessiert werden müssen. Das Ganze geht noch weit über die ganzen Themen der Entwicklung hinaus. Man denke einfach mal ein Stück weiter. Ein Fahrzeug, wenn es dann entwickelt ist, muss auf die Straße gebracht werden, also in einen fahrbereiten Zustand gebracht werden. Dabei geht es eben nicht nur um die Vertraulichkeit, die bei meinen Vorrednern stärker in den Vordergrund getreten war. Wenn wir an eine Produktion denken, dann denken wir sofort an Logistikketten. Das heißt, die Verfügbarkeit von Informationen muss gewährleistet sein. Also ein zweites Schutzziel, nämlich neben der Vertraulichkeit auch die Verfügbarkeit, dass Information zum richtigen Zeitpunkt am richtigen Ort vorhanden ist. Eine der Schadsoftware, die Herr Setzer vorher an die Wand geworfen hat, nämlich WannaCry, hat beim einen oder anderen Lieferanten dazu geführt, dass in der Folge die Lieferkette nahezu abgerissen ist. Jetzt stellen Sie sich mal vor, wenn auf einmal das Band stillsteht und zehntausende von Mitarbeitern nicht wissen, was sie tun sollen: vespern, ein gutes Bier trinken oder sonst was. Die Verfügbarkeit ist eine ganz wichtige Säule im Bereich der Informationssicherheit. Last but not least, wenn natürlich so ein Fahrzeug dann produziert ist, auf der Straße ist, dann ist eine Verbindung mit Smartphones usw., heute Standard. Der 59 Unterberger/Oly: TISAX Kunde möchte, dass seine Daten unverfälscht sind. Die Integrität ist ein weiteres wichtiges Schutzziel. Also die drei elementaren Schutzziele sollte man aus unserer Sicht über den Komplex Informationssicherheit stellen. Jüngste Fälle zeigen, dass in besonderem Maße die Automobil in dustrie ein prominentes Ziel von diesen – ich sage nicht nur bösen Jungs, sondern es gibt auch Mädels, die hacken können – sind. Stellvertretend ist in der Folge der eine oder andere Fall herausgegriffen. Lennart, vielleicht sagst du zwei Sätze noch dazu. Du hast die Folie, glaube ich, gemalt. Oly: Sie sehen auch in der hier gezeigten Darstellung im Wesentlichen WannaCry als Beispiel, wenn in der Presse davon geschrieben wird, dass bei einem Hersteller die Produktionsbänder angehalten worden sind. Wir haben auch in der automobilen Zulieferkette Angriffe gesehen, zum Teil erfolgreiche Angriffe, so dass die Automobilindustrie sich die Frage stellen wird, wie weit eigene Lieferfähigkeit und die Lieferfähigkeit von Lieferanten durch Cyberangriffe im Risiko steht. Ein Thema, über das wir sicherlich vor zehn Jahren in unserer Industrie so noch nicht gesprochen haben. Aus dem, was Martin Unterberger gerade schon ausgeführt hat, und auch dem, was Sie hier in unserer Präsentation an Presseveröffentlichungen zu Incidents sehen, verstehen Sie vielleicht schon, dass wir uns in einem Bereich befinden, der über ein einzelnes Unternehmen hinaus geht. Herr Generalmajor Setzer hat deutlich gemacht, es gibt in seiner Organisation das Intranet und es gibt das Internet, auf das wir alle zugreifen. Wir haben in der Automobilindustrie noch eine Zwischenwelt, die wir Extranet nennen. Hunderte von Unternehmen, die, wenn ein VW Golf gebaut wird oder ein BMW 3er vom Band läuft, Teile liefern oder direkt in die Entwicklungszusammenarbeit eingebunden sind, bewegen sich in Extranets wie dem von uns betriebenen ENX Netzwerk. Wenn wir jetzt noch diejenigen mitbetrachten, die z. B. Fotos von den Fahrzeugen machen, bevor sie auf den Markt kommen, die noch nicht in der Zeitung zu finden sein sollen, aber bereits für Prospekte oder den Vorstand benötigt werden, wenn wir all die Übersetzer, die Menschen, die sich um Dokumentation kümmern, um Druck, dann sprechen wir plötzlich von tausenden von Unternehmen, denen wir vertrauen müssen und bei denen Probleme auftauchen können. 60 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Und – auch das ist schon heute genannt worden, gerade von unserem Vorredner: Am Schluss vertrauen uns Millionen von Autofahrern und -fahrerinnen. In Zukunft müssen wir uns daran gewöhnen zu sagen: Fahrzeugnutzer und -nutzerinnen. Das ist der Raum, in dem wir uns bewegen und in dem es zu Vorfällen kommt, auch immer wieder kommen wird. Wir müssen sehen, dass wir das Risiko kleinhalten und das bedeutet, es kleinzuhalten gemeinsam über ganz viele Stufen der Zulieferkette hinweg. In der ENX Association, einem europäischen Verein, mussten wir zunächst die Anforderungen von Deutschland und Frankreich, von Spanien und UK unter einen Hut bringen und uns überlegen, wie wir in partnerschaftlicher Zusammenarbeit eine Governance über Organisationen ausüben, auf die wir keinen direkten hierarchischen Zugriff haben. Zulieferer sind unabhängig. Wir wollen als Industrie da aus dem Wettbewerb schöpfen. Das heißt aber auch, wir müssen Wege finden, der Zusammenarbeit und der Steuerung der Zusammenarbeit, die über reine hierarchische Aufforderungen hinausgehen. Das ist Gegenstand dessen, was wir mit TISAX entwickelt haben. Unterberger: Ich sagte es eingangs bereits: Die Komplexität in den ganzen Systemen wird immer größer, egal ob das nun komplexe IT-Architekturen sind, stellvertretend habe ich es für ein Fahrzeug beschrieben, unterschiedliche Bussysteme sind verbaut. Diese werden „intelligent“ durch Softwareprogramme sowie Softwareservices. Zudem sind solche Schlagworte wie Industrie 4.0, Internet of Things und Nutzung von Clouddiensten in aller Munde. So viele graue Haare habe ich nicht, aber dafür gehen dann die Haare aus – aber das ganze Thema Clouddienste beschäftigt aktuell ganze Heerscharen in den Unternehmen. Dort steht im Wesentlichen das Thema Vertraulichkeit und Integrität im Vordergrund. Das Thema Verfügbarkeit ist bei den Clouddiensten ein herausragendes Merkmal. Sie bieten uns per se redundante Systeme an. Das ganze Thema – man hat es im Vortrag von Herrn Witthauer schon einmal gehört, er hat mir da eine Steilvorlage gegeben – vernetztes Fahren, heute schon Realität, vor zehn Jahren hätte man gedacht: Na ja, also lass die Gespinnerten da mal, dann reden wir in 50 Jahren darüber. Die 50 Jahre, das hat sich innerhalb von zehn Jahren komplett gewandelt. Mobile Computing, muss ich auch nichts dazu sagen und dann komme ich ei- 61 Unterberger/Oly: TISAX gentlich zu dem, dass eben heute teilweise völlig intransparente Lieferketten vorhanden sind. Man stelle sich Folgendes vor – ich sagte das vor ein paar Minuten –, dass wir eben Daten/Informationen an Dritte übergeben. Damit ist es nicht getan und stellvertretend nehme ich da mal zwei, drei Firmen, die First-Tier-Zulieferer, ob das eine ZF in Friedrichshafen ist, ob das eine Firma Bosch ist oder ob das Continental ist. Man darf nicht so blauäugig sein zu denken, dass dann diese Daten dort bearbeitet, verarbeitet und sonst was werden und die Welt ist heile. Das heißt, wir haben dort in der dritten, vierten, fünften Reihe weitere Dienstleister, die unsere Daten/Information weiter ver- und bearbeiten. Dabei gilt es jetzt zu überlegen, wie wir eine Basis dafür schaffen können, dass unsere Informationen außerhalb unserer eigenen Unternehmen in vergleichbarer Weise geschützt werden. Dabei kann ich zuerst einmal aus einer rein rechtlichen Sicht nur mit meinem direkten Vertragspartner Absprachen treffen. Ich kann also nur prinzipiell eine IT-Prüfung bei einem Lieferanten durchführen, mit dem ich in einem direkten Vertragsverhältnis stehe und wenn er es mir zudem gestattet. Das, was ich Ihnen jetzt alles erzählt habe, das haben nicht nur wir. Wenn ich sage „wir“, dann ist es Porsche oder der Volkswagen-Konzern, sondern das hat Daimler, das hat BMW hier in München, das hat Audi, es hat jeder Hersteller. Aber dasselbe Problem hat natürlich auch jeder Zulieferer in der Kette weiter unten. Das heißt aber, wir alle reden eigentlich im Prinzip über dasselbe, nämlich über Informationssicherheit und das ist bei weitem keine Raketenwissenschaft. Deshalb hatten wir uns überlegt und wenn ich sage „wir“, dann besagter Arbeitskreis Informationssicherheit im VDA. Dieser existiert jetzt mittlerweile seit 2003. Wir haben uns eigentlich recht bald mit diesem Thema beschäftigt, uns eine Plattform zu bauen, also Plattform nicht im technischen Sinne, sondern im organisatorischen Sinne, die da sagt: Wir suchen uns sogenannte Controls, also Prüfpunkte, aus, die für uns Relevanz besitzen. Wir entwickeln ein Prüfmodell, das die Bewertung erlaubt, ob die Partnerfirma ein geeignetes und angemessenes Informationssicherheitsmanagementsystem betreibt – denn darum geht es letztendlich. Wir werden dort keinen Angriff bei einem Bosch auf seine Firewalls durchführen, sondern letztendlich geht es darum, dass man dort bewertet, wie er seine Informationssicherheit ma- 62 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren nagt – d. h. die Informationssicherheit im Unternehmen steht im Vordergrund. In der Vergangenheit sah dies so aus, dass wir heute zu einer Prüfung gekommen sind, übermorgen kam der nächste Hersteller oder auch Zulieferer und hat gesagt: Ich möchte das sehen, wie Sie das konkret machen. Also lassen Sie mich es abkürzen: Ein Riesen Aufwand zum selben Thema mit ganz, ganz wenig zusätzlichem Erkenntnisgewinn, wenn dann vier, fünf Parteien geprüft haben. Insofern haben wir und wenn ich sage „wir“, dann waren das ein paar Hersteller, und wir haben gesagt: Okay, es muss uns doch einfach gelingen, das alles unter einen Hut zu bekommen, um damit ein abgestimmtes Branchenprüfmodell zu erstellen. Ich greife dem mal vor, denn sonst würde ich heute nicht oder würden wir heute nicht hier stehen. Es ist uns natürlich gelungen, die Automobilgemeinde unter einen Hut zu bringen, denn jeder kam am Anfang zu mir an – ich leite den Arbeitskreis jetzt mittlerweile seit sechs Jahren: Wir haben da so spezifische Anforderungen, überhaupt bei uns geht es dann neben den Daten, und es gibt natürlich auch noch physische Themen, wie ein Prototyp, ein Fahrzeugprototyp, der auf der Straße steht oder bewegt wird, wo eben jetzt Sichtbares Betrachtungsgegenstand ist. Digital ist der Prototyp, wenn er konstruiert wird. Ein häufiges Argument war, dass die Hersteller einen ganz anderen Katalog hatten. Da habe ich gesagt: Verstanden, jetzt bitte Transparenz, dann legen wir alle unsere Kataloge nebeneinander. Ob Sie mir das glauben oder nicht, bei 98 Prozent hatten wir eine Überdeckung, in Nuancen gab es vielleicht in der Wortwahl Unterschiede. Zum Schluss konnten wir dann – und das war vor etwa vier Jahren –, einen Katalog präsentieren, einen Prüfkatalog vorlegen, zu dem jeder in diesem Arbeitskreis Informationssicherheit im VDA seine Zustimmung gegeben hat Es ist uns gelungen, diesen Katalog letztendlich zu verabschieden und als Grundlage des Prüfmodells zu machen. Jetzt haben wir unisono gesagt: Das Modell ist vorhanden, aber die Ressourcen haben wir alle nicht, dass wir dort Prüfungen durchführen. Dann entwickeln wir ein Brokermodell, bei dem eine zentrale Stelle die Prüfungen steuert und verwaltet. Das war die Arbeitsbezeichnung für das TISAX-Modell und TISAX steht – dann löse ich das auch auf – für Trusted Information Security Assessment Exchange. Vereinfacht gesprochen heißt das: Ein Participant oder ein Lieferant – ich sage mal Lieferant – lässt sich einmal durch einen akkreditierten Prüfdienstleister prüfen und das Ergebnis wird von allen anderen in der 63 Unterberger/Oly: TISAX Community anerkannt. Das ist ein Riesenerfolg des Modells bezüglich auftretender Aufwände und Kosten. Konkret bedeutet dies, einmal zu prüfen, dann dieses Testat hochzuhalten und zu sagen: Ja, ich betreibe hier ein vernünftiges Informationssicherheitsmanagementsystem und Ihr könnt mir getrost eure Daten/Informationen überlassen. Wir haben als Dachverband den VDA, den Verband der Automobilindustrie, und damit komme ich eigentlich zu meinem Co auf einer von mir aus gesehen linken Seite, der letztendlich mit beauftragt wurde vom VDA, dieses TISAX-Modell zu betreiben. Also er übt letztendlich die Steuerung oder Governance – wie man Neudeutsch sagt – über das Modell aus. Das ENXdieses Vertrauensnetz auf Hardwarebasis, existiert seit mehr als 20 Jahren. Da habe ich gesagt: Wenn die ENX das schon mal gemacht hat, dann sprechen wir ihn doch mal an, ob er sowas nicht jetzt mit Prüfdienstleistungen machen kann. Da wird er sicherlich nachher noch zwei Sätze dazu sagen. Die ENX als Trägergesellschaft, als Governancestelle, sie wirbt und akkreditiert Prüfdienstleister, die nach diesem Fragenkatalog, nach diesen Controls prüfen dürfen. Vereinfacht gesprochen: Der Lieferant beauftragt eine Prüfung, nachdem er sich in diesem Modell registriert hat gegen eine geringe Gebühr – dazu kann Lennart Oly Auskunft geben –, er lässt die Prüfung durchführen und zu guter Letzt wird er das Prüfergebnis hochhalten können und in der Community anerkannt bekommen. Zu guter Letzt haben wir eine Datenbank aufgebaut, auf die die Mitglieder oder die Community Zugriff hat. Darauf können die entsprechenden Mitarbeiter zugreifen und bei der nächsten Vergabe validieren, ob z. B. die Firma Bosch ein geeignetes Zertifikat für einen bestimmten Standort besitzt oder ob noch Erweiterungen/Ergänzungen vorgenommen werden müssen. So, das war in doch recht ausführlichen Worten dargestellt, was sich methodisch hinter TISAX verbirgt. Len nart Oly wird jetzt in den nächsten Minuten das Ganze aus einer Perspektive darlegen, wie dies im täglichen TISAX-Umfeld aussieht. Lennart, deine Bühne. Oly: Martin, Du hast ja auch ein bisschen darüber referiert, was in der Folge auf den Einzelnen als Geprüften zukommt, oder wie er sich in dem Prozess verhält. Ich glaube, wesentlich ist wirklich deutlich zu machen, was hier auch Führung bedeutet. Wir müssen in irgendeiner Weise eine Governance über ein solches Modell ausüben, damit am Schluss einer Prüfung dann auch alle Beteiligten sich gegenseitig vertrauen. Wir müs- 64 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren sen hier aber zur Selbstständigkeit auch den Partnerfirmen verhelfen und zur Eigenverantwortlichkeit anhalten, denn nur diese kann das bewirken. Jedes Unternehmen, das Teil der Automobilindustrie ist, wird von dem Einen oder Anderen auf Informationssicherheit angesprochen und gebeten, sich einer entsprechenden Prüfung zu unterziehen. Er kommt dann zur ENX Assoziation, die als Vertrauensanker für die Automobilindustrie agiert, registriert sich, unterzieht sich damit auch einem gewissen Regelwerk – natürlich erstmal als Teilnehmer und als Unternehmen –, das dann