Bericht Cyber Sicherheit 2016
Transcription
Bericht Cyber Sicherheit 2016
Bericht Bericht Cyber Sicherheit Cyber Sicherheit 2016 2016 Bericht Cyber Sicherheit 2016 Wien, Mai 2016 Impressum Medieninhaberin, Verlegerin und Herausgeberin: Cyber Sicherheit Steuerungsgruppe Ballhausplatz 2, 1010 Wien Grafische Gestaltung: BKA Design & Grafik Wien, im Mai 2016 Inhalt Einleitung 5 1 Cyber Lage / Bedrohungsanalyse 6 1.1 Übersicht über konkrete Bedrohungen 6 1.1.1 Methodologie und Fragestellungen 6 1.1.2 Erkenntnisse 7 1.1.3 Abgeleitete Handlungsempfehlungen 12 1.1.4 Ergänzende Lagebeurteilung des BMLVS 15 1.2 Darstellung ausgewählter Phänomene 16 1.2.1 Distributed Denial of Service 16 1.2.2 Ransomware 17 1.2.3 CEO Betrug 17 1.2.4 SOFACY 18 1.2.5 Netzhygiene 19 2 Internationale Entwicklungen 21 2.1 Europäische Union 21 2.1.1 ENISA und NIS-Richtlinie 21 2.1.2 Kooperationen 22 2.1.3 European Cyber Security Month 22 2.2 Vereinte Nationen 22 2.3 NATO 23 2.4 OSZE 24 2.5 OECD 24 2.6 Österreich in anderen cyber-relevanten internationalen Foren 25 2.7 Nationalstaaten 25 2.7.1 Vereinigte Staaten von Amerika 25 2.7.2 Russische Föderation 25 2.7.3 Volksrepublik China 26 2.7.4 Deutschland 27 2.7.5 Vereinigtes Königreich 27 2.7.6 Frankreich 28 3 Nationale Entwicklungen 29 3.1 Akteure und Strukturen 29 3.1.1 Operative Strukturen 29 3.1.2 Cyber Security Center 30 3.1.3 Cyber Verteidigungszentrum und militärisches Computer Emergency Response Team 30 3.1.4 GovCERT und CERT.at 31 3.1.5 CERT-Verbund 31 3.1.6 Heeresnachrichtenamt 31 3.1.7 Cyber Crime Competence Center 32 3.1.8 Cyber Sicherheit Plattform 32 3.1.9 Austrian Trust Circle 32 3.1.10 IKT-Sicherheitsportal 33 3.2 Umsetzung ÖSCS 33 4 Cyber Übungen 35 4.1 Strategic Decision Making in Cyber Security (EU / national) 35 4.2 Cyber Coalition (NATO) 35 4.3 Locked Shields (NATO) 36 4.4 Crossed Swords (NATO) 36 5 Zusammenfassung / Ausblick 37 Anlage A – Abkürzungsverzeichnis 39 Einleitung Die Österreichische Strategie für Cyber Sicherheit (ÖSCS) legt fest, dass durch die Cyber Sicherheit Steuerungsgruppe ein jährlicher Bericht zur Cyber Sicherheit in Österreich erstellt wird. Der letzte Bericht wurde im März 2015 von der Cyber Sicherheit Steuerungsgruppe beschlossen und den thematisch involvierten Regierungsmitgliedern zur Kenntnis gebracht. Der vorliegende Bericht Cyber Sicherheit 2016 baut auf den Inhalten des letztjährigen Berichtes auf und ergänzt diesen um aktuelle Entwicklungen mit einem Schwergewicht im operationellen Bereich. Zielsetzung des Berichtes ist eine zusammenfassende Darstellung der Cyber Bedrohungen und wesentlicher sonstiger nationaler und internationaler Entwicklungen. 5 1 Cyber Lage / Bedrohungsanalyse Die heutige Gesellschaft ist immer mehr von den technischen Errungenschaften und in weiterer Folge von der Verfügbarkeit, Vertraulichkeit und Integrität von Information abhängig. Staaten, Gruppierungen, aber auch kriminelle Akteure nutzen die Werkzeuge der IKT immer häufiger zu ihrem Vorteil; kriminelle Aktivitäten über das Internet nehmen stetig zu. Sowohl die Akteure als auch die angewandten Methoden, die benötigten Ressourcen und die Effektivität der Angriffe variieren dabei in einem sehr breiten Rahmen. 1.1 Übersicht über konkrete Bedrohungen Eine zentrale Zielsetzung dieses Berichts ist eine zusammenfassende Darstellung von konkreten, aktuellen Cyber Bedrohungen im Berichtszeitraum, sowie wesentlicher nationaler und internationaler Entwicklungen. Staatliche Stellen sehen im Rahmen ihrer Tätigkeit unmittelbar naturgemäß lediglich einen Ausschnitt der in Österreich aufgetretenen Cyber Vorfälle. Um in diesem Bereich jedoch ein möglichst valides und vollständiges Bild der Situation in Österreich zu zeichnen, wurden zusätzlich führende private Unternehmen aus der Cyber Security Branche eingebunden. 1.1.1 Methodologie und Fragestellungen In diesem Sinne wurde eine Reihe von Unternehmen1 über die »TOP5-Vorfallsarten« befragt, mit deren Behandlung sie sich im Beobachtungszeitraum konfrontiert sahen. Das Interesse galt dabei nicht konkreten Einzelfällen, sondern vielmehr einer abstrahierten Überblicksdarstellung. Von den Unternehmen und Institutionen wurden ausschließlich anonymisierte, aggregierte und nicht Einzelfällen bzw. -kunden zuordenbare Daten und Einschätzungen übermittelt. Die zentrale Frage war, mit welchen fünf Typen von Cyber Vorfällen (z. B. Distributed Denial of Service – DDoS, Ransomware, Sabotage, Wirtschaftsspionage, Hacktivism, Betrug, Phishing) die Sicherheitsunternehmen im Rahmen ihrer Geschäftstätigkeit am häufigsten konfrontiert waren2. Die befragten Unternehmen wurden unter anderem ersucht, jede der fünf genannten Vorfallsarten separat mit folgenden Informationen anzureichern: •• •• •• Anteil der Vorfallsart an allen bearbeiteten Vorfällen Trend der Vorfallsart im Vergleich zum Vorjahr Zuordnung der Anteile von Vorfällen zu Unternehmensgrößen Die letzte Information, die jedoch von zentraler Bedeutung ist, waren frei formulierte »Lessons Learned« zu jeder beschriebenen Vorfallsart. 1 2 6 Unter anderem nahmen die Unternehmen ACOnet-CERT, KPMG Advisory GmbH, Microsoft Österreich GmbH, SBA Reserach GmbH, T-Systems Austria GesmbH, an der Befragung teil. Von den Sicherheitsunternehmen wurden keine absoluten Zahlen, sondern lediglich prozentuelle Aufschlüsselungen übermittelt. Aus diesem Grund wurde im Zuge der Analyse die Annahme derselben Anzahl an Vorfällen pro Sicherheitsunternehmen unterstellt. Diese Rahmenbedingung und die vergleichsweise kleine, nicht repräsentative Auswahl an Sicherheitsunternehmen, lässt selbstverständlich keine wissenschaftlich fundierte Analyse zu. 1.1.2 Erkenntnisse Vorfallsarten Im Folgenden sind die jeweiligen Reihungen der Sicherheitsunternehmen zum einen tabellarisch angeführt (jede Spalte entspricht dabei einem der befragten Unternehmen), und zum anderen auch als Gesamtüberblick dargestellt. Unternehmen 1 Unternehmen 2 Unternehmen 3 Unternehmen 4 Unternehmen 5 Unternehmen 6 Rang 1 Vulnerabilities Ransomware Betrug Ransomware Ransomware Ransomware Rang 2 Botnet-Drohne Phishing Hackitvism Betrug / Phishing Phishing Phishing Rang 3 Outgoing SPAM Betrug Ransomware Wirtschaftsspionage Betrug Compliance Rang 4 DDoS SCAM Wirtschaftsspionage Sabotage DDoS DDoS Rang 5 USB-Keylogger Wirtschaftsspionage Datendiebstahl Targeted Ransomware Wirtschaftsspionage Abb. 1: Reihung der Vorfallsarten nach Unternehmen Im Überblick ergibt sich dabei folgendes Bild: 1% 2% 1% 1% – 0% 0% Ransomware Betrug Phishing Vulnerability Botnet-Drohne Wirtschaftsspionage Hacktivism DDos Datendiebstahl SCAM 0% 3% 4% 5% 37% 6% Compliance Outgoing SPAM Sabotage Targeted Ransomware USB-Keylogger 7% 14% 19% Abb. 2: Gesamtüberblick Vorfallsarten 7 Auf Basis dieser Betrachtung kann abgeleitet werden, dass die Vorfallsarten Ransomware und Betrug / Phishing mehr als 70 % der durch diese Unternehmen insgesamt bearbeiteten Vorfälle ausmachen. Trends Hinsichtlich der Trends zeigt sich bei den meisten Vorfallsarten ein uneinheitliches Bild. Ein über alle Unternehmen einheitlicher Trend ist nur bei den Vorfallsarten Ransomware und DDoS zu erkennen, die beide eine klar steigende Tendenz aufweisen. Unternehmen 1 Ransomware Betrug Phishing & " Vulnerabilities Botnet-Drohne Wirtschaftsspionage Unternehmen 2 Unternehmen 3 Unternehmen 4 Unternehmen 5 Unternehmen 6 & " & & & & ( ( & " " & & " " " ( Hacktivism & DDoS Datendiebstahl & SCAM & " ( Sabotage Targeted Ransomware & USB-Keylogger Abb. 3: Trends in den einzelnen Vorfallsarten & " Compliance Outgoing SPAM & " & Insgesamt zu bemerken ist, dass die Mehrzahl der Cyber Vorfälle eine steigende Tendenz aufweist, die Bedrohungslage also insgesamt ansteigend erscheint. 8 Ein alles dominierender Trend zeigt sich insbesondere bei Ransomware. Dieser signifikante nationale Anstieg wird durch internationale Untersuchungen bestätigt. Die folgende Grafik »Ransomware detections from August 2015 to March 2016« des amerikanischen Sicherheitsunternehmens FireEye (Quelle: https://www.fireeye.com/blog/threat-research/2016/05/ ransomware_activity.html) zeigt das Verhältnis erkannter Ransomware-Angriffe gegenüber der Gesamtheit aller Malware-Angriffe. Abb. 4: Anzahl erkannter Ransomware-Angriffe Percentage of FireEye NX and EX Appliances Sharing Information with Fire Eye Dynamic Threat Intelligence Detecting Ransomware 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0% October 2015 November December 2015 2015 January 2016 Febuary 2016 March 2016 9 Zuordnung der Anzahl der Vorfälle zu Unternehmensgrößen Die Zuordnung der Anzahl der Vorfälle zu Unternehmensgrößen zeigt aufgrund der teils unterschiedlichen Kundengruppen der befragten Unternehmen (z. B. Sicherheitsunternehmen, die ausschließlich Großkunden betreuen) kein repräsentatives Bild. Die Darstellungen geben somit nur einen Hinweis auf die jeweilige Verteilung3. Betrug Ransomware kleinst (<10) klein (10– 50) mittel (51– 250) groß (>250) 7% 8% 10,4% 2% 5% 18,9% 63,9% 85% Phishing Wirtschaftsspionage 1% 13% 24% 9% 56% 22% 69% DDos 6% SCAM 11% 23% 15% 50% 77% 24% Abb. 5: Zuordnung der Anzahl an Vorfällen zu Unternehmensgrößen 3 10 Die befragten Unternehmen gaben nicht für jede genannte Vorfallsart eine Aufschlüsselung nach den jeweiligen Unternehmensgrößen bekannt. Vorfallsarten einzelner Unternehmen, für die keine Aufschlüsselung vorliegt, bleiben in der folgenden Analyse unberücksichtigt. Dadurch kann es zu Verzerrungen gegenüber der oben dargestellten Gesamtübersicht kommen. Trotzdem kann abgelesen werden, dass große und teilweise auch mittlere Unternehmen überproportional stark von Cyber Angriffen betroffen sind. Generell nimmt die Betroffenheit mit der Unternehmensgröße ab. Dies kann jedoch möglicherweise auch daran liegen, dass mit zunehmender Unternehmensgröße auf Seiten der Opfer die Bereitschaft (bzw. die Möglichkeit), einen kommerziellen Sicherheitsanbieter zu konsultieren, zunimmt. Im Umkehrschluss kann (unter denselben Einschränkungen) dargestellt werden, mit welchen Cyber Bedrohungen sich Unternehmen verschiedener Größe in der Regel konfrontiert sehen. kleinst (<10) 3% 3% 1% klein (10– 50) Ransomware Betrug Phishing Vulnerability Botnet-Drohne Wirtschaftsspionage Hacktivism DDos 18% 40% 30% 48% 17% 14% 26% 3% 3% mittel (51– 250) groß (>250) 4% 1% 4% 7% 8% 37% 6% 26% 3% 58% 13% 27% Abb. 6: Cyber Bedrohungen je nach Unternehmensgröße Eindeutig ersichtlich in diesem Zusammenhang ist, dass für Unternehmen jeglicher Größe stets Ransomware und Betrug / Phishing – zumindest quantitativ betrachtet – die Hauptbedrohungen darstellen. Bemerkenswert erscheint dabei die starke Dominanz von Ransomware-Angriffen quer durch alle Unternehmensgrößen. Ebenfalls auffällig ist, dass sich (auf Basis der zur Verfügung stehenden Daten) DDoS-Angriffe ausschließlich gegen mittlere und große Unternehmen richten. 