Bericht Cyber Sicherheit 2016

Bericht
Bericht
Cyber Sicherheit
Cyber
Sicherheit
2016
2016
Bericht
Cyber Sicherheit
2016
Wien, Mai 2016
Impressum
Medieninhaberin, Verlegerin und Herausgeberin:
Cyber Sicherheit Steuerungsgruppe
Ballhausplatz 2, 1010 Wien
Grafische Gestaltung: BKA Design & Grafik
Wien, im Mai 2016
Inhalt
Einleitung 
 5
1 Cyber Lage / Bedrohungsanalyse   6
1.1 Übersicht über konkrete Bedrohungen 
 6
1.1.1 Methodologie und Fragestellungen 
 6
1.1.2 Erkenntnisse 
 7
1.1.3 Abgeleitete Handlungsempfehlungen 
 12
1.1.4 Ergänzende Lagebeurteilung des BMLVS 
 15
1.2 Darstellung ausgewählter Phänomene 
 16
1.2.1 Distributed Denial of Service 
 16
1.2.2 Ransomware 
 17
1.2.3 CEO Betrug 
 17
1.2.4 SOFACY 
 18
1.2.5 Netzhygiene 
 19
2 Internationale Entwicklungen 
 21
2.1 Europäische Union 
 21
2.1.1 ENISA und NIS-Richtlinie 
 21
2.1.2 Kooperationen 
 22
2.1.3 European Cyber Security Month 
 22
2.2 Vereinte Nationen 
 22
2.3 NATO 
 23
2.4 OSZE 
 24
2.5 OECD 
 24
2.6 Österreich in anderen cyber-relevanten internationalen Foren 
 25
2.7 Nationalstaaten 
 25
2.7.1 Vereinigte Staaten von Amerika 
 25
2.7.2 Russische Föderation 
 25
2.7.3 Volksrepublik China 
 26
2.7.4 Deutschland 
 27
2.7.5 Vereinigtes Königreich 
 27
2.7.6 Frankreich 
 28
3 Nationale Entwicklungen 
 29
3.1 Akteure und Strukturen 
 29
3.1.1 Operative Strukturen 
 29
3.1.2 Cyber Security Center 
 30
3.1.3 Cyber Verteidigungszentrum und militärisches
Computer Emergency Response Team 
 30
3.1.4 GovCERT und CERT.at 
 31
3.1.5 CERT-Verbund 
 31
3.1.6 Heeresnachrichtenamt 
 31
3.1.7 Cyber Crime Competence Center 
 32
3.1.8 Cyber Sicherheit Plattform 
 32
3.1.9 Austrian Trust Circle 
 32
3.1.10 IKT-Sicherheitsportal 
 33
3.2 Umsetzung ÖSCS 
 33
4 Cyber Übungen 
 35
4.1 Strategic Decision Making in Cyber Security (EU / national) 
 35
4.2 Cyber Coalition (NATO) 
 35
4.3 Locked Shields (NATO) 
 36
4.4 Crossed Swords (NATO) 
 36
5 Zusammenfassung / Ausblick   37
Anlage A – Abkürzungsverzeichnis 
 39
Einleitung
Die Österreichische Strategie für Cyber Sicherheit (ÖSCS) legt fest, dass durch die Cyber Sicherheit Steuerungsgruppe ein jährlicher Bericht zur Cyber Sicherheit in Österreich erstellt wird.
Der letzte Bericht wurde im März 2015 von der Cyber Sicherheit Steuerungsgruppe beschlossen
und den thematisch involvierten Regierungsmitgliedern zur Kenntnis gebracht.
Der vorliegende Bericht Cyber Sicherheit 2016 baut auf den Inhalten des letztjährigen Berichtes
auf und ergänzt diesen um aktuelle Entwicklungen mit einem Schwergewicht im operationellen
Bereich.
Zielsetzung des Berichtes ist eine zusammenfassende Darstellung der Cyber Bedrohungen und
wesentlicher sonstiger nationaler und internationaler Entwicklungen.
5
1 Cyber Lage / Bedrohungsanalyse
Die heutige Gesellschaft ist immer mehr von den technischen Errungenschaften und in weiterer
Folge von der Verfügbarkeit, Vertraulichkeit und Integrität von Information abhängig. Staaten,
Gruppierungen, aber auch kriminelle Akteure nutzen die Werkzeuge der IKT immer häufiger zu
ihrem Vorteil; kriminelle Aktivitäten über das Internet nehmen stetig zu. Sowohl die Akteure als
auch die angewandten Methoden, die benötigten Ressourcen und die Effektivität der Angriffe
variieren dabei in einem sehr breiten Rahmen.
1.1 Übersicht über konkrete Bedrohungen
Eine zentrale Zielsetzung dieses Berichts ist eine zusammenfassende Darstellung von konkreten, aktuellen Cyber Bedrohungen im Berichtszeitraum, sowie wesentlicher nationaler und
internationaler Entwicklungen. Staatliche Stellen sehen im Rahmen ihrer Tätigkeit unmittelbar
naturgemäß lediglich einen Ausschnitt der in Österreich aufgetretenen Cyber Vorfälle.
Um in diesem Bereich jedoch ein möglichst valides und vollständiges Bild der Situation in
Österreich zu zeichnen, wurden zusätzlich führende private Unternehmen aus der Cyber Security Branche eingebunden.
1.1.1 Methodologie und Fragestellungen
In diesem Sinne wurde eine Reihe von Unternehmen1 über die »TOP5-Vorfallsarten« befragt,
mit deren Behandlung sie sich im Beobachtungszeitraum konfrontiert sahen. Das Interesse galt
dabei nicht konkreten Einzelfällen, sondern vielmehr einer abstrahierten Überblicksdarstellung.
Von den Unternehmen und Institutionen wurden ausschließlich anonymisierte, aggregierte und
nicht Einzelfällen bzw. -kunden zuordenbare Daten und Einschätzungen übermittelt.
Die zentrale Frage war, mit welchen fünf Typen von Cyber Vorfällen (z. B. Distributed Denial of
Service – DDoS, Ransomware, Sabotage, Wirtschaftsspionage, Hacktivism, Betrug, Phishing) die
Sicherheitsunternehmen im Rahmen ihrer Geschäftstätigkeit am häufigsten konfrontiert waren2.
Die befragten Unternehmen wurden unter anderem ersucht, jede der fünf genannten Vorfallsarten separat mit folgenden Informationen anzureichern:
••
••
••
Anteil der Vorfallsart an allen bearbeiteten Vorfällen
Trend der Vorfallsart im Vergleich zum Vorjahr
Zuordnung der Anteile von Vorfällen zu Unternehmensgrößen
Die letzte Information, die jedoch von zentraler Bedeutung ist, waren frei formulierte »Lessons
Learned« zu jeder beschriebenen Vorfallsart.
1
2
6
Unter anderem nahmen die Unternehmen ACOnet-CERT, KPMG Advisory GmbH, Microsoft Österreich
GmbH, SBA Reserach GmbH, T-Systems Austria GesmbH, an der Befragung teil.
Von den Sicherheitsunternehmen wurden keine absoluten Zahlen, sondern lediglich prozentuelle Aufschlüsselungen übermittelt. Aus diesem Grund wurde im Zuge der Analyse die Annahme derselben Anzahl an Vorfällen pro
Sicherheitsunternehmen unterstellt. Diese Rahmenbedingung und die vergleichsweise kleine, nicht repräsentative
Auswahl an Sicherheitsunternehmen, lässt selbstverständlich keine wissenschaftlich fundierte Analyse zu.
1.1.2 Erkenntnisse
Vorfallsarten
Im Folgenden sind die jeweiligen Reihungen der Sicherheitsunternehmen zum einen tabellarisch
angeführt (jede Spalte entspricht dabei einem der befragten Unternehmen), und zum anderen
auch als Gesamtüberblick dargestellt.
Unternehmen 1
Unternehmen 2
Unternehmen 3
Unternehmen 4
Unternehmen 5
Unternehmen 6
Rang 1
Vulnerabilities
Ransomware
Betrug
Ransomware
Ransomware
Ransomware
Rang 2
Botnet-Drohne
Phishing
Hackitvism
Betrug / Phishing
Phishing
Phishing
Rang 3
Outgoing SPAM
Betrug
Ransomware
Wirtschafts­spionage
Betrug
Compliance
Rang 4
DDoS
SCAM
Wirtschaftsspionage
Sabotage
DDoS
DDoS
Rang 5
USB-Keylogger
Wirtschafts­spionage
Datendiebstahl
Targeted Ransomware Wirtschafts­spionage
Abb. 1: Reihung der Vorfallsarten nach Unternehmen
Im Überblick ergibt sich dabei folgendes Bild:
1%
2%
1%
1%
–
0%
0%
Ransomware
Betrug
Phishing
Vulnerability
Botnet-Drohne
Wirtschaftsspionage
Hacktivism
DDos
Datendiebstahl
SCAM
0%
3%
4%
5%
37%
6%
Compliance
Outgoing SPAM
Sabotage
Targeted
Ransomware
USB-Keylogger
7%
14%
19%
Abb. 2:
Gesamtüberblick Vorfallsarten
7
Auf Basis dieser Betrachtung kann abgeleitet werden, dass die Vorfallsarten Ransomware und
Betrug / Phishing mehr als 70 % der durch diese Unternehmen insgesamt bearbeiteten Vorfälle
ausmachen.
Trends
Hinsichtlich der Trends zeigt sich bei den meisten Vorfallsarten ein uneinheitliches Bild.
Ein über alle Unternehmen einheitlicher Trend ist nur bei den Vorfallsarten Ransomware und
DDoS zu erkennen, die beide eine klar steigende Tendenz aufweisen.
Unternehmen 1
Ransomware
Betrug
Phishing
&
"
Vulnerabilities
Botnet-Drohne
Wirtschaftsspionage
Unternehmen 2
Unternehmen 3
Unternehmen 4
Unternehmen 5
Unternehmen 6
&
"
&
&
&
&
(
(
&
"
"
&
&
"
"
"
(
Hacktivism
&
DDoS
Datendiebstahl
&
SCAM
&
"
(
Sabotage
Targeted Ransomware
&
USB-Keylogger
Abb. 3: Trends in den
­einzelnen Vorfallsarten
&
"
Compliance
Outgoing SPAM
&
"
&
Insgesamt zu bemerken ist, dass die Mehrzahl der Cyber Vorfälle eine steigende Tendenz aufweist, die Bedrohungslage also insgesamt ansteigend erscheint.
8
Ein alles dominierender Trend zeigt sich insbesondere bei Ransomware. Dieser signifikante
nationale Anstieg wird durch internationale Untersuchungen bestätigt. Die folgende Grafik
»Ransomware detections from August 2015 to March 2016« des amerikanischen Sicherheitsunternehmens FireEye (Quelle: https://www.fireeye.com/blog/threat-research/2016/05/­
ransomware_activity.html) zeigt das Verhältnis erkannter Ransomware-Angriffe gegenüber der
Gesamtheit aller Malware-Angriffe.
Abb. 4: Anzahl erkannter
Ransomware-Angriffe
Percentage of FireEye NX and EX Appliances Sharing Information with
Fire Eye Dynamic Threat Intelligence Detecting Ransomware
70 %
60 %
50 %
40 %
30 %
20 %
10 %
0%
October
2015
November December
2015
2015
January
2016
Febuary
2016
March
2016
9
Zuordnung der Anzahl der Vorfälle zu Unternehmensgrößen
Die Zuordnung der Anzahl der Vorfälle zu Unternehmensgrößen zeigt aufgrund der teils
unterschiedlichen Kundengruppen der befragten Unternehmen (z. B. Sicherheitsunternehmen,
die ausschließlich Großkunden betreuen) kein repräsentatives Bild. Die Darstellungen geben
somit nur einen Hinweis auf die jeweilige Verteilung3.