später ein Prüfergebnis zur Verfügung stellt und wählt sich dann einen Prüfdienstleister aus. Auch das ist wesentlich und ebenso eine wesentliche Änderung gegenüber früherer Vorgehensweise, wo vielleicht der Kunde gesagt hat: Bei uns prüft die Firma XY. Das mag ein TÜV gewesen sein, das mag eine Wirtschaftsprüfungsorganisation gewesen sein, alles renommierte schlagkräftige Prüfdienstleister, aber irgendwie immer vom Kunden beauftragt und immer dann auch irgendwie für den einzelnen Zulieferer mit dem versehen, dass man doch nicht so richtig weiß, warum man den Prüfer in die eigene Firma lässt und was man ihm zeigen kann. Das haben wir in diesem Modell gemeinsam geändert. Automobilindustrie ist stets wettbewerblich getrieben. Das heißt, wir wollen eine Vielzahl von Prüfdienstleistern, wir wollen, dass die Qualitätskriterien erfüllt werden. Das stellen wir als ENX Assoziation einem Akkreditierungsprozess sicher. Dann soll aber jedes einzelne Unternehmen (gemeint ist ein potenzieller Dienstleister) doch bitte selbst in der Lage sein, sich auszusuchen, beauftrage ich die PwC, beauftrage ich KPMG, Ernst & Young, den TÜV Süd, den TÜV Nord, den TÜV Rheinland, etc. All diese spielen hier – und einige andere – mit und ich kann diese dann einem Preiswettbewerb unterziehen. Aber vor allen Dingen bin ich dann auch sicher, dass das Prüfprocedere dann doch unter meiner Kontrolle verläuft. Denn am Schluss soll ich nicht nur ein Ergebnis für mich haben, ich soll es dann auch mit vielen anderen teilen. Ich soll es mit Porsche teilen, ich soll es mit Volkswagen teilen, mit BMW, mit Daimler und dann auch sicherlich einigen anderen außerhalb Deutschlands. Das ist eine Offenheit, die eben persönliches Committent der Einzelnen auch erfordert, die dann die Transparenz über die gesamte Lieferkette für möglichst viele von uns eben auch ermöglichen soll. So gehen dann immer mehr Unternehmen in diesen Prozess, erzielen Ergebnisse, werden geprüft. Wenn es ein schlechtes Ergebnis ist, geht man wahrscheinlich zurück ins stille Kämmerlein und versucht das erstmal 65 Unterberger/Oly: TISAX nicht mit dem Kunden zu teilen, oder wenn es notwendig ist, dann tut man es, aber irgendwann ist man gefordert, ein gutes Ergebnis zu haben und auf das arbeitet man dann eben auch im Unternehmen hin und so versuchen wir für die gesamte deutsche Automobilindustrie, für die europäische Automobilindustrie und damit auch für einen Großteil der Gesamtindustrie und sicherlich auch für Unternehmen, die sehr nah an dem Verteidigungssektor, an der Rüstungsindustrie sind, das Sicherheitsniveau insgesamt zu heben. Wir haben ja eingangs schon gelernt, wie viel vom Menschen abhängt –, wie ich hier auch agieren muss in eine Welt, in der ich nicht mehr allein bin, nicht mehr allein in meinem Unternehmensnetzwerk und nicht mehr allein in den öffentlichen Netzwerken und im Ergebnis nach – jetzt können wir sagen – seit exakt zwei Jahren haben wir bereits 1 500 Unternehmen, die sich für eine solche Prüfung registriert haben. Wir haben auch schon über 1 000–1 250 mögen es jetzt sein – geprüfte Standorte, Produktionsstandorte, Entwicklungsstandorte. Jede dieser Prüfung hat eine dreijährige Gültigkeit, damit es auch irgendwie wirtschaftlich für die einzelnen Beteiligten darstellbar ist. Herr von Kirchbach hat es schon gesagt, am Schluss kommt es drauf an, dass man auch dann tatsächlich in der Lage ist, zu handeln und für unsere Zulieferer kommt es auch darauf an, nicht nur sich in Audits zu ergehen – so wichtig die sein mögen –, sondern am Schluss auch dann zu handeln, zu produzieren, zu entwickeln und unseren Herstellern Produkte zu liefern. Also nicht eine jährlich wiederkehrende Prüfung, sondern das hat dann auch mal für drei Jahre Bestand. Acht Prüfdienstleister sind es im Augenblick. Es steht zu erwarten, dass sich die Zahl nächstes Jahr fast verdoppelt und das Ganze ist natürlich nicht auf Deutschland beschränkt, so wie unsere Industrie nicht auf Deutschland beschränkt ist. Diese Prüfungen finden in aller Herren Länder, 38 sind es inzwischen, statt. Unterberger: Um das zu ergänzen: Der jüngste Prüfkandidat, vor zwei Wochen dazugekommen, ist ein Zulieferer aus Australien, den wir in das System mit einschleusen. Da bin ich selbst mal gespannt, welcher akkreditiere Prüfdienstleister Prüfkapazität in Australien zur Verfügung stellen wird. 66 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Oly: Zusammenfassend kann man sagen: Sie benötigen, um ein solches Modell zu betreiben, wahrscheinlich tatsächlich so etwas wie einen Vertrauensanker, der Komplexität herausnimmt. Sie wollen nicht, dass alle Automobilhersteller jeder für sich auf die Zulieferer zugehen. Sie wollen das Ganze aber auch an einer Stelle verankern, wo der Zulieferer sich aufgehoben fühlt, der Automobilhersteller sich aufgehoben fühlt. Alle, die in der Branche zusammenarbeiten. Das ist bei uns dann die ENX Association. Sie erleichtern damit die Prüfung ganzer Lieferketten und nicht nur einzelner Partner. Herr Unterberger hat es schon gesagt, die Prüfungen werden über den einzelnen Kunden hinaus anerkannt, die einzelnen Beteiligten haben so mehr Ressourcen zur Verfügung, um sich auf das Schließen von Sicherheitslücken bzw. die Kernprozesse ihrer Tätigkeit zu konzentrieren. Dabei lässt sich auch feststellen, dass die Grenzen der Automobilindustrie sehr fließend sind, in andere Branchen hinein. Die Automobilindustrie ist wichtiger Kunde für Unternehmen, die sich selbst ganz anders verorten, mag es der Rohstoffbereich sein, Schwingungs- und Dichtungstechnik, Produktionstechnik. All das ist im Kern auch in irgendeiner Weise automobil. Eine branchenübergreifende Nutzung und branchenübergreifende Anerkennung ist von unserer Seite sicherlich möglich, ein Angebot. Wenn ich nochmal zurückgehe auf das, was wir vor 20 Jahren in der ENX Association angefangen haben, nämlich für die Automobilindustrie ein gemeinsames Kommunikationsnetzwerk aufzubauen, wenn Sie so wollen, ein privates Internet, abgesichert und getrennt vom öffentlichen Internet, dann sehen wir, wie gut es funktioniert, dies in Teilbereichen in andere Branchen hineinzutragen. Dieses ENX Netzwerk war schon immer irgendwie unmodern, weil schon vor 20 Jahren die Menschen gesagt haben: Irgendwann kommt doch das öffentliche Internet und dann leben wir alle nur noch darin und brauchen dann keine davon getrennten Mechanismen mehr. Heute – mit den Verfügbarkeitsrisiken, die Herr Unterberger angesprochen hat, mit den allgemeinen Cyberrisiken – kann das nochmals neu bewertet werden. Für sich bewertet hat dies z. B. die französische Wehrbeschaffung unter dem französischen Verteidigungsministerium. Die Delegation générale de l’Armement hat das ENX Netzwerk für die eigene Kommunikation mit privaten Partnern entdeckt. 67 Unterberger/Oly: TISAX Die Aussage war – wir haben sie heute im Raum heute erfreulicherweise auch schon gehört: Wir müssen nicht nochmal erfinden, was schon erfunden worden ist. Und wenn es für eine bestimmte Branche tauglich und nach allgemeinen Kriterien als sicher oder sicher genug zu betrachten ist, dann kann das auch anwenden wer selbst aus einem völlig anderen Bereich kommt. In diesem Sinne können wir Sie nur ermuntern, auf uns zuzukommen und zu schauen, was wir lernen können und welche Partner heute schon betroffen sind. Wir wollen verstehen, welche Anforderungen Sie an Ihre privaten Partner stellen und wie diese dann auch in weiteren Entwicklungsstufen bei TISAX wieder berücksichtigt werden können. Wir freuen uns auf den Dialog. 69 Panel Terrorismus, Cybercrime und Cyberspionage verhindern Uli Lechte, MdB, Mitglied des Auswärtigen Ausschusses und Vorsitzender des Unterausschusses der Vereinten Nationen, Internationale Organisationen und Globalisierung des Deutschen Bundestages Bernd Schlömer, MdA, Sprecher für Digitalisierung, Datenschutz und Kommunikationstechnologie des Berliner Abgeordnetenhauses Generalmajor Jürgen Jakob Setzer, Stellvertretender Inspekteur im Kommando Cyber und Informationsraum sowie Chief Information Security Officer der Bundeswehr Hans-Christian Witthauer, Vizepräsident Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITIS) Philipp S. Krüger, Managing Director des „Digital Hub Cybersecurity“ beim Fraunhofer-Institut für Sichere Informationstechnologie SIT, Non-Resident Fellow am Institut für Sicherheitspolitik an der Universität Kiel (ISPK) Patrick O’Keeffe, Non-Resident Fellow am Institut für Sicherheitspolitik an der Universität Kiel (ISPK) in der Abteilung Strategische Entwicklung in Asien-Pazifik Dr. Martin Unterberger, Verband der Automobilindustrie (VDA) Lennart Oly, ENX Association Moderation: Oberst d.R. Prof. Dr. Eberhard Grein, Leiter DialogForum Sicherheitspolitik Grein: Ich darf Sie ganz herzlich aus der Mittagspause zurück begrüßen. Ich hoffe, Sie konnten auch den Dialog miteinander führen. Wir gehen jetzt in das Panel mit einem Thema, das uns nicht fremd ist: Terrorismus, Cybercrime, Cyberspionage verhindern. Somit sind wir eigentlich schon beim Thema und ich fange mal bei Herrn Lechte an. Herr Lechte, Sie sagen, Cyberbedrohungen sind meistens grenzüberschreitend. Cyberan- 70 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren griffe erfolgen über Server in mehreren Ländern, sodass die Identifikation des Täters sehr schwierig zu verifizieren ist. Wir haben darüber vorhin auch etwas gehört von General Setzer. Deshalb ist Kooperation wichtig, internationale Kooperation, und wenn ich Sie jetzt frage, was müsste man eigentlich tun, da Sie ja in den internationalen Medien unterwegs sind, um dieses Phänomen dessen, was wir jetzt hier gehört haben, einzufangen und hier einen gemeinsamen Nenner zu ermöglichen, und: was würden wir am besten wie angehen? Lechte: Zunächst mal herzlichen Dank, dass ich heute wieder hier sein darf. Ich hatte ja letztes Jahr schon das Vergnügen, zum ersten Mal als Bundestagsabgeordneter bei Ihnen meine erste außenpolitische Veranstaltung zu haben. Letztes Jahr haben wir darüber gesprochen, dass wir mehr Geld für die Bundeswehr brauchen und Sie werden festgestellt haben, dass es zumindest in der politischen Diskussion in diesem Jahr und auch bei den Haushaltsaufstellungen so weit gekommen ist, dass man das als ein wichtigeres Thema angesehen hat. Auch die Sache, die vorhin der Generalinspekteur a.D. angesprochen hat mit den neuen Brigaden, wo man ja 5 Milliarden veranschlagen darf, die werden jetzt dann in den nächsten Jahren dringend ausgerüstet werden und da braucht man Geld dafür. Jetzt zu Ihrer Frage, was die Sache angeht mit der Cyberkriminalität. Wir haben schon relativ frühzeitig begonnen, mit Cyberkriminalität international was zu tun, also mit dem Aufkeimen des Internets, wo man am Anfang ja immer noch dachte, um Gottes willen, das wird vielleicht gar nicht überleben, weiß man aber heutzutage, wie stark vernetzt die Welt durch die Digitalisierung geworden ist. Es gab dann im Jahre 2001 schon eine Budapester Konvention, die von den europäischen Staaten und verschiedenen anderen Staaten wie zum Beispiel USA, Südafrika, Japan – um nur einige zu nennen – entsprechend unterzeichnet worden ist, wo es genau um diese Internationalisierung dieser Fragen ging. Das muss jetzt weiter fortgeführt werden. Es gibt Forderungen nach einem sogenannten Digitalwaffensperrvertrag, dass man also dazu kommt, auch die digitalen Waffen als klare Sache anzuerkennen. Man sieht, dass das Verteidigungsministerium 2017 die Abteilung von Herrn General Setzer und das so gesehen wird. Was ich aber in der politischen Bewertung sagen muss, ist, dass man bemerken darf, auch nach den Vorträgen heute, dass wir wieder dabei sind, die 71 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Verantwortung auf mehrere Ministerien zu verteilen, jeder macht sein eigenes Süppchen und das wird im Nachhinein vermutlich nicht der richtige Weg sein. Wir müssen dringend dafür sorgen, dass wir die Kräfte dort bündeln und da gibt es ja dann die Ansätze mit den oben drüber schwirrenden Vereinigungen, und das muss man entsprechend politisch ausgestalten, damit dort auch der richtige Weg gegangen wird, es nämlich gemeinsam zu erkennen. Die Frage allerdings, die ganz, ganz wichtig ist – da wird mit Sicherheit Herr Schlömer auch noch darauf eingehen –, ist, dass wir unsere Software entsprechend sicher gestalten für jeden, also dass man noch nicht mal in die Versuchung kommt, Hintertürchen einzubauen, damit dann die oberen Regierungsstellen usw. Zugang darauf haben. Man muss es so sicher gestalten, dass überhaupt keine digitalen Angriffe möglich sind. Grein: Ich gehe jetzt mal in die operative Ebene rein. Jetzt sagen Sie Herr Schlömer, wir leben aber leider in einer Zeit wachsender Cyberbedrohungen, auf die wir schlecht vorbereitet sind, und das haben wir auch schon gehört. Aber vom Anstieg der Cyberkriminalität bis hin zu immer ausgefeilteren Cyberkriegsführungsfähigkeiten, das ist eine neue Terminologie in dem Gesamtkontext inklusive der hybriden Formen. Und das von Herrn Lechte war eben eine internationale Sichtweise. Sie haben einen großen Fundus an Wissen, an Informationen, aus denen Sie schöpfen können. Wie, sagen Sie, entwickelt sich das oder wo müssen wir die linke und die rechte Grenze sehen, um die Dinge einzuhegen? Schlömer: Ich versuche einmal in meinen Statement einen Rahmen aufzuzeigen, der für die weitere Diskussion hilfreich sein könnte. Man muss auf der einen Seite sehen, dass die Ausprägung der deutschen Cybersicherheitsarchitektur, wie wir sie heute in den Folien und Beiträgen gesehen haben, organisatorisch und strukturell bereits gut aufgestellt ist. Mein Vorredner hat zu Recht gesagt, dass wir aufgrund der grenzenlosen Natur der Digitalisierung überlegen müssen, wie wir Kollaborationen und Kooperationen der Behörden noch vertiefen können. Als Politiker darf ich sagen, dass das Nationale Cyber-Ab wehr zentrum in dieser Form noch immer nicht flüssig arbeitet. Zwar gibt es bereits eine Informationsstelle, jedoch kann die Behördenarbeit dort noch wesentlich intensiviert werden. Insofern ist die Bewertung im Beitrag 72 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren meines Vorredners sehr richtig. Hier müssen wir überlegen, wie wir noch stärker auch behördenübergreifend agieren können und wir müssen überlegen, wie wir mit Schwachstellen, insbesondere Softwareschwächen, insgesamt besser umgehen. Es ist leider so, dass