11 1.1.3 Abgeleitete Handlungsempfehlungen Die befragten Unternehmen wurden ersucht, zu jeder beschriebenen Vorfallsart frei formulierte »Lessons Learned« bzw. Handlungsempfehlungen anzufügen. Die folgende Zusammenstellung ist daher keine abschließende Sammlung von Verhaltensrichtlinien, sondern lediglich eine Zusammenstellung der eingegangenen Informationen, aus der sich Schwerpunkte ablesen lassen. Ransomware Problembewusstsein bzw. Awareness aller Mitarbeiterinnen und Mitarbeiter sind unverzichtbare Grundlagen jedes Schutzkonzepts. Hier sind oft Defizite zu beobachten. Insbesondere müssen den Mitarbeitern die Konsequenzen und Auswirkungen einer möglichen Infektion für das Unternehmen bewusst sein. Sicherheitsrichtlinien müssen nicht nur existieren, sondern auch gelebt werden. Um die Erstinfektion erfolgreich verhindern zu können, sind eine ganze Reihe von Maßnahmen sinnvoll. Keine davon garantiert für sich betrachtet absolute Sicherheit, sinnvoll kombiniert reduzieren sie aber das Risiko erheblich. Dazu zählen vor allem ein flächendeckender, einheitlicher und aktueller Viren-, Malware- und SPAM-Schutz auf allen Servern und Endgeräten, sinnvolle Härtung von Endgeräten (z. B. Flash, Java, JavaScript, Makros, Ausführungsbeschränkungen für ausführbare Dateien), striktes Berechtigungsmanagement (keine lokalen Admin-Rechte, dedizierte Admin-Geräte, kein Daily-Business mit Admin-Privilegien) und durchdachte Sicherheitskonzepte (Firewalls und IDS / IPS-Systeme, konsequentes Update- und Patch-Management). Ein funktionsfähiges, vollständiges, regelmäßiges Backup ist die zentrale Maßnahme zum Schutz vor Ransomware. Doch gerade in diesem Bereich zeigten sich viele Defizite. Dazu zählen insbesondere fehlende Überprüfungen des Backup- und Restorevorgangs und das Verabsäumen der Trennung der Sicherungsmedien von den operativen Systemen nach dem Backup-Vorgang (Verschlüsselung von Sicherungsmedien). Betrug / SCAM / Phishing Viele Betrugsversuche basieren nicht auf technischen Angriffsvektoren, Betrug basiert in den meisten Fällen auf umfangreichen Recherchen und Social Engineering. Die Qualität von solchen Social Engineering-Angriffen im Zusammenhang mit Betrug / Phishing verbessert sich laufend und die Angriffsflächen werden zunehmend größer (Phishing gegen Enterprise-Software). Gleichzeitig ist zu beobachten, dass die Awareness gegenüber diesen Angriffen teils nicht ausreichend ausgeprägt ist. Betrug ist, insbesondere wenn Innentäter beteiligt sind (unabhängig, ob diese aus freien Stücken involviert sind oder z. B. durch Erpressung dazu gezwungen werden), schwer zu verhindern. Generell sind ein gutes und offenes Betriebsklima, sowie eine offene Kommunikationskultur nach wie vor der effizienteste Schutz vor Innentätern. Entscheidend sind darüber hinaus konsequent implementierte und auditierte Sicherheitskonzepte und -prozesse (z. B. 4- oder Mehr-Augen-Prinzip für Zahlungsvorgänge). Dies gilt unter anderem für die im Beobachtungszeitraum stark gestiegenen Betrugsversuche im Zusammenhang mit CEO-Fraud bzw. Business-E-Mail Compromise Schema. Laufende Kontrollen und geeignete Sicherheitsprozesse (z. B. Rückkopplungsmodell mit Medienbruch, sauber vorgegebene interne Mailvorlagen) erschweren Betrugsversuche. Zuletzt werden auch in diesem Umfeld immer wieder klassische vorbeugende Maßnahmen ins Treffen geführt (Technologien zur Überprüfung von URLs, Downloads und Attachments, Berechtigungsmanagement, Update- und Patch-Management). Sinnvoll erscheint in diesem 12 Zusammenhang auch die Implementierung von zertifikatsbasierenden E-Mail-Lösungen (z. B. S/MIME), um in der Folge nur mehr ordnungsgemäß signierte E-Mails von Entscheidungsträgern anzunehmen. Vulnerabilities In diesem Zusammenhang werden insbesondere Versäumnisse im Update- und Patch-Management festgestellt. »Große Installationen« werden meist zeitnah gepatcht, andere Systeme (z. B. NAS-Systeme) bleiben hingegen oft völlig ungewartet. Botnet-Drohne Es ist zu beobachten, dass Viren-, Malware- und SPAM-Lösungen oftmals keinen ausreichenden Schutz vor einer Infektion bieten. In dem meisten Fällen wird den Betreibern der infizierten Systeme nicht bewusst, dass sie Teil eines BOT-Netzwerks sind. Wirtschaftsspionage Im Bereich der Wirtschaftsspionage werden Angriffe in vielen Fällen sehr spät oder auch überhaupt nicht entdeckt. Täter und konkrete Angriffswege sind oft schwer zu ermitteln, weswegen von einer hohen Dunkelziffer ausgegangen werden muss. Es wird die klare Empfehlung ausgesprochen, nach erkannten Advanced Persistent Threat (APT)-Attacken gezielte Audits durch externe Organisationen durchzuführen. Wirtschaftsspionage weist mitunter sehr unterschiedliche Angriffsmuster auf; diese beinhalten auch klassische Verfahren (z. B. eindringen, abhören, abgreifen). Hier können grundlegende Sicherheitsmaßnahmen (physische Zutrittskontrolle, logische Zugriffskontrolle) bereits einen wesentlichen Grundschutz sicherstellen. Berücksichtigt werden muss weiters, dass die Angreifer oftmals bereits über genaue Kenntnisse der Infrastruktur verfügen. Wie in vielen anderen Bereichen ist die Awareness aller Mitarbeiterinnen und Mitarbeiter entscheidend, aber oft nicht ausreichend ausgeprägt (»das passiert doch nur den anderen«). Es muss klar sein, dass jedes Unternehmen Ziel sein kann. Es bedarf geeigneter Sicherheits-Policies, die von allen gemeinsam gelebt, überprüft und weiterentwickelt werden. Darüber hinaus bedarf es des Bewusstseins, dass insbesondere die allgemeinen Urlaubszeiten (z. B. Sommer, Weihnachten, Feiertage oder Wochen mit Fenstertagen) die Hauptrisikozeit darstellen. Gerade im Bereich der Wirtschaftsspionage sind häufig Versäumnisse bei den Unternehmen zu beobachten. Diese beinhalten unter anderem das Sicherheits-Management (Fehler in der Sicherheitsstrategie, zu geringe Investitionen in Security- und Betriebsmannschaft, keine Entkopplung der Planung kritischer Systeme vom normalen Business), sowie klassische Administrationsfehler (Berechtigungsmanagement, Update- und Patchmanagement, fehlende Verschlüsselung von Daten und Endgeräten). Hacktivism Die befragten Unternehmen empfehlen in diesem Zusammenhang zum einen die Einführung von IT-Systemen zum Perimeter-Schutz und Bereitstellung von ausreichenden Ressourcen für die Konfiguration und das Monitoring dieser Systeme, sowie zum anderen die Entwicklung und Einführung von geregelten Prozessen im Unternehmen. Diese beinhalten insbesondere einen Change Management- und Freigabeprozess bei der Einführung von neuen bzw. beim Wechsel von alten auf neue IT-Systeme, sowie einen Incident Response-Prozess zur besseren Detektion und Analyse von IT-Sicherheitsvorfällen. 13 DDoS DDos ist in der Regel eine Angriffsart, die in erster Linie auf Erpressung oder Aktionismus abzielt. Es wurden allerdings auch viele Angriffe beobachtet, für die ein offensichtliches Motiv fehlt. Über die Gründe, die hinter solchen Angriffen stecken, kann derzeit lediglich spekuliert werden (z. B. mögliche Testangriffe zur Analyse und Bewertung der Abwehrmechanismen). Die Mehrzahl der Sicherheitsunternehmen gibt an, dass kommerzielle Anti-DDoS-Services notwendig erscheinen und zumeist zufriedenstellend funktionieren. Entscheidend sei, gut vorbereitet zu sein, um im Anlassfall eine schnellstmögliche Reaktion zu gewährleisten. Negativ hervorgehoben wurde, dass bei vielen Unternehmen eine abgestimmte Kommunikationsstrategie gegenüber Kunden und / oder Öffentlichkeit fehlt, was zu negativen Imageeffekten führen kann. Datendiebstahl Im Bereich des Datendiebstahls nimmt das Monitoring und die regelmäßige Auswertung von E-Mail-Server-Logdaten einen besonderen Stellenwert ein (z. B. Analyse der an Free-MailAdressen gesendeten E-Mails, sowie regelmäßiger Review von automatischen Regeln, welche von Benutzern im E-Mail-Client eingerichtet wurden), um Datendiebstahl rascher erkennen und darauf reagieren zu können. Darüber hinaus bietet auch die Einführung von Maßnahmen zur Verhinderung von Datendiebstahl (z. B. USB-Port-Sperre, Einführung eines Data Loss Prevention Systems) zusätzlich Schutz vor dieser Bedrohung. Compliance Im Bereich der Compliance werden präventive Maßnahmen aus dem Bereich des Berechtigungsmanagements, wie die permanente Überwachung administrativer Berechtigungen, die generelle Einschränkung von Zugriffsberechtigungen (»least privilege«), sowie die regelmäßige Überprüfung von Berechtigungen auf ihre fortdauernde Notwendigkeit genannt. Outgoing SPAM Seitens der Sicherheitsunternehmen wurde festgestellt, dass es seit einiger Zeit eine Tendenz dahingehend gibt, dass SPAM verstärkt über authentisierte SMTP-Sessions versendet wird. Die dafür missbrauchten, gültigen Accounts weisen in aller Regel starke Kennwörter auf; die Verwendung von Phishing (oder Sniffing) erscheint naheliegend. Sabotage Generell erscheint die Bedrohung durch Sabotage als gering. Trotzdem wurden von einem befragten Unternehmen in letzter Zeit innerhalb eines vergleichsweise kurzen Zeitraums gleich eine Reihe von Angriffen gegen Unternehmen beobachtet. Dies könnte auf einen neuen Trend hinweisen. Oft verfügen die Angreifer bereits im Vorfeld des Angriffes über ausgezeichnete Kenntnisse zur Infrastruktur; gleichzeitig fehlt es auch im Hinblick auf Sabotage oft an der notwendigen Awareness der Mitarbeiterinnen und Mitarbeiter. Sabotage wird, wie viele andere Angriffsmuster, durch klassische Administrationsfehler sowie durch fehlende Kenntnisse der eigenen Infrastruktur erleichtert (fehlende Dokumentationen, unzureichende Kenntnisse über die Technologie, kein kompetenter Mitarbeiter vor Ort). 14 USB-Keylogger Ein befragtes Unternehmen berichtet über einen Fall von USB-Keyloggern. Diese Geräte werden zwischen Endgerät und USB-Tastatur zwischengeschaltet und zeichnen alle Tastaturanschläge auf. Diese können nach der Entfernung der Keyloggers aus diesem ausgelesen werden. Die Täter benötigen daher physischen Zugang zu den Opfern. Motiv und Täter sind nicht bekannt. 