Betrug
Ransomware
kleinst (<10)
klein (10– 50)
mittel (51– 250)
groß (>250)
7%
8%
10,4%
2%
5%
18,9%
63,9%
85%
Phishing
Wirtschaftsspionage
1%
13%
24%
9%
56%
22%
69%
DDos
6%
SCAM
11%
23%
15%
50%
77%
24%
Abb. 5: Zuordnung der
Anzahl an Vorfällen zu
Unternehmensgrößen
3
10
Die befragten Unternehmen gaben nicht für jede genannte Vorfallsart eine Aufschlüsselung nach den jeweiligen
Unternehmensgrößen bekannt. Vorfallsarten einzelner Unternehmen, für die keine Aufschlüsselung vorliegt,
bleiben in der folgenden Analyse unberücksichtigt. Dadurch kann es zu Verzerrungen gegenüber der oben
dargestellten Gesamtübersicht kommen.
Trotzdem kann abgelesen werden, dass große und teilweise auch mittlere Unternehmen überproportional stark von Cyber Angriffen betroffen sind. Generell nimmt die Betroffenheit mit
der Unternehmensgröße ab. Dies kann jedoch möglicherweise auch daran liegen, dass mit
zunehmender Unternehmensgröße auf Seiten der Opfer die Bereitschaft (bzw. die Möglichkeit),
einen kommerziellen Sicherheitsanbieter zu konsultieren, zunimmt.
Im Umkehrschluss kann (unter denselben Einschränkungen) dargestellt werden, mit welchen
Cyber Bedrohungen sich Unternehmen verschiedener Größe in der Regel konfrontiert sehen.
kleinst (<10)
3%
3%
1%
klein (10– 50)
Ransomware
Betrug
Phishing
Vulnerability
Botnet-Drohne
Wirtschaftsspionage
Hacktivism
DDos
18%
40%
30%
48%
17%
14%
26%
3%
3%
mittel (51– 250)
groß (>250)
4%
1%
4%
7%
8%
37%
6%
26%
3%
58%
13%
27%
Abb. 6: Cyber Bedrohungen
je nach Unternehmensgröße
Eindeutig ersichtlich in diesem Zusammenhang ist, dass für Unternehmen jeglicher Größe stets
Ransomware und Betrug / Phishing – zumindest quantitativ betrachtet – die Hauptbedrohungen
darstellen.
Bemerkenswert erscheint dabei die starke Dominanz von Ransomware-Angriffen quer durch
alle Unternehmensgrößen. Ebenfalls auffällig ist, dass sich (auf Basis der zur Verfügung stehenden Daten) DDoS-Angriffe ausschließlich gegen mittlere und große Unternehmen richten.
11
1.1.3 Abgeleitete Handlungsempfehlungen
Die befragten Unternehmen wurden ersucht, zu jeder beschriebenen Vorfallsart frei formulierte
»Lessons Learned« bzw. Handlungsempfehlungen anzufügen. Die folgende Zusammenstellung
ist daher keine abschließende Sammlung von Verhaltensrichtlinien, sondern lediglich eine
Zusammenstellung der eingegangenen Informationen, aus der sich Schwerpunkte ablesen lassen.
Ransomware
Problembewusstsein bzw. Awareness aller Mitarbeiterinnen und Mitarbeiter sind unverzichtbare Grundlagen jedes Schutzkonzepts. Hier sind oft Defizite zu beobachten. Insbesondere
müssen den Mitarbeitern die Konsequenzen und Auswirkungen einer möglichen Infektion für
das Unternehmen bewusst sein. Sicherheitsrichtlinien müssen nicht nur existieren, sondern
auch gelebt werden.
Um die Erstinfektion erfolgreich verhindern zu können, sind eine ganze Reihe von Maßnahmen
sinnvoll. Keine davon garantiert für sich betrachtet absolute Sicherheit, sinnvoll kombiniert reduzieren sie aber das Risiko erheblich. Dazu zählen vor allem ein flächendeckender, einheitlicher
und aktueller Viren-, Malware- und SPAM-Schutz auf allen Servern und Endgeräten, sinnvolle
Härtung von Endgeräten (z. B. Flash, Java, JavaScript, Makros, Ausführungsbeschränkungen
für ausführbare Dateien), striktes Berechtigungsmanagement (keine lokalen Admin-Rechte,
dedizierte Admin-Geräte, kein Daily-Business mit Admin-Privilegien) und durchdachte Sicherheitskonzepte (Firewalls und IDS / IPS-Systeme, konsequentes Update- und Patch-Management).
Ein funktionsfähiges, vollständiges, regelmäßiges Backup ist die zentrale Maßnahme zum Schutz
vor Ransomware. Doch gerade in diesem Bereich zeigten sich viele Defizite. Dazu zählen insbesondere fehlende Überprüfungen des Backup- und Restorevorgangs und das Verabsäumen
der Trennung der Sicherungsmedien von den operativen Systemen nach dem Backup-Vorgang
(Verschlüsselung von Sicherungsmedien).
Betrug / SCAM / Phishing
Viele Betrugsversuche basieren nicht auf technischen Angriffsvektoren, Betrug basiert in den
meisten Fällen auf umfangreichen Recherchen und Social Engineering. Die Qualität von solchen
Social Engineering-Angriffen im Zusammenhang mit Betrug / Phishing verbessert sich laufend
und die Angriffsflächen werden zunehmend größer (Phishing gegen Enterprise-Software).
Gleichzeitig ist zu beobachten, dass die Awareness gegenüber diesen Angriffen teils nicht ausreichend ausgeprägt ist.
Betrug ist, insbesondere wenn Innentäter beteiligt sind (unabhängig, ob diese aus freien Stücken
involviert sind oder z. B. durch Erpressung dazu gezwungen werden), schwer zu verhindern.
Generell sind ein gutes und offenes Betriebsklima, sowie eine offene Kommunikationskultur
nach wie vor der effizienteste Schutz vor Innentätern.
Entscheidend sind darüber hinaus konsequent implementierte und auditierte Sicherheitskonzepte
und -prozesse (z. B. 4- oder Mehr-Augen-Prinzip für Zahlungsvorgänge). Dies gilt unter anderem
für die im Beobachtungszeitraum stark gestiegenen Betrugsversuche im Zusammenhang mit
CEO-Fraud bzw. Business-E-Mail Compromise Schema. Laufende Kontrollen und geeignete
Sicherheitsprozesse (z. B. Rückkopplungsmodell mit Medienbruch, sauber vorgegebene interne
Mailvorlagen) erschweren Betrugsversuche.
Zuletzt werden auch in diesem Umfeld immer wieder klassische vorbeugende Maßnahmen
ins Treffen geführt (Technologien zur Überprüfung von URLs, Downloads und Attachments,
Berechtigungsmanagement, Update- und Patch-Management). Sinnvoll erscheint in diesem
12
Zusammenhang auch die Implementierung von zertifikatsbasierenden E-Mail-Lösungen
(z. B. S/MIME), um in der Folge nur mehr ordnungsgemäß signierte E-Mails von Entscheidungsträgern anzunehmen.
Vulnerabilities
In diesem Zusammenhang werden insbesondere Versäumnisse im Update- und Patch-Management festgestellt. »Große Installationen« werden meist zeitnah gepatcht, andere Systeme
(z. B. NAS-Systeme) bleiben hingegen oft völlig ungewartet.
Botnet-Drohne
Es ist zu beobachten, dass Viren-, Malware- und SPAM-Lösungen oftmals keinen ausreichenden
Schutz vor einer Infektion bieten.
In dem meisten Fällen wird den Betreibern der infizierten Systeme nicht bewusst, dass sie Teil
eines BOT-Netzwerks sind.
Wirtschaftsspionage
Im Bereich der Wirtschaftsspionage werden Angriffe in vielen Fällen sehr spät oder auch überhaupt nicht entdeckt. Täter und konkrete Angriffswege sind oft schwer zu ermitteln, weswegen
von einer hohen Dunkelziffer ausgegangen werden muss. Es wird die klare Empfehlung ausgesprochen, nach erkannten Advanced Persistent Threat (APT)-Attacken gezielte Audits durch
externe Organisationen durchzuführen.
Wirtschaftsspionage weist mitunter sehr unterschiedliche Angriffsmuster auf; diese beinhalten
auch klassische Verfahren (z. B. eindringen, abhören, abgreifen). Hier können grundlegende
Sicherheitsmaßnahmen (physische Zutrittskontrolle, logische Zugriffskontrolle) bereits einen
wesentlichen Grundschutz sicherstellen. Berücksichtigt werden muss weiters, dass die Angreifer
oftmals bereits über genaue Kenntnisse der Infrastruktur verfügen.
Wie in vielen anderen Bereichen ist die Awareness aller Mitarbeiterinnen und Mitarbeiter entscheidend, aber oft nicht ausreichend ausgeprägt (»das passiert doch nur den anderen«). Es muss
klar sein, dass jedes Unternehmen Ziel sein kann. Es bedarf geeigneter Sicherheits-Policies, die
von allen gemeinsam gelebt, überprüft und weiterentwickelt werden. Darüber hinaus bedarf es
des Bewusstseins, dass insbesondere die allgemeinen Urlaubszeiten (z. B. Sommer, Weihnachten,
Feiertage oder Wochen mit Fenstertagen) die Hauptrisikozeit darstellen.
Gerade im Bereich der Wirtschaftsspionage sind häufig Versäumnisse bei den Unternehmen zu
beobachten. Diese beinhalten unter anderem das Sicherheits-Management (Fehler in der Sicherheitsstrategie, zu geringe Investitionen in Security- und Betriebsmannschaft, keine Entkopplung
der Planung kritischer Systeme vom normalen Business), sowie klassische Administrationsfehler
(Berechtigungs­management, Update- und Patchmanagement, fehlende Verschlüsselung von
Daten und Endgeräten).
Hacktivism
Die befragten Unternehmen empfehlen in diesem Zusammenhang zum einen die Einführung
von IT-Systemen zum Perimeter-Schutz und Bereitstellung von ausreichenden Ressourcen für
die Konfiguration und das Monitoring dieser Systeme, sowie zum anderen die Entwicklung und
Einführung von geregelten Prozessen im Unternehmen. Diese beinhalten insbesondere einen
Change Management- und Freigabeprozess bei der Einführung von neuen bzw. beim Wechsel
von alten auf neue IT-Systeme, sowie einen Incident Response-Prozess zur besseren Detektion
und Analyse von IT-Sicherheitsvorfällen.
13
DDoS
DDos ist in der Regel eine Angriffsart, die in erster Linie auf Erpressung oder Aktionismus
abzielt. Es wurden allerdings auch viele Angriffe beobachtet, für die ein offensichtliches Motiv
fehlt. Über die Gründe, die hinter solchen Angriffen stecken, kann derzeit lediglich spekuliert
werden (z. B. mögliche Testangriffe zur Analyse und Bewertung der Abwehrmechanismen).
Die Mehrzahl der Sicherheitsunternehmen gibt an, dass kommerzielle Anti-DDoS-Services
notwendig erscheinen und zumeist zufriedenstellend funktionieren. Entscheidend sei, gut vorbereitet zu sein, um im Anlassfall eine schnellstmögliche Reaktion zu gewährleisten.
Negativ hervorgehoben wurde, dass bei vielen Unternehmen eine abgestimmte Kommunikationsstrategie gegenüber Kunden und / oder Öffentlichkeit fehlt, was zu negativen Imageeffekten
führen kann.