natürlich von der Verwaltungsseite, von Seiten der Behörden, Softwareschwächen oder -lücken nicht zuverlässig geschlossen werden können. Wir müssen uns vielmehr überlegen, wie wir insgesamt einen staatlichen Regulierungs- und Rechtsrahmen bilden können, der ein Schwachstellenmanagement enthält. Das bedeutet: Wie gehen wir eigentlich mit Lücken und Schwächen in der Software um, welches Management ist vorgesehen von Bundeswehr und des für Cybersicherheitsfragen zuständigen Bundesministerium für das Innere, für Bau und für Heimat? Wie schaffen wir einen verbindlichen Rechtsrahmen? Wie können wir dafür Sorge tragen, dass wir insbesondere bei Staatsanwaltschaften im Justizwesen eine Fähigkeitsentwicklung betreiben, damit der Begegnung und der Bekämpfung von Cyberkriminalität auch fachlich viel besser Rechnung getragen werden kann? Wir müssen uns darüber Gedanken machen, wie wir – und das hatten Sie in Ihrem Beitrag auch angeführt – beispielsweise die Übermittlung von digitalen Beweismitteln sicher gestalten können. Da ist noch sehr viel Arbeit zu leisten. Wir müssen uns überlegen, wie wir mit staatlichem Hacking umgehen. Als ehemaliger Pirat erlaube ich mir die Nutzung dieses Terminus. Auch welche Bereiche sollte sich staatliches Hacking im Kontext der äußeren Sicherheit beschränken? Für den Schutz von Kameradinnen und Kameraden, sowie Soldatinnen und Soldaten in der Bundeswehr, ist es, denke ich, essentiell. Im innerstaatlichen Gebrauch müssen wir jedoch unter der Beachtung von Bürger- und Grundrechten genau überlegen, wie weit darf es gehen und wo aufgrund von Persönlichkeitsrechten Grenzen zu respektieren sind. Hier ist der Gesetzgeber, der Bund gefragt, aber ich glaube auch, dass durch die Entwicklung und den Aufbau auch eines Organisationsbereichs ‚Cyberinformationsraum‘ die Bundeswehr einen wesentlichen Meilenstein erreicht hat. Ich war damals selber am Aufbaustab Cyberinforaum beteiligt, deswegen erlaube ich mir eine Stellungnahme dazu. Aufgaben sind effektiv gebündelt und konzentriert worden und ich glaube allgemein, dass in der Bundeswehr sehr viele und sehr gute Kräfte eingesetzt werden. Wir sollten daher optimistisch in die Zukunft schauen. 73 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Die FDP ist eine Partei, die optimistisch in die Zukunft schaut und überzeugt ist, dass gute Voraussetzungen bestehen um zukünftige Heraus for derungen zu meistern. Jetzt gilt es die Dinge mit Leben zu füllen, behördenübergreifend zu denken und einen zuverlässigen Rechts- und Regulierungsrahmen zu bilden auf einer stabilen gesetzlichen Grundlage. Dies wird uns helfen, Gefahren der Cyberkriminalität und des Terrorismus genauso effektiv und wirkungsvoll zu begegnen wie Angriffen oder der missbräuchlichen Nutzung unserer kritischen Infrastrukturen. Das vielleicht als kurzes Statement. Grein: Ich greife nochmal etwas auf, was Herr Lechte eben in seinem Beitrag gesagt hat. Er hat ja von diesem doch nicht so ganz geordneten Haus, sage ich mal, im Bereich Cyber gesprochen, was noch erfolgen soll. Wir haben natürlich schon eine Folie gesehen, wo es auch in diese Richtung geht und hier frage ich jetzt den Fachmann Herrn Witthauer als Vizepräsidenten der Zentralen Stelle für Informationstechnik im Sicherheitsbereich. Sie sagen ja auch, dass die technischen Fähigkeiten vor allem kontinuierlich weiterentwickelt werden müssen. Der einzelnen Organisationen, natürlich dann im Verbund, und wo der Konnex untereinander besteht und dann im Fokus zu haben, dass eben der Wettlauf mit der Cyberkriminalität gewonnen wird und dass wir dort nicht zurückfallen dürfen. Sie haben uns vorhin in ihrem Vortrag schon sehr eindrucksvoll berichtet, was tun Sie, um alle Beteiligten zusammenzubinden, die hier miteinander mit einem Ziel und der gleichen Richtung unterwegs sind. Witthauer: Da gibt es ganz viele Optionen und Möglichkeiten, die wir tun. Zum einen – und das hat General Setzer ja auch schon dargestellt – wir haben eine Kooperation in den Bereich des BMVg hinein, mit dem CODE Institut an der Bundeswehruniversität. Wir werden perspektivisch auf dem Universitätsgelände sogar gemeinsam ein Gebäude bauen und dort dann in dem Bereich der Forschung gemeinsam tätig sein. Wir haben natürlich unsere Netzwerke in Gänze zu allen Akteuren ausgedehnt. Uns gibt es natürlich mal knapp eineinhalb Jahre – das muss noch wachsen. Aber das, was Sie auch gesagt haben, die Frage ressourcenübergreifend das Ganze zu verbinden, das ist eben diese zentrale Aufgabe, diese zentrale Funktion, die Player, die im Bereich der inneren Si- 74 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren cherheit unterwegs sind, auch in den technischen Gegebenheiten zu befähigen und das sind eben nicht nur die Bundeseinrichtungen, sondern auch die Landeseinrichtungen. Wir machen das in Form eines Jahresarbeitsprogrammes. Das ist letztendlich unsere Aufgabe, beschreibt unsere Aufgaben und da stimmen wir uns tatsächlich mit allen Bedarfsträgern ab, um eben diesen Synergieeffekt und die Vernetzung zu erreichen. Grein: Danke. Wir haben hier zwei Herren und vielleicht können die aus ihren unterschiedlichen Blickwinkeln vom Verband der Automobilindustrie uns hierzu auch etwas sagen. Sie haben das vorhin schon angesprochen in dem Vortrag und was das dann ganz en detail heißt, Sie haben nämlich vom Unsicherheitsfaktor – das kam übrigens ja auch nicht nur bei Ihnen, sondern auch bei den anderen Vorträgen – des Menschen gesprochen, der manchmal recht arglos mit den klassifizierten Informationen umgeht. Das geht bei E-Mails los und das endet vielleicht auch noch ganz woanders. Können Sie hier vielleicht nochmal an praktischen Beispielen sagen, was zu beachten ist? Mit Ihnen haben wir ja heute zwei Vertreter der Schlüsselindustrie Automobil bei uns, die auch verwundbar ist. Das könnte auch zu Wirtschaftskrieg und allem anderen benutzt werden. Deshalb kommt dem auch eine so große Bedeutung zu. Sie können sicherlich etwas dazu sagen, was beachtet werden soll oder was manchmal vielleicht auch nicht beachtet wird. Unterberger: Wenn ich das Ganze mal ein bisschen reflektiere, unsere Runde auch hier, dann ist man sehr stark geneigt, zu stark in Technik zu denken. Wenn wir über Informationssicherheit und Cyber Security reden und der Kollege Schlömer, wir beiden waren in dem Aufbaustab, aus dem letztendlich diese Organisation (CIT) und (CIR) entstanden ist. Da war immer das Ansinnen, die Technik – ich nenne mal eine Prozentzahl – macht ungefähr 30 Prozent eines Sicherheitsmanagementsystems aus. Jetzt komme ich eben auf Ihre Fragestellung, Herr Prof. Grein. Viel wichtiger ist an der Stelle die Organisation, die es uns erlaubt, eben auf solche – ich nenne es mal – Bedrohungen reagieren zu können zum einen, und zum anderen etablierte Prozesse. Diese haben jetzt zuerst mal mit Technik ganz wenig zu tun. 75 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Vielleicht das auch noch: 10, 12 Jahre lang habe ich bei Porsche den Bereich Informationssicherheit aufgebaut, nämlich genau in dem Duktus nämlich, Technik muss sein, aber sie darf nicht überbewertet werden, sondern die Prozesse, die Organisation und damit die Menschen an sich. Herr General Setzer sagte das vorher in seinem Vortrag, 80 Prozent macht der Mensch aus. Ich gehe da sogar fast noch einen Schritt weiter. Man muss sich bloß einfach mal anschauen: Bei befreundeten Unternehmen in unserer Industrie haben sie eine kleine Aufmerksamkeitskampagne gemacht und eine Mail des CEOs verschickt so nach dem Motto: Kommt von ganz oben. Dort haben über 95 Prozent der Mitarbeiter – und das war kein kleines Unternehmen – gedacht: Oh, klasse Geschichte. Im Übrigen gab es noch einen Wettbewerb, das neues iPhone zu gewinnen. Deshalb haben die Mitarbeiter auf einen Link in der E-Mail geklickt und hätten sich im Ernstfall Schadcode eingefangen. Deshalb eigentlich mein Plädoyer an der Stelle: Technik ist für mich an der Stelle Mittel zum Zweck, aber die Organisation und die Prozesse und Sicherheitsprozesse drum he rum sind wesentlich. Oly: Ja, das kann man im Wesentlichen unterstreichen. Ich möchte Herrn Prof. Grein vielleicht nur an einer Stelle zumindest ein Stück weit widersprechen: Ich möchte es nicht so verstanden wissen, als sei der Mensch im Wesentlichen der Unsicherheitsfaktor in einer ansonsten sicheren, weil verschlüsselten Welt. Es ist der Mensch, der in dieser Welt arbeitet und für den wir die Sicherheit lebbar machen müssen. Für den sind die Prozesse da und um den drehen sich dann hoffentlich auch die Prozesse und nicht um die Bedienung von Technologie. Wenn ich mir Sicherheitstechnologie betrachte und insbesondere, wenn wir von Verschlüsselung und von Zertifikaten sprechen, da kann man sich schon fragen, arbeitet die Technik für uns oder wir für die Technik? Ich habe – nicht als Experte, sondern als Geschäftsführer – da gerade eine E-Mail des Bundeszentralamtes für Steuern auf dem Tisch, die mir sagt, dass bisher verwendete Signaturverfahren „RSASSA-PKCS1 in der Version 1.5“ werde nun durch „RSASSA-PSS“ abgelöst. Also: Der Mensch ist ein Faktor. Der Mensch kann wesentlich dazu beitragen, dass Dinge sicher sind, er kann auch ein Stück weit ein Ge- 76 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren fühl dafür entwickeln. Wir sollten ihn nicht nur betrachten als den Unsicherheitsfaktor in einer ansonsten durchdesignten, schönen Welt. Wir müssen sehen, dass wir den Menschen in dem Mittelpunkt stellen und ihn mit möglichst sinnvollen Sicherheitsmitteln ausstatten und das heißt für unsere Unternehmen auch zunehmend, wir müssen damit umgehen, dass Menschen auch im Privatleben mit Technik zu tun haben. Man bringt das Smartphone mit in die Firma oder man will in der Firma ein solches so vorfinden, dass man damit arbeiten kann. Lebenswelt und Arbeitswelt vermischen sich. Das sind Herausforderungen, mit denen wir in jedem einzelnen Unternehmen und in jeder einzelnen Behörde umgehen müssen. Wie bringen wir das so auf die Reihe, dass diejenigen, die technikaffin sind und gerne vielleicht auch nochmal eine Viertelstunde lang in ihrem Privatbereich an die Firma oder an die Organisation denken, auch arbeitsfähig gemacht werden. Grein: Herr Oly, Sie liefern da ein Stichwort. Es ist natürlich nicht nur der Mensch der Unsicherheitsfaktor, das ist schon klar, und wenn wir es mal auf den Punkt bringen, gibt es auch diese Cyberangriffe. Wenn Sie die Berichte der Landesämter für Verfassungsschutz und des Bundesamtes für Verfassungsschutzes lesen und auswerten, sind natürlich immer bestimmte Akteure unterwegs, die vielleicht auch in der Industrie unterwegs sein können. Sind das immer die üblichen Verdächtigen oder auch andere? Es gibt ebenso solche aus dem nordafrikanischen Raum, es gibt solche aus dem Irak und dem Iran oder woanders her. Wie ist das nun eigentlich? Ich weiß nicht, wer hier dazu vielleicht profund etwas sagen kann, denn es sind sicherlich unterschiedliche Akteure. Krüger: Ich weiß nicht, wie profund ich jetzt sein kann, aber ich glaube, Sie haben recht, es gibt eine Proliferation, eine Verbreitung von Cyberwaffen und -fähigkeiten hin zu kleinen, mittleren Staaten und kriminellen Akteuren. Das haben wir beobachtet über die letzten Jahre hinweg. Wir sehen, dass diese Akteure heute Cyberoperationen machen können, durchführen können, die vorher exklusiv die Fähigkeit von Playern wie der NSA waren oder Israel. Das ist ein Problem. Das führt mich auch zu meinem Kommentar zu den beiden Vorrednern, dem ich hochachtungsvoll widersprechen möchte. Ich glaube, Tech- 77 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern nologie ist der entscheidende Faktor. Ich glaube, vor ein paar Jahren ist das, was Sie sagen, richtig, dass wir organisatorisch mit dem Element Mensch – wir nennen das in der Computer Science Wetware, also Hardware, Software, Wetware, die Menschen –, dass wir uns darauf fokussieren müssen. Ich glaube, das ist in der sogenannten fünften Generation der Cyber Security, in der wir uns jetzt bewegen, nicht mehr der Fall. Ich glaube, es wäre ein Fehler für Deutschland, wenn wir uns nach wie vor nur auf das Organisatorische fokussieren. Ich glaube, andere Ökosysteme wie Israel, USA, aber auch Asien – wir waren gerade in Japan – schauen sehr stark darauf, was gerade passiert in der Technik und wenn wir uns einmal vor Augen führen, was ist bisher passiert. In den 80ern haben wir Antivirustechnologie entwickelt, in den 90ern Firewall-Technologie, 2000 Application-Protection-Technologie, 2010 ging es dann los Sandboxing-Technologie und wo sind wir jetzt 2018? Meiner Meinung nach sind wir im Bereich der sogenannten Chip-Level- Cyber-Security, die besonders notwendig ist, weil wir zurzeit diese Multivektor State Sponsored Large Scale Attacks haben. Grein: Können Sie das vielleicht noch ein bisschen erläutern, was sich dahinter verbirgt? Krüger: Also was sich dahinter verbirgt, ist, dass wir eine Evolution von nicht sehr tiefgehenden Attacken sehen, die am Anfang und vor mehreren Jahrzehnten und jetzt vor mehreren Jahren nicht sehr gezielt waren und dann hin zu sehr gezielten und sehr tiefgehenden Cyberoperationen. Also man könnte das auch eine Smart Bomb nennen. So langsam befinden wir uns im Bereich Cyber Operations bei den Smart Bombs, und das ist ein Problem für eine Cybermittelmacht wie Deutschland, wenn wir keine technischen Antworten haben. In den USA könnte man sagen, wir haben Router und Switches und Chips, die wir selber produzieren, Intel, ARM, Cisco, aber in Deutschland haben wir das nicht. Wir müssen das einkaufen. Genauso haben wir in Deutschland keine Operating Systems, die wir hier produzieren. Das machen die Amerikaner. Genauso haben wir zum Teil nicht wie die Israelis tiefe Technologie, die aus dem militärischen und Geheimdienstsektor kommt, aus den Drohnen etc. Das haben wir auch nicht bisher. Wir bauen jetzt diese Fähigkeiten auf, was sehr gut ist, mit dem Kommando CIR, mit ZITIS, jetzt 78 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren mit AIC, aber das dauert noch ein bisschen und ich glaube, wir müssen trotzdem schauen, dass wir uns technologisch gut aufstellen in der Zwischenzeit. Grein: Jetzt komme ich auf General Setzer, der hat sich auch schon das Mikrofon genommen, denn ich muss, glaube ich, gar nicht nachfragen und kann ihm gleich so das Wort erteilen, dass Sie darauf auch noch mit antworten. Setzer: Wir diskutieren ja