1.1.4 Ergänzende Lagebeurteilung des BMLVS In keinem militärischen Konflikt der Gegenwart und Zukunft aber auch im »Graubereich« zwischen Krieg und Frieden (»Hybride Konflikte«), wird auf das Erzielen von Wirkung im Cyber Raum verzichtet. Für das BMLVS bedeutet dies, sich bestmöglich auf die militärische Landesverteidigung im Cyber Raum auszurichten und vorzubereiten. Gegnerische militärische Aufklärungsmaßnahmen gegen den Staat oder Zivile, derzeit wahrscheinlich in erster Linie um Schwachstellen aufzuklären bzw. möglicherweise auch Schadsoftware einzubringen, können nicht ausgeschlossen werden. Im Berichtszeitraum konnten zahlreiche Angriffe gegen Teile der IKT-Infrastruktur des österreichischen Bundesheeres (ÖBH) bzw. des BMLVS festgestellt werden. Ob diese der oben angesprochenen Einsatzvorbereitung nicht-staatlicher oder gar staatlicher Akteure dienen oder eher kriminelle Zielsetzungen haben, lässt sich nicht beweisen. Das BMLVS beobachtet in diesem Sinne Aktivitäten im Cyber Raum weiter und ergänzt laufend das eigene militärische Lagebild. Der Großteil der Angriffe wurde durch die Abwehrsysteme des Ressorst erkannt und abgehalten. Es wurden teils zielgerichtete Attacken gegen die ressorteigenen Systeme geführt, vielfach handelte es sich aber um Massenangriffe. Generell ist aber zu sagen, dass vorrangig Massenangriffe mit wenig bis keiner konkreten Ausrichtung auf die Systeme des BMLVS zu verzeichnen waren. Dennoch gab es im Berichtszeitraum durchaus auch einige direkt auf die Infrastruktur des BMLVS ausgerichtete, von denen einige aufgrund der hohen Professionalität auch in den ersten Schritten (= Angriffsvektor über Web-Mail-Konten) funktionierten, in weiterer Folge aber durch die Sicherheitsmaßnahmen des militärischen Computer Emergency Response Teams (milCERT) und des Cyber Verteidigungszentrums (CVZ) entsprechend abgewehrt und in weiterer Folge abgestellt werden konnten, so dass kein erheblicher Schaden entstanden ist. Es ist anzumerken, dass im Fall von Cyber Angriffen einzig die Qualität der Angriffe Aussagekraft über die Bedrohungs- und Gefährdungslage an sich liefert und nicht die Zahl der Attacken. Ein einziger (zielgerichteter) Angriff könnte ausreichen, um nachhaltigen Schaden an der IKT-Infrastruktur anzurichten. 15 1.2 Darstellung ausgewählter Phänomene 1.2.1 Distributed Denial of Service Denial of Service – Angriffe (DoS, engl. für »Dienstverweigerung«) bezeichnen eine bewusst herbeigeführte Störung der Verfügbarkeit von Online-Diensten. Beispielsweise wird eine Webseite mit derart vielen Anfragen überlastet, dass diese nicht mehr antworten kann. Die attackierte Webseite ist damit über das Internet nicht mehr erreichbar. Cyber Kriminelle bedrohen Unternehmen damit, ihre Webseiten lahm zu legen, falls diese nicht bereit sind, einen geforderten Betrag zu bezahlen. Opfer sind vor allem jene Unternehmen, die auf ihre Webseiten besonders angewiesen sind. Zumeist läuft ein derartiger Angriff zwei- oder auch mehrstufig ab: •• In einem ersten Schritt wird das betroffene Unternehmen von den Erpressern mittels E-Mail (oft auch an eine ganze Reihe von Adressaten gleichzeitig) angeschrieben. Dieses Schreiben kann dabei individuell auf das Opfer abgestimmte technische Details (z. B. angegriffene IP-Adresse) enthalten. Im Schreiben wird ein »DDos-Testangriff« mit einer vergleichsweise geringen Bandbreite und einer beschränkten Dauer angekündigt, der entweder bereits angelaufen ist oder unmittelbar bevorsteht. Diese Angriffe finden in der Folge tatsächlich wie angekündigt statt! •• In der Folge wird das Unternehmen unter Fristsetzung erpresst, einen gewissen Betrag an die Erpresser zu übermitteln (z. B. mittels der Cryptowährung Bitcoin oder mit »prepaidKarten«). Widrigenfalls wird ein weiterer DDoS-Angriff mit weitaus höherer Bandbreite und / oder Dauer angedroht. Manche Angreifer drohen sogar damit, dass dieser zweite Angriff dann bis zur vollständigen Zahlung der (progressiv mit der Zeit ansteigenden) Lösegeldforderung anhält. Für den Fall einer Zahlung wird oftmals zugesichert, dass dies der einzige Erpressungsversuch bleiben wird. Eine Kontaktaufnahme mit den Erpressern ist im Regelfall nicht möglich. Abb. 7: Beispiel für ein Erpressungs-E-Mail 16 Erfolgen die Angriffe nicht bloß von einem Computer, sondern von einer Vielzahl von Computern gleichzeitig, so spricht man von DDoS-Angriffen (Distributed Denial of Service). Dazu werden zahlreiche Computer zu einem sogenannten Bot-Netzwerk zusammengeschaltet, mit dem die Kriminellen wesentlich leistungsstärker angreifen können. Bot-Netzwerke bestehen aus bis zu hunderttausenden illegal verbundener Computern. Namhafte Antiviren-Hersteller geben bekannt, dass bereits jeder zehnte private Computer in ein Bot-Netzwerk eingebunden ist und kriminell verwendet wird, ohne dass die Besitzer darüber Bescheid wissen. 1.2.2 Ransomware Als Ransomware (engl. für »Erpressungssoftware«) werden Schadprogramme bezeichnet, die speziell dafür entwickelt wurden, den Zugriff auf Daten und Computersysteme einzuschränken bzw. zu verhindern. Die Verbreitung von Ransomware erfolgt insbesondere über präparierte E-Mails, durch Sicherheitslücken in Webbrowsern und durch unbewusstes Herunterladen aus dem Internet (drive-by-download). Betroffen sind sowohl Privatpersonen als auch Unternehmen, Behörden und sonstige Organisationen. Sobald ein Computer, ein Smartphone oder ein Tablet mit der Schadsoftware infiziert ist, werden die Daten darauf verschlüsselt, sodass nicht mehr darauf zugegriffen werden kann. Von der Verschlüsselung sind auch externe Datenträger und Netzlaufwerke betroffen. Sofern die Daten nicht vorsorglich mit einem Backup gesichert wurden, sind diese verloren, wenn nicht innerhalb einer bestimmten Zeit »Lösegeld« (engl. »Ransom«) dafür bezahlt wird. Als Lösegeld werden virtuelle Zahlungsmittel wie z.B. Bitcoin gefordert, sodass eine Rückverfolgung nur sehr eingeschränkt möglich ist. In Österreich treten diese Fälle von »Cyber Erpressungen« nahezu täglich auf. Das Bundes kriminalamt warnt ausdrücklich davor, Email-Anhänge von unbekannten Absendern zu öffnen bzw. auf Hyperlinks in E-Mails zu klicken. Es wird empfohlen, wichtige Daten regelmäßig zu sichern und physisch getrennt aufzubewahren. 1.2.3 CEO Betrug Dabei geben sich die Täter als Direktoren internationaler Firmen aus und verleiten Mitarbeiter zu Geldüberweisungen. Bei der Vorgehensweise der Täter handelt es sich um eine Form des »Social Engineering«: Der Täter kontaktiert direkt Mitarbeiter der Finanzabteilung eines Unternehmens und gibt sich als Direktor, Geschäftsführer oder Vorstand (CEO) des Unternehmens aus. Unter Betonung der Wichtigkeit, Dringlichkeit und hohen Geheimhaltung werden Zahlungsanweisungen unter Vorgabe von lebensnahen Sachverhalten, wie zum Beispiel eine bevorstehende Firmenübernahme im Ausland, angeordnet. Der Kontakt wird diesbezüglich immer per Telefon oder E-Mail hergestellt, wobei die Absenderdaten der E-Mails entsprechend manipuliert werden, sodass beim Mitarbeiter der Eindruck entsteht, dass es direkt von der Geschäftsleitung abgesendet wurde. Eventuelle Unterschriften der Verantwortlichen werden gefälscht. Die Überweisung ist zumeist als Eilüberweisung auszuführen und erfolgt auf ein ausländisches Bankkonto, vorwiegend nach China. Nach der Überweisung beheben die Täter so schnell als möglich das Geld. 17 Name des/der GeschäftsführerIn E-Mail-Adresse des/der MitarbeiterIn der Finanzabteilung Persönliche Anrede mit dem Namen des/der MitarbeiterIn der Finanzabteilung Korrekte E-Mail-Signatur des/der GeschäftsführerIn E-Mail-Adresse Finanzabteilung Name des/der GeschäftsführerIn (aber: E-Mail-Adresse des Angreifers!) Persönliche Anrede des/der GeschäftsführerIn Name des/der MitarbeiterIn der Finanzabteilung Abb. 8: Beispielhafte E-Mail-Korrespondenz im Bereich CEO-Betrug Um die Vertrauenswürdigkeit beim Mitarbeiter zu heben, treten die Täter auch als Mitarbeiter der Finanzmarktaufsicht auf und bestätigen die Unbedenklichkeit der Überweisung. Bekannt ist auch das Auftreten der Täter als Anwälte von renommierten Anwaltskanzleien, die angeblich mit der Abwicklung des »Projektes« beauftragt wurden, wobei dies aber vorher vom angeblichen Geschäftsleiter angekündigt wird. Wesentliche Merkmale dieser Betrugsform sind der Hinweis auf die Geheimhaltung des Projektes und die direkte Kommunikation zwischen der Geschäftsleitung und dem Mitarbeiter der Finanzabteilung. Durch den Webauftritt des Unternehmens können Täter weltweit Informationen bis hin zu Unterschriftsproben der Verantwortlichen erlangen. Unter Umständen haben die Betrüger gute Informationen über die Person, die sie darstellen wollen und setzen dieses Wissen auch glaubwürdig gegenüber Mitarbeitern ein. Die Täter spiegeln gerne einen hohen zeitlichen Druck vor und weisen auf eine hohe Geheimhaltung hin. Mitarbeiter betrachten die direkte Kommunikation und Einbindung in ein »geheimes« Projekt als besonderen Vertrauensvorschuss und kommen dem Ansinnen unter Außerachtlassung interner Vorgaben nach. Das konsequente Einhalten der internen Sicherheitskriterien kann zur Schadensvermeidung betragen. 1.2.4 SOFACY Bei diesem vermutlich bereits seit 2005 operierenden Akteur wird ein staatlicher / nachrichtendienstlicher russischer Hintergrund vermutet. SOFACY weist einen sehr hohen Professionalisierungsgrad auf. Im Fall der Einstufung eines Ziels als wertvoll scheint es beispielsweise, dass die Vorgehensweise und die Angriffswerkzeuge teilweise umgestellt werden, um einen hohen Grad an Persistenz und einen langen Zeitraum an Informationsausspähung zu erreichen. Als Angriffsvektoren setzten die Akteure in der Vergangenheit meistens Spear-Phishing per E-Mail (von gefälschten Adressen – z. B. mit NATO-Bezug – aus) mit kompromittierten Datei anhängen in (tages)aktuellem Kontext (z. B. NATO- oder OSZE-Themen) ein, um in einem ersten Schritt festzustellen, ob die Betroffenen von weiterem Interesse für die »Bearbeitung« waren. 18 3 Ab 2014 erfolgten Attacken nach ähnlichem Muster oftmalig mittels Water-Hole-Angriffen (z. B. über eine polnische Regierungs-Webseite) und Typo-Squatting (z. B. internationale Nachrichtenseiten), und zwar in einem Ausmaß, wie es bis dato bei keinem anderen Akteur beobachtet werden konnte. Außerdem wurden immer wieder Phishing-E-Mails (relativ ungezielte Angriffe per E-Mail, ähnlich einer Spam-Aussendung) mit Verknüpfungen zu gefälschten OUTLOOK WEB ACCESS (OWA) Login-Seiten eingesetzt, vermutlich um Zugangsdaten für E-MailAccounts auszuspähen und über diese entweder ebenfalls eine Erstbeurteilung nach Relevanz des Opfers oder Spear-Phishing-Angriffe auf die eigentlichen Ziele durchführen zu können. Zur eigentlichen Ausspähung der Ziele kamen immer wieder Zero-Day-Exploits (bekannt gewordene Sicherheitslücken, für die es noch keinen Herstellerpatch zur Behebung gibt) zum Einsatz und modulartig aufgebaute Schadprogramme mit mehreren Komponenten, die über mehrere Jahre weiterentwickelt und für jedes Ziel passgenau zugeschnitten worden waren. Beschränkten sich in der Vergangenheit die Ziele vornehmlich auf Regierungsorganisationen aus Osteuropa, dürfte sich das Spektrum in den letzten Jahren wesentlich erweitert haben – so zählen mittlerweile weltweit Organisationen aus dem militärischen Umfeld, Rüstungsfirmen, Botschaften und oppositionelle Fraktionen der Russischen Föderation zu den Hauptzielen. Unter den Opfern werden etwa das französische, das ungarische und das US-Verteidigungsministerium, die Regierungen von Ungarn, Polen und der Ukraine, sowie die norwegische, die chilenische und die georgische Armee vermutet. Mehrere Angriffe gegen das BMLVS im Jahr 2015 dürften ebenfalls in die Verantwortung dieses Akteurs fallen. 