Datendiebstahl
Im Bereich des Datendiebstahls nimmt das Monitoring und die regelmäßige Auswertung von
E-Mail-Server-Logdaten einen besonderen Stellenwert ein (z. B. Analyse der an Free-MailAdressen gesendeten E-Mails, sowie regelmäßiger Review von automatischen Regeln, welche
von Benutzern im E-Mail-Client eingerichtet wurden), um Datendiebstahl rascher erkennen
und darauf reagieren zu können.
Darüber hinaus bietet auch die Einführung von Maßnahmen zur Verhinderung von Datendiebstahl (z. B. USB-Port-Sperre, Einführung eines Data Loss Prevention Systems) zusätzlich
Schutz vor dieser Bedrohung.
Compliance
Im Bereich der Compliance werden präventive Maßnahmen aus dem Bereich des Berechtigungsmanagements, wie die permanente Überwachung administrativer Berechtigungen, die
generelle Einschränkung von Zugriffsberechtigungen (»least privilege«), sowie die regelmäßige
Überprüfung von Berechtigungen auf ihre fortdauernde Notwendigkeit genannt.
Outgoing SPAM
Seitens der Sicherheitsunternehmen wurde festgestellt, dass es seit einiger Zeit eine Tendenz
dahingehend gibt, dass SPAM verstärkt über authentisierte SMTP-Sessions versendet wird.
Die dafür missbrauchten, gültigen Accounts weisen in aller Regel starke Kennwörter auf; die
Verwendung von Phishing (oder Sniffing) erscheint naheliegend.
Sabotage
Generell erscheint die Bedrohung durch Sabotage als gering. Trotzdem wurden von einem
befragten Unternehmen in letzter Zeit innerhalb eines vergleichsweise kurzen Zeitraums gleich
eine Reihe von Angriffen gegen Unternehmen beobachtet. Dies könnte auf einen neuen Trend
hinweisen.
Oft verfügen die Angreifer bereits im Vorfeld des Angriffes über ausgezeichnete Kenntnisse
zur Infrastruktur; gleichzeitig fehlt es auch im Hinblick auf Sabotage oft an der notwendigen
Awareness der Mitarbeiterinnen und Mitarbeiter.
Sabotage wird, wie viele andere Angriffsmuster, durch klassische Administrationsfehler sowie
durch fehlende Kenntnisse der eigenen Infrastruktur erleichtert (fehlende Dokumentationen,
unzureichende Kenntnisse über die Technologie, kein kompetenter Mitarbeiter vor Ort).
14
USB-Keylogger
Ein befragtes Unternehmen berichtet über einen Fall von USB-Keyloggern. Diese Geräte werden
zwischen Endgerät und USB-Tastatur zwischengeschaltet und zeichnen alle Tastaturanschläge
auf. Diese können nach der Entfernung der Keyloggers aus diesem ausgelesen werden. Die
Täter benötigen daher physischen Zugang zu den Opfern. Motiv und Täter sind nicht bekannt.
1.1.4 Ergänzende Lagebeurteilung des BMLVS
In keinem militärischen Konflikt der Gegenwart und Zukunft aber auch im »Graubereich«
zwischen Krieg und Frieden (»Hybride Konflikte«), wird auf das Erzielen von Wirkung im
Cyber Raum verzichtet. Für das BMLVS bedeutet dies, sich bestmöglich auf die militärische
Landesverteidigung im Cyber Raum auszurichten und vorzubereiten. Gegnerische militärische
Aufklärungsmaßnahmen gegen den Staat oder Zivile, derzeit wahrscheinlich in erster Linie um
Schwachstellen aufzuklären bzw. möglicherweise auch Schadsoftware einzubringen, können
nicht ausgeschlossen werden. Im Berichtszeitraum konnten zahlreiche Angriffe gegen Teile
der IKT-Infrastruktur des österreichischen Bundesheeres (ÖBH) bzw. des BMLVS festgestellt
werden. Ob diese der oben angesprochenen Einsatzvorbereitung nicht-staatlicher oder gar
staatlicher Akteure dienen oder eher kriminelle Zielsetzungen haben, lässt sich nicht beweisen.
Das BMLVS beobachtet in diesem Sinne Aktivitäten im Cyber Raum weiter und ergänzt laufend
das eigene militärische Lagebild. Der Großteil der Angriffe wurde durch die Abwehrsysteme
des Ressorst erkannt und abgehalten.
Es wurden teils zielgerichtete Attacken gegen die ressorteigenen Systeme geführt, vielfach handelte es sich aber um Massenangriffe. Generell ist aber zu sagen, dass vorrangig Massenangriffe
mit wenig bis keiner konkreten Ausrichtung auf die Systeme des BMLVS zu verzeichnen waren.
Dennoch gab es im Berichtszeitraum durchaus auch einige direkt auf die Infrastruktur des
BMLVS ausgerichtete, von denen einige aufgrund der hohen Professionalität auch in den ersten
Schritten (= Angriffsvektor über Web-Mail-Konten) funktionierten, in weiterer Folge aber durch
die Sicherheitsmaßnahmen des militärischen Computer Emergency Response Teams (milCERT)
und des Cyber Verteidigungszentrums (CVZ) entsprechend abgewehrt und in weiterer Folge
abgestellt werden konnten, so dass kein erheblicher Schaden entstanden ist.
Es ist anzumerken, dass im Fall von Cyber Angriffen einzig die Qualität der Angriffe Aussagekraft über die Bedrohungs- und Gefährdungslage an sich liefert und nicht die Zahl der
Attacken. Ein einziger (zielgerichteter) Angriff könnte ausreichen, um nachhaltigen Schaden
an der IKT-Infrastruktur anzurichten.
15
1.2 Darstellung ausgewählter Phänomene
1.2.1 Distributed Denial of Service
Denial of Service – Angriffe (DoS, engl. für »Dienstverweigerung«) bezeichnen eine bewusst herbeigeführte Störung der Verfügbarkeit von Online-Diensten. Beispielsweise wird eine Webseite
mit derart vielen Anfragen überlastet, dass diese nicht mehr antworten kann. Die attackierte
Webseite ist damit über das Internet nicht mehr erreichbar.
Cyber Kriminelle bedrohen Unternehmen damit, ihre Webseiten lahm zu legen, falls diese nicht
bereit sind, einen geforderten Betrag zu bezahlen. Opfer sind vor allem jene Unternehmen, die
auf ihre Webseiten besonders angewiesen sind.
Zumeist läuft ein derartiger Angriff zwei- oder auch mehrstufig ab:
••
In einem ersten Schritt wird das betroffene Unternehmen von den Erpressern mittels E-Mail
(oft auch an eine ganze Reihe von Adressaten gleichzeitig) angeschrieben. Dieses Schreiben
kann dabei individuell auf das Opfer abgestimmte technische Details (z. B. angegriffene
­IP-Adresse) enthalten. Im Schreiben wird ein »DDos-Testangriff« mit einer vergleichsweise
geringen Bandbreite und einer beschränkten Dauer angekündigt, der entweder bereits
angelaufen ist oder unmittelbar bevorsteht. Diese Angriffe finden in der Folge tatsächlich
wie angekündigt statt!
••
In der Folge wird das Unternehmen unter Fristsetzung erpresst, einen gewissen Betrag an
die Erpresser zu übermitteln (z. B. mittels der Cryptowährung Bitcoin oder mit »prepaidKarten«). Widrigenfalls wird ein weiterer DDoS-Angriff mit weitaus höherer Bandbreite
und / oder Dauer angedroht. Manche Angreifer drohen sogar damit, dass dieser zweite
Angriff dann bis zur vollständigen Zahlung der (progressiv mit der Zeit ansteigenden)
Lösegeldforderung anhält. Für den Fall einer Zahlung wird oftmals zugesichert, dass dies
der einzige Erpressungsversuch bleiben wird. Eine Kontaktaufnahme mit den Erpressern
ist im Regelfall nicht möglich.
Abb. 7: Beispiel für ein
Erpressungs-E-Mail
16
Erfolgen die Angriffe nicht bloß von einem Computer, sondern von einer Vielzahl von Computern gleichzeitig, so spricht man von DDoS-Angriffen (Distributed Denial of Service). Dazu
werden zahlreiche Computer zu einem sogenannten Bot-Netzwerk zusammengeschaltet, mit
dem die Kriminellen wesentlich leistungsstärker angreifen können. Bot-Netzwerke bestehen
aus bis zu hunderttausenden illegal verbundener Computern. Namhafte Antiviren-Hersteller
geben bekannt, dass bereits jeder zehnte private Computer in ein Bot-Netzwerk eingebunden
ist und kriminell verwendet wird, ohne dass die Besitzer darüber Bescheid wissen.
1.2.2 Ransomware
Als Ransomware (engl. für »Erpressungssoftware«) werden Schadprogramme bezeichnet, die
speziell dafür entwickelt wurden, den Zugriff auf Daten und Computersysteme einzuschränken
bzw. zu verhindern. Die Verbreitung von Ransomware erfolgt insbesondere über präparierte
E-Mails, durch Sicherheitslücken in Webbrowsern und durch unbewusstes Herunterladen aus
dem Internet (drive-by-download). Betroffen sind sowohl Privatpersonen als auch Unternehmen,
Behörden und sonstige Organisationen.
Sobald ein Computer, ein Smartphone oder ein Tablet mit der Schadsoftware infiziert ist, werden die Daten darauf verschlüsselt, sodass nicht mehr darauf zugegriffen werden kann. Von
der Verschlüsselung sind auch externe Datenträger und Netzlaufwerke betroffen. Sofern die
Daten nicht vorsorglich mit einem Backup gesichert wurden, sind diese verloren, wenn nicht
innerhalb einer bestimmten Zeit »Lösegeld« (engl. »Ransom«) dafür bezahlt wird. Als Lösegeld
werden virtuelle Zahlungsmittel wie z.B. Bitcoin gefordert, sodass eine Rückverfolgung nur
sehr eingeschränkt möglich ist.
In Österreich treten diese Fälle von »Cyber Erpressungen« nahezu täglich auf. Das Bundes­
kriminalamt warnt ausdrücklich davor, Email-Anhänge von unbekannten Absendern zu öffnen
bzw. auf Hyperlinks in E-Mails zu klicken. Es wird empfohlen, wichtige Daten regelmäßig zu
sichern und physisch getrennt aufzubewahren.
1.2.3 CEO Betrug
Dabei geben sich die Täter als Direktoren internationaler Firmen aus und verleiten Mitarbeiter
zu Geldüberweisungen.
Bei der Vorgehensweise der Täter handelt es sich um eine Form des »Social Engineering«: Der
Täter kontaktiert direkt Mitarbeiter der Finanzabteilung eines Unternehmens und gibt sich als
Direktor, Geschäftsführer oder Vorstand (CEO) des Unternehmens aus. Unter Betonung der
Wichtigkeit, Dringlichkeit und hohen Geheimhaltung werden Zahlungsanweisungen unter Vorgabe von lebensnahen Sachverhalten, wie zum Beispiel eine bevorstehende Firmenübernahme
im Ausland, angeordnet. Der Kontakt wird diesbezüglich immer per Telefon oder E-Mail hergestellt, wobei die Absenderdaten der E-Mails entsprechend manipuliert werden, sodass beim
Mitarbeiter der Eindruck entsteht, dass es direkt von der Geschäftsleitung abgesendet wurde.
Eventuelle Unterschriften der Verantwortlichen werden gefälscht. Die Überweisung ist zumeist
als Eilüberweisung auszuführen und erfolgt auf ein ausländisches Bankkonto, vorwiegend nach
China. Nach der Überweisung beheben die Täter so schnell als möglich das Geld.