augenblicklich auf sehr vielen unterschiedlichen Ebenen und ich möchte das etwas voneinander trennen. Zunächst einmal die mannigfaltige Ebene der Bedrohung. Im Bereich der fortgeschrittenen, andauernden Bedrohungen, engl. Advanced Persistent Threats, haben Staaten und Organisationen ein Geschäftsmodell entwickelt, um tatsächlich unsere Gesellschaft in ihren ganzen Bereichen angreifen zu können. Nun stellt sich die Frage der angemessenen Reaktion, denn das Besondere daran ist; Sie können einzelne Player nicht mehr voneinander trennen, denn es gibt staatliche Organisationen, die sich organisierter Kriminalität bedienen. Und umgekehrt gibt es Staaten, die es der organisierten Kriminalität erlauben, von ihrem Staatsgebiet aus zu operieren. Das zweite ist: Was können wir heute machen und was machen wir schon? Wir setzen bereits heute Technik ein, um bekannte Angriffe herauszufiltern und Anomalien im Netz festzustellen. Hierzu bedienen wir uns künstlicher Intelligenz (KI). Das heißt, wir nutzen KI um Datenauszüge zu analysieren, zu bewerten und festzustellen, ob Muster vorliegen, die darauf hindeuten, dass wir es möglicherweise mit einem bevorstehenden Angriff zu tun haben. Wie bereits gesagt, Preventive Policing nutzen wir auch im Hinblick auf Angriffsfrüherkennung. Aber das Ganze funktioniert nur, wenn wir die Organisation mitnehmen und deswegen sage ich, man sollte nicht die Waage ausschlagen lassen. Prozesse versus Technik oder Technik versus Prozesse. Beides bedingt einander denn, wenn ich die Technik habe, aber die Prozesse nicht, dann habe ich Alarm, aber keine Mechanismen, um dem Alarm begegnen zu können. Das ist ein großes Feld. Ich als CISO Bundeswehr kann Ihnen sagen, dass dies ein stetiger Lernprozess ist und wir uns daran gewöhnen müssen, nie fertig zu sein. 79 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Sie finden keine fehlerlosen Programme. Wenn Sie ein fehlerbehaftetes Programm haben, ist es egal, ob Sie das Backdoor nennen oder First Day Exploit, Second Day Exploit oder Zero Day Exploit. Dann haben Sie etwas drin, was genutzt werden kann und damit müssen wir leben. Jedes Programm, was heute verkauft wird, beinhaltet Fehler. Einfach schon aufgrund der mathematischen Wahrscheinlichkeitsrechnung. Wenn Sie eine gewisse Anzahl an Zeichen haben, sind dort Fehler drin, weil Menschen Fehler machen. Jetzt komme ich zum dritten Bereich. Wenn wir uns mit Zukunft beschäftigen, dann müssen wir uns auch als Nation fragen, ob wir bis dato alles richtig gemacht haben. Dass wir gewisse Ressourcen nur noch von außen einkaufen können oder ob wir wieder nicht als Nation möglicherweise, aber auch als Nation mit anderen Partnern in Europa zum Beispiel eine Chipproduktion wiederhaben können, wo wir davon ausgehen können, dass wir sie nicht nur überprüfen können, sondern wo wir Prozesse haben und Menschen, die sicherstellen, dass sie auch für uns als Europa oder als Deutschland sind. Das hat auch etwas damit zu tun – und damit komme ich zum Ende von meinem etwas längeren Statement –, wie im richtigen Leben, Sie in Ihrem Haus sichern nicht alles gleich. Sie lassen sogar manchmal Sachen vorm Haus liegen, weil sie für Sie von geringerer Bedeutung sind und wenn es einer mitnimmt, dann ärgern Sie sich, aber dann ist es für Ihr Leben nicht entscheidend. Auch dort muss man wissen, in der Informationstechnik, was sind meine Goldschätze und die Goldschätze sollten nicht so groß sein, die muss ich besonders schützen. Wer alles schützen will, schützt nichts. Grein: Danke. Jetzt gibt es daraufhin direkt eine Wortmeldung von Herrn Schlömer, ehe ich auch nochmal zu Herrn Krüger komme. Schlömer: Nur ergänzend, weil Herr General Setzer schon viel gesagt hat. Man kennt die Akteure bereits: Wir haben zum einen ganz normale Cyberkriminelle, die im Grunde echte Geschäftsmodelle haben. Sie müssen sich diese als richtige Unternehmen vorstellen. Während es Zuständige für die Infrastruktur gibt, sorgen andere dafür, dass Gelder flie- ßen, denn das Ziel von Cyberkriminalität ist natürlich, einen Cashflow zu realisieren und Beutesicherung zu betreiben. Das sind Unternehmen, die auf Infrastruktur und auf Know-how, vor allem technisches Know-how, angewiesen sind. Die brauchen IT-Perso- 80 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren nal, das sicherstellt, dass das angeeignete Geld letztlich auch auf dem eigenen Bankkonto landet und das ist eine gigantische Herausforderung. Ich würde davon Abstand nehmen, das national zuzuweisen, wie Sie es gerade eben gemacht haben, und eben nicht auf Gruppen im Iran oder Russland verweise. Diese Aktivitäten rühren auch von nicht-staatlichen Akteuren. Vielleicht mit staatlicher Unterstützung. Vielleicht aber auch nicht. Die Geschehnisse einfach Staaten zuzuweisen, das erscheint mir zu simpel. Zum einen haben wir es mit Cyberkriminellen zu tun, die sehr organisiert, hochprofessionell und äußerst arbeitsteilig vorgehen. Eine zweite Gruppe besteht aus politischen Hackern, sogenannten Hacktivisten. Darüber sind Sie ausreichend informiert, das brauche ich nicht weiter ausführen. Wir haben es also mit Akteuren zu tun, die zur Durchsetzung ihrer politischen Interessen letztendlich dazu bereit und in der Lage sind, Cyberangriffe durchzuführen. Zudem haben wir eine dritte Gruppe, die Herr General Setzer auch schon angesprochen hat. Man nennt sie Script Kiddies. Diese arbeiten mit einfachen Programmiercodes, die von jedermann einfach aus dem Internet heruntergeladen werden können. Damit können einfach kleine Angriffe auf Websites unternommen werden. Das könnten zum Beispiel Ihre Kinder sein, von denen Sie gar nicht wissen, warum sie so lange in ihrem Kinderzimmer sitzen und am Computer spielen. Diese Gruppe ist in der Literatur bereits beschrieben und man muss sich vergegenwärtigen: Script Kiddies sind nicht zu unterschätzen und bis heute ein gewisses Problem und eine gewisse Herausforderung, weil sie durchaus dazu in der Lage sind, tiefgehende Angriffe zu tätigen und hohen Schaden zu verursachen. Eine weitere und lieber gesehene Gruppe, wie sich den bisherigen Vorträgen entnehmen lässt, sind die IT-Sicherheitsforscher. Sie testen die IT-Sicherheit. Auch weil sie den Auftrag haben zu prüfen, ob Infrastrukturen sicher sind. Auch die Bundeswehr überprüft sich selbst, um zu wissen, ob die Systeme sicher sind. Aber auch private Unternehmen beauftragen solche IT-Sicherheitsforscher, um Systeme auf ihre Resistenz zu überprüfen. Aufgrund ihrer weiten Verbreitung lässt sich diese Gruppe also gut beschreiben und analysieren. Ich würde es aber generell vermeiden und rate auch anderen dazu, diese Gruppen nicht bestimmen Nationalstaaten zuzuordnen oder auf staatliche Herkunft zu verweisen, denn die Attribution solcher Angriffe ist äußerst schwer, und man sollte es sich nicht so einfach machen. Für die Analy- 81 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern se von Cyberaktivität ist der Faktor Nationalität also vergleichsweise wenig aussagend und daher zu vernachlässigen. Die Politik, wir Politiker, neigen immer dazu, zu sagen: Die Russen waren es. So einfach ist es aber nicht. Wenn man sagt, dass die Russen es waren, kann man davon ausgehen, dass man eigentlich nicht weiß, wer es gewesen ist. Insofern würde ich Ihnen raten, lieber auf verschiedene Gruppen von Akteuren zu verweisen, die ich oben aufgezählt habe, als auf Staaten. Zweitens würde ich ebenfalls die Smart-Bomb-These aufstellen, sozusagen die Gegenthese, die Sie bereits angesprochen haben. Wir alle sind ja Bürgerinnen und Bürger in einem Land. Attacken wie WannaCry oder der damit zusammenhängende NonPetya-Angriff, sind letztendlich einfache Streuattacken. Da wurden einfach verschiedene Tools genutzt und besonders breit angewandt. Es sind Krankenhäuser beeinträchtigt worden, die Berliner S-Bahn war betroffen sowie weitere, aber das war allgemein eine ganz andere Angriffstaktik. Es wurde versucht, breit zu streuen, Schaden anzurichten und Menschen zu erpressen und zur Zahlung von Geld zu bewegen, ohne dass man ein genaues Ziel vor Augen hatte. Gegen Zahlung einer manchmal großen, manchmal einer kleinen Summe Geldes ist die Website wieder frei. Diese zielgenauen Attacken finden in diesen Streumittel-Angriffen ihren Gegenentwurf, wofür es eine ganze Reihe an Beispielen gibt. Dieses Phänomen funktioniert nach der Logik der breiten Streuung und ist somit ein besonders gefährliches und unvorhersehbares Instrument: Sie werden blind und breit initiiert mit der Absicht, viele Ziele zu treffen und somit die Wahrscheinlichkeit zu erhöhen, dass sie auf jemanden treffen der im Angesicht eines Cy beran griffes bereits ist, die geforderte Erpressungssumme zu zahlen. Somit wird letzten Endes Beute gemacht. Es geht letzten Endes lediglich darum, Geld zu machen. Die Verantwortlichen sind somit einfache Kriminelle und wir tun gut damit, uns organisatorisch und technologisch dafür aufzustellen. Die künftige Agentur für Innovation in der Cybersicherheit dient als Beispiel für eine solche breitere Aufstellung und ist Gründung mit eindeutiger Absicht zu betrachten. Durch sie wird angestrebt, Disruptive Technologien, also Phänomene, die neue Technologiesprünge verheißen, gezielt gefördert werden. Somit wird versucht zu erreichen, was Herr General Setzer bereits angesprochen hat, nämlich die Technologiesouveränität zurück zu erlangen. Wir müssen in Europa, in Deutschland darauf 82 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Acht geben, dass wir in Hard- und Softwarefragen souveräner werden und nicht abhängig sind von asiatischen und auch – verzeihen Sie, dass ich das sage – von amerikanischen Entwicklungen. Wir müssen die Entscheidungsfreiheit haben, das beste Tool zu kaufen, weil wir über eigene Kompetenzen verfügen und daran arbeiten wir. Grein: Danke. Noch einen ganz kurzen Beitrag von Herrn Dr. Unterberger und dann komme ich endlich zu Ihnen, Herr Krüger. Unterberger: Ich möchte gerade nochmal den Aspekt von Herrn General Setzer aufgreifen. Man schützt nicht alles, was vor seiner Haustüre liegt. Deshalb sind alle unsere Bestrebungen innerhalb der Automotive Industrie risikogetrieben. Das bedeutet, man muss aus unserer Sicht eben sich zuerst mal überlegen, was sind meine Kronjuwelen, was sind die Diamanten, was sind meine wirklich wichtigen Assets – ich nenne mal das englische Wort – und dann letztendlich daraus eine Schadensanalyse durchzuführen, um zu sagen: Ja, und genau für die und die Assets benötige ich diesen jenen oder jenen Schutzbedarf. Ein Fort Knox muss nicht für alle Assets gebaut werden. Andere Dinge hingegen wiederum, ich nenne einmal das Beispiel Kryptomaterial, tja, da würde ich mir schon mal gut überlegen, ob ich das mit einem normalen Schutzbedarf versehen würde. Ich würde es unter einem sehr hohen Schutzbedarf einordnen. Das noch ergänzend aus meiner Sicht. Grein: Herr Krüger, ich komme noch mal zu Ihnen und hier heißt es in Ihrem Statement: Wir müssen über das veraltete Konzept – und das geht vielleicht noch ein bisschen weiter als das, was wir bisher besprochen haben – der isolierten kritischen Infrastrukturen hinausdenken und Cybersicherheit als systemisches Risiko konfrontieren, das jeden Akteur vom Militär über Firmen bis hin zu Privatpersonen betrifft. Können Sie dazu nochmal ganz kurz etwas ausführen? Dann komme ich auch endlich zu Herrn O’Keeffe. Sorry. Krüger: Gerne. Dieses Statement im Endeffekt beschreibt etwas, das, glaube ich, bei den meisten von uns in der Branche schon angekommen ist, dass heutzutage in dem Sinne fast alle digitalen Infrastrukturen kritisch sind. Letztes Beispiel dafür waren vielleicht jetzt auch die US-Wahlen. Das ist jetzt nicht unbedingt ein nukleares Power Plant oder sowas, 83 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern aber sind US-Wahlen eine kritische Infrastruktur sozusagen für eine Demokratie? Ja, wahrscheinlich schon. Ist ein Angriff auf eine solche Säule ein Angriff, der strategische Effekte erzielen kann? Ja, wahrscheinlich schon. Ganz kurz zu den Kommentaren davor: Ich freue mich übrigens sehr über den Kommentar, dass ein Fokus gelegt werden soll auf Chip Level Cyber Security und vielleicht sogar ein neuer Ansatz gewagt werden soll innerhalb eines deutschen oder europäischen Kontexts hinsichtlich Hardware Chip Level, wer auch immer da die Player sind, Infineon. Ich glaube, das ist im Kanzleramt angekommen, auch im Verteidigungsministerium. Das wird sehr interessant zu sehen, ob es da vielleicht Konsortien Airbus-like gibt, die da etwas machen. Ich glaube, das ist sehr wichtig. Zweiter Kommentar zu Smart Bombs und doch nicht zu sehr auf das nationale Element zu schauen. Ich glaube, das ist ein Fehler. Ich glaube, es ist ein Fehler zu sagen, dass die Angriffe derzeit alle so gestreut sind, wie sie immer waren. Ja, es ist wahr, es gibt sehr viel kollateralen Schaden von gezielten Angriffen. Wir haben das bei Stuxnet hinsichtlich SCADA-Netzwerken gesehen, aber was wir auch sehen, ist, dass staatliche Akteure massiv und vermehrt gezielte Angriffe fahren. Wir haben das zum Beispiel im Russland-Ukraine-Konflikt gesehen mit dem Electronic Power Grid und das ist ein Trend, den wir, glaube ich, nicht ausklammern sollten. Ebenso sollten wir nicht ausklammern, dass staatliche Akteure ganz spezifische Kapazitäten aufbauen. Ich war gerade in Japan und da gibt es dann den geostrategischen Konkurrenten China und wenn man sich anschaut, was macht China im Bereich Cyber Security, die betreiben eine Politik, die wird benannt als „Picking flowers in foreign countries and making honey attractive home“. Also die holen sich ganz gezielt Technologie in anderen Ländern, importieren sie dann nach China und entwickeln dort Cyberkapazitäten. Da gibt es sehr viele Aktivitäten in den anderen Ländern, die oft sehr staatlich sind, und ich glaube, es ist nichts Schlimmes, wenn sich Deutschland auch national über dieses Thema nichtsdestotrotz, solange es im europäischen Verbund ist, auch im NATO-Verbund, zum Beispiel mit Partnern wie Holland, die sich gerade sehr proaktiv in diesem Bereich positionieren, aber auch mit Ländern wie Estland, die da eine sehr realistische Herangehensweise haben, auseinandersetzt. Deswegen glaube ich, dieses alte Argument, es sind irgendwelche Kids im Keller, das ist leider nicht mehr wahr. 84 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Grein: Bitte, Herr O’Keeffe. O’Keeffe: Kurz einleitend ein