1.2.5 Netzhygiene Das Wort Hygiene leitet sich aus Hygieia, dem griechischen Wort für Gesundheit ab und bezeichnet Maßnahmen zur Verhütung von Krankheiten und zur Erhaltung und Festigung der Gesundheit. Diesen Begriff auf Computersysteme und -netze anzuwenden ist naheliegend, da gerade in diesem Bereich unzählige Ansteckungs- und Angriffsmöglichkeiten vorliegen, die Clients, Server, Netze und damit letztendlich das gesamte Internet gefährden. Zusätzlich kommen durch die ständig wachsende Anzahl an Teilnehmern (Stichwort: »Internet of Things«) laufend neue Herausforderungen an die Netzhygiene hinzu. Sauberkeit im österreichischen Teil des Internets ist nur zu erreichen, wenn Cyber Sicherheit Maßnahmen für möglichst jeden einzelnen Netzteilnehmer ergriffen werden. Dies mag u topisch erscheinen, muss aber das Ziel sein, da das Gesamtnetz nur so widerstandsfähig wie sein schwächstes Glied ist. Besonders wichtig in diesem Zusammenhang sind oft unterschätzte Geräte wie Router, Modems oder auch Services auf Servern, die zwar nicht mehr benutzt werden, aber trotzdem noch erreicht werden können. Genau dort werden oft die Maßnahmen »Security Patches« und »Härtung der Systeme« vernachlässigt, was von Cyber Attacken dann ausgenutzt wird. Spürbar wird dies meist bei DDoS-Angriffen, weil jeder einzelne Teil des Gesamtnetzes, der die notwendigen Maßnahmen nicht ergriffen hat, als Reflektor und Verstärker missbraucht werden kann. Das zweite große Problem bei DDoS-Angriffen stellen Clients dar, die unwissentlich Teil eines Bot-Netzes sind. Diese Bots werden von einem Command & Control Server (»C&C-Server« oder »C2-Server«) gesteuert und starten auf Befehl gezielt Angriffe. Die Angriffskapazität dieser Bot-Netze ist oft sehr groß und die Attacken kommen aus der ganzen Welt von unterschiedlichsten IP-Adressen, sodass eine Verteidigung für den Angegriffenen äußerst schwierig ist. Bot-Netze 19 werden meist von einer Gruppe Krimineller kontrolliert, die aber nicht nur selbst Angriffe ausführen, sondern Ihre Netze zur Durchführung von Angriffen auch noch weitervermieten. CERT.at führt ein regelmäßiges Monitoring des österreichischen Internets in Bezug auf diverse »Hygieneaspekte« durch. Ein Überblick ist im CERT.at-Jahresbericht4 zu finden. Ein Teilaspekt davon sind zum Beispiel die bereits genannten DDoS Verstärker. Mehrere Protokolle können für DDoS Verstärkung missbraucht werden (etwa DNS: Domain Name Service, NTP: Network Time Protocol, SSDP: Simple Service Discovery Protocol, …). CERT.at überprüfte, auf wie vielen Adressen im österreichischen Internet Services laufen, die sich für eine Verstärkung ausnutzen lassen und informiert die zuständigen Netzbetreiber. Im Jahr 2015 ergab sich folgendes Bild: 25.000 ssdp ntp-version openresolvers snmp chargen ntp-monitor qotd 20.000 15.000 10.000 5.000 20 15 20 /0 15 1 20 /0 15 3 20 /0 15 5 20 /0 15 7 20 /0 15 9 20 /11 15 20 /1 15 3 20 /1 15 5 20 /1 15 7 20 /1 15 9 20 /2 15 1 20 /2 15 3 20 /2 15 5 20 /2 15 7 20 /2 15 9 20 /3 15 1 20 /3 15 3 20 /3 15 5 20 /3 15 7 20 /3 15 9 20 /4 15 1 20 /4 15 3 20 /4 15 5 20 /4 15 7 20 /4 15 9 20 /5 15 1 20 /5 16 3 20 /0 16 2 20 /0 16 4 20 /0 16 6 20 /0 16 8 20 /1 16 0 20 /1 16 2 20 /1 16 4 20 /1 16 6 20 /1 16 8 /2 0 0 Abb. 9: DDoS-Verstärker: Anzahl nutzbarer Adressen in Österreich im Jahr 2015 Generell zeigt sich hier ein leichter Rückgang – die Ausnahme stellt das Protokoll »SSDP« dar. Hier stiegen die Zahlen bis Mitte Dezember noch an. Ende Dezember folgte ein starker Rückgang. Schuld daran ist ein Fehler in einem Modem, das ein Internetanbieter an seine Kunden lieferte. In Abstimmung mit dem Inneren Kreis der Operativen Koordinierungsstrukturen (IKDOK) suchte CERT.at das Gespräch mit dem Internetanbieter. So konnte erreicht werden, dass Gegenmaßnahmen gesetzt wurden und die Netzhygiene nachhaltig gesteigert wurde. Das Ziel Netzhygiene erfordert ein ständiges koordiniertes Vorgehen aller relevanter Behörden, Organisationen und der Wirtschaft. Nur durch ein konsequentes Anwenden von »Hygienemaßnahmen« ist es möglich den Bedrohungen zu begegnen, gleichwohl man sich bewusst sein muss, dass hundertprozentiger Schutz nicht erreichbar ist. 4 https://www.cert.at/static/downloads/reports/cert.at-jahresbericht-2015.pdf 20 2 Internationale Entwicklungen In den letzten Jahren wurden Fragen der Cyber Sicherheit von zahlreichen internationalen Organisationen und multilateralen Foren aufgenommen und diskutiert. Die relevanten außenpolitischen Maßnahmen werden vom Bundesministerium für Europa, Integration und Äußeres (BMEIA) koordiniert. Die rasanten Entwicklungen im Cyber Bereich werfen eine Reihe fundamentaler Fragen in Bezug auf Grund- und Menschenrechte auf. Ganz allgemein setzt sich Österreich auf internationaler Ebene für ein freies Internet ein, wobei die Ausübung aller Menschenrechte auch im virtuellen Raum gewährleistet werden soll. Dabei muss auf ein angemessenes Gleichgewicht zwischen den Interessen der Strafverfolgung und der Achtung grundlegender Menschenrechte, wie dem Recht auf freie Meinungsäußerung und Informationsfreiheit sowie dem Recht auf Privatleben und Privatsphäre, geachtet werden. 2.1 Europäische Union Die Europäische Union (EU) beschäftigt sich vor allem im Rahmen ihrer 2010 beschlossenen Digitalen Agenda für Europa mit Fragen der Cyber Sicherheit. Anfang 2013 legte die Hohe Vertreterin zusammen mit der Europäischen Kommission (EK) die EU Cyber Sicherheitsstrategie vor. Am 18. November 2014 wurde durch den Rat der EU ein EU Cyber Defence Policy Framework angenommen, das die vorrangigen Aufgaben für die Gemeinsame Sicherheits- und Verteidigungspolitik (GSVP) im Cyber Bereich identifiziert und eine verbesserte Kooperation der EU mit dem privaten Sektor wie auch der Nordatlantischen Vertragsorganisation (NATO) gewährleisten soll. Im militärischen Bereich wird in der EU derzeit an der Überarbeitung des EU Konzeptes »Cyber Defence for EU-led military Operations and Missions« gearbeitet. Der Rat nahm weiters am 10. Februar 2015 Schlussfolgerungen zur Cyber Diplomatie an, die einen gemeinsamen, umfassenden und kohärenten Ansatz zur Bewältigung der sich kontinuierlich verändernden Herausforderungen für die EU Außenpolitik im Cyber Raum vorsehen. 2.1.1 ENISA und NIS-Richtlinie Unterstützt werden die EU Aktivitäten von der European Network and Information Security Agency (ENISA), deren Aufgabe es ist, gemeinsam mit den Mitgliedsstaaten und anderen EU Institutionen die Netzwerk- und Informationssicherheit zu verbessern. Das Bundeskanzleramt (BKA) stellt den nationalen Liaison Officer zur ENISA. Am 7. Februar 2013 hat die EK einen Vorschlag für eine Richtlinie des Europäischen Parlaments (EP) und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS-Richtlinie) an die Mitgliedsstaaten übermittelt. Aktuell liegt ein finaler Kompromisstext zur NIS-Richtlinie vor, die formale Beschlussfassung im Rat ist noch ausständig. Folgende Kernforderungen wurden identifiziert: •• Annahme einer nationalen NIS-Strategie, sowie die Aufstellung einer oder mehrerer NISBehörden und CERTs (Computer Emergency Response Team) als IT-Notfallteams (künftig wird auf EU-Ebene statt CERT der Terminus CSIRT, d. h. Computer Security Incident Response Team aufgrund des Bestehens einer Gemeinschaftsmarke verwendet). 21 •• Verpflichtendes Risikomanagement, Mindest-Sicherheitsanforderungen, sowie eine Meldeverpflichtung bei erheblichen Sicherheitsvorfällen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste. •• Einsatz einer Kooperationsgruppe bestehend aus den Mitgliedstaaten, der EK und ENISA für strategische Aufgaben und eines CSIRT-Netzwerks für operationelle Aufgaben. Aufbau eines EU-weiten NIS-Kooperationsnetzwerks zum Austausch von Vorfällen und damit zusammenhängender, aufklärungsrelevanter Informationen. 2.1.2 Kooperationen Am 10. Februar 2016 unterzeichneten das EU-CERT und dessen NATO-Pendant ein Technical Arrangement, um den Austausch von technischen Informationen zur Erkennung, Abwehr von und Reaktion auf Cyber Angriffe zu gewährleisten. Die Gruppe »Friends of Presidency Initiative on Cyber Issues« wurde 2013 vorrangig zur Unterstützung der Implementierung der EU Cyber Security Strategy gegründet. Heute ist es die primäre Aufgabe der Gruppe alle Cyber Themen in der EU horizontal zu koordinieren. Damit soll die Effektivität von bestehenden Aktivitäten und Beratungsfunktionen zu Cyber Thematiken verbessert werden. Die Gruppe, in der Österreich durch das BKA vertreten ist, wurde nach drei Jahren Bestehens zum zentralen Gremium des Informationsaustausches innerhalb der EU hinsichtlich Cyber Sicherheit. 