17
Name des/der GeschäftsführerIn
E-Mail-Adresse des/der MitarbeiterIn der Finanzabteilung
Persönliche Anrede mit dem Namen des/der MitarbeiterIn der Finanzabteilung
Korrekte E-Mail-Signatur des/der GeschäftsführerIn
E-Mail-Adresse Finanzabteilung
Name des/der GeschäftsführerIn (aber: E-Mail-Adresse des Angreifers!)
Persönliche Anrede des/der GeschäftsführerIn
Name des/der MitarbeiterIn der Finanzabteilung
Abb. 8: Beispielhafte
E-Mail-Korrespondenz im
Bereich CEO-Betrug
Um die Vertrauenswürdigkeit beim Mitarbeiter zu heben, treten die Täter auch als Mitarbeiter
der Finanzmarktaufsicht auf und bestätigen die Unbedenklichkeit der Überweisung. Bekannt ist
auch das Auftreten der Täter als Anwälte von renommierten Anwaltskanzleien, die angeblich
mit der Abwicklung des »Projektes« beauftragt wurden, wobei dies aber vorher vom angeblichen Geschäftsleiter angekündigt wird.
Wesentliche Merkmale dieser Betrugsform sind der Hinweis auf die Geheimhaltung des Projektes und die direkte Kommunikation zwischen der Geschäftsleitung und dem Mitarbeiter
der Finanzabteilung.
Durch den Webauftritt des Unternehmens können Täter weltweit Informationen bis hin zu
Unterschriftsproben der Verantwortlichen erlangen. Unter Umständen haben die Betrüger gute
Informationen über die Person, die sie darstellen wollen und setzen dieses Wissen auch glaubwürdig gegenüber Mitarbeitern ein. Die Täter spiegeln gerne einen hohen zeitlichen Druck vor und
weisen auf eine hohe Geheimhaltung hin. Mitarbeiter betrachten die direkte Kommunikation
und Einbindung in ein »geheimes« Projekt als besonderen Vertrauensvorschuss und kommen
dem Ansinnen unter Außerachtlassung interner Vorgaben nach. Das konsequente Einhalten
der internen Sicherheitskriterien kann zur Schadensvermeidung betragen.
1.2.4 SOFACY
Bei diesem vermutlich bereits seit 2005 operierenden Akteur wird ein staatlicher / nachrichtendienstlicher russischer Hintergrund vermutet. SOFACY weist einen sehr hohen Professionalisierungsgrad auf. Im Fall der Einstufung eines Ziels als wertvoll scheint es beispielsweise, dass
die Vorgehensweise und die Angriffswerkzeuge teilweise umgestellt werden, um einen hohen
Grad an Persistenz und einen langen Zeitraum an Informationsausspähung zu erreichen.
Als Angriffsvektoren setzten die Akteure in der Vergangenheit meistens Spear-Phishing per
E-Mail (von gefälschten Adressen – z. B. mit NATO-Bezug – aus) mit kompromittierten Datei­
anhängen in (tages)aktuellem Kontext (z. B. NATO- oder OSZE-Themen) ein, um in einem ersten
Schritt festzustellen, ob die Betroffenen von weiterem Interesse für die »Bearbeitung« waren.
18
3
Ab 2014 erfolgten Attacken nach ähnlichem Muster oftmalig mittels Water-Hole-Angriffen
(z. B. über eine polnische Regierungs-Webseite) und Typo-Squatting (z. B. internationale Nachrichtenseiten), und zwar in einem Ausmaß, wie es bis dato bei keinem anderen Akteur beobachtet
werden konnte. Außerdem wurden immer wieder Phishing-E-Mails (relativ ungezielte Angriffe
per E-Mail, ähnlich einer Spam-Aussendung) mit Verknüpfungen zu gefälschten OUTLOOK
WEB ACCESS (OWA) Login-Seiten eingesetzt, vermutlich um Zugangsdaten für E-MailAccounts auszuspähen und über diese entweder ebenfalls eine Erstbeurteilung nach Relevanz
des Opfers oder Spear-Phishing-Angriffe auf die eigentlichen Ziele durchführen zu können.
Zur eigentlichen Ausspähung der Ziele kamen immer wieder Zero-Day-Exploits (bekannt
gewordene Sicherheitslücken, für die es noch keinen Herstellerpatch zur Behebung gibt) zum
Einsatz und modulartig aufgebaute Schadprogramme mit mehreren Komponenten, die über
mehrere Jahre weiterentwickelt und für jedes Ziel passgenau zugeschnitten worden waren.
Beschränkten sich in der Vergangenheit die Ziele vornehmlich auf Regierungsorganisationen
aus Osteuropa, dürfte sich das Spektrum in den letzten Jahren wesentlich erweitert haben –
so zählen mittlerweile weltweit Organisationen aus dem militärischen Umfeld, Rüstungsfirmen,
Botschaften und oppositionelle Fraktionen der Russischen Föderation zu den Hauptzielen. Unter
den Opfern werden etwa das französische, das ungarische und das US-Verteidigungsministerium,
die Regierungen von Ungarn, Polen und der Ukraine, sowie die norwegische, die chilenische
und die georgische Armee vermutet. Mehrere Angriffe gegen das BMLVS im Jahr 2015 dürften
ebenfalls in die Verantwortung dieses Akteurs fallen.
1.2.5 Netzhygiene
Das Wort Hygiene leitet sich aus Hygieia, dem griechischen Wort für Gesundheit ab und
bezeichnet Maßnahmen zur Verhütung von Krankheiten und zur Erhaltung und Festigung
der Gesundheit.
Diesen Begriff auf Computersysteme und -netze anzuwenden ist naheliegend, da gerade in
diesem Bereich unzählige Ansteckungs- und Angriffsmöglichkeiten vorliegen, die Clients, Server, Netze und damit letztendlich das gesamte Internet gefährden. Zusätzlich kommen durch
die ständig wachsende Anzahl an Teilnehmern (Stichwort: »Internet of Things«) laufend neue
Herausforderungen an die Netzhygiene hinzu.
Sauberkeit im österreichischen Teil des Internets ist nur zu erreichen, wenn Cyber Sicherheit
Maßnahmen für möglichst jeden einzelnen Netzteilnehmer ergriffen werden. Dies mag u
­ topisch
erscheinen, muss aber das Ziel sein, da das Gesamtnetz nur so widerstandsfähig wie sein
schwächstes Glied ist.
Besonders wichtig in diesem Zusammenhang sind oft unterschätzte Geräte wie Router, Modems
oder auch Services auf Servern, die zwar nicht mehr benutzt werden, aber trotzdem noch erreicht
werden können. Genau dort werden oft die Maßnahmen »Security Patches« und »Härtung
der Systeme« vernachlässigt, was von Cyber Attacken dann ausgenutzt wird. Spürbar wird
dies meist bei DDoS-Angriffen, weil jeder einzelne Teil des Gesamtnetzes, der die notwendigen
Maßnahmen nicht ergriffen hat, als Reflektor und Verstärker missbraucht werden kann.
Das zweite große Problem bei DDoS-Angriffen stellen Clients dar, die unwissentlich Teil eines
Bot-Netzes sind. Diese Bots werden von einem Command & Control Server (»C&C-Server«
oder »C2-Server«) gesteuert und starten auf Befehl gezielt Angriffe. Die Angriffskapazität dieser
Bot-Netze ist oft sehr groß und die Attacken kommen aus der ganzen Welt von unterschiedlichsten IP-Adressen, sodass eine Verteidigung für den Angegriffenen äußerst schwierig ist. ­Bot-Netze
19
werden meist von einer Gruppe Krimineller kontrolliert, die aber nicht nur selbst Angriffe
ausführen, sondern Ihre Netze zur Durchführung von Angriffen auch noch weitervermieten.
CERT.at führt ein regelmäßiges Monitoring des österreichischen Internets in Bezug auf diverse
»Hygieneaspekte« durch. Ein Überblick ist im CERT.at-Jahresbericht4 zu finden.
Ein Teilaspekt davon sind zum Beispiel die bereits genannten DDoS Verstärker. Mehrere
Protokolle können für DDoS Verstärkung missbraucht werden (etwa DNS: Domain Name
Service, NTP: Network Time Protocol, SSDP: Simple Service Discovery Protocol, …). CERT.at
überprüfte, auf wie vielen Adressen im österreichischen Internet Services laufen, die sich für
eine Verstärkung ausnutzen lassen und informiert die zuständigen Netzbetreiber. Im Jahr 2015
ergab sich folgendes Bild:
25.000
ssdp
ntp-version
openresolvers
snmp
chargen
ntp-monitor
qotd
20.000
15.000
10.000
5.000
20
15
20 /0
15 1
20 /0
15 3
20 /0
15 5
20 /0
15 7
20 /0
15 9
20 /11
15
20 /1
15 3
20 /1
15 5
20 /1
15 7
20 /1
15 9
20 /2
15 1
20 /2
15 3
20 /2
15 5
20 /2
15 7
20 /2
15 9
20 /3
15 1
20 /3
15 3
20 /3
15 5
20 /3
15 7
20 /3
15 9
20 /4
15 1
20 /4
15 3
20 /4
15 5
20 /4
15 7
20 /4
15 9
20 /5
15 1
20 /5
16 3
20 /0
16 2
20 /0
16 4
20 /0
16 6
20 /0
16 8
20 /1
16 0
20 /1
16 2
20 /1
16 4
20 /1
16 6
20 /1
16 8
/2
0
0
Abb. 9: DDoS-Verstärker:
Anzahl nutzbarer Adressen in
Österreich im Jahr 2015
Generell zeigt sich hier ein leichter Rückgang – die Ausnahme stellt das Protokoll »SSDP« dar.
Hier stiegen die Zahlen bis Mitte Dezember noch an. Ende Dezember folgte ein starker Rückgang. Schuld daran ist ein Fehler in einem Modem, das ein Internetanbieter an seine Kunden
lieferte. In Abstimmung mit dem Inneren Kreis der Operativen Koordinierungsstrukturen
(IKDOK) suchte CERT.at das Gespräch mit dem Internetanbieter. So konnte erreicht werden,
dass Gegenmaßnahmen gesetzt wurden und die Netzhygiene nachhaltig gesteigert wurde.
Das Ziel Netzhygiene erfordert ein ständiges koordiniertes Vorgehen aller relevanter Behörden,
Organisationen und der Wirtschaft. Nur durch ein konsequentes Anwenden von »Hygienemaßnahmen« ist es möglich den Bedrohungen zu begegnen, gleichwohl man sich bewusst sein
muss, dass hundertprozentiger Schutz nicht erreichbar ist.
4 https://www.cert.at/static/downloads/reports/cert.at-jahresbericht-2015.pdf
20
2 Internationale Entwicklungen
In den letzten Jahren wurden Fragen der Cyber Sicherheit von zahlreichen internationalen
Organisationen und multilateralen Foren aufgenommen und diskutiert. Die relevanten außenpolitischen Maßnahmen werden vom Bundesministerium für Europa, Integration und Äußeres
(BMEIA) koordiniert.
Die rasanten Entwicklungen im Cyber Bereich werfen eine Reihe fundamentaler Fragen in Bezug
auf Grund- und Menschenrechte auf. Ganz allgemein setzt sich Österreich auf internationaler
Ebene für ein freies Internet ein, wobei die Ausübung aller Menschenrechte auch im virtuellen
Raum gewährleistet werden soll. Dabei muss auf ein angemessenes Gleichgewicht zwischen
den Interessen der Strafverfolgung und der Achtung grundlegender Menschenrechte, wie dem
Recht auf freie Meinungsäußerung und Informationsfreiheit sowie dem Recht auf Privatleben
und Privatsphäre, geachtet werden.