paar Worte, um zu verstehen, warum ich zu diesem Schluss komme: Mein Hintergrund ist dahingehend, dass ich in den letzten Jahren den Auftrag hatte, ich sage mal als freies Partikel in Bereiche reinzuschauen, die traditionell wenig miteinander zu tun haben. Dabei standen mir verschiedene Arbeitsgruppen zur Verfügung, mit denen wir nicht nur technische, sondern auch politische Aspekte analysiert haben, um einen Kontext zu erstellen. Das heißt, wenn beispielsweise Daten von Cyber-Auffälligkeiten vorliegen, gilt es zu schauen, was diese Aktivitäten bedeuten: Was wurde eigentlich versucht? Handelt es sich dabei um Diebstahl von Daten oder Spionage, um daraus einen Mehrwert für das eigene Unternehmen zu gewinnen oder wurde etwas anderes versucht? Es gibt z. B. auch Auffälligkeiten bei Navigationssystemen von Schiffen und da stellt sich dann die Frage, warum? Da fragen wir uns natürlich, macht man das für Geld oder gibt es da andere Beweggründe? Gerade Schiffe vom Kurs abzubringen oder Satellitensysteme zu stören ist nicht per se das, was man sofort als ein Mittel versteht, um schnell an Geld zu kommen. Die Frage ist dann also, wer steck dahinter und welche Interessen werden verfolgt? Das ist die Schwelle, an der wir uns – zumindest von der Perspektive, wo ich herkomme – befinden. Um die dahinterliegenden Interessen verstehen zu können, werden Daten benötigt. Es liegen zum Teil unheimlich viele Daten vor, aber in Bereichen, zu denen wir nicht sofort hinschauen. Ich rede von Auffälligkeiten in anderen Bereichen, wie zum Beispiel im Fall von Kashoggi: Am Tag des Verschwindens gab es unheimlich starke Aktivitäten im Cyberraum im direkten Umfeld. Also mit dem Umfeld meine ich ein Gebäude gegenüber, eine Straße weiter, usw. Also das sind so Daten, die wir haben und wo wir sehen: in realen Situationen passiert etwas – wie zum Beispiel eine Bombenattacke – und gleichzeitig gibt es eine unheimlich starke Aktivität im Cyberraum. Der Kontext dazu ist wichtig, um zu verstehen, ob einerseits abgelenkt werden soll oder ob man die Situation nutzt, um unter der Ablenkung gezielte Operationen an anderer Stelle durchführen zu können. Sind das staatliche Akteure oder sind doch ganz andere Interessen involviert? Das ist die Stelle, die wir beobachten und verstehen müssen. Wir müssen uns daran anpassen, dass es im Kontext der Cyberoperationen eine andere 85 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Topographie der Aktivitäten gibt, als wie wir es von Land-, See- oder Luftoperationen kennen. Wenn wir uns militärische Aktivitäten anschauen – und damit möchte ich gerne zur Sicherheitspolitik zurückkommen, denn das ist der Bereich, wo ich halt herkomme – ist der Schutz der nationalen Souveränität im Cyberraum ein militärischer Auftrag und in dem Fall müssen wir bei jeder militärischen Lagebeurteilung verstehen, wie das Umfeld ist, wie die Lage ist und im Cyberraum wissen wir noch nicht, wo die Wiesen sind, wo die Wälder sind, wo wir die Panzer positionieren, wo wir unsere Einheiten hinsetzen zur Übung als auch zur Verteidigung. Das fangen wir gerade erst an. Einige Länder sind weiter, wie Herr Phillip Krüger gerade eben schon sehr gute Beispiele genannt hat. Andere Länder versuchen auch andere Wege einzuschlagen, aber das müssen wir erst verstehen. Grein: Ich darf da noch mal nachfragen und zwar sagen Sie auch: in beispielloser Weise werden Schwachstellen in der globalen Sicherheitspolitik offenbart. Was heißt das? Das muss man noch erläutern und erklären, glaube ich. O’Keeffe: Ja. Konkrete Beispiele. Vor zwei Wochen wurden Baupläne für Nuklearkraftwerke geklaut. Da fragt man sich: Macht man das, um sich einen Marktvorteil zu verschaffen oder sind da andere Gründe ausschlaggebend? Es gibt zum Beispiel eine aktuelle Diskussion um die möglichen Nachfolger von nuklearen Trägersystemen bzw. Atomwaffen allgemein. Es ist die Frage, wenn man sich mit Atomwaffenpolitik beschäftigt, was wären mögliche Trägersysteme, um in der Militärpolitik zu bestehen. Mögliche Trägersysteme wären eventuell theoretisch der Eurofighter oder die F35. F35 ist in den letzten Monaten auch stark auffällig geworden seitens der Hersteller, wo Daten abgegriffen werden. Da muss man sich die Frage stellen: Macht das eine andere Firm, um Geld zu gewinnen, oder macht man das, um einen Vorteil auf dem Sicherheitsmarkt zu erkaufen? Ganz starkes Beispiel – und das ist mein persönliches Lieblingsbeispiel – der Eingriff in GPS-Satelliten. Ab Mitte 2017 wurden Meldungen über Auffälligkeiten bei der Benutzung des GPS-Systems herausgegeben, u. a. dass der Empfang der GPS-Satelliten lokal nicht richtig funktioniere. Jetzt muss ich ehrlich mit Nachdruck sagen: Das sind GPS-Satelliten! 86 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Wenn wir das alles lesen und hören, denken wir, das müsste doch eines der sichersten Systeme überhaupt sein. Unsere Recherchen haben allerdings ergeben: mitnichten. Also man sucht sich halt wie überall auch die Schwachstellen aus: In Unternehmen, in Fahrzeugen, genauso in Satellitensystemen, auf die wir als Staat ganz stark zugreifen, um für unsere nationale Souveränität die Waffensysteme, Rüstungsgüter und so weiter in Verbindung zu halten. Und da werden die gleichen Mechanismen genutzt, wie eben auch im zivilen Bereich der Spionage als auch Kriminalität. Grein: Ehe wir in einer abschließenden Runde dann nochmal zu einem Statement von jedem Einzelnen kommen, gehe ich jetzt einfach in die Runde und eröffne die Diskussion. Sie haben sicherlich Fragen und dazu haben wir im Grunde genommen nahezu eine halbe Stunde Zeit. Melden Sie sich bitte einfach, und wir haben mehrere Mikrofone. Hier vorne ist schon eine Frage. FRAGE: Wir haben in den meisten großen Organisationen gewachsene Strukturen. Die Frage ist, wenn ich ein solches Konzept angehe wie Cyber Sercurity, dann dauert die Umsetzung länger als die klassischen zwei Jahre, welche normalerweise eine Führungskraft in einer Großorganisation auf einem Posten sitzt. Die Frage ist natürlich, inwieweit man sich mit einem Programm wie Cyber Security, welches erstmal Geld kostet, ohne dass es zunächst einen direkt spürbaren Nutzen bringt, für höhere Weihen empfiehlt? Wie sieht das Panel gegenwärtig diese Wahrnehmung? Wird dies als Aufgabe gesehen, oder setzt man hier darauf, dass man bisher Glück hatte? Grein: Wenn Sie noch bitte kurz sagen, sonst müssen wir die ganze Runde ansprechen, an wen Sie die Frage speziell adressieren möchten und wo Sie den Eindruck haben, da kommt es vielleicht auf den Punkt für Sie am besten rüber? FRAGE: Dann richte ich mich mal an die Krone der deutschen In dustrie, die deutsche Automobilbranche. Unterberger: Jetzt muss ich natürlich darauf etwas diplomatisch antworten. Also ich möchte an der Stelle und ich glaube, da plaudere ich nichts 87 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern aus, dass wir im Moment davon ausgehen, dass Gott sei Dank noch nichts Größeres passiert ist. Aber man weiß es sicherlich nicht und das hat einer der Vorredner gesagt, können wir nicht davon ausgehen, dass Informationen auf irgendeinem Wege abgeflossen sein könnten. Wie begegnet man dem? Ich kann eigentlich nur sagen, dass man hier natürlich Schwerpunktthemen setzt. Man kann nicht alles auf einmal machen. Da bin ich wieder vorher bei meinem Thema Risikobeurteilung, Risikobewertung, Geschäftsschadensanalyse. Das ganze Thema wird dann Stück für Stück abgearbeitet, aber eben sukzessive. Man beginnt mit Sicherheit bei den Themen, bei denen das Risiko am stärksten evident ist. Das war jetzt ziemlich diplomatisch ausgedrückt – weiß ich. Grein: Jetzt hatten wir eine Frage dort hinten rechts. Kurz sagen, wie Ihre Frage lautet und keine Co-Referate, bitte. FRAGE: Ich bin Reservist und zivil und für IT-Sicherheit zuständig. Man sprach von Keller-Kiddies, von denen kriminelle Bedrohungen ausgingen. Es waren ja auch immer die Kaputzenpullihacker in den Bildern zu sehen. Wenn Nationalitäten genannt worden sind, wo es hingeht, dann war vom Iran, vom Irak und von China die Rede. Selbst die Bundeswehr – ich weiß nicht, ob Herr General Setzer da der Richtige ist, oder wer mir dies beantworten kann –, sie erzählen, dass das transatlantische Vertrauensverhältnis mit den Amerikanern gestört ist. Ja, Software ist fehlerabhängig, wenn ich sie frisch kaufe. Aber wie wehrt man sich gegen proprietäre Betriebssysteme eines großen amerikanischen Herstellers, wenn dort Backdoor eingebaut ist, wenn da Geschichten eingebaut sind, um uns ganz bewusst zu hintergehen oder auszuforschen? Ich sage mal NSA ist die Spitze des Eisbergs. Was kann man dagegen tun, um zum Beispiel amerikanischen Angriffen zu entgehen, die bereits in Betriebssystemen verarbeitet sind und die mit irgendeinem Patch nicht beseitigt werden können, sondern die vom Hersteller gewollt sind? Die Nähe von Microsoft zum amerikanischen Staat, oder das Bedürfnis des amerikanischen Staates zu schauen, was der Rest der Welt macht, ist ja hinlänglich bekannt. Grein: Wer möchte dazu …? Herr General. 88 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Setzer: Lassen Sie mich mit einem Statement beginnen, was sich nicht unmittelbar aus meiner Kenntnis als Soldat und Bundeswehrangehöriger generiert. Große Unternehmen haben ein hohes Interesse, ihre Produkte auf dem Weltmarkt verkaufen zu können. Daraus ergibt sich durchaus eine gewisse intrinsische Motivation, nicht in die Gemengelage zu kommen, dass mein Produkt Folgendes für Folgenden erlaubt. Ich nehme jetzt nicht das amerikanische Beispiel, aber es gibt durchaus ein Sicherheitsunternehmen, was einen russischen Hintergrund hatte und unter diesem Gesichtspunkt zumindest temporär Probleme hatte, seine Produkte zu verkaufen. Also gibt es durchaus auch eine intrinsische Motivation, gerade in Amerika, die unmittelbare Zusammenarbeit für gewisse Projekte, teilweise auf Mitarbeiterdruck aber teilweise auch aus marktwirtschaftlichen Gegebenheiten, nicht mehr durchzuführen. Weiterhin könnte ich Ihnen jetzt Staaten nennen, die dafür grundsätzlich in Frage kommen. Das tue ich aber nicht. Grundsätzlich haben wir in Deutschland eine Organisation, das Bundesamt für die Sicherheit in der Informationstechnik, das für die Zertifizierung von Software und in Teilbereichen auch Hardware verantwortlich ist. Dieser Zertifizierungsprozess findet nicht „mal so im Vorbeigehen, Produkt kommt, wir gucken mal drauf und das passt schon“ statt. Abhängig von dem erforderlichen Sicherheitsstandard, der für ein Produkt verlangt wird und wo es eingesetzt wird, müssen Produktanbieter ihre Systeme oder Software teilweise bis auf Ebene Programmierung offenlegen. Sie können nicht alles verhindern, ansonsten müssen Sie ein Produkt noch länger und intensiver testen, als das eigentlich möglich ist. Aber will sagen: Wir tun das, was leistbar ist und wir sind nicht blauäugig. Wenn Sie allerdings höhere Sicherheitsstandards haben wollen, führt kein Weg daran vorbei, eine Industrie für spezielle Anwendungen vorzuhalten, der Sie vertrauen können, weil sie unmittelbar ihrer Nation nicht nur bei dem Testing sondern bereits bei der Produktion unterliegt. Grein: Nächste Frage. Hier vorne in der zweiten Reihe, bitte. FRAGE: Ich bin einer von diesen frühen Mitgliedern der Cyberreserve, arbeite in der Luftfahrt und bin von daher international unterwegs. Meine ganz praktische Frage geht zum einen an Prof. Grein: Es ist die Frage, wie qualifizieren wir bei den großen Herausforderungen das Perso- 89 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern nal im Bestand? Also wir hatten großartige Versprechungen, ja auch was die Universität in Neubiberg leisten kann. 18 Leute im ersten Jahr, 30 Leute im zweiten Jahr. Wenn ich die vielen Leute sehe, die wir brauchen, welche im Bestand sind und welche nicht nach zwei Jahre ins Studium zurückgehen können, wie kriegen wir das dann praktisch hin? Die zweite Frage ist damit verbunden, die geht an Herrn Krüger, als Mitleidtragender eines Fraunhofer Instituts: Deutschland ist ein Land der Ideen. Ich habe in der Forschung gearbeitet und Regale voll von Ideen gesehen, von Forschungsergebnissen, die diesen Reifegrad 6, 7, 8 haben. Hier erkennt man eine deutliche Klassifizierung! Daneben traurige Forscher, die sagen: „Wir kriegen es einfach in Deutschland nicht in Produkte umgewandelt.“ Meine Frage an Sie ist: Hätten Sie eine Idee, was wir machen müssten, damit wir ein bisschen schneller werden? Grein: Vielen Dank. Warum nicht auch eine Frage mal an den, der moderiert? Nun bin ich kein ausgewiesener Experte im Bereich Cyber, aber natürlich an der Universität unterwegs. Was ich für ganz wesentlich erachte, und wir haben hier schon einen schönen Ansatz an der Universität der Bundeswehr in München. Dort werden nämlich Lehrstühle eingerichtet, und da ist man gerade dabei, das zu professionalisieren. Das ist vom Thema natürlich affin, aber was ich immer wieder auch kritisiere auch sage, ist, dass wir viel zu wenig praxisorientiert unterwegs sind. Das heißt, an und für sich müssen wir schon ab Kindesbeinen an und somit früher ansetzen. Im Grunde genommen, könnte es mit etlichen Dingen bereits im Kindergarten losgehen. Ich denke auch, wir sollten die Schule entrümpeln. Die Schule oder die Kindergärten können Kinder z. B. schon recht früh mit Fremdsprachen in Verbindung bringen. Die Schule hat somit ein Curriculum, das meines Erachtens nicht mehr zeitgemäß ist, und das würde ich mir von der Bildungspolitik übergreifend anschauen. Ich könnte mir überdies auch vorstellen, dass man sich das Ganze über die Länderhoheiten hinaus ansieht. So bekämen wir beste Qualität. Setzer: Dürfte ich ganz kurz was ergänzen, Herr Prof. Grein? Grein: Ja, gerne. 