2.1.3 European Cyber Security Month Der »European Cyber Security Month (ECSM)« ist eine institutionalisierte, alljährlich stattfindende Kampagne der ENISA zur Bewusstseinsbildung zum Thema Cyber Sicherheit. Dabei bietet sich den Teilnehmern die Gelegenheit, eigene Aktivitäten zum Thema Cyber Sicherheit öffentlichkeitswirksam zu präsentieren. Österreich beteiligte sich 2015 bereits zum dritten Mal an dieser Kampagne. Dabei konnten in Österreich zum wiederholten Male unter über 30 Teilnehmerländern mit Abstand nicht nur die größte Zahl an Organisationen aus den Bereichen der öffentlichen Verwaltung, der Privatwirtschaft, Banken, Gesundheit und Forschung, sondern auch die meisten Aktivitäten für die Kampagne akquiriert werden. Die Bandbreite dieser Aktivitäten umfasste dabei Awareness-Kampagnen, Trainings, Konferenzen, Workshops, Vorträge, Forschungsveranstaltungen, Hacking-Wettbewerbe und vieles mehr. 2.2 Vereinte Nationen Bereits zur Jahrtausendwende rief die Generalversammlung der Vereinten Nationen (VN-GV) den »World Summit on the Information Society (WSIS)« ins Leben. Zum WSIS, der organisatorisch bei der International Telecommunication Union (ITU) angesiedelt ist, und an dem neben staatlichen Akteuren auch NGOs, zivilgesellschaftliche Gruppen und der private Sektor beteiligt sind, fand von 15. / 16. Dezember 2015 eine Gesamtevaluierung der bisher erzielten Fortschritte statt. Dem hochrangigen Treffen gingen mehrmonatige zwischenstaatliche Verhandlungen voraus. Im Ergebnisdokument, das die Bedeutung der Informations- und Kommunikationstechnologie für die Entwicklung unterstreicht, wurde insbesondere auch die Verlängerung des Internet Governance Forums (IGF) um weitere 10 Jahre beschlossen. Es beschäftigen sich auch mehrere Komitees der VN-GV mit Cyber Themen. Aus österreichischer Sicht ist vor allem die Arbeit im Dritten Komitee und im VN-Menschenrechtsrat (MRR) 22 von Interesse. Die von Österreich als einer der Hauptsponsoren eingebrachte Resolution zum Recht auf Privatsphäre im digitalen Zeitalter konnte vom MRR im Konsens angenommen werden. Mit der Schaffung eines Mandats für einen eigenen VN-Sonderberichterstatter zum Thema konnten die seit 2013 laufenden Bemühungen einer Gruppe gleichgesinnter Staaten unter der Führung von Brasilien und Deutschland in der VN-Generalversammlung erfolgreich vorangetrieben werden. Cyber Kriminalität hat sich rasch zu einer globalen und äußerst profitablen Verbrechenssparte entwickelt. Das VN-Büro für Drogen- und Verbrechensbekämpfung in Wien stellt weiterhin einen unverzichtbaren Bestandteil in der effektiven weltweiten Bekämpfung von Cyber Kriminalität im Sinne der 2013 veröffentlichten umfassenden Studie5 dar und konzentriert sich dabei in seiner Hilfeleistung für betroffene Mitgliedstaaten auf folgende drei Schwerpunkte: •• •• •• Verbesserung des Verständnisses verschiedenster Varianten von Cyber Kriminalität. Wissenserweiterung im Sinne von richtiger Erkennung und Verhinderung von Cyber Kriminalität. Stärkung regionaler Kooperationen und Informationsaustauschmechanismen bei der Bekämpfung von Cyber Kriminalität. Gemeinsam mit dem Generalsekretariat der Vereinten Nationen, repräsentiert durch die »Information and Communications Technology Division (ICTD)« des »UN Department of Field Support«, veranstaltete das BMLVS vom 22. bis 25. September 2015 in Wien ein Symposium zum Thema »Partnership for Technology in Peacekeeping«. Zum Themenbereich »Cyber Security and Intelligence« erörterte man auf Expertenebene die Entwicklung von Cyber Strategien, den Aufbau entsprechender Technologien zum Schutz der eigenen Kräfte und Systeme bzw. den Informationsaustausch über sichere Netze. Dabei wurde Awareness Training als Notwendigkeit erkannt und die Formulierung von Vorgaben mittels einer eigenen Policy seitens Vereinte Nationen in Aussicht gestellt. 2.3 NATO Als politisches Bündnis mit einem starken Fokus auf gemeinsame Verteidigung befasst sich die NATO spätestens seit der Verabschiedung ihres neuen strategischen Konzepts von 2010 mit den Verteidigungsaspekten von Cyber Sicherheit. Österreich kooperiert hier als Partnerland eng mit der NATO. 2015 fanden einerseits formelle und informelle politische Konsultationen zwischen den fünf westeuropäischen Partnern (WEP-5: Schweiz, Irland, Finnland, Schweden, Österreich) und der NATO zu Cyber Themen statt. Andererseits beteiligte sich Österreich auf technischer Ebene an zahlreichen Sitzungen des NATO-C3 Boards zur Cyber Zusammenarbeit. Darüber hinaus führt Österreich (BMEIA, BMLVS, BKA) regelmäßig sog. »cyber-staff-talks« mit der NATO-Generaldirektion für »Emerging Security Challenges« über Themen der Cyber Verteidigung. Im Zuge dieser Gespräche wurde Österreich im Februar 2015 als erster NichtNATO-Staat zu einer Sitzung mit den NATO-Cyber-Defence-Committee (CDC) im Format 28+1 eingeladen. 5 http://www.unodc.org/documents/organized-crime/cybercrime/CYBERCRIME_STUDY_210213.pdf 23 Österreich hat im Rahmen der NATO Partnership for Peace (NATO / PfP) das Partnerschaftsziel »Cyber Defence« angenommen. Die diesbezüglichen Vereinbarungen für 2015 konnten allesamt erfüllt werden. Zusätzlich verstärkte sich die Zusammenarbeit mit der NATO seit Oktober 2013 im Bereich der militärischen Landesverteidigung im Cyber Raum durch die dauerhafte Beschickung und Mitarbeit eines Offiziers des BMLVS im »Cooperative Cyber Defence Center of Excellence« in Tallinn / Estland. 2.4 OSZE Die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) setzt seit 2013 eine Reihe von vertrauensbildenden Maßnahmen im Bereich der Cyber Sicherheit um. Unter anderem haben die 57 Teilnehmerstaaten 2014 begonnen, sich durch einen strukturierten und transparenten Austausch von Informationen im Bereich der Sicherheit von Informations- und Kommunikationstechnologie gegenseitig über Entwicklungen und Probleme auf dem Laufenden zu halten. Die Teilnehmerstaaten richteten Kontaktstellen für den Dialog ein und tauschten Informationen über die nationale Organisation von Cyber Sicherheitsplänen, sowohl im staatlichen als auch im privaten Bereich, aus. Im März 2016 konnten fünf weitere vertrauensbildende Maßnahmen beschlossen werden, die die bestehende Zusammenarbeit stärken und vertiefen. Durch die Schaffung vermehrter Transparenz sowie durch die Vernetzung und Zusammenarbeit nationaler Expertinnen und Experten soll das Vertrauen der Teilnehmerstaaten auch in Krisenfällen untereinander gestärkt werden. Für Österreich stehen dabei die Sicherheit und die Freiheit des Internets, der freien Meinungsäußerung aber auch der vor Überwachung geschützten Privatsphäre im Vordergrund. 2.5 OECD Die »Working Party On Security and Privacy in the Digital Economy« ist eine Arbeitsgruppe der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung), die für Regierungen und nationale Stakeholder zu den Themen Cyber Sicherheit und Datenschutz Analysen und High Level Empfehlungen erstellt. In Österreich nimmt das BKA die koordinative Tätigkeit für diese Gruppe wahr. Schwerpunktthemen bei der OECD zum Thema Cyber Sicherheit 2015 waren vor allem das Darstellen von Chancen und Herausforderungen des Internet der Dinge, die Evaluierung und Vergleichbarkeit der Leistungsfähigkeit der Computer Security Incident Readiness Teams in Europa, Richtlinien zum Managen von digitalen Sicherheitsrisiken, der Schutz von persönlichen Daten im digitalen Gesundheitsbereich, die sozialen und wirtschaftlichen Chancen eines offenen Internets sowie die digitalen Risiken für Kleine und Mittlere Unternehmen. 24 2.6 Österreich in anderen cyber-relevanten internationalen Foren Neben den bereits genannten Foren beteiligt sich Österreich an einer Reihe weiterer internationaler Zusammenarbeitsgremien im Bereich der Cyber Sicherheit. Zu diesen zählen: •• Die »Freedom Online Coalition« – eine von den Niederlanden im Dezember 2011 gegründete Koalition, die sich weltweit für die effektive Umsetzung der Menschenrechte online in unterschiedlichen Foren einsetzt und der derzeit 29 Mitglieder angehören. •• Die »Central European Cyber Security Plattform« – eine Kooperationsplattform der L änder (und der CERTs / tlw. milCERTs) der Visegrad-Staaten (Ungarn, Tschechien, Slowakei und Polen) und Österreich, welche im Jahr 2013 auf Initiative von Tschechien und Österreich ins Leben gerufen wurde. •• Die »Global Conference on Cyberspace« – die wichtigste Konferenz im Bereich Cyber Diplomatie, welche zuletzt vom 15. – 17. April 2015 in Den Haag tagte. 2.7 Nationalstaaten 2.7.1 Vereinigte Staaten von Amerika Die Vereinigten Staaten von Amerika betrachten Cyber Bedrohung als eine der größten Bedrohungen für die Nationale Sicherheit. Mit der Veröffentlichung der Executive Order (EO) 13694 am 1. April 2015 deklarierte Präsident Obama die zunehmenden hochwertigen Cyber Angriffe auf US-Entitäten als Gefahr für die nationale Sicherheit, die US-Außenpolitik sowie die US-Wirtschaft und erklärt diese zum nationalen Notfall. Ende 2015 wurde der lange umstrittene »Cybersecurity Information Sharing Act« (CISA) durch den US-Senat verabschiedet. Durch das Gesetz soll der Austausch von cyber-sicherheitsrelevanten Information zwischen der Wirtschaft und den Behörden vereinfacht werden. Am 9. Februar 2016 veröffentlichte das Weiße Haus Informationen über den »Cybersecurity National Action Plan« (CNAP). Dieser dient als Rahmenplan sowohl für kurz- und mittelfristige Maßnahmen als auch langfristige strategische Ausrichtungen der US Bundesregierung im Cyber Sicherheitsbereich. Zur Umsetzung des Plans wurden von Präsident Obama ca. 17 Mrd. € (19 Mrd. $) an Budgetmittel für 2017 veranschlagt. Das entspricht einem Plus von ca. 35 % im Vergleich zu 2016. Auf bilateraler Ebene fand am 2. Dezember 2015 der erste »USA-China Cyber Dialogue« statt, bei dem sich die Präsidenten beider Staaten auf eine Reihe von Schwerpunkten in der Cyber Kooperation einigten. Am 7. Dezember 2015 fand der zweite »USA-EU Cyber Dialogue« statt, im Rahmen dessen die Unterstützung beim Aufbau von Cyber Fähigkeiten, die Anwendbarkeit bestehender internationaler Gesetze im Cyber Raum, der Ausbau von vertrauensbildenden Maßnahmen sowie Kooperation im Kampf gegen Cyber Kriminalität erörtert wurden. 2.7.2 Russische Föderation Anfang 2015 hat der Nationale Sicherheitsrat angeregt, die aus dem Jahr 2000 stammende Informationssicherheitsdoktrin bis Ende 2016 zu überarbeiten. Im Gegensatz zu den Cyber Sicherheitsdoktrinen westlicher Länder definiert die Russische Föderation (RF) – ähnlich wie China – Informationssicherheit viel umfassender. So wird die Einflussnahme auf die Bevölkerung durch gezielte Propaganda- oder Informationskampagnen von regimekritischen Akteuren 25 (im In- und Ausland) als ernstzunehmende Bedrohung für den sozialen Zusammenhalt der RF bezeichnet. Die RF vertritt den Standpunkt, dass eine starke Kontrolle über die nationalen IKT-Infrastrukturen sowie ein internationales Abkommen zur Regulierung des Internets notwendig sind. Eine Reihe an restriktiven Gesetzen haben in den letzten Jahren die Befugnisse der Generalstaatsanwaltschaft und der Medienaufsichtsbehörde ausgeweitet. Seit Jahresbeginn 2016 wird zudem eine Reihe an Gesetzesinitiativen erörtert, die zu einer weiteren Verschärfung der Cyber Gesetz gebung beitragen könnten. Auf internationaler Ebene strebt Russland einen weiteren Auf- bzw. Ausbau der Kooperationsabkommen an. Im Mai 2015 unterzeichneten die RF und China ein Interregierungsabkommen über die Zusammenarbeit bei der Gewährleistung der internationalen Informationssicherheit. Im Juni 2015 wurde bekannt, dass Russland und der Iran ein Cyber Verteidigungsabkommen abgeschlossen haben und Mitte April 2016 sollten russisch-amerikanische Konsultationen über Cyber Sicherheit abgehalten werden. Das russische Verteidigungsministerium hat mit der Entwicklung von Technologien für Cyber Kriegsführung begonnen. Im Februar 2016 wurde berichtet, dass das Verteidigungsministerium plant, ca. 200 Mio. € in Cyber Fähigkeiten zu investieren. 2.7.3 Volksrepublik China Die chinesische Führung legitimiert mit dem Schlagwort »Internetsouveränität« sowohl intensive Internet-Zensur im Land als auch ihre außenpolitischen Bestrebungen, Informationsüberlegenheit im Cyber Raum zu schaffen. Neben der Sicherstellung der Kontrolle durch die Kommunistische Partei wird damit vermutlich vor allem auch die Abschirmung des heimischen IKT-Marktes von ausländischer Konkurrenz bezweckt. Für Direktiven und die Zensur von Online-Informationen ist v. a. die »Cyberspace Administration of China« (CAC) zuständig, welche in teilweiser Personal- und Verwaltungsunion mit dem Propagandabüro der Kommunistischen Partei steht. Das Mitte 2015 im Entwurf präsentierte Cyber Sicherheitsgesetz sieht weitreichende Befugnisse für die CAC sowie Verpflichtungen für IKT-Unternehmen vor und löste internationale Besorgnis aus. Die Kontrolle aller Aspekte des Internets wird laufend intensiviert, zahlreiche ausländische Webseiten und Internetdienste sowie inländische Social-Media-Accounts werden blockiert und zensuriert. Die 2015 verabschiedeten Sicherheits- und Antiterrorismusgesetze verpflichten IKT-Unternehmen unter anderem, die Staatssicherheitsbehörden mit Entschlüsselungssoftware technisch zu unterstützen. Seit 2011 wurden im Rahmen der Aktion zur »Förderung der Cyber Sicherheit« rund 30.000 Personen verurteilt. Auf internationaler Ebene verfolgt China einen ähnlichen Ansatz wie die Russische Föderation. So befürwortet China ebenfalls das weltweite Internet unter die Kontrolle einer internationalen Institution wie der International Telecommunications Union (ITU) der VN zu stellen (und diese zu kontrollieren). China unterhält bilaterale und regionale Kooperationen zum Thema, etwa mit der EU und im Rahmen der Shanghai Cooperation Organisation. Österreich ist am »SinoEuropean Cyber Dialogue« beteiligt, bei dem – auf »track two« (also im halb-formellen Rahmen) – verschiedene Punkte der Zusammenarbeit im Cyber Sicherheitsbereich zwischen Europa / EU und China behandelt werden. Auf Grund der Halb-Formellen Natur dieser Gespräche sind nicht alle EU-Mitgliedstaaten beteiligt, sondern nur die acht im Cyberbereich engagiertesten. 26 Auch im Bereich der Streitkräfte wurde 2015 dem Cyber Bereich vermehrt Beachtung geschenkt. So wurde im Mai ein Weißbuch über Chinas Militärstrategie veröffentlicht, in dem der Cyber Raum als eine neue Säule der ökonomischen und sozialen Entwicklung definiert und als bedeutender Aspekt für die nationale Sicherheit beschrieben wird. Die chinesischen Streitkräfte beabsichtigen, in den kommenden Jahren u. a. den Ausbau der Cyber Truppe zu beschleunigen, an einem verbesserten operativen Lagebild zu arbeiten und die Cyber Verteidigungsfähigkeiten auszubauen. 2.7.4 Deutschland Am 12. Juni 2015 beschloss der deutsche Bundestag das »Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme« (kurz »IT-Sicherheitsgesetz«), das Unternehmen v. a. im Bereich der Kritischen Infrastrukturen, aber auch Nutzer im Internet besser schützen soll. Das Gesetz soll die zuständigen Behörden Bundesamt für die Sicherheit in der Informationstechnik (BSI), Bundesnachrichtendienst (BND) und Bundeskriminalamt (BKA) stärken. Ein wesentliches Element des neuen IT-Sicherheitsgesetzes ist die Meldepflicht von schwerwiegenden Cyber Sicherheitsvorfällen sowohl für Behörden als auch Betreiber Kritischer Infrastrukturen. Diese werden zukünftig verpflichtet, »erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit« ihrer Systeme, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder geführt haben, unverzüglich dem BSI zu melden. Dazu sieht der Gesetzgeber einen noch zu definierenden Mindeststandard an IT-Sicherheit vor, dessen Einhaltung durch Sicherheitsüberprüfungen nachgewiesen werden soll. Eine zweite wesentliche Entwicklung war die von Verteidigungsministerin Ursula von der Leyen am 30. Juli 2015 erteilte Leitlinie zur Cyber Verteidigung. Laut dieser will die Verteidigungsministerin die IT-Kompetenzen innerhalb der Bundeswehr (BW) zentral bündeln, um die BW auf die digitale Kriegsführung vorzubereiten. Die in der Truppe verteilten Cyber Kompetenzen sollen in einem eigenen militärischen Organisationsbereich zusammengeführt werden und den anderen Teilstreitkräften gleichgestellt sein. 2.7.5 Vereinigtes Königreich Der im April 2016 veröffentlichte Fortschrittsbericht 2015 / 2016 zur Umsetzung der nationalen Cyber Sicherheitsstrategie stellt weitere Fortschritte beim Schutz des Landes sowie auch verschiedenster Unternehmen gegen Cyber Angriffe fest. Am 17. November 2015 stellte der britische Schatzkanzler in einer Rede die Notwendigkeit fest, die Ausgaben für Cyber Sicherheit weiter zu erhöhen. Es sollen in den nächsten fünf Jahren zusätzliche 2,7 Mrd. € (1,9 Mrd. £) aufgebracht werden. Am 1. April 2016 kündigte der Verteidigungsminister an, ca. 50 Mio. € (40 Mio. £) in das Cyber Security Operations Center (CSOC) zu investieren. Das CSOC soll in seiner Arbeit eng mit dem National Cyber Sicherheitszentrum zusammenarbeiten und v.a. den Austausch von Informationen zu Cyber Bedrohungen erleichtern. Damit soll die gesamtstaatliche Cyber Verteidigung verbessert werden. Auch bilateral engagiert sich das VK im Bereich der Cyber Sicherheit. Bei einem Besuch des indischen Premierminister im VK im November 2015 wurde u. a. eine vertiefte Kooperation im Cyber Bereich vereinbart. Am 22. November 2015 wurde das VK-China »Joint Statement on Building a Global Comprehensive Strategic Partnership for the 21st Century« veröffentlicht. 27 2.7.6 Frankreich Frankreich hat seit Oktober 2015 eine neue und den aktuellen Herausforderungen angepasste Nationale Strategie für digitale Sicherheit. Für die Umsetzung ist federführend die dem General sekretär für Verteidigung und nationale Sicherheit unterstellte Behörde für die Sicherheit von Informationssystemen (ANSSI) zuständig. Bis 2017 soll der Personalstand auf 600 Personen (dzt. 500) aufgestockt werden. Fünf Ziele werden in der französischen Strategie definiert: 1) Stärkung des Cyber Schutzes durch Ausweitung von Ressourcen und Kompetenzen der ANSSI; 2) Schutz der Bürger (Stärkung des »digitalen Vertrauens« und Schutz der Privatsphäre im Cyberspace); 3) Sensibilisierung der Nutzer durch einen Ausbildungsschwerpunkt im Bereich Cyber Sicherheit; 4) Schaffung eines günstigen Umfelds für die digitale Wirtschaft; 5) europäische und internationale Kooperation. Gemeinsam mit Partnern möchte Frankreich eine »Roadmap für die digitale Souveränität Europas« entwickeln. Im Verteidigungsbereich verfügt Frankreich über ergänzende Instrumente und Strukturen zu Cyber Sicherheit. Der Pakt zur Cyber Verteidigung von 2014 sieht einschlägige Maßnahmen im Rahmen der Streitkräfte vor. In Bruz (Region Bretagne) wurde im selben Jahr ein Kompetenzzentrum für Cyber Verteidigung eröffnet. Bis 2019 sollen im Sektor Cyber Verteidigung 1.000 neue Stellen geschaffen und zusätzlich 1 Mrd. Euro investiert werden. 28 3 Nationale Entwicklungen 3.1 Akteure und Strukturen 3.1.1 Operative Strukturen Gemäß der ÖSCS ist – aufbauend auf den bestehenden operativen Strukturen – eine Struktur zur Koordination auf der operativen Ebene zu schaffen. Diese Struktur soll den unverzüglichen Austausch aktueller Informationen über Cyber Sicherheitsvorfälle und die Umsetzung entsprechender Gegenmaßnahmen sicherstellen. In ihrem Rahmen wird ein periodisches und anlassbezogenes operatives Cyber Lagebild für Österreich erstellt und es werden gesamtstaatliche Notfallmaßnahmen im Rahmen des Cyber Krisenmanagements (CKM) unterstützt und koordiniert. Die zentralen Aufgaben der operativen Koordinierungsstruktur werden dabei vom »Inneren Kreis der operativen Koordinierungsstrukturen« (IKDOK) wahrgenommen. Diese interministerielle Gruppe setzt sich aus gleichwertigen Vertretern aus BKA, BM.I und BMLVS zusammen. Regelmäßige interministerielle Abstimmungen stellen die reibungslose Zusammenarbeit in diesem komplexen Umfeld sicher. Im Cyber Krisenfall (zivil) wird die Koordination innerhalb der operativen Koordinierungsstruktur durch das Cyber Security Center im BMI wahrgenommen, im Fall der militärischen Landesverteidigung (Cyber Defence) durch das Cyber Verteidigungszentrum im BMLVS. Politische Ebene Bundesregierung Cyber-SicherheitsSteuerungsgruppe Operative Ebene Cyber Security Center SKKM CKM govCERT BVT Cyber-SicherheitsPlattform Cyber Defence Center HNaA milCERT C4 IKDOK … Innerer Kreis CERT.at KI CERTs Energie CERT Sektor CERTs Abbildung 10: Einordnung der »Operativen Koordinierungsstruktur« 29 Operative Koordinierungsstruktur Strategische Ebene Der IKDOK bildet im Krisenfall, unterstützt durch den äußeren Kreis der operativen Koordinierungsstruktur, die direkte Schnittstelle zum Cyber Krisenmanagement (CKM). Die Mechanismen des CKM lehnen sich eng an die bereits erprobten Abläufe des Staatlichen Krisen- und Katastrophenschutzmanagements (SKKM) an. Eine zentrale Herausforderung für die an der operativen Koordinierungsstruktur beteiligten Ressorts ist derzeit, die in Beschlussfassung befindliche EU NIS-Richtlinie auf nationaler Ebene umzusetzen und in den bestehenden Strukturen abzubilden. 3.1.2 Cyber Security Center Die Rahmenbedingungen für die Errichtung und den Betrieb des Cyber Security Centers (CSC) im BM.I sind in der ÖSCS, im Arbeitsprogramm der österreichischen Bundesregierung 2013 – 2018, sowie in der Cyber Sicherheitsstrategie des Bundesministerium für Inneres festgeschrieben. Das Projekt zum Aufbau des CSC wurde 2014 gestartet und sieht die Aufnahme des operativen Vollbetriebs mit Ende Dezember 2017 vor. Der Schwerpunkt für das Jahr 2015 war das Erreichen des organisatorischen Probebetriebs. Dieses Ziel konnte erfolgreich umgesetzt werden: Das CSC nimmt seit dem zweiten Halbjahr 2015 seine ihm übertragenen Aufgaben auf der operativen Ebene wahr, indem etwa die interministeriellen Abstimmungen im Rahmen des IKDOK institutionalisiert und vertieft wurden, sowie die erforderliche Vernetzung mit allen relevanten nationalen wie internationalen Partnern erfolgreich initiiert werden konnte. Weitere Schwerpunkte lagen im Bereich der Präventionsarbeit durch Beratungstätigkeiten, Awareness-Veranstaltungen sowie Informationen und Frühwarnungen an Betreiber kritischer Infrastrukturen zu aktuellen Gefährdungslagen und Bedrohungen im Cyber Space (etwa zu den Themen DDoS, Ransomware und CEO Fraud). 