2.1 Europäische Union
Die Europäische Union (EU) beschäftigt sich vor allem im Rahmen ihrer 2010 beschlossenen
Digitalen Agenda für Europa mit Fragen der Cyber Sicherheit. Anfang 2013 legte die Hohe
Vertreterin zusammen mit der Europäischen Kommission (EK) die EU Cyber Sicherheits­strategie
vor. Am 18. November 2014 wurde durch den Rat der EU ein EU Cyber Defence Policy
Framework angenommen, das die vorrangigen Aufgaben für die Gemeinsame Sicherheits- und
Verteidigungspolitik (GSVP) im Cyber Bereich identifiziert und eine verbesserte Kooperation
der EU mit dem privaten Sektor wie auch der Nordatlantischen Vertragsorganisation (NATO)
gewährleisten soll. Im militärischen Bereich wird in der EU derzeit an der Überarbeitung des
EU Konzeptes »Cyber Defence for EU-led military Operations and Missions« gearbeitet. Der
Rat nahm weiters am 10. Februar 2015 Schlussfolgerungen zur Cyber Diplomatie an, die einen
gemeinsamen, umfassenden und kohärenten Ansatz zur Bewältigung der sich kontinuierlich
verändernden Herausforderungen für die EU Außenpolitik im Cyber Raum vorsehen.
2.1.1 ENISA und NIS-Richtlinie
Unterstützt werden die EU Aktivitäten von der European Network and Information Security
Agency (ENISA), deren Aufgabe es ist, gemeinsam mit den Mitgliedsstaaten und anderen EU
Institutionen die Netzwerk- und Informationssicherheit zu verbessern. Das Bundeskanzleramt
(BKA) stellt den nationalen Liaison Officer zur ENISA.
Am 7. Februar 2013 hat die EK einen Vorschlag für eine Richtlinie des Europäischen Parlaments
(EP) und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und
Informationssicherheit (NIS-Richtlinie) an die Mitgliedsstaaten übermittelt. Aktuell liegt ein
finaler Kompromisstext zur NIS-Richtlinie vor, die formale Beschlussfassung im Rat ist noch
ausständig. Folgende Kernforderungen wurden identifiziert:
••
Annahme einer nationalen NIS-Strategie, sowie die Aufstellung einer oder mehrerer NISBehörden und CERTs (Computer Emergency Response Team) als IT-Notfallteams (künftig wird auf EU-Ebene statt CERT der Terminus CSIRT, d. h. Computer Security Incident
Response Team aufgrund des Bestehens einer Gemeinschaftsmarke verwendet).
21
••
Verpflichtendes Risikomanagement, Mindest-Sicherheitsanforderungen, sowie eine
­Meldeverpflichtung bei erheblichen Sicherheitsvorfällen für Betreiber wesentlicher Dienste
und Anbieter digitaler Dienste.
••
Einsatz einer Kooperationsgruppe bestehend aus den Mitgliedstaaten, der EK und ENISA
für strategische Aufgaben und eines CSIRT-Netzwerks für operationelle Aufgaben. ­Aufbau
eines EU-weiten NIS-Kooperationsnetzwerks zum Austausch von Vorfällen und damit
zusammenhängender, aufklärungsrelevanter Informationen.
2.1.2 Kooperationen
Am 10. Februar 2016 unterzeichneten das EU-CERT und dessen NATO-Pendant ein Technical
Arrangement, um den Austausch von technischen Informationen zur Erkennung, Abwehr von
und Reaktion auf Cyber Angriffe zu gewährleisten.
Die Gruppe »Friends of Presidency Initiative on Cyber Issues« wurde 2013 vorrangig zur
Unterstützung der Implementierung der EU Cyber Security Strategy gegründet. Heute ist es die
primäre Aufgabe der Gruppe alle Cyber Themen in der EU horizontal zu koordinieren. Damit
soll die Effektivität von bestehenden Aktivitäten und Beratungsfunktionen zu Cyber Thematiken
verbessert werden. Die Gruppe, in der Österreich durch das BKA vertreten ist, wurde nach
drei Jahren Bestehens zum zentralen Gremium des Informationsaustausches innerhalb der EU
hinsichtlich Cyber Sicherheit.
2.1.3 European Cyber Security Month
Der »European Cyber Security Month (ECSM)« ist eine institutionalisierte, alljährlich stattfindende Kampagne der ENISA zur Bewusstseinsbildung zum Thema Cyber Sicherheit. Dabei
bietet sich den Teilnehmern die Gelegenheit, eigene Aktivitäten zum Thema Cyber Sicherheit
öffentlichkeitswirksam zu präsentieren. Österreich beteiligte sich 2015 bereits zum dritten
Mal an dieser Kampagne. Dabei konnten in Österreich zum wiederholten Male unter über
30 Teilnehmerländern mit Abstand nicht nur die größte Zahl an Organisationen aus den Bereichen der öffentlichen Verwaltung, der Privatwirtschaft, Banken, Gesundheit und Forschung,
sondern auch die meisten Aktivitäten für die Kampagne akquiriert werden. Die Bandbreite
dieser Aktivitäten umfasste dabei Awareness-Kampagnen, Trainings, Konferenzen, Workshops,
Vorträge, Forschungsveranstaltungen, Hacking-Wettbewerbe und vieles mehr.
2.2 Vereinte Nationen
Bereits zur Jahrtausendwende rief die Generalversammlung der Vereinten Nationen (VN-GV)
den »World Summit on the Information Society (WSIS)« ins Leben. Zum WSIS, der organisatorisch bei der International Telecommunication Union (ITU) angesiedelt ist, und an dem neben
staatlichen Akteuren auch NGOs, zivilgesellschaftliche Gruppen und der private Sektor beteiligt
sind, fand von 15. / 16. Dezember 2015 eine Gesamtevaluierung der bisher erzielten Fortschritte
statt. Dem hochrangigen Treffen gingen mehrmonatige zwischenstaatliche Verhandlungen
voraus. Im Ergebnisdokument, das die Bedeutung der Informations- und Kommunikationstechnologie für die Entwicklung unterstreicht, wurde insbesondere auch die Verlängerung des
Internet Governance Forums (IGF) um weitere 10 Jahre beschlossen.
Es beschäftigen sich auch mehrere Komitees der VN-GV mit Cyber Themen. Aus österreichischer Sicht ist vor allem die Arbeit im Dritten Komitee und im VN-Menschenrechtsrat (MRR)
22
von Interesse. Die von Österreich als einer der Hauptsponsoren eingebrachte Resolution zum
Recht auf Privatsphäre im digitalen Zeitalter konnte vom MRR im Konsens angenommen
werden. Mit der Schaffung eines Mandats für einen eigenen VN-Sonderberichterstatter zum
Thema konnten die seit 2013 laufenden Bemühungen einer Gruppe gleichgesinnter Staaten
unter der Führung von Brasilien und Deutschland in der VN-Generalversammlung erfolgreich
vorangetrieben werden.
Cyber Kriminalität hat sich rasch zu einer globalen und äußerst profitablen Verbrechenssparte
entwickelt. Das VN-Büro für Drogen- und Verbrechensbekämpfung in Wien stellt weiterhin
einen unverzichtbaren Bestandteil in der effektiven weltweiten Bekämpfung von Cyber Kriminalität im Sinne der 2013 veröffentlichten umfassenden Studie5 dar und konzentriert sich
dabei in seiner Hilfeleistung für betroffene Mitgliedstaaten auf folgende drei Schwerpunkte:
••
••
••
Verbesserung des Verständnisses verschiedenster Varianten von Cyber Kriminalität.
Wissenserweiterung im Sinne von richtiger Erkennung und Verhinderung von Cyber
Kriminalität.
Stärkung regionaler Kooperationen und Informationsaustauschmechanismen bei der
Bekämpfung von Cyber Kriminalität.
Gemeinsam mit dem Generalsekretariat der Vereinten Nationen, repräsentiert durch die »Information and Communications Technology Division (ICTD)« des »UN Department of Field Support«, veranstaltete das BMLVS vom 22. bis 25. September 2015 in Wien ein Symposium zum
Thema »Partnership for Technology in Peacekeeping«. Zum Themenbereich »Cyber Security
and Intelligence« erörterte man auf Expertenebene die Entwicklung von Cyber Strategien, den
Aufbau entsprechender Technologien zum Schutz der eigenen Kräfte und Systeme bzw. den
Informationsaustausch über sichere Netze. Dabei wurde Awareness Training als Notwendigkeit erkannt und die Formulierung von Vorgaben mittels einer eigenen Policy seitens Vereinte
Nationen in Aussicht gestellt.
2.3 NATO
Als politisches Bündnis mit einem starken Fokus auf gemeinsame Verteidigung befasst sich die
NATO spätestens seit der Verabschiedung ihres neuen strategischen Konzepts von 2010 mit
den Verteidigungsaspekten von Cyber Sicherheit. Österreich kooperiert hier als Partnerland
eng mit der NATO. 2015 fanden einerseits formelle und informelle politische Konsultationen
zwischen den fünf westeuropäischen Partnern (WEP-5: Schweiz, Irland, Finnland, Schweden,
Österreich) und der NATO zu Cyber Themen statt. Andererseits beteiligte sich Österreich auf
technischer Ebene an zahlreichen Sitzungen des NATO-C3 Boards zur Cyber Zusammenarbeit.
Darüber hinaus führt Österreich (BMEIA, BMLVS, BKA) regelmäßig sog. »cyber-staff-talks«
mit der NATO-Generaldirektion für »Emerging Security Challenges« über Themen der Cyber
Verteidigung. Im Zuge dieser Gespräche wurde Österreich im Februar 2015 als erster NichtNATO-Staat zu einer Sitzung mit den NATO-Cyber-Defence-Committee (CDC) im Format
28+1 eingeladen.
5 http://www.unodc.org/documents/organized-crime/cybercrime/CYBERCRIME_STUDY_210213.pdf
23
Österreich hat im Rahmen der NATO Partnership for Peace (NATO / PfP) das Partnerschaftsziel »Cyber Defence« angenommen. Die diesbezüglichen Vereinbarungen für 2015 konnten
allesamt erfüllt werden.
Zusätzlich verstärkte sich die Zusammenarbeit mit der NATO seit Oktober 2013 im Bereich
der militärischen Landesverteidigung im Cyber Raum durch die dauerhafte Beschickung und
Mitarbeit eines Offiziers des BMLVS im »Cooperative Cyber Defence Center of Excellence«
in Tallinn / Estland.
2.4 OSZE
Die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) setzt seit 2013 eine
Reihe von vertrauensbildenden Maßnahmen im Bereich der Cyber Sicherheit um. Unter anderem haben die 57 Teilnehmerstaaten 2014 begonnen, sich durch einen strukturierten und
transparenten Austausch von Informationen im Bereich der Sicherheit von Informations- und
Kommunikationstechnologie gegenseitig über Entwicklungen und Probleme auf dem Laufenden
zu halten. Die Teilnehmerstaaten richteten Kontaktstellen für den Dialog ein und tauschten
Informationen über die nationale Organisation von Cyber Sicherheitsplänen, sowohl im staatlichen als auch im privaten Bereich, aus.
Im März 2016 konnten fünf weitere vertrauensbildende Maßnahmen beschlossen werden,
die die bestehende Zusammenarbeit stärken und vertiefen. Durch die Schaffung vermehrter
Transparenz sowie durch die Vernetzung und Zusammenarbeit nationaler Expertinnen und
Experten soll das Vertrauen der Teilnehmerstaaten auch in Krisenfällen untereinander gestärkt
werden. Für Österreich stehen dabei die Sicherheit und die Freiheit des Internets, der freien
Meinungsäußerung aber auch der vor Überwachung geschützten Privatsphäre im Vordergrund.