90 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Setzer: Auch wenn es Ihnen vielleicht wehtut: Der Staat muss bei IT-Spezialisten deutlich weg von der Frage formaler Qualifikation hin zu Kompetenzen. Die formale Qualifikation ist ein Bestandteil, ist eine Basis. Ich erlebe das nahezu täglich. Auch in der Frage der Personalgewinnung der Bundeswehr. Wir sind sehr stark formal ausgerichtet. Ich kann Ihnen ein Beispiel geben. Wir hatten einen Bewerber einer größeren Firma hier aus München. Ein absoluter Spezialist mit Jahresgehalt von 130 000/ 140 000 Euro. Der hätte beim Staat angefangen und quasi Geld zum Arbeiten mitgebracht. Er hat aber keinerlei Ausbildung. Nicht mal einen Hauptschulabschluss. Den könnte ich nicht mal als Kraftfahrer einstellen. Wenn wir diese Probleme nicht angehen und die Anzahl der formal Qualifizierten erhöhen, dann können wir nicht da mitspielen, wo wir mitspielen müssen. Grein: Ich muss das nochmal ganz kurz ergänzen. Das ist keine Replik auf das, was Sie gesagt haben, sondern nur ergänzend: Das habe ich ja vorhin schon gesagt, wir müssen auch weg vom Ressortdenken. Wir sehen, wir haben hier ein schönes Beispiel, Sie sind Jurist und Sie sind in ganz anderen Bereichen unterwegs gewesen oder auch wenn man bei Herrn Schlömer schaut und sind dann in ganz anderen Feldern erfolgreich unterwegs und kann lernen. In den USA tut man sich da leichter. Da sind z. B. Ägyptologen im Management sehr erfolgreich unterwegs. Das ist natürlich nicht en bloc der Fall, aber so ein bisschen in die Richtung und weg vom allzu Spezialisierten hin zum Übergreifenden, wo dann unter Umständen auch Herausragendes geleistet wird. Krüger: Ganz kurz auf Ihre Frage. Ich finde das eine hervorragende Frage. Ja, Fraunhofer ist ein super Laden, hat allerdings, wenn es um Cyber Security und Startups geht, Spin-offs, besonders auch vielleicht Produkte, die für den militärischen Sektor gut sind, nicht viel geliefert in der letzten Zeit. Da gibt es ganz viele Gründe. Wo anfangen? Ich glaube, es hängt ein bisschen auf dem Makrolevel damit zusammen, dass Fraunhofer auch sehr gerne Papiere schreibt für die drei Säulen, die traditionellen Säulen der deutschen Wirtschaft: Automotive, Machinery und Chemicals, diese drei. Diese neuen Technologien jetzt, Digital, Cyber, aber auch zum Beispiel Biotech und so, da ist vielleicht Deutschland noch nicht so angekommen und deswegen auch 91 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern seine angewandten Forschungsinstitute noch nicht so angekommen. Das ist so ein Makroproblem und das andere Problem ist, wenn es dann um Spin-offs geht, haben wir nicht genug Incentives – sagt man immer so sehr gerne bei Fraunhofer. Wenn zum Beispiel einer unserer Abteilungsleiter sagt, ich möchte jetzt ein Startup machen mit meiner Technologie, dann ist das für den Institutsleiter nicht so attraktiv, weil dann verliert er diesen Abteilungsleiter. Genauso wir haben eine eigene Venture-Firma im Fraunhofer Ventures, die gibt aber nicht wirklich Equity, sondern behält dann die Lizenzen noch gerne für sehr lange Zeit. Dann ist es für einen amerikanischen Co-Investor nicht so interessant. Da gibt es tausend Probleme. Wir haben jetzt was Neues gebaut. Ich bin einer der Architekten, die diese Agentur für disruptive Innovationen in der Cybersicherheit kreiert haben mit Dr. Suder zusammen damals und Frank Endler und wir sind sehr froh, dass das jetzt vom Kabinett okayt wurde mit 500 Millionen. Vielleicht kann man da mit so einem Ansatz ein bisschen mehr kreieren, ein bisschen mehr Momentum. Ganz kurz letzter Punkt dazu: Deutschland war, wie Sie gesagt haben, sehr innovativ, sehr disruptiv, aber man schaut dann auf solche Leute wie Herrn Siemens und andere, aber dahinter stand auch noch was anderes. 1870 bis 1910 war die Cutting-Edge-Schlüsseltechnologie in der Welt Stahl und Kohle. 1870 war Preußen hinten dran und Belgien und England waren vorne. Wir waren so ein second Mover. Dann haben wir aber innerhalb von 40 Jahren sehr stark aufgeholt, natürlich auch vom Militär getrieben, aber auch ganz gezielt von Wirtschaftsspionage, Technologiespionage, Abwerbung von Ingenieuren, Aufbau dieser Industrie hier mit dem Ergebnis, dass 1910 Preußen führend war in Stahl und Kohle und das hat dann zu diesen Spill-over-Technologien, nämlich Elek trotech nik und Chemicals geführt, die dann eigene deutsche waren. Also wir können das schon, wir machen es nur zurzeit nicht. Grein: Jetzt schlage ich mal vor, wir nehmen noch maximal zwei Fragen. Da ist da eine Frage und dann vielleicht noch eine andere und dann gehen wir in die Abschlussrunde. FRAGE: Sie hatten vorhin in Ihrem Vortrag eine Folie, wo Sie dargestellt haben, was es in den letzten Jahren eigentlich für Cyberangriffe gab, und ich habe in letzter Zeit mitbekommen, dass zum Beispiel in den USA 92 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren schon die Diskussion geführt wird, ob man einen Cyberangriff von einer gewissen Qualität her denn auch als einen bewaffneten Angriff im Sinne beispielsweise Artikel 51 der UN-Charta kategorisieren könnte. Da würde mich interessieren: Wird diese Diskussion bei uns überhaupt geführt? Sehen Sie diese Gefahr oder ist das generell strikt zu trennen? Wenn es nicht strikt zu trennen ist, würde mich noch interessieren, ob einer dieser Cyberattacken, die Sie genannt haben, auch nur annähernd eine solche Qualität erreicht oder wo Sie sagen, okay, da gab es Tendenzen, oder war mal irgendwas absehbar? Setzer: Das ist natürlich eine gute Frage. Alle Nationen und auch wir sind überzeugt, dass, wenn ein Angriff die Schwelle zum bewaffneten Angriff überschreitet, ein Cyberangriff nicht zwingend in der Dimension Cyber beantwortet werden muss, sondern genauso wie jede andere kriegerische Handlung mit all dem, was der Bundesrepublik Deutschland zur Verfügung steht, innerhalb des NATO-Bündnisses beantwortet werden kann. Das heißt, jemand, der uns angreift, kann sich nicht sicher sein, mit welchen Mitteln wir als Nation und im Rahmen des NATO-Bündnisses zurückschlagen. Das hat auch etwas damit zu tun, dass Nationen nicht berechenbar sein dürfen. Sie können sich natürlich die Frage stellen, ob eine Demokratie bzw. die Souveränität eines Landes durch mögliche oder stattgefundene Wahlbeeinflussung bereits betroffen ist. Siehe das Beispiel Amerika. Aber es gibt durchaus auch Szenarien, wo ein Angriff auf die ureigenste demokratische Handlung, nämlich die Wahl eines Parlamentes, durchaus als Angriff auf die Souveränität bezeichnet werden kann. Jedes Land hat außerhalb der UN-Charta das Recht, bei einem Angriff auf dessen Souveränität mit den ihm adäquat erscheinenden Mitteln zu reagieren. Das besagt die UN-Charta. Wenn Sie sich vorstellen, dass sich ein Staudamm aufgrund eines Cyberangriffs ungewollt öffnet, das Land bzw. Landstriche überflutet und dabei tausende von Menschen zu Tode kommen, stellt sich die Frage, ob das ein bewaffneter Angriff mit Flugzeugen, mit Bomben oder sonst was war, nicht. Gestatten Sie mir eine persönliche Bemerkung zum Schluss. Das ist die Herausforderung die von der Politik unter dem Gesichtspunkt hybride Bedrohung diskutiert wird. Ist unser Staat bereits in seinen Grundfesten angegriffen, wenn die Energieversorgung unseres Landes für sechs, sieben, acht, neun oder zehn Tage ausfällt? Es funktionie- 93 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern ren keine Energiekraftwerke und vieles mehr. Das heißt, man muss sich überlegen, wie der Übergang von einem hybriden Szenario zu einem möglicherweise bewaffneten Konflikt aussehen kann. Grein: Danke. Gibt es noch eine Frage? Sonst schlage ich vor, wir gehen in die abschließende Runde. Wir hatten ja das Thema „Terrorismus, Cybercrime, Cyberspionage verhindern“ und viele Fachleute im Panel. Von der Politik über die Technik und die Administration bis hin zur Wissenschaft. Wenn wir bei Herrn Oly anfangen unter dem Motto „Ich wünsche mir“ und wenn Sie ganz kurz jeweils noch ein abschließendes praxisorientiertes Statement aus Ihrer Sicht bringen. Oly: Aus meiner Sicht haben wir heute gelernt oder uns nochmal versichern können, dass, egal ob wir hoheitliches Handeln im Bereich der Verteidigung, das Fahrzeug als Produkt oder zukünftig die Mobilität als Service betrachten: Das ist nichts, was ein einzelnes Unternehmen oder eine einzelne Organisation für sich allein absichern kann, nicht im Cyberraum und nicht im physischen Raum. Was ich mir wünsche, ist – und das versuchen wir für unsere Branche zu realisieren – dass wir über ein Lagebild für unseren jeweiligen Verantwortungsbereich verfügen. In der Automobilindustrie reicht das dann sehr weitreichend in die Liefernetzwerke hinein und wird bei dem Service Mobilität nochmal ganz andere Unternehmen und Situationen betreffen. Ich wünsche mir, dass wir ein Lagebild haben, welche Unternehmen liefern zu, welche Produktbestandteile, Servicebestandteile sind überhaupt einmal cyberrelevant. Das haben wir in großen Teilen, aber ich wünsche mir, dass wir dieses Lagebild vertiefen. Ich wünsche mir, dass wir über eine Handlungsfähigkeit verfügen, die wir aus diesem Lagebild ableiten, dass wir Unternehmen befähigen, die Unternehmen, die Informationssicherheitskonzepten nicht folgen, stärker adressieren können und dass wir die fördern, die in diesem Bereich voran gehen und wir dabei nach Möglichkeit gerade in Deutschland auch die kleinen und mittelständischen Unternehmen nicht zurücklassen, sondern das Sicherheitsniveau allgemein verbessern. Natürlich brauchen wir pointiert an der einen oder anderen Stelle auch mal einen sichereren Chip oder einen, der uns aus unserer Per spekti ve vertrauenswürdiger erscheint. Aber was ich mir wünsche, ist, dass 94 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren wir das Sicherheitsniveau und das Verständnis für Sicherheit vom kleinen Unternehmen angefangen über die gesamte Kette heben und dass wir das dann gegebenenfalls bereichsübergreifend/säulenübergreifend gemeinsam unternehmen. Lechte: Ich wünsche mir, dass wir nicht ohnmächtig werden von der Menge der Informationen, die wir bekommen über schlimme Fälle. Das ist nur die Spitze des Eisberges. Einiges wird bekannt, es ist vieles unbekannt, denn letztendlich das, was im Informationsraum geschieht mit den Daten usw., hat Auswirkungen auf unser reales Leben. Umgekehrt aber auch die Leute, die das verursacht haben, sind auch Menschen aus dem realen Leben. Wir müssen verstehen und ich möchte, dass wir da in die Richtung gehen zu verstehen, was die Beweggründe dafür sind. Dafür müssen wir Leute reinholen, die – und da nochmal zurück zu der Frage vorhin – aus anderen Qualifikationsbereichen kommen. Ich wünsche mir, dass wir diesen Filter, den wir uns selbst auferlegt haben, indem wir Experten bewerten, indem wir sagen, ein Studienabschluss oder ein Doktor, dass wir davon weggehen und auch gucken, was es noch für andere Menschen auf den Arbeitsmarkt gibt, die auch einen Beitrag leisten können und nicht nur eben von den Mintfächern. Das ist das, was wir für unsere Teams auch gemerkt haben, dass wir sehr viele Menschen brauchen, die aus völlig anderen Bereichen kommen: Designer, Künstler, Philosophen, damit wir den Menschen verstehen, warum der Mensch agiert, wie er handelt und wie wir diese Informationen weiterbringen können. Deswegen, das ist mein Punkt, den ich mitgeben möchte: Nicht ohnmächtig werden, den Menschen verstehen und alle an Bord holen, die sie haben. Krüger: Ich glaube, wir haben zwei Grundprobleme, aber für beide gibt es mögliche Antworten. Das eine ist ein schlüsseltechnologisches. Wir sind abhängig von Fremdcode und Fremdhardware in Deutschland als Cybermittelmacht. Das kann man so schnell nicht lösen. Da muss man erstmal sogenannte Beurteilungsfähigkeit aufbauen, um dann zu sehen, ob so ein Router von Cisco eine Backdoor hat oder nicht oder ob ein Sourcecode von Microsoft Schwachstellen hat. Da haben wir schon recht viel geleistet. Jetzt kommt der nächste Schritt. Wir gehen tiefer in die Hardware rein und versuchen auch mal vielleicht aus unserem Ökosystem heraus diese Router, Chips, diese Hardware sel- 95 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern ber zu produzieren vielleicht im europäischen Kontext, Stichwort Chip Level Cyber Security. Das ist ein Thema. Das zweite Problem ist, wir sind zur Zeit als Nation Deutschland aus historischen Gründen zurückhaltend, wenn es um gewisse Themenfelder in der Cybersicherheit geht. Wenn ich mit Kollegen in den USA sprechen oder in Israel, dann sagen die mir, dass Attribution sehr wohl möglich ist heute. Das ist ein Fehler zu sagen, dass Attribution in Cyber Security nicht möglich ist. Das war vielleicht vor fünf Jahren wahr, das ist nicht mehr wahr. Das kann man bewerkstelligen durch sogenannte Embedded Attribution, das heißt, durch andere Intelligence-Quellen etc. kann man sehr wohl sagen, wer vielleicht den Bundestag angegriffen hat. Deswegen hat die Regierung ja vor ein paar Wochen gesagt, Russland sollte das bitte nicht wieder tun. Also Attribution ist möglich. Für Deutschland allerdings sind viele dieser Aspekte, die mit moderner Cyber Security zu tun haben, wie zum Beispiel Embedded Attribution schwierig, denn es handelt sich oft schon um einen staatlichen Eingriff in andere Systeme und das ist natürlich nicht so einfach in unserem Kontext. Ich würde mir dennoch wünschen, wenn wir diese Debatte auch über – na ja, sage ich mal – robuste Cyber Security und Cyberstrategie führen in diesem Land, denn andere Länder wie Israel, USA oder auch Japan führen diese Debatte nicht nur, sondern schreiben ihre Doktrinen danach und rüsten massiv auf und deswegen müssten wir uns, glaube ich, etwas realistischer dieser Debatte stellen. O’Keeffe: Ich wünsche mir, dass wir nicht ohnmächtig werden von der Menge der Informationen, die wir über schlimme Fälle bekommen. Das ist nur die Spitze des Eisberges. Einiges wird bekannt, es ist aber vieles unbekannt. Letztendlich hat das, was im Informationsraum mit den Daten usw. geschieht, Auswirkungen auf unser reales Leben. Umgekehrt sind die etwaigen Täter aber auch Menschen aus dem realen Leben. Das müssen wir verstehen und ich möchte, dass wir uns näher mit den Beweggründen beschäftigen. Dazu müssen wir mit Menschen arbeiten, die – und damit nochmal zurück zu der Frage vorhin – aus anderen Qualifikationsbereichen kommen. Ich wünsche mir, dass wir diesen Filter, den wir uns selbst auferlegt haben, indem wir nur Experten nutzen, die einen Studienabschluss oder einen Doktor in den MINT-Fächern vorweisen, ablegen und schau- 96 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren en, welche Menschen es noch auf den Arbeitsmarkt gibt, die auch einen Beitrag leisten könne. Das ist genau das, was wir auch bei der Arbeit mit unseren Teams gemerkt haben. Wir brauchen viele Experten, die aus völlig anderen Bereichen kommen: Designer, Künstler, Philosophen, usw., damit wir den Menschen an sich verstehen. Warum agiert der Mensch, wie er handelt und wie wird diese Informationen verarbeitet. Deswegen ist es mein Punkt, den ich gerne mitgeben möchte: Nicht ohnmächtig werden, den Menschen verstehen und alle an Bord holen, die sie haben. Lechte: Also ich wünsche mir, dass die Politik, genauso wie ich es heute auch den getan habe, den Spezialisten zuhört und entsprechend danach handelt. Ich wünsche mir, dass wir die entsprechende finanzielle Ausstattung auch zur Verfügung stellen, die benötigt wird, um die Zusammenarbeit zu stärken und auch gleichzeitig um Organisationen wie auch Europol oder Interpol, wo wir heute gar nicht drüber gesprochen haben, die entsprechenden Gelder zur Verfügung zu stellen und die nicht weiterhin chronisch unterfinanziert zu lassen. Ich wünsche mir, dass der unter Beschuss stehende Multilateralismus in der Lage sein wird, dieses Problem, was ein weltweites Problem ist, entsprechend auch gemeinsam zu lösen und auch die entsprechenden Konventionen weiter voranzutreiben und die gemeinsame Grundlage, die international da ist, entsprechend auszugestalten und ich wünsche mir aber auch, dass die Leute erkennen, wie zentral wichtig dieses Thema Cyber für uns alle ist, das also nicht als irgendein Wolkenkuckucksheim von irgendwelchen Spezialisten anzusehen, sondern dass es wirklich für alle wichtig ist und es nicht darum geht, ob man jetzt zu Hause einen Computer stehen hat oder Internet oder was brauchen wird das, sondern zu begreifen, wie zentral das ist. Ich fand das Beispiel mit den Wasserschleusen sehr, sehr gut, aber es gibt ja noch viele andere Dinge. Ich meine, in dem Moment, wo bei uns zehn Tage der Strom ausfällt, können wir uns, glaube ich, alle erschießen. Da brauchen wir dann die Leute von der Bundeswehr, die wissen, wie man im Dschungel überlebt. Also das wäre eine mittlere Katastrophe für unser gesamtes Land und das steckt hinter Cyber War mit drin, dass es also nicht abstrakt ist, sondern dass es etwas ist, was die Leute auch begreifen und verstehen. Da gilt auch eine Information von Seiten der Politik. 97 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Schlömer: Ich mache es ganz kurz: Ich wünsche mir, dass Sie trotzdem mit einem positiven Gefühl für Internet und Digitalisierung nach Hause gehen. Witthauer: Und ich wünsche mir, dass der Staat in der schnellen Digitalisierung und dem Fortschreiten der Technologie auch weiter handlungsfähig bleibt, handlungsfähig in dem Bereich der inneren Sicherheit mit all dem, was dazugehört und dass die Politik auch dafür sorgt, dass es ausreichend finanziert ist und die Gesetzgebung dem auch angepasst folgt. Setzer: Ich wünsche mir, dass wir die Besonderheiten dieser digitalen Welt tatsächlich begreifen und uns in Deutschland übergreifend – ob Wirtschaft, ob Behörden, ob Wissenschaft – so aufstellen, dass wir gemeinsam diese Antwort geben können und hoffe, dass wir schnellstmöglich das Nationale Cyber-Abwehrzentrum tatsächlich zu dem machen, wofür der Name steht. Unterberger: Jetzt hat es mir Herr General Setzer schon vorweggenommen. Ich kann eigentlich nur daran anknüpfen. Was ich mir wünsche, ist, dass das Thema Information/Cyber Security querschnittlich gesehen wird, nicht in Silos, nicht etwas für Spezialisten, sondern für jedermann. Es soll lebbar gemacht werden und wir sollten nicht in Spezialistentum für IT-Spezialisten verfallen. Grein: Vielen Dank an die Runde. Ich wünsche mir – auch ich mache es kurz – dass Sie wiederkommen! 99 Digitale Infanterie Hacken fürs Vaterland – Wie sich die Bundeswehr für den Kampf im Cyberraum aufstellt von Julia Egleder Nein, wie einer dieser Computernerds aus dem Kino sieht er nicht aus. Keine fettigen Zottelhaare, keine Jogginghose, kein Schwabbelbauch und keine Tüte Erdnussflips – das sind offensichtlich alles nur Klischees. Die Haare des Cybersoldaten sind kurz geschnitten, er trägt Tarnfleckanzug und wirkt durchtrainiert. Und doch hat der Offizier in den vergangenen Jahren viel Zeit vor Computern verbracht. Er weiß, wie sie funktionieren. Und er weiß, was er tun muss, damit sie machen, was er will. Der Offizier ist Hacker bei der Bundeswehr. Das klingt gefährlich. Als Hacker wird jemand bezeichnet, der in Computersysteme eindringt, um Sicherheitslücken aufzuzeigen und zu deren Beseitigung beizutragen. Es gibt aber auch Hacker, die Sicherheitsbarrieren verbotenerweise umgehen und diese Lücken dann für Angriffe auf die Systeme nutzen. Was davon macht der Bundeswehrhacker? Darüber will loyal mit ihm sprechen. Doch das ist schwierig. Der Offizier ist Angehöriger einer verschwiegenen Militäreinheit, über die genauso wenig nach außen dringt wie über das Kommando Spezialkräfte. Der Name des Soldaten muss geheim bleiben. Immerhin ist der seines Teams bekannt: „Computer-Netzwerk-Operationen“. Das sind 80 Männer und Frauen, die Cyberkrieger der Bundeswehr. Laut Angaben der Bundeswehr lautet ihr Hauptauftrag, gegnerische Netze aufzuklären und „in ihnen zu wirken“. Das heißt auch, sie im Notfall lahmzulegen. Wie sie das genau machen, möchte loyal wis- 100 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren sen und bittet darum, die Arbeitsstätte der Cyberkrieger in der Tomburg-Kaserne im nordrhein-westfälischen Rheinbach besuchen zu dürfen. Doch den Cyberkriegern bei ihrer Arbeit über die Schulter zu schauen, wird uns nicht genehmigt. Loyal trifft den Cyberhacker im Besprechungsraum des Kommandos Cyber- und Informationsraum in Bonn. Wer in seiner Einheit mitmachen wolle, sagt der Bundeswehr-Hacker, müsse einen harten Eignungstest bestehen. Bewerber müssten zeigen, dass sie „um die Ecke denken“ und Schutzmaßnahmen wie Codes und Passwörter überwinden könnten. Ja, auch ein bisschen kriminalistischer Spürsinn gehöre dazu, um so etwas zu machen, sagt der Hacker. Doch wer einmal im Team sei, der bleibe. Die Einheit „Computer-Netzwerk-Operationen“ existiert seit 2005. Es gibt Soldaten, die es dort vom Leutnant zum Oberstleutnant schafften – ohne einmal versetzt zu werden. In anderen Verwendungen ist das unmöglich. Der Offizier, mit dem wir sprechen, und einige andere sind von Anfang an dabei. Der Hacker spricht selbstbewusst, klar, deutlich. Er wirkt stolz auf sein Team und das, was es kann. Doch der öffentliche Nachweis, dass seine Einheit wirklich eine scharfe Waffe im Netz ist, steht noch aus. Bisher üben die Mitglieder der „Computer-Netzwerk-Operationen“ Angriff und Verteidigung in eigenen, vom Internet abgeschlossenen Trainingsnetzwerken. Sie kämpfen dort gegeneinander, gegen Studenten oder auch gegen die Cyberkrieger befreundeter Länder. Sein Team wäre dabei sehr erfolgreich, sagt der Hacker. Nur Training, sonst nichts? „Nein, sonst nichts“, sagt der Offizier. Kein scharfer Einsatz? Schweigen. „Wenn die Netze der Bundeswehr angegriffen werden, dann dürfen wir uns auch wehren“, hatte Verteidigungsministerin Ursula von der Leyen im April vergangenen Jahres gesagt. Es war der Tag, an dem sie zur Aufstellung des neuen Organisationsbereichs Cyber- und Informationsraum (CIR) nach Bonn gereist war. Wie das Meer, der Luftraum, das All und das Land sollte nun auch der Cyberraum eine Dimension sein, in der die Bundeswehr operieren kann. Deshalb brauche sie eine eigene Teilstreitkraft „Cyber“. Bis 2021 sollen dem neuen Kommando nach und nach 13 500 Soldaten und 1 500 zivile Mitarbeiter unterstellt werden. Doch die allerwenigsten Soldaten des neuen Organisationsbereichs sind Cyber- 101 Egleder: Digitale Infanterie Krieger wie der Hacker, mit dem wir sprachen. Die meisten kümmern sich um die Sicherheit der Bundeswehrnetze. Das haben sie auch vorher schon getan. Nur unterstehen sie jetzt eben einem neuen Kommando, genauso wie die Soldaten aus der Elektronischen Kampfführung oder der Operativen Kommunikation. Weg von der Streitkräftebasis, hin zum neuen Organisationsbereich CIR. Das ist alles. Trotzdem ist das neue Kommando in mehrerer Hinsicht ungewöhnlich für die Bundeswehr. Da ist etwa das Gebäude. Bevor die Mitarbeiter des Kommandos in den hellen Glasbau am Park Rheinaue in Bonn einzogen, beherbergte es eine Anwaltskanzlei. An den Flurwänden hängen stimmungsvolle Landschaftsbilder. Ein Bauzaun umgibt das Gebäude, der militärtypische Stacheldraht fehlt noch. Ein Container vor dem Gebäude dient als Wachsitz. Hier ist Ludwig Leinhos der Chef. Der Generalleutnant hat Elektrotechnik studiert und ist ein „alter Hase“ im Cyber-Business. Bevor ihn Verteidigungsministerin Ursula von der Leyen mit dem Aufbau des neuen Organisationsbereichs beauftragte, war Leinhos in Brüssel verantwortlich für die Cyberverteidigung der NATO. Vor ein paar Monaten fuhr eine Abordnung seines Aufbaustabs zum Deutschland-Headquarter von Goo gle, um sich dort Anregungen zu holen. Was die Soldaten vorfanden, war ein Arbeiten ohne Hierarchien, ohne feste Büroplätze, sowie ein offener Umgang mit Fehlern. Vieles sei nicht übertragbar auf das Militär, sagt ein Mitglied dieser Delegation. Manches aber schon. Zum Beispiel transparenteres Arbeiten an gemeinsamen Projekten. Im Kommando nutzt man jetzt die Software „Sharepoint“, als virtuelle Plattform, in der die Mitarbeiter Daten und Dokumente teilen – über Abteilungen und Hierarchien hinweg. Das kommt an. Die Mitglieder des Kommandos beschreiben die Arbeit als sehr angenehm: entspannter Umgangston, vereinfachte Wege, schnellere Entscheidungen. Leinhos ist freundlich, beredt, fachkundig. Ein Profi. Er sagt, die Bundeswehr müsse im Cyber- und Informationsraum aufklären und wirken können. Ein Allgemeinplatz. Doch wenn es in die Details geht, ist es vorbei mit seiner Auskunftsfreude. Sind die Cyberhacker schon einmal eingesetzt worden? „Dazu möchte ich nichts sagen“, sagt Leinhos. Und: „Dazu brauchen wir ein politisches Mandat oder eine andere rechtliche Grundlage.“ Aber allein dass es das Team der „Computer-Netzwerk-Operationen“ gebe, habe schon erhebliche Vorteile. Ein gezielter Cyberan- 102 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren griff könne potenzielle Gegner empfindlich treffen, ohne gleich Infrastruktur zu zerstören oder Menschenleben zu gefährden. Neuer Versuch: Der „Spiegel“ berichtete, die Bundeswehr-Hacker seien im Herbst 2015 in die Rechner eines afghanischen Mobilfunkbetreibers eingedrungen, um Informationen über die Entführer einer deutschen Entwicklungshelferin zu gewinnen. Damit würden sie also nicht nur Angriffe trainieren, sondern tatsächlich führen. Stimmt das? „Da müssen Sie Ihre Kollegen fragen“, sagt Leinhos und lächelt. Nichts zu machen. Es ist wie beim Gespräch mit KSK-Soldaten: Wer nach konkreten Einsätzen fragt, erntet Schweigen. Vielleicht ist auf der Konferenz „Das neue digitale Gefechtsfeld“ in Koblenz mehr über den Kampf der Bundeswehr im Cyberraum zu erfahren. Die Veranstaltung wird vom Bundesamt für Ausrüstung, Informationstechnik und Nutzung (BAAINBW) ausgerichtet. Dort sollen die Auswirkungen der digitalen Aufrüstung auf Sicherheit und Souveränität diskutiert werden. Die Koblenzer Rhein-Mosel-Halle ist gut gefüllt. Etwa 400 IT-Unternehmer, Soldaten und Ministeriumsmitarbeiter sind angereist. Die Stimmung ist gelöst, das Grußwort des Koblenzer Oberbürgermeisters launig. Er witzelt über die große Präsenz der Bundeswehr in seiner Stadt. Es gebe keine Bauplätze mehr, weil sie alles belegt habe. Lachen im Publikum. Dann wird es ernst. Verteidigungsstaatssekretärin Katrin Suder sagt, sie könne wegen der „großen Gefahren im Cyberspace“ nicht mehr ruhig schlafen. Sechs Milliarden vernetzte elektronische Geräte gebe es auf der Welt, allein die Deutschen besäßen 60 Millionen Smartphones. Für einen Angreifer sei das ein enormes Zielpotenzial. Auch die nachfolgenden Referenten betonen vor allem die Gefahren der Digitalisierung. Die Attacken auf die Regierungsnetze würden immer komplexer und zerstörerischer, sagt der Beauftragte der Bundesregierung für Informationstechnik, Klaus Vitt. Am Nachmittag läuft James Bond. Brigadegeneral Christian Leitges bedient sich des berühmtesten Filmagenten der Welt, um einen Punkt klar zu machen: Heutige Waffensysteme wie Schiffe sind vor Hackern nicht sicher. Der Filmausschnitt aus „Der Morgen stirbt nie“, 1997 veröffentlicht, zeigt die Kommandobrücke einer britischen Fregatte. Per Funk 103 Egleder: Digitale Infanterie wirft die chinesische Küstenwache der Schiffsbesatzung vor, sich in chinesischen Gewässern zu befinden und fordert sie auf, einen chinesischen Hafen anzulaufen. Der Navigator des Schiffs dagegen ist sich sicher, sich in internationalen Gewässern aufzuhalten. „Können wir absolut sicher sein, was unsere Position betrifft?“ fragt der Kommandant. Der Navigator antwortet: „Ja, per Satellit exakt bestimmt.“ Doch in Wahrheit hat der Cyber-Terroristen Gupta das GPS-Navigationssystem manipuliert. Sein Ziel ist es, die Chinesen gegen die Briten aufhetzen und zu einem Krieg anzustacheln. Leitges lässt den Filmausschnitt unkommentiert. Doch es liegt nahe, was er mit der Vorführung bezweckt. Moderne Kriegsschiffe, sagt er, seien voller Computer. Vom Belüftungssystem über die Brandmeldeanlagen bis zu den Waffensystemen und zur Navigationsanlage – alles sei rechnerbasiert und vernetzt. Hackern gibt das ganz viel Angriffsfläche. Deshalb, sagt Leitges, sei es sehr wichtig, immer mit den neuesten Betriebssystemen zu arbeiten. Da seien Sicherheitslücken und Schwachstellen voriger Versionen behoben. Mit dem Aufspielen neuer Betriebssysteme sei die Bundeswehr bisher allerdings recht nachlässig. Das verwundert nicht: Aktualisierungen kosten Geld und Zeit. Das eine hatte die Bundeswehr lange zu wenig, das andere fehlt ihr noch heute. In den Pausen preisen Firmenvertreter die Vorteile ihrer IT-Lösungen an. Einer meint, was die Bundeswehr bisher im Cyberraum könne, sei lachhaft. Die Chinesen aber, weiß er, die hätten bereits ganze Cyberarmeen. Der Chef einer IT-Firma erklärt die Waffensysteme der Bundeswehr für unsicher. Das Problem, sagt er, beginne schon bei der Produktion. Hersteller könnten gar nicht überprüfen, ob sich alle Zulieferer an die Sicherheitsstandards bei der Produktion ihrer Kleinteile hielten. Für illoyale Mitarbeiter sei es leicht, Schadsoftware einzubauen, die dann wie ein feindlicher Spion im Waffensystem schlummere. Am Ende der Konferenz bleibt ein diffuses Unsicherheitsgefühl. Doch wie „heiß“ der Krieg im Netz tatsächlich ist und ob die Bundeswehr ihn schon führt, das war auf der Tagung in Koblenz nicht zu erfahren. Vielleicht kann Oberstleutnant Marco Krempel mehr sagen. Während der Bundeswehrhacker der „Computer-Netzwerk-Operationen“ für den Angriff verantwortlich ist, ist Krempel für die Verteidigung der Bundeswehrrechner zuständig. Er führt eine Einheit mit dem sperrigen Namen „Cyber Security Operations Centre“ und ist damit für den Schutz von 104 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren rund 200 000 Computern der Bundeswehr zuständig. Krempel ist praktisch der oberste Viren- und Trojanerjäger der Bundeswehr. Es sind seine Leute, die sich von Euskirchen aus aufmachen, wenn an einem Standort irgendwo im Land ein System ausfällt und der Administrator nicht mehr weiter weiß. Krempels derzeit rund 40 Mitarbeiter sind eine Art Quick Reaction Force für Computernetzwerke. Rund 40 bis 60 Schadprogramme bearbeite sein Team mit anderen Bundeswehreinheiten pro Woche, sagt er. Meist versuchten sie es zunächst mit einer Ferndiagnose: Ist das System vielleicht nur überlastet? Oder handelt es sich um einen Sicherheitsvorfall oder gar einen Angriff? Ist letzteres der Fall, fahren sie los. „Wie die Feuerwehr“, sagt er. Vor Ort versuchen Krempels Leute dann in detektivischer Kleinarbeit herauszufinden, was in den Rechnern passiert ist. Sie fischen Schnipsel aus dem Arbeitsspeicher oder werten Daten aus Sensoren aus. Ein wirklich spektakulärer Fall sei ihnen noch nicht untergekommen, sagt Krempel. Sie würden überwiegend mit Angriffen konfrontiert, die auch private Computernutzer kennen, etwa Schadsoftware, die sich durch das Öffnen von E-Mail-Anhängen auf dem Computer ausbreite. Wer die Angreifer sind, sei in den allermeisten Fällen unklar, vermutlich stünden hinter den meisten Attacken Kriminelle. Einen gut geplanten, konzertierten Angriff, der klar einem anderen Staat zuzurechnen sei, habe er noch nie erlebt. Grundsätzlich seien seine Mitarbeiter gut ausgebildet und die meisten Bundeswehrangehörigen für Cybergefahren sensibilisiert. Also kein Grund zur Panik? Krempel lächelt. Er wolle nicht übermütig klingen, erklärt er, könne aber selbstbewusst sagen, dass der Schutz der Bundeswehrrechner auf dem neuesten Stand sei. Aber, klar, absolute Sicherheit gebe es nicht. Noch ein Allgemeinplatz, aber mit Blick auf die Waffensysteme der Bundeswehr klingt er beunruhigend. In einem Eurofighter beispielsweise sind zahlreiche Computer verbaut. Der Kampfjet ist ein fliegender Rechner. Kann er abstürzen, wenn er gehackt wird? „Nein“, sagt Michael Gerhards, der Leiter der deutschen Cybersecurity-Abteilung bei Airbus. Airbus ist eines der Unternehmen, die den Eurofighter entwickelt haben und noch immer bauen. Gerhards versichert, sensible Kommunikation 105 Egleder: Digitale Infanterie zwischen den verschiedenen Rechnern des Eurofighters und seiner Umwelt werde verschlüsselt. Ein Zugriff aus dem Internet sei unmöglich, weil der Eurofighter ein in sich abgeschlossenes System sei. Und sollten doch einmal wichtige Computer ausfallen, würde er trotzdem nicht gleich vom Himmel fallen. Dann übernähmen andere Komponenten das Fliegen. „Redundanzen“, nennt Gerhards das. Wer die Eurofighter-Netze angreifen will, muss also von Innen kommen. Ein Virus, ein Trojaner oder ein Computerwurm wie einst Stuxnet, mit dem vor sieben Jahren die Leittechnik iranischer Atomanlagen manipuliert wurde – das ist die größte Cyber-Gefahr für den Eurofighter. Dieser „Innentäter“ kann nur aus der Truppe kommen – oder beim Hersteller arbeiten. Das aber, sagt Gerhards, sei so gut wie ausgeschlossen. Jeder Airbus-Mitarbeiter an sensiblen Stellen des Produktionsprozesses sei sicherheitsüberprüft, und zwar nach strengen Maßgaben. Bewerber müssten zum Beispiel mehrere Bürgen angeben. Auch von Zulieferfirmen, die sensible Bauteile fertigen, verlange Airbus eine penible Sicherheitsüberprüfung der Mitarbeiter und der Produktion, berichtet Gerhards. Sind die Waffensysteme der Bundeswehr also vor feindlichen Netzattacken sicher? Thomas Reinhold, Experte für Cyberwar und IT-Sicherheit beim Hamburger Institut für Friedensforschung und Sicherheitspolitik, bezweifelt das. „Bei der Beschaffung hieß es in der Vergangenheit doch stets: Billig vor sicher“, sagt er. IT-Sicherheit habe in der Bundeswehr keine Priorität gehabt. Das allerdings hat sich inzwischen geändert. Die Aufstellung des Kommando CIR hat dazu geführt, dass bei neuen Rüstungsprojekten nun von Anfang an Cyber-Experten verstärkt auch die IT-Sicherheit der neuen Systeme im Blick haben. Damit all die neuen Aufgaben im Cyberraum auch bewältigt werden können, sucht die Bundeswehr jetzt erst einmal Personal. Vor allem IT- Feldwebel werden gebraucht. An der Bundeswehruniversität in München entsteht ein Forschungsbereich „Cybersicherheit“ mit 13 neuen Professuren. Zulagen für besonders qualifiziertes Personal werden diskutiert, genauso wie von der Bundeswehr organisierte LAN-Parties. Auch Ludwig Leinhos ist solchen Plänen gegenüber aufgeschlossen. Er geht sogar noch weiter: „Wir müssen unsere Laufbahnen überdenken“, sagt er. Neben dem truppendienstlichen Weg soll es für IT-Experten auch einen fachlichen Weg geben, um in der Bundeswehr Karriere zu machen. 106 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Die Cyberhacker der „Einheit Computer-Netzwerk-Operationen“ jedenfalls können sich über Bewerbermangel nicht beklagen, sagt deren Mitglied im Interview. Viele junge Leute wollten Hacken und gleichzeitig etwas für ihr Land tun. Wo außer bei uns könne man das tun?, fragt der Cyberkrieger. Es ist eine rhetorische Frage. 107 Cyber-Reserve So hilft die RAG Cyber bei der Suche nach IT-Experten von Benjamin Vorhölter Wie kommt die Bundeswehr an qualifiziertes Personal für den Aufbau des Kommandobereichs Cyber- und Informationsraum? Der Reservistenverband kann unterstützen. Eine stets sichere Kommunikation, wünscht Mario Hempel. Hinter dieser Grußformel steckt mehr als nur eine höfliche Verabschiedung. Der IT-Berater weiß nur zu gut, was Schadprogramme und Viren anrichten können. Wer unbedarft einen Mailanhang öffnet oder einen privaten USB-Stick in den dienstlichen Computer steckt, kann Tür und Tor für das Ausspähen von Daten oder schlimmer, einen zielgerichteten Angriff auf Netzwerke und Infrastruktur öffnen. „Die Angriffe auf unsere Systeme und Netze kommen täglich, unabhängig von Begriffen wie Frieden, Krise, Konflikt oder Krieg“, sagte Ursula von der Leyen am 5. April 2017. Die Bundesministerin der Verteidigung stellte an diesem Tag das neue Kommando Cyber- und Informationsraum (Kdo CIR) in den Dienst. Die Bundeswehr hat unter dem neuen Kommando sämtliche IT-Strukturen- und Kapazitäten gebündelt und wappnet sich gegen Bedrohungen aus dem Cyberraum. Ein Großteil der Soldaten des neuen Kommandos beschäftigt sich damit, eine IT-Sicherheitsarchitektur einzurichten und zu betreiben. Eine kleine Anzahl von Soldaten soll aber auch in der Lage sein, feindliche Netzwerke anzugreifen. Die Bundeswehr sucht vor diesem Hintergrund mit dem werbewirksamen Slogan „Wann darf man Hacker hacken?“ IT-Nachwuchs. „Der 108 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Bedarf an IT-Fachkräften ist groß“, sagt Mario Hempel. Aus seiner Sicht wisse die Bundeswehr oft nicht, wo geeignetes Personal zu finden sei. An dieser Stelle könne der Reservistenverband mit der neu gegründeten Reservistenarbeitsgemeinschaft (RAG) Cyber helfen, ist sich der Oberstleutnant d.R. sicher. Am Rande der Jahrestagung der Reserve hat sich die RAG Cyber gegründet. Es ist eine Initiative, die auf Mario Hempel als Cyberbeauftragten des Reservistenverbandes und Tobias Zech, Stellvertreter des Präsidenten des Reservistenverbandes, zurückgeht. Die RAG soll beim Aufbau einer Cyber-Reserve helfen. Das ist ein Teil des Auftrages des neu aufgestellten Kommandos. „Mit dem Aufbau einer Cyber-Reserve sollen die bisher ungenutzten Potenziale von hochqualifizierten Cyberspezialisten für die Aufgabenwahrnehmung bei der gesamtstaatlichen Sicherheitsvorsorge und dem Wirken des Kdo CIR zur Verfügung gestellt und besser genutzt werden”, heißt es in der Weisung der Reserve 2017/2018. Gemäß dieser Weisung bittet der Stellvertreter des Generalinspekteurs der Bundeswehr den Reservistenverband darum, „im Rahmen seiner Struktur bei der Identifizierung von geeigneten Reservistinnen und Reservisten sowie Ungedienten zu unterstützen.” Wie das funktionieren soll, darüber hat Mario Hempel als Leiter der RAG Cyber bereits nachgedacht: Die Reservistenarbeitsgemeinschaft soll als zentrale Anlaufstelle fungieren. Die RAG steht dabei in Kontakt mit dem Stellvertretenden Inspekteur des Kdo CIR, der gleichzeitig Beauftragter für Reservistenangelegenheiten ist. Mit Generalmajor Michael Vetter haben schon konkrete Besprechungen stattgefunden, berichtet Mario Hempel. Das Kdo CIR versuche, einen eigenen Personalpool an Reservisten aufzubauen. Es sei sehr interessiert an der RAG Cyber. „Wir haben vereinbart, solange sich das Kdo CIR im Aufbau befindet, wollen wir in die Lücke einspringen und bei Rekrutierungsmöglichkeiten unterstützen. Zudem bieten wir in Kürze Weiterbildungs- und Fortbildungsangebote für die Mitglieder im Verband zum Thema Cyber an“, sagt Oberstleutnant d.R. Hempel. Der Reservistenverband kenne seine Mitglieder und könne mithilfe seiner Gliederungen und seines Netzwer- 109 Vorhölter: Cyber-Reserve kes gezielt auf Reservisten mit IT-Expertise oder ähnlich relevanten Fähigkeiten zugehen, sagt der Cyberbeauftragte über den Startvorteil, den der Reservistenverband bei der Personalsuche hat. Um diesen Vorteil nutzen zu können, arbeitet Mario Hempel mit dem Reservistenverband an einer Mitgliederdatenbank, in der Informationen über die Qualifikationen und Cyberfähigkeiten gespeichert sind. Derzeit gebe es noch keine Kriterien, welche Fähigkeiten die Bundeswehr im Bereich Cyber- und Informationsraum benötigt, sagt Mario Hempel. „Wir versuchen vorzudenken.“ Infrage kommt aus Hempels Sicht nicht nur der Grenadier, der im IT-Zentrum arbeitet. Es werden Juristen benötigt, die sich mit schwierigen rechtlichen Fragen auseinandersetzen müssen. Da bei Cyberangriffen ein eindeutiger Verursacher häufig nicht identifiziert werden kann, müssen Juristen bewerten können, ob es sich bei einem Cyberangriff um einen kriminellen oder um einen kriegerischen Akt handelt. Das Kdo CIR braucht Journalisten, die Fakten verifizieren können und somit auf Fake News-Kampagnen reagieren können. Das neue Kommando benötigt Sozialwissenschaftler, die Daten erheben und auswerten können. Zudem werden Geowissenschaftler, Experten aus dem Wirtschafts- und Finanzwesen, aus der Energiebranche sowie der Logistik, Staatswissenschaftler und Verwaltungsexperten benötigt. Seiteneinsteiger sind ebenfalls willkommen und werden auf einen Pool von Schulungen über den Verband Zugriff haben.Mithilfe einer Mitgliederdatenbank strebt die RAG Cyber an, eine Cyber Community aufzubauen. Fachleute sollen die RAG als Plattform und zur Fortbildung nutzen. Die Reservistenarbeitsgemeinschaft soll Gelegenheit zu regelmäßigen Treffen und Übungen geben. Der Vorteil für Reservisten und Ungediente ist, dass für die RAG Cyber keine Beorderung und kein Dienstposten nachgewiesen werden muss, um an einer Ausbildungsveranstaltung teilnehmen zu können. Auf einer Auftaktveranstaltung Mitte 2018 soll die RAG Cyber mit ihrer Community und Ausbildungsmöglichkeiten vorgestellt werden, verspricht Mario Hempel. Kommunizieren sollen die Mitglieder der Cyber-Community über eine App. „Wir erkunden uns über eine praktikable marktgängige Kommunikationsplattform, die selbstverständlich den Ansprüchen der Datensicherheit und des Datenschutzes genüge tragen“, verrät Oberstleutnant d.R. Hempel. Der Verband habe diesbezüglich Kontakt mit dem 110 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Cyber Innovation Hub der Bundeswehr und dem Kompetenzzentrum für Reservistenangelegenheiten der Bundeswehr aufgenommen. Natürlich sollen die Reservisten der RAG Cyber dafür sorgen, dass Informationen rund um das Thema Cyber-Reserve die Gliederungen des Verbandes und die Mitglieder des Verbandes erreichen. Während der Jahrestagung der Reserve haben schon mehrere Vorsitzende einer Landesgruppe ihn gefragt, ob er als Cyberbeauftragter einen Vortrag halten könne, berichtet Mario Hempel. Vor Ort können die Ehrenamtlichen und die hauptamtlichen Mitarbeiter des Reservistenverbandes gezielt die Reservisten ansprechen. Wenn die Sprachfunktionen des Smartphones, des Computers, des Fernsehers und von Sprachboxen wie Siri zuhause mithören können, was intim bleiben sollte, wird deutlich: Cybersicherheit geht alle etwas an.

Zusammenfassung

Unwägbarkeiten im Internet betreffen Bundeswehr, zivile Infrastruktur und nicht zuletzt auch deutsche Unternehmen und Schlüsselindustrien gleichermaßen. Dabei besteht die Gefahr, dass militärische Daten gestohlen oder aber vertrauliche Informationen, wie z. B. Patente oder auch Dokumente aus dem Bereich der Politik mit außen-, verteidigungs-, sicherheits- oder rüstungspolitischen Bezügen, von Behörden und Unternehmen gehackt werden. Unter der Überschrift „‚Cyber Security‘. Angriffe verhindern und abwehren – Militärische und zivile Infrastrukturen schützen“ wollen Konferenz und Tagungsband für die Aktualität ihres Themas sensibilisieren, Gefahren aufzeigen und mögliche Lösungsansätze präsentieren. Mit Beiträgen von Eberhard Grein, Oswin Veith, Hans-Peter von Kirchbach, Jürgen Jakob Setzer, Hans-Christian Witthauer, Martin Unterberger, Lennart Oly, Uli Lechte, Bernd Schlömer, Philipp S. Krüger, Patrick O’Keeffe, Martin Unterberger, Julia Egleder, Benjamin Vorhölter

References

Zusammenfassung

Unwägbarkeiten im Internet betreffen Bundeswehr, zivile Infrastruktur und nicht zuletzt auch deutsche Unternehmen und Schlüsselindustrien gleichermaßen. Dabei besteht die Gefahr, dass militärische Daten gestohlen oder aber vertrauliche Informationen, wie z. B. Patente oder auch Dokumente aus dem Bereich der Politik mit außen-, verteidigungs-, sicherheits- oder rüstungspolitischen Bezügen, von Behörden und Unternehmen gehackt werden. Unter der Überschrift „‚Cyber Security‘. Angriffe verhindern und abwehren – Militärische und zivile Infrastrukturen schützen“ wollen Konferenz und Tagungsband für die Aktualität ihres Themas sensibilisieren, Gefahren aufzeigen und mögliche Lösungsansätze präsentieren. Mit Beiträgen von Eberhard Grein, Oswin Veith, Hans-Peter von Kirchbach, Jürgen Jakob Setzer, Hans-Christian Witthauer, Martin Unterberger, Lennart Oly, Uli Lechte, Bernd Schlömer, Philipp S. Krüger, Patrick O’Keeffe, Martin Unterberger, Julia Egleder, Benjamin Vorhölter