3.1.3 Cyber Verteidigungszentrum und militärisches Computer Emergency Response Team Dem Auftrag des aktuellen Regierungsprogramms folgend, sowie den militärischen Erfordernissen einer leistungsfähigen militärischen Landesverteidigung im Cyber Raum entsprechend, werden die neuen Organisationseinheiten »Cyber Verteidigungszentrum« (CVZ) im Abwehramt und »militärisches Computer Emergency Response Team« (milCERT) im Führungsunterstützungszentrum und damit im Rahmen der bestehenden Organisation des BMLVS etabliert. Während das milCERT primär für BMLVS-interne Aufgabenstellungen vorgesehen ist und maßgeblich dem Schutz der militärischen IKT-Infrastruktur dient, tragen das CVZ und das milCERT gemeinsam zur Erfüllung von gesamtstaatlichen Aufgaben des BMLVS / ÖBH im Sinne des Souveränitätsschutzes im Rahmen der Umfassenden Landesverteidigung und Umfassenden Sicherheitsvorsorge bei. Das CVZ würde auch in der Lage sein, Aufgaben einer operativen NIS-Behörde für Angelegenheiten, die in das Aufgabengebiet der militärischen Landesverteidigung fallen, zu übernehmen. Zur Steigerung der Sensibilität und des Bedrohungsbewusstseins insbesondere der Führungskräfte, wurde 2015 durch das BMLVS zum 14. Mal die IKT-Sicherheitskonferenz mit mehr als 1.200 Teilnehmern in Sankt Pölten durchgeführt. Parallel dazu fand die Sitzung der 2. Cyber Security Plattform unter Federführung des BKA statt. Parallel dazu wurde zum 4. Mal die Cyber Security Challenge, ein Wettbewerb für die Cyber Talente Österreichs, durchgeführt. Das Finale im europäischen Rahmen (mit Mannschaften 30 aus Deutschland, Vereinigtes Königreich, Spanien, Rumänien, der Schweiz und Österreich) erfolgte in der Schweiz und konnte von der österreichischen Mannschaft gewonnen werden. Beide Veranstaltungen, die IKT-Sicherheitskonferenz und die Cyber Security Challenge, werden auch 2016 fortgesetzt. 3.1.4 GovCERT und CERT.at GovCERT ist das nationale CERT (Computer Emergency Response Team) der öffentlichen Verwaltung und ist Teil des IKDOK. Als österreichischer Cyber Security Point-of-Contact (PoC) ist das GovCERT mit internationalen Organisationen und Ansprechpartnern wie der European GovCERT Group oder der Central European Cyber Security Plattform vernetzt. Zur Wahrnehmung seiner Aufgaben arbeitet das GovCERT eng mit dem österreichischen CERT (CERT.at) in Form einer Public-Private-Partnership zusammen. CERT.at übernimmt dabei operative Aufgaben des GovCERT. CERT.at ist das österreichische Computer Emergency Response Team (CERT) und wurde 2008 gemeinsam mit GovCERT Austria vom Bundeskanzleramt in Kooperation mit nic.at eingerichtet. Das CERT-Team wird in erster Linie bei akuten Sicherheitsbedrohungen und -Ereignissen aktiv. Dies geschieht durch Verständigung von betroffenen Stellen oder auf Basis eigener Recherchen. Darüber hinaus führt CERT.at auch vorbeugende Maßnahmen wie Früherkennung, Öffentlichkeitsarbeit und Beratung und Unterstützung im Anlassfall auf Anfrage durch. CERT.at versteht sich als Kontaktpunkt für sicherheitsrelevante IKT-Ereignisse in Österreich und dient hier als vertrauenswürdige und innerhalb der österreichischen Sicherheits-Community sowie unter den österreichischen Organisationen und Unternehmen anerkannte Informationsdrehscheibe. GovCERT und CERT.at präsentierten am 15. Februar 2016 gemeinsam den Jahresbericht Internet-Sicherheit Österreich 2015. 3.1.5 CERT-Verbund Der nationale CERT-Verbund Österreichs wurde mit dem Ziel gegründet, die nationale Zusammenarbeit und den Informationsaustausch zwischen österreichischen CERTs zu verbessern und CERT-Aktivitäten in Österreich generell zu fördern. Ein flächendeckendes Netz an CERTs ist ein wirksames Mittel zur Absicherung digital vernetzter Informations- und Kommunikationssysteme, wie sich nach und nach in Österreich anhand einer wachsenden Zahl von CERTs bestätigt. Im Jahr 2015 / 16 wurden drei neue CERTs in den Verbund aufgenommen. Das IKT Linz CERT kümmert sich um die Cyber Sicherheit der Stadt Linz, das SV CERT ist das CERT der Sozialversicherungen, das WILI CERT ist für die IKT Sicherheit der Wiener Linien zuständig. Der CERT-Verbund ist somit österreichweit auf 11 Mitglieder angewachsen. Thematisch wichtigster Inhalt im CERT-Verbund bleibt der gegenseitige Informations- und Erfahrungsaustausch und das Aufbauen von Vertrauen untereinander. 3.1.6 Heeresnachrichtenamt Das Heeresnachrichtenamt (HNaA) ist umfassend für die Erarbeitung des strategischen Lagebildes vor allem in Bezug auf internationale Akteure und Entwicklungen zuständig. Der Beitrag des HNaA soll in ein gesamtstaatliches Lagebild einfließen und dient als mögliche Entscheidungsgrundlage für die oberste politische und militärische Führung. Weiters ist das HNaA für die frühzeitige Erkennung von potentiellen Cyber Bedrohungen aus dem Ausland zuständig 31 und unterstützt im Fall eines großangelegten Cyber Angriffes auf nationale Infrastrukturen mit den zur Verfügung stehenden Methoden eine Identifikation der Angreifer. 3.1.7 Cyber Crime Competence Center Das Cyber Crime Competence Center (C4) ist die nationale und internationale Koordinierungsund Meldestelle zur Bekämpfung der Cyberkriminalität. Das Zentrum setzt sich aus technisch und fachlich hochspezialisierten Expertinnen und Experten aus den Bereichen Ermittlungen, Forensik und Technik zusammen. Die Cyber Crime-Meldestelle des C4 ist zum einen die Kontaktstelle zur Bevölkerung. Dadurch können dort unter anderem frühzeitig neue Phänomene erkannt werden. Zum anderen ist sie auch Schnittstelle zum CSC und internationale Kontaktstelle in Cyber Crime Angelegenheiten. Eine weitere wichtige Aufgabe ist die Ansprechstelle für alle Polizeidienststellen im Zusammenhang mit Cybercrime. Nachdem im Jahr 2014 der organisatorische und technische Aufbau abgeschlossen wurde konnte 2015 die Umsetzung des Personalkonzeptes weiter vorangetrieben werden. Die vollständige Umsetzung (Sollstand ist 49 Mitarbeiterinnen und Mitarbeiter) ist für 2016 geplant. 3.1.8 Cyber Sicherheit Plattform Die Cyber Sicherheit Plattform (CSP) stellt eine nationale Austausch- und Kooperationsplattform zwischen Wirtschaft, Wissenschaft und Verwaltung dar, im Wege derer der Erfahrungs- und Informationsaustausch im Bereich Cyber Sicherheit mit besonderem Fokus auf den kritischen Infrastrukturen, weiter intensiviert werden soll. Darüber hinaus berät und unterstützt die CSP auch die Cyber Sicherheit Steuerungsgruppe (CSS) in strategischen Fragen der Cyber Sicherheit. Nach der im März 2015 erfolgten Konstituierung der Plattform hat diese ihre Arbeit aufgenommen. In einer ersten Arbeitssitzung im November 2015 wurden die Vorsitzenden der CSP (welche sich aus der Wirtschaft rekrutieren) bestellt und die Geschäftsordnung formal angenommen. Darüber hinaus wurde eine Themenlandkarte Österreich präsentiert, sowie eine Arbeitsgruppe im Themenbereich »Standardisierung« eingerichtet, welche bei der zweiten Arbeitssitzung im Juni 2016 ihre Arbeitsergebnisse präsentieren wird. 3.1.9 Austrian Trust Circle Der 2010 gegründete Austrian Trust Circle (ATC) ist eine Initiative von CERT.at und dem BKA. Wesentliche Zielsetzung ist der Aufbau von Vertrauen zwischen den handelnden Personen und Organisationen in den einzelnen Bereichen strategischer Infrastruktur. Dadurch soll der Austausch sicherheitsrelevanter Erfahrungen und im Anlassfall ein rasches gemeinsames Agieren gefördert werden. Der Austrian Trust Circle (ATC) hat seine Arbeit auch 2015 erfolgreich fortgesetzt. Vertreter von über 60 Unternehmen der strategischen Infrastruktur Österreichs erleben im ATC einen Informationsaustausch im Kontext der Informationssicherheit. Ebenso durften zahlreiche neue Unternehmen und TeilnehmerInnen begrüßt werden, die ihre Resilienz durch eine aktive Zusammenarbeit im Bereich der Informationssicherheit weiter verbessern möchten. 2015 wurden neben den sektorspezifischen Treffen und dem 2-tägigen sektorübergreifendenen Treffen in Waidhofen an der Ybbs auch ein Workshop zum Thema »Auswirkungen der NISRichtline« abgehalten. Das Austrian Trust Circle Jahrestreffen 2016 fand erstmalig mit TeilnehmerInnen der öffentlichen Verwaltung statt. Dies soll die Zusammenarbeit zwischen öffentlichen und privaten Organisationen weiter verbessern. 3.1.10 IKT-Sicherheitsportal Das IKT-Sicherheitsportal ist eine in der ÖSCS definierte Maßnahme, die als interministerielle Initiative in Kooperation mit der österreichischen Wirtschaft eingerichtet wurde. Die WebPlattform, welche im Jahr 2013 online gegangen ist, dient Sensibilisierungsmaßnahmen und ist Informations- und Kommunikationsbasis für verschiedene Zielgruppen. Das Informations- und Serviceangebot wird im Rahmen regelmäßiger Redaktionssitzungen mit den 40 Kooperationspartnern (Bundesministerien, Landesregierungen, Behörden, Universitäten, Fachhochschulen, Forschungsinstitute, Unternehmen, Vereine und Interessensvertretungen) laufend erweitert. Es beinhaltet aktuelle Meldungen und Warnungen, Informatives, Beratung sowie weiterführende Informationen sowohl für Einsteiger als auch für Experten. 2015 umfassten die Aktivitäten auf dem IKT-Sicherheitsportal insgesamt die Verfassung von 200 Newsartikeln, 56 Publikationseinträgen, 24 Veranstaltungseinträgen und 9 Fachartikeln. Eine Auswahl von gratis Sicherheitstools und wichtigen Tipps, die von den Kooperations partnern des IKT-Sicherheitsportals zur Verfügung gestellt werden, wurde im Servicebereich in einer neuen Kategorie Sicherheitstools und Tipps für KMU bereit gestellt. 3.2 Umsetzung ÖSCS Im Jahr 2015 wurde ein Umsetzungsbericht an die Bundesregierung vorgelegt. Grundlage für die Umsetzung der Strategie ist ein Implementierungsplan mit klar geregelten Verantwortlichkeiten, dessen Abarbeitung von der Cyber Sicherheit Steuerungsgruppe gesteuert und überprüft wird. Bis auf wenige Punkte wurden die Maßnahmen des Plans erfolgreich umgesetzt. Die neu eingerichteten Strukturen, Prozesse und Aktivitäten stellen die staatliche Organisation von Cyber Sicherheit in Österreich auf eine tragfähige und robuste Basis: •• Die Cyber Sicherheit Steuerungsgruppe (CSS) hat ihre Tätigkeit als strategisches Steuerungselement 2013 aufgenommen und traf sich im Februar 2016 zu ihrer 8. Besprechung. •• Eine gesamtstaatliche Struktur zur Koordination auf der operativen Ebene wurde geschaffen. •• Zur Bewältigung von Cyberkrisen wurde ein Cyber Krisenmanagement (CKM) eingerichtet. •• Sämtliche neu definierten Strukturen und Prozesse basieren auf bereits bestehenden, wohl etablierten und bewährt effektiven Cyber Strukturen (z. B. CERTs). Eine Stärkung dieser bestehenden Cyber Strukturen ist ein zentrales Anliegen der ÖSCS •• Die interministerielle Arbeitsgruppe Ordnungspolitischer Rahmen erarbeitete einen Bericht über die Notwendigkeit der Schaffung zusätzlicher rechtlicher Grundlagen, regulatorischer Maßnahmen und nicht-rechtlicher Selbstverpflichtungen für die Gewährleistung der Cyber Sicherheit in Österreich. Dieser Bericht ist zusammen mit den Vorgaben der europäischen NIS-Richtlinie, den Ergebnissen der von KSÖ und ATC durchgeführten Workshops mit Wirtschaft und der Akademia, die Basis für eine legistische Arbeitsgruppe, die ein Bundesgesetz für Cybersicherheit erarbeiten wird. Diese Gruppe startete ihre Tätigkeit mit Februar 2016. 33 •• Die Cyber Sicherheit Plattform (CSP) wurde im März 2015 konstituiert. •• Für kleine und mittlere Unternehmen (KMU) besteht ein Cyber Sicherheit Schwerpunkt mit einem Fokus Bewusstseinsbildung für Vorsorgebedarf und Risikoprävention. •• Die IT-Strategie »efit21 – digitale Bildung« verfolgt das Ziel der Vermittlung digitaler Kompetenzen an Schülerinnen und Schüler sowie an Lehrende, •• C4 Präventionsprojekt »Cyber.Kids« werden Kinder und Jugendliche im Alter von 8 – 12 Jahren im Umgang mit dem Cyberspace sensibilisiert und geschult. •• Einen wichtigen Beitrag zur Cyber Prävention liefert das Projekt »Click & Check«, in welchem in Schulen Jugendliche ab 14 Jahren über die Gefahren von Internet und Cybercrime durch speziell ausgebildete Präventionsbeamte informiert werden. •• Im Bereich des BM.I / C4 wurde die Ausbildung von Forensikern und Ermittlern für die Bekämpfung von Cybercrime weiter intensiviert. •• Durch die Wehrdienstreform wurde innerhalb des BMLVS / ÖBH mit Anfang 2014 das Wahlmodul »Cyber Sicherheit« geschaffen. •• In der Forschung bildet das Thema Cyber Sicherheit auf nationaler Ebene im Sicherheitsforschungsprogramm KIRAS als auch auf europäischer Ebene in Horizont 2020 einen wichtigen Forschungsschwerpunkt. 34 4 Cyber Übungen 4.1 Strategic Decision Making in Cyber Security (EU / national) Vom 14. bis zum 16. September 2015 fand an der Landesverteidigungsakademie (LVAk) eine von der Europäischen Verteidigungsagentur (EDA) und der ENISA organisierte gesamtstaat liche Cyber Übung »Strategic Decision Making in Cyber Security« statt. Ziel war das Üben der strategischen Entscheidungsfindung im Cyber Krisenmanagement sowie die Kommunikation und Koordination zwischen den beteiligten staatlichen Stellen und den Betreibern der kritischen Infrastrukturen. Im Rahmen der Übung wurden die Teilnehmer vor eine Vielzahl von Herausforderungen gestellt, die ein sehr weit gefächertes Spektrum von realistischen Cyber Bedrohungen sowohl gegen staatliche, als auch gegen private kritische Infrastrukturen abdeckten (u. a. DDoS-Angriffe, »Logic Bombs«, SCADA-Angriffe, Ransomware, 0-Day-Angriffe, Insider-Bedrohungen, Supply-Chain-Bedrohungen). Diese Bedrohungen gefährdeten in ihrer Gesamtheit massiv die Daseinsvorsorge der Bevölkerung. Die Teilnehmer waren gezwungen, unter teils erheblichem Zeitdruck schwerwiegende Entscheidungen zu treffen und Gegenmaßnahmen zu koordinieren, die ihrerseits wiederum Rückwirkungen auf die weitere Eskalation nach sich zogen. Eine abschließende Analyse des Planspieles zeigte, dass sich die österreichische Konzeption des Cyber Krisenmanagements mit ziviler Ausrichtung unter der Koordination des Cyber Security Centers in allen wesentlichen Punkten erfolgreich bewähren konnte. Seitens der Spielleitung wurde wiederholt insbesondere die hervorragende Kommunikation und Kooperation zwischen den beteiligten Organisationen, gleich ob staatlich oder privat, hervorgehoben. Im internationalen Vergleich wäre demnach Österreich das Land, in dem eine ressortübergreifende Kommunikation am schnellsten initiiert wurde und somit eine gemeinsame, effektive Bekämpfung der Bedrohungen schon zu einem sehr frühen Zeitpunkt einsetzen konnte. Es ist davon auszugehen, dass dies vor allem durch die etablierten und eingespielten Strukturen in Österreich möglich wurde. Eine Stäke dieser Cyber Übung war aber auch die Möglichkeit, konkretes Verbesserungspotential zu identifizieren und somit die Resilienz gegenüber den Bedrohungen aus dem Cyber Raum weiter zu verbessern. Dies schließt unter anderem auch Ansätze zur intensiveren Einbindung des privaten Sektors in Phasen einer bereits weit fortgeschrittenen Eskalation, sowie zu einer intensiveren internationalen Kooperation in Krisenfällen mit ein. 4.2 Cyber Coalition (NATO) Seit 2008 führt die NATO jährlich eine Cyber Verteidigungsübung mit dem Namen »Cyber Coalition« durch, um Entscheidungsprozesse, technische und operationelle Abläufe sowie die Zusammenarbeit zwischen den Teilnehmern zu üben. Es sind an der Übungsserie rund 600 internationale Teilnehmer aus 28 NATO-Nationen und 7 NATO Partnerstaaten (darunter auch Österreich) beteiligt. Österreich war durch milCERT, CVZ und GovCERT vertreten. 35 Übungszwecke für das ÖBH waren: •• Kenntnisgewinn über die benötigten Organisationsstrukturen und Abläufe, um Cyber angriffe auf das ÖBH entsprechend bearbeiten bzw. abwehren zu können •• Testen und Verbessern der Cyber Verteidigungsfähigkeiten •• Kommunikation mit Partnern und der Partner untereinander •• Herstellen von Kontakten zu Bearbeitern der Cyber Verteidigungsthematik von NATOund Partnerländern, Test der Kommunikationslinien, der Ablauforganisation, der Bearbeitungsprozesse und der technischen Fähigkeiten 4.3 Locked Shields (NATO) Bei dieser größten technischen Übung (besteht seit 2008, rund 400 internationale Teilnehmer) im Cyber Verteidigungsbereich ist nach wie vor Abwehr im Fokus, jedoch sollen auch die aktiven Verfahren geübt werden. Es haben sich somit auch die Übungs- und Ausbildungsziele über die Jahre kaum verändert, jedoch die Herausforderungen (Attack Vectors). Österreich ist bei dieser Übungsserie durch milCERT und CVZ vertreten; das CSC nahm als Beobachter teil. Übungszwecke für das ÖBH waren: •• Als Team umfassende Cyber Angriffe erkennen, Auswirkungen beschränken und die Vorfälle entsprechend einheitlicher Vorgaben zu bearbeiten (z. B. rechtliche Aspekte, Informationsaustausch) •• Stärkung der internationalen Zusammenarbeit durch Schaffung von Vertrauen 4.4 Crossed Swords (NATO) Crossed Swords ist eine dreitägige technische Cyber Verteidigungsübungsserie mit der Ausrichtung auf Pentester und Situational Awareness-Experten. Diese haben in einer virtualisierten Umgebung Ziele zu erreichen und technische Aufgabenstellungen abzuarbeiten. Es nehmen daran rund 30 internationale Vertreter teil, seitens Österreichs das milCERT. 36 5 Zusammenfassung / Ausblick Auch im Jahr 2015 hat sich der bereits in den Jahren zuvor beobachtete Trend hin zu einer signifikanten Steigerung von sicherheitsrelevanten Aktivitäten / Vorfällen im Cyber Bereich fortgesetzt. Insgesamt ist daher die Bedrohungslage als ansteigend einzustufen. Auf nationaler Ebene ist dabei insbesondere das signifikante Auftreten der Vorfallsarten Ransomware und Betrug / Phishing zu beobachten. Während die einzelnen Schadenssummen beispielsweise bei Ransomware tendentiell überschaubar blieben, traten insbesondere im Bereich des CEO-Fraud in einzelnen Fällen enorme Schäden auf. Hinsichtlich der Trends ist feststellbar, dass vor allem die Vorfallsarten Ransomware und DDoS eindeutig steigende Tendenzen aufweisen, die einer besonderen Beobachtung und gezielter Gegenmaßnahmen bedürfen. Diese Schlussfolgerungen liegen dabei durchaus im internationalen Trend. Für die Zukunft ist zu erwarten, dass Cyber Angriffe auch weiterhin immer mehr mit »klassischen« Verbrechensmodellen verschmelzen und zunehmend als reines Werkzeug für Betrug oder Erpressung eingesetzt werden. Es haben sich die bereits in den Vorjahren aufgezeigten Trends zur Zentralisierung nationaler Cyber Security Steuerung und Koordination sowie das zunehmende Interesse von Regierungen an Cyber Angelegenheiten auch 2015 weiter fortgesetzt. Der vermehrten Einbindung des privaten Sektors in Cyber Sicherheitsangelegenheiten wird in diesem Kontext besondere Bedeutung beigemessen. International hält der Trend zur Kooperation auf bi- und multinationaler Ebene ebenfalls weiter an. Wichtige internationale Themen mit intensiver Beteiligung Österreich waren 2015: Das Einsetzen für Grund- und Menschenrechte im Internet, das Einsetzen für ein freies Internet, die Strategie für einen digitalen Binnenmarkt für Europa, die »EU Cyber Sicherheitsstrategie« mit der angeschlossenen »Richtlinie des EP und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit« (NIS), der »EU Cyber Defence Policy Framework«, die Schlussfolgerungen zur Cyberdiplomatie, Aktivitäten der »European Network and Information Security Agency« (ENISA), regelmäßige bilaterale Konsultationen mit der NATO, die bilateralen Konsultationen mit der »Cooperative Cyber Defence Center of Excellence (CCDCoE)« in Tallinn / Estland, die Mitarbeit an vertrauensbildenden Maßnahmen im Rahmen der OSZE. Fragen der Cyber Sicherheit werden im Rahmen von EU, VN, OSZE, NATO, OECD und Europarat sowie in multilateralen Foren (Global Conference on Cyberspace, Central European Cyber Security Platform, Freedom Online Coalition) unter aktiver Beteiligung von Österreich verstärkt thematisiert. Die vorhandenen Aktivitäten und Strukturen in Österreich wurden 2015 in Einklang mit den Vorgaben aus der ÖSCS weiterentwickelt und konsolidiert, wobei ein Schwergewicht auf die Vernetzung bestehender Aktivitäten und Strukturen gelegt wurde. Im den folgenden Jahren wird es darauf ankommen, die bestehenden und neu etablierten Strukturen, sowohl im öffentlichen als auch im nicht-öffentlichen Bereich, auf das gemeinsame Ziel der Steigerung der Sicherheit des Cyber Raumes und des Bereithaltens hochentwickelter Fähigkeiten für den Extremfall der 37 militärischen Landesverteidigung auch im Cyber Raum hin auszurichten und zum bestmöglichen Zusammenwirken im Rahmen der Umfassenden Landesverteidigung bzw. Umfassenden Sicherheitsvorsorge zu bringen. 38 Anlage A – Abkürzungsverzeichnis ATC Austrian Trust Circle BKA Bundeskanzleramt BMEIA Bundesministerium für Europa, Integration und Äußeres BM.I Bundesministerium für Inneres BMLVS Bundesministerium für Landesverteidigung und Sport CDC / CVZ Cyber Defence Center / Cyber Verteidigungszentrum CERT Computer Emergency Response Team CKM Cyber Krisenmanagement CSC Cyber Security Center CSP Cyber Sicherheit Plattform CSS Cyber Sicherheit Steuerungsgruppe CSIRT Computer Security Incident Response Team DoS / DDoS Denial of Service / Distributed Denial of Service ENISA European Network and Information Security Agency GovCERT Government Computer Emergency Response Team GSVP Gemeinsame Sicherheits- und Verteidigungspolitik IKDOK Innerer Kreis der operativen Koordinierungsstrukturen milCERT militärisches Computer Emergency Response Team NATO Nordatlantische Vertragsorganisation NIS Netz- und Informationssicherheit OECD Organisation für wirtschaftliche Zusammenarbeit und Entwicklung OSZE Organisation für Sicherheit und Zusammenarbeit in Europa ÖBH Österreichisches Bundesheer ÖSCS Österreichische Strategie für Cyber Sicherheit VN Vereinte Nationen 39