2.5 OECD
Die »Working Party On Security and Privacy in the Digital Economy« ist eine Arbeitsgruppe
der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung), die für
Regierungen und nationale Stakeholder zu den Themen Cyber Sicherheit und Datenschutz
Analysen und High Level Empfehlungen erstellt. In Österreich nimmt das BKA die koordinative Tätigkeit für diese Gruppe wahr. Schwerpunktthemen bei der OECD zum Thema Cyber
Sicherheit 2015 waren vor allem das Darstellen von Chancen und Herausforderungen des
Internet der Dinge, die Evaluierung und Vergleichbarkeit der Leistungsfähigkeit der Computer
Security Incident Readiness Teams in Europa, Richtlinien zum Managen von digitalen Sicherheitsrisiken, der Schutz von persönlichen Daten im digitalen Gesundheitsbereich, die sozialen
und wirtschaftlichen Chancen eines offenen Internets sowie die digitalen Risiken für Kleine
und Mittlere Unternehmen.
24
2.6 Österreich in anderen cyber-relevanten internationalen Foren
Neben den bereits genannten Foren beteiligt sich Österreich an einer Reihe weiterer internationaler Zusammenarbeitsgremien im Bereich der Cyber Sicherheit. Zu diesen zählen:
••
Die »Freedom Online Coalition« – eine von den Niederlanden im Dezember 2011 gegründete Koalition, die sich weltweit für die effektive Umsetzung der Menschenrechte online
in unterschiedlichen Foren einsetzt und der derzeit 29 Mitglieder angehören.
••
Die »Central European Cyber Security Plattform« – eine Kooperationsplattform der L
­ änder
(und der CERTs / tlw. milCERTs) der Visegrad-Staaten (Ungarn, Tschechien, Slowakei
und Polen) und Österreich, welche im Jahr 2013 auf Initiative von Tschechien und Österreich ins Leben gerufen wurde.
••
Die »Global Conference on Cyberspace« – die wichtigste Konferenz im Bereich Cyber
Diplomatie, welche zuletzt vom 15. – 17. April 2015 in Den Haag tagte.
2.7 Nationalstaaten
2.7.1 Vereinigte Staaten von Amerika
Die Vereinigten Staaten von Amerika betrachten Cyber Bedrohung als eine der größten Bedrohungen für die Nationale Sicherheit. Mit der Veröffentlichung der Executive Order (EO)
13694 am 1. April 2015 deklarierte Präsident Obama die zunehmenden hochwertigen Cyber
Angriffe auf US-Entitäten als Gefahr für die nationale Sicherheit, die US-Außenpolitik sowie die
US-Wirtschaft und erklärt diese zum nationalen Notfall. Ende 2015 wurde der lange umstrittene
»Cybersecurity Information Sharing Act« (CISA) durch den US-Senat verabschiedet. Durch
das Gesetz soll der Austausch von cyber-sicherheitsrelevanten Information zwischen der Wirtschaft und den Behörden vereinfacht werden. Am 9. Februar 2016 veröffentlichte das Weiße
Haus Informationen über den »Cybersecurity National Action Plan« (CNAP). Dieser dient
als Rahmenplan sowohl für kurz- und mittelfristige Maßnahmen als auch langfristige strategische Ausrichtungen der US Bundesregierung im Cyber Sicherheitsbereich. Zur Umsetzung
des Plans wurden von Präsident Obama ca. 17 Mrd. € (19 Mrd. $) an Budgetmittel für 2017
veranschlagt. Das entspricht einem Plus von ca. 35 % im Vergleich zu 2016.
Auf bilateraler Ebene fand am 2. Dezember 2015 der erste »USA-China Cyber Dialogue« statt,
bei dem sich die Präsidenten beider Staaten auf eine Reihe von Schwerpunkten in der Cyber
Kooperation einigten. Am 7. Dezember 2015 fand der zweite »USA-EU Cyber Dialogue« statt,
im Rahmen dessen die Unterstützung beim Aufbau von Cyber Fähigkeiten, die Anwendbarkeit
bestehender internationaler Gesetze im Cyber Raum, der Ausbau von vertrauensbildenden
Maßnahmen sowie Kooperation im Kampf gegen Cyber Kriminalität erörtert wurden.
2.7.2 Russische Föderation
Anfang 2015 hat der Nationale Sicherheitsrat angeregt, die aus dem Jahr 2000 stammende
Informationssicherheitsdoktrin bis Ende 2016 zu überarbeiten. Im Gegensatz zu den Cyber
Sicherheitsdoktrinen westlicher Länder definiert die Russische Föderation (RF) – ähnlich wie
China – Informationssicherheit viel umfassender. So wird die Einflussnahme auf die Bevölkerung durch gezielte Propaganda- oder Informationskampagnen von regimekritischen Akteuren
25
(im In- und Ausland) als ernstzunehmende Bedrohung für den sozialen Zusammenhalt der RF
bezeichnet.
Die RF vertritt den Standpunkt, dass eine starke Kontrolle über die nationalen IKT-­Infrastrukturen
sowie ein internationales Abkommen zur Regulierung des Internets notwendig sind. Eine Reihe
an restriktiven Gesetzen haben in den letzten Jahren die Befugnisse der Generalstaatsanwaltschaft und der Medienaufsichtsbehörde ausgeweitet. Seit Jahresbeginn 2016 wird zudem eine
Reihe an Gesetzesinitiativen erörtert, die zu einer weiteren Verschärfung der Cyber Gesetz­
gebung beitragen könnten.
Auf internationaler Ebene strebt Russland einen weiteren Auf- bzw. Ausbau der Kooperationsabkommen an. Im Mai 2015 unterzeichneten die RF und China ein Interregierungsabkommen
über die Zusammenarbeit bei der Gewährleistung der internationalen Informationssicherheit.
Im Juni 2015 wurde bekannt, dass Russland und der Iran ein Cyber Verteidigungsabkommen
abgeschlossen haben und Mitte April 2016 sollten russisch-amerikanische Konsultationen über
Cyber Sicherheit abgehalten werden.
Das russische Verteidigungsministerium hat mit der Entwicklung von Technologien für Cyber
Kriegsführung begonnen. Im Februar 2016 wurde berichtet, dass das Verteidigungsministerium
plant, ca. 200 Mio. € in Cyber Fähigkeiten zu investieren.
2.7.3 Volksrepublik China
Die chinesische Führung legitimiert mit dem Schlagwort »Internetsouveränität« sowohl intensive Internet-Zensur im Land als auch ihre außenpolitischen Bestrebungen, Informationsüberlegenheit im Cyber Raum zu schaffen. Neben der Sicherstellung der Kontrolle durch die
Kommunistische Partei wird damit vermutlich vor allem auch die Abschirmung des heimischen
IKT-Marktes von ausländischer Konkurrenz bezweckt.
Für Direktiven und die Zensur von Online-Informationen ist v. a. die »Cyberspace Administration of China« (CAC) zuständig, welche in teilweiser Personal- und Verwaltungsunion mit dem
Propagandabüro der Kommunistischen Partei steht. Das Mitte 2015 im Entwurf präsentierte
Cyber Sicherheitsgesetz sieht weitreichende Befugnisse für die CAC sowie Verpflichtungen für
IKT-Unternehmen vor und löste internationale Besorgnis aus.
Die Kontrolle aller Aspekte des Internets wird laufend intensiviert, zahlreiche ausländische
Webseiten und Internetdienste sowie inländische Social-Media-Accounts werden blockiert
und zensuriert. Die 2015 verabschiedeten Sicherheits- und Antiterrorismusgesetze verpflichten
IKT-Unternehmen unter anderem, die Staatssicherheitsbehörden mit Entschlüsselungssoftware
technisch zu unterstützen. Seit 2011 wurden im Rahmen der Aktion zur »Förderung der Cyber
Sicherheit« rund 30.000 Personen verurteilt.
Auf internationaler Ebene verfolgt China einen ähnlichen Ansatz wie die Russische Föderation.
So befürwortet China ebenfalls das weltweite Internet unter die Kontrolle einer internationalen
Institution wie der International Telecommunications Union (ITU) der VN zu stellen (und diese
zu kontrollieren). China unterhält bilaterale und regionale Kooperationen zum Thema, etwa
mit der EU und im Rahmen der Shanghai Cooperation Organisation. Österreich ist am »SinoEuropean Cyber Dialogue« beteiligt, bei dem – auf »track two« (also im halb-formellen Rahmen)
– verschiedene Punkte der Zusammenarbeit im Cyber Sicherheitsbereich zwischen Europa / EU
und China behandelt werden. Auf Grund der Halb-Formellen Natur dieser Gespräche sind
nicht alle EU-Mitgliedstaaten beteiligt, sondern nur die acht im Cyberbereich engagiertesten.
26
Auch im Bereich der Streitkräfte wurde 2015 dem Cyber Bereich vermehrt Beachtung geschenkt.
So wurde im Mai ein Weißbuch über Chinas Militärstrategie veröffentlicht, in dem der Cyber
Raum als eine neue Säule der ökonomischen und sozialen Entwicklung definiert und als
bedeutender Aspekt für die nationale Sicherheit beschrieben wird. Die chinesischen Streitkräfte
beabsichtigen, in den kommenden Jahren u. a. den Ausbau der Cyber Truppe zu beschleunigen,
an einem verbesserten operativen Lagebild zu arbeiten und die Cyber Verteidigungsfähigkeiten
auszubauen.
2.7.4 Deutschland
Am 12. Juni 2015 beschloss der deutsche Bundestag das »Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme« (kurz »IT-Sicherheitsgesetz«), das Unternehmen v. a. im
Bereich der Kritischen Infrastrukturen, aber auch Nutzer im Internet besser schützen soll. Das
Gesetz soll die zuständigen Behörden Bundesamt für die Sicherheit in der Informationstechnik
(BSI), Bundesnachrichtendienst (BND) und Bundeskriminalamt (BKA) stärken.
Ein wesentliches Element des neuen IT-Sicherheitsgesetzes ist die Meldepflicht von schwerwiegenden Cyber Sicherheitsvorfällen sowohl für Behörden als auch Betreiber Kritischer Infrastrukturen. Diese werden zukünftig verpflichtet, »erhebliche Störungen der Verfügbarkeit,
Integrität, Authentizität und Vertraulichkeit« ihrer Systeme, die zu einem Ausfall oder einer
Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen
führen können oder geführt haben, unverzüglich dem BSI zu melden. Dazu sieht der Gesetzgeber
einen noch zu definierenden Mindeststandard an IT-Sicherheit vor, dessen Einhaltung durch
Sicherheitsüberprüfungen nachgewiesen werden soll.
Eine zweite wesentliche Entwicklung war die von Verteidigungsministerin Ursula von der Leyen
am 30. Juli 2015 erteilte Leitlinie zur Cyber Verteidigung. Laut dieser will die Verteidigungsministerin die IT-Kompetenzen innerhalb der Bundeswehr (BW) zentral bündeln, um die BW
auf die digitale Kriegsführung vorzubereiten. Die in der Truppe verteilten Cyber Kompetenzen
sollen in einem eigenen militärischen Organisationsbereich zusammengeführt werden und den
anderen Teilstreitkräften gleichgestellt sein.
2.7.5 Vereinigtes Königreich
Der im April 2016 veröffentlichte Fortschrittsbericht 2015 / 2016 zur Umsetzung der nationalen Cyber Sicherheitsstrategie stellt weitere Fortschritte beim Schutz des Landes sowie auch
verschiedenster Unternehmen gegen Cyber Angriffe fest.
Am 17. November 2015 stellte der britische Schatzkanzler in einer Rede die Notwendigkeit
fest, die Ausgaben für Cyber Sicherheit weiter zu erhöhen. Es sollen in den nächsten fünf Jahren
zusätzliche 2,7 Mrd. € (1,9 Mrd. £) aufgebracht werden.
Am 1. April 2016 kündigte der Verteidigungsminister an, ca. 50 Mio. € (40 Mio. £) in das
Cyber Security Operations Center (CSOC) zu investieren. Das CSOC soll in seiner Arbeit
eng mit dem National Cyber Sicherheitszentrum zusammenarbeiten und v.a. den Austausch
von Informationen zu Cyber Bedrohungen erleichtern. Damit soll die gesamtstaatliche Cyber
Verteidigung verbessert werden.
Auch bilateral engagiert sich das VK im Bereich der Cyber Sicherheit. Bei einem Besuch des
indischen Premierminister im VK im November 2015 wurde u. a. eine vertiefte Kooperation im
Cyber Bereich vereinbart. Am 22. November 2015 wurde das VK-China »Joint Statement on
Building a Global Comprehensive Strategic Partnership for the 21st Century« veröffentlicht.
27
2.7.6 Frankreich
Frankreich hat seit Oktober 2015 eine neue und den aktuellen Herausforderungen angepasste
Nationale Strategie für digitale Sicherheit. Für die Umsetzung ist federführend die dem General­
sekretär für Verteidigung und nationale Sicherheit unterstellte Behörde für die Sicherheit von
Informationssystemen (ANSSI) zuständig. Bis 2017 soll der Personalstand auf 600 Personen
(dzt. 500) aufgestockt werden.
Fünf Ziele werden in der französischen Strategie definiert: 1) Stärkung des Cyber Schutzes durch
Ausweitung von Ressourcen und Kompetenzen der ANSSI; 2) Schutz der Bürger (Stärkung des
»digitalen Vertrauens« und Schutz der Privatsphäre im Cyberspace); 3) Sensibilisierung der
Nutzer durch einen Ausbildungsschwerpunkt im Bereich Cyber Sicherheit; 4) Schaffung eines
günstigen Umfelds für die digitale Wirtschaft; 5) europäische und internationale Kooperation.
Gemeinsam mit Partnern möchte Frankreich eine »Roadmap für die digitale Souveränität
Europas« entwickeln.
Im Verteidigungsbereich verfügt Frankreich über ergänzende Instrumente und Strukturen zu
Cyber Sicherheit. Der Pakt zur Cyber Verteidigung von 2014 sieht einschlägige Maßnahmen
im Rahmen der Streitkräfte vor. In Bruz (Region Bretagne) wurde im selben Jahr ein Kompetenzzentrum für Cyber Verteidigung eröffnet. Bis 2019 sollen im Sektor Cyber Verteidigung
1.000 neue Stellen geschaffen und zusätzlich 1 Mrd. Euro investiert werden.
28
3 Nationale Entwicklungen
3.1 Akteure und Strukturen
3.1.1 Operative Strukturen
Gemäß der ÖSCS ist – aufbauend auf den bestehenden operativen Strukturen – eine Struktur
zur Koordination auf der operativen Ebene zu schaffen. Diese Struktur soll den unverzüglichen Austausch aktueller Informationen über Cyber Sicherheitsvorfälle und die Umsetzung
entsprechender Gegenmaßnahmen sicherstellen. In ihrem Rahmen wird ein periodisches und
anlassbezogenes operatives Cyber Lagebild für Österreich erstellt und es werden gesamtstaatliche Notfallmaßnahmen im Rahmen des Cyber Krisenmanagements (CKM) unterstützt und
koordiniert.
Die zentralen Aufgaben der operativen Koordinierungsstruktur werden dabei vom »Inneren
Kreis der operativen Koordinierungsstrukturen« (IKDOK) wahrgenommen. Diese interministerielle Gruppe setzt sich aus gleichwertigen Vertretern aus BKA, BM.I und BMLVS zusammen.
Regelmäßige interministerielle Abstimmungen stellen die reibungslose Zusammenarbeit in
diesem komplexen Umfeld sicher. Im Cyber Krisenfall (zivil) wird die Koordination innerhalb
der operativen Koordinierungsstruktur durch das Cyber Security Center im BMI wahrgenommen, im Fall der militärischen Landesverteidigung (Cyber Defence) durch das Cyber Verteidigungszentrum im BMLVS.
Politische
Ebene
Bundesregierung
Cyber-SicherheitsSteuerungsgruppe
Operative
Ebene
Cyber Security Center
SKKM
CKM
govCERT
BVT
Cyber-SicherheitsPlattform
Cyber Defence Center
HNaA
milCERT
C4
IKDOK … Innerer Kreis
CERT.at
KI
CERTs
Energie
CERT
Sektor
CERTs
Abbildung 10: Einordnung der »Operativen Koordinierungsstruktur«
29
Operative Koordinierungsstruktur
Strategische
Ebene
Der IKDOK bildet im Krisenfall, unterstützt durch den äußeren Kreis der operativen Koordinierungsstruktur, die direkte Schnittstelle zum Cyber Krisenmanagement (CKM). Die Mechanismen des CKM lehnen sich eng an die bereits erprobten Abläufe des Staatlichen Krisen- und
Katastrophenschutzmanagements (SKKM) an.
Eine zentrale Herausforderung für die an der operativen Koordinierungsstruktur beteiligten
Ressorts ist derzeit, die in Beschlussfassung befindliche EU NIS-Richtlinie auf nationaler Ebene
umzusetzen und in den bestehenden Strukturen abzubilden.
3.1.2 Cyber Security Center
Die Rahmenbedingungen für die Errichtung und den Betrieb des Cyber Security Centers
(CSC) im BM.I sind in der ÖSCS, im Arbeitsprogramm der österreichischen Bundesregierung
2013 – 2018, sowie in der Cyber Sicherheitsstrategie des Bundesministerium für Inneres festgeschrieben. Das Projekt zum Aufbau des CSC wurde 2014 gestartet und sieht die Aufnahme
des operativen Vollbetriebs mit Ende Dezember 2017 vor.
Der Schwerpunkt für das Jahr 2015 war das Erreichen des organisatorischen Probebetriebs.
Dieses Ziel konnte erfolgreich umgesetzt werden: Das CSC nimmt seit dem zweiten Halbjahr
2015 seine ihm übertragenen Aufgaben auf der operativen Ebene wahr, indem etwa die interministeriellen Abstimmungen im Rahmen des IKDOK institutionalisiert und vertieft wurden,
sowie die erforderliche Vernetzung mit allen relevanten nationalen wie internationalen Partnern
erfolgreich initiiert werden konnte.
Weitere Schwerpunkte lagen im Bereich der Präventionsarbeit durch Beratungstätigkeiten,
Awareness-Veranstaltungen sowie Informationen und Frühwarnungen an Betreiber kritischer
Infrastrukturen zu aktuellen Gefährdungslagen und Bedrohungen im Cyber Space (etwa zu
den Themen DDoS, Ransomware und CEO Fraud).
3.1.3 Cyber Verteidigungszentrum und militärisches Computer Emergency Response
Team
Dem Auftrag des aktuellen Regierungsprogramms folgend, sowie den militärischen Erfordernissen einer leistungsfähigen militärischen Landesverteidigung im Cyber Raum entsprechend,
werden die neuen Organisationseinheiten »Cyber Verteidigungszentrum« (CVZ) im Abwehramt
und »militärisches Computer Emergency Response Team« (milCERT) im Führungsunterstützungszentrum und damit im Rahmen der bestehenden Organisation des BMLVS etabliert.
Während das milCERT primär für BMLVS-interne Aufgabenstellungen vorgesehen ist und
maßgeblich dem Schutz der militärischen IKT-Infrastruktur dient, tragen das CVZ und das
milCERT gemeinsam zur Erfüllung von gesamtstaatlichen Aufgaben des BMLVS / ÖBH im Sinne
des Souveränitätsschutzes im Rahmen der Umfassenden Landesverteidigung und Umfassenden
Sicherheitsvorsorge bei. Das CVZ würde auch in der Lage sein, Aufgaben einer operativen
­NIS-Behörde für Angelegenheiten, die in das Aufgabengebiet der militärischen Landesverteidigung fallen, zu übernehmen.
Zur Steigerung der Sensibilität und des Bedrohungsbewusstseins insbesondere der Führungskräfte, wurde 2015 durch das BMLVS zum 14. Mal die IKT-Sicherheitskonferenz mit mehr als
1.200 Teilnehmern in Sankt Pölten durchgeführt. Parallel dazu fand die Sitzung der 2. Cyber
Security Plattform unter Federführung des BKA statt.
Parallel dazu wurde zum 4. Mal die Cyber Security Challenge, ein Wettbewerb für die Cyber
Talente Österreichs, durchgeführt. Das Finale im europäischen Rahmen (mit Mannschaften
30
aus Deutschland, Vereinigtes Königreich, Spanien, Rumänien, der Schweiz und Österreich)
erfolgte in der Schweiz und konnte von der österreichischen Mannschaft gewonnen werden.
Beide Veranstaltungen, die IKT-Sicherheitskonferenz und die Cyber Security Challenge, werden
auch 2016 fortgesetzt.
3.1.4 GovCERT und CERT.at
GovCERT ist das nationale CERT (Computer Emergency Response Team) der öffentlichen
Verwaltung und ist Teil des IKDOK. Als österreichischer Cyber Security Point-of-Contact
(PoC) ist das GovCERT mit internationalen Organisationen und Ansprechpartnern wie der
European GovCERT Group oder der Central European Cyber Security Plattform vernetzt. Zur
Wahrnehmung seiner Aufgaben arbeitet das GovCERT eng mit dem österreichischen CERT
(CERT.at) in Form einer Public-Private-Partnership zusammen. CERT.at übernimmt dabei
operative Aufgaben des GovCERT.
CERT.at ist das österreichische Computer Emergency Response Team (CERT) und wurde
2008 gemeinsam mit GovCERT Austria vom Bundeskanzleramt in Kooperation mit nic.at
eingerichtet. Das CERT-Team wird in erster Linie bei akuten Sicherheitsbedrohungen und
-Ereignissen aktiv. Dies geschieht durch Verständigung von betroffenen Stellen oder auf Basis
eigener Recherchen.
Darüber hinaus führt CERT.at auch vorbeugende Maßnahmen wie Früherkennung, Öffentlichkeitsarbeit und Beratung und Unterstützung im Anlassfall auf Anfrage durch. CERT.at versteht
sich als Kontaktpunkt für sicherheitsrelevante IKT-Ereignisse in Österreich und dient hier als
vertrauenswürdige und innerhalb der österreichischen Sicherheits-Community sowie unter
den österreichischen Organisationen und Unternehmen anerkannte Informationsdrehscheibe.
GovCERT und CERT.at präsentierten am 15. Februar 2016 gemeinsam den Jahresbericht
Internet-Sicherheit Österreich 2015.
3.1.5 CERT-Verbund
Der nationale CERT-Verbund Österreichs wurde mit dem Ziel gegründet, die nationale Zusammenarbeit und den Informationsaustausch zwischen österreichischen CERTs zu verbessern und
CERT-Aktivitäten in Österreich generell zu fördern. Ein flächendeckendes Netz an CERTs ist ein
wirksames Mittel zur Absicherung digital vernetzter Informations- und Kommunikationssysteme, wie sich nach und nach in Österreich anhand einer wachsenden Zahl von CERTs bestätigt.
Im Jahr 2015 / 16 wurden drei neue CERTs in den Verbund aufgenommen. Das IKT Linz
CERT kümmert sich um die Cyber Sicherheit der Stadt Linz, das SV CERT ist das CERT der
Sozialversicherungen, das WILI CERT ist für die IKT Sicherheit der Wiener Linien zuständig.
Der CERT-Verbund ist somit österreichweit auf 11 Mitglieder angewachsen.
Thematisch wichtigster Inhalt im CERT-Verbund bleibt der gegenseitige Informations- und
Erfahrungsaustausch und das Aufbauen von Vertrauen untereinander.
3.1.6 Heeresnachrichtenamt
Das Heeresnachrichtenamt (HNaA) ist umfassend für die Erarbeitung des strategischen Lagebildes vor allem in Bezug auf internationale Akteure und Entwicklungen zuständig. Der Beitrag
des HNaA soll in ein gesamtstaatliches Lagebild einfließen und dient als mögliche Entscheidungsgrundlage für die oberste politische und militärische Führung. Weiters ist das HNaA für
die frühzeitige Erkennung von potentiellen Cyber Bedrohungen aus dem Ausland zuständig
31
und unterstützt im Fall eines großangelegten Cyber Angriffes auf nationale Infrastrukturen mit
den zur Verfügung stehenden Methoden eine Identifikation der Angreifer.
3.1.7 Cyber Crime Competence Center
Das Cyber Crime Competence Center (C4) ist die nationale und internationale Koordinierungsund Meldestelle zur Bekämpfung der Cyberkriminalität. Das Zentrum setzt sich aus technisch
und fachlich hochspezialisierten Expertinnen und Experten aus den Bereichen Ermittlungen,
Forensik und Technik zusammen. Die Cyber Crime-Meldestelle des C4 ist zum einen die Kontaktstelle zur Bevölkerung. Dadurch können dort unter anderem frühzeitig neue Phänomene
erkannt werden. Zum anderen ist sie auch Schnittstelle zum CSC und internationale Kontaktstelle in Cyber Crime Angelegenheiten. Eine weitere wichtige Aufgabe ist die Ansprechstelle
für alle Polizeidienststellen im Zusammenhang mit Cybercrime.
Nachdem im Jahr 2014 der organisatorische und technische Aufbau abgeschlossen wurde
konnte 2015 die Umsetzung des Personalkonzeptes weiter vorangetrieben werden. Die vollständige Umsetzung (Sollstand ist 49 Mitarbeiterinnen und Mitarbeiter) ist für 2016 geplant.
3.1.8 Cyber Sicherheit Plattform
Die Cyber Sicherheit Plattform (CSP) stellt eine nationale Austausch- und Kooperationsplattform
zwischen Wirtschaft, Wissenschaft und Verwaltung dar, im Wege derer der Erfahrungs- und
Informationsaustausch im Bereich Cyber Sicherheit mit besonderem Fokus auf den kritischen
Infrastrukturen, weiter intensiviert werden soll. Darüber hinaus berät und unterstützt die CSP
auch die Cyber Sicherheit Steuerungsgruppe (CSS) in strategischen Fragen der Cyber Sicherheit.
Nach der im März 2015 erfolgten Konstituierung der Plattform hat diese ihre Arbeit aufgenommen. In einer ersten Arbeitssitzung im November 2015 wurden die Vorsitzenden der CSP (welche
sich aus der Wirtschaft rekrutieren) bestellt und die Geschäftsordnung formal angenommen.
Darüber hinaus wurde eine Themenlandkarte Österreich präsentiert, sowie eine Arbeitsgruppe
im Themenbereich »Standardisierung« eingerichtet, welche bei der zweiten Arbeitssitzung im
Juni 2016 ihre Arbeitsergebnisse präsentieren wird.
3.1.9 Austrian Trust Circle
Der 2010 gegründete Austrian Trust Circle (ATC) ist eine Initiative von CERT.at und dem
BKA. Wesentliche Zielsetzung ist der Aufbau von Vertrauen zwischen den handelnden Personen und Organisationen in den einzelnen Bereichen strategischer Infrastruktur. Dadurch soll
der Austausch sicherheitsrelevanter Erfahrungen und im Anlassfall ein rasches gemeinsames
Agieren gefördert werden.
Der Austrian Trust Circle (ATC) hat seine Arbeit auch 2015 erfolgreich fortgesetzt. Vertreter von über 60 Unternehmen der strategischen Infrastruktur Österreichs erleben im ATC
einen Informationsaustausch im Kontext der Informationssicherheit. Ebenso durften zahlreiche neue Unternehmen und TeilnehmerInnen begrüßt werden, die ihre Resilienz durch eine
aktive Zusammenarbeit im Bereich der Informationssicherheit weiter verbessern möchten.
2015 wurden neben den sektorspezifischen Treffen und dem 2-tägigen sektorübergreifendenen
Treffen in Waidhofen an der Ybbs auch ein Workshop zum Thema »Auswirkungen der NISRichtline« abgehalten.
Das Austrian Trust Circle Jahrestreffen 2016 fand erstmalig mit TeilnehmerInnen der öffentlichen Verwaltung statt. Dies soll die Zusammenarbeit zwischen öffentlichen und privaten
Organisationen weiter verbessern.
3.1.10 IKT-Sicherheitsportal
Das IKT-Sicherheitsportal ist eine in der ÖSCS definierte Maßnahme, die als interministeriel­le
Initiative in Kooperation mit der österreichischen Wirtschaft eingerichtet wurde. Die WebPlattform, welche im Jahr 2013 online gegangen ist, dient Sensibilisierungsmaßnahmen und
ist Informations- und Kommunikationsbasis für verschiedene Zielgruppen.
Das Informations- und Serviceangebot wird im Rahmen regelmäßiger Redaktionssitzungen mit
den 40 Kooperationspartnern (Bundesministerien, Landesregierungen, Behörden, Universitäten,
Fachhochschulen, Forschungsinstitute, Unternehmen, Vereine und Interessensvertretungen)
laufend erweitert. Es beinhaltet aktuelle Meldungen und Warnungen, Informatives, Beratung
sowie weiterführende Informationen sowohl für Einsteiger als auch für Experten.
2015 umfassten die Aktivitäten auf dem IKT-Sicherheitsportal insgesamt die Verfassung von
200 Newsartikeln, 56 Publikationseinträgen, 24 Veranstaltungseinträgen und 9 Fachartikeln.
Eine Auswahl von gratis Sicherheitstools und wichtigen Tipps, die von den Kooperations­
partnern des IKT-Sicherheitsportals zur Verfügung gestellt werden, wurde im Servicebereich
in einer neuen Kategorie Sicherheitstools und Tipps für KMU bereit gestellt.
3.2 Umsetzung ÖSCS
Im Jahr 2015 wurde ein Umsetzungsbericht an die Bundesregierung vorgelegt. Grundlage für
die Umsetzung der Strategie ist ein Implementierungsplan mit klar geregelten Verantwortlichkeiten, dessen Abarbeitung von der Cyber Sicherheit Steuerungsgruppe gesteuert und überprüft
wird. Bis auf wenige Punkte wurden die Maßnahmen des Plans erfolgreich umgesetzt. Die neu
eingerichteten Strukturen, Prozesse und Aktivitäten stellen die staatliche Organisation von
Cyber Sicherheit in Österreich auf eine tragfähige und robuste Basis:
••
Die Cyber Sicherheit Steuerungsgruppe (CSS) hat ihre Tätigkeit als strategisches Steuerungselement 2013 aufgenommen und traf sich im Februar 2016 zu ihrer 8. Besprechung.
••
Eine gesamtstaatliche Struktur zur Koordination auf der operativen Ebene wurde geschaffen.
••
Zur Bewältigung von Cyberkrisen wurde ein Cyber Krisenmanagement (CKM) eingerichtet.
••
Sämtliche neu definierten Strukturen und Prozesse basieren auf bereits bestehenden, wohl
etablierten und bewährt effektiven Cyber Strukturen (z. B. CERTs). Eine Stärkung dieser
bestehenden Cyber Strukturen ist ein zentrales Anliegen der ÖSCS
••
Die interministerielle Arbeitsgruppe Ordnungspolitischer Rahmen erarbeitete einen Bericht
über die Notwendigkeit der Schaffung zusätzlicher rechtlicher Grundlagen, regula­torischer
Maßnahmen und nicht-rechtlicher Selbstverpflichtungen für die Gewährleistung der Cyber
Sicherheit in Österreich. Dieser Bericht ist zusammen mit den Vorgaben der europäischen
NIS-Richtlinie, den Ergebnissen der von KSÖ und ATC durchgeführten Workshops mit
Wirtschaft und der Akademia, die Basis für eine legistische Arbeitsgruppe, die ein Bundesgesetz für Cybersicherheit erarbeiten wird. Diese Gruppe startete ihre Tätigkeit mit
Februar 2016.
33
••
Die Cyber Sicherheit Plattform (CSP) wurde im März 2015 konstituiert.
••
Für kleine und mittlere Unternehmen (KMU) besteht ein Cyber Sicherheit Schwerpunkt
mit einem Fokus Bewusstseinsbildung für Vorsorgebedarf und Risikoprävention.
••
Die IT-Strategie »efit21 – digitale Bildung« verfolgt das Ziel der Vermittlung digitaler
Kompetenzen an Schülerinnen und Schüler sowie an Lehrende,
••
C4 Präventionsprojekt »Cyber.Kids« werden Kinder und Jugendliche im Alter von 8 – 12
Jahren im Umgang mit dem Cyberspace sensibilisiert und geschult.
••
Einen wichtigen Beitrag zur Cyber Prävention liefert das Projekt »Click & Check«, in
welchem in Schulen Jugendliche ab 14 Jahren über die Gefahren von Internet und Cybercrime durch speziell ausgebildete Präventionsbeamte informiert werden.
••
Im Bereich des BM.I / C4 wurde die Ausbildung von Forensikern und Ermittlern für die
Bekämpfung von Cybercrime weiter intensiviert.
••
Durch die Wehrdienstreform wurde innerhalb des BMLVS / ÖBH mit Anfang 2014 das
Wahlmodul »Cyber Sicherheit« geschaffen.
••
In der Forschung bildet das Thema Cyber Sicherheit auf nationaler Ebene im Sicherheitsforschungsprogramm KIRAS als auch auf europäischer Ebene in Horizont 2020 einen
wichtigen Forschungsschwerpunkt.
34
4 Cyber Übungen
4.1 Strategic Decision Making in Cyber Security (EU / national)
Vom 14. bis zum 16. September 2015 fand an der Landesverteidigungsakademie (LVAk) eine
von der Europäischen Verteidigungsagentur (EDA) und der ENISA organisierte gesamtstaat­
liche Cyber Übung »Strategic Decision Making in Cyber Security« statt. Ziel war das Üben der
strategischen Entscheidungsfindung im Cyber Krisenmanagement sowie die Kommunikation
und Koordination zwischen den beteiligten staatlichen Stellen und den Betreibern der kritischen
Infrastrukturen.
Im Rahmen der Übung wurden die Teilnehmer vor eine Vielzahl von Herausforderungen gestellt,
die ein sehr weit gefächertes Spektrum von realistischen Cyber Bedrohungen sowohl gegen
staatliche, als auch gegen private kritische Infrastrukturen abdeckten (u. a. DDoS-Angriffe,
»Logic Bombs«, SCADA-Angriffe, Ransomware, 0-Day-Angriffe, Insider-Bedrohungen, Supply-Chain-Bedrohungen). Diese Bedrohungen gefährdeten in ihrer Gesamtheit massiv die
Daseinsvorsorge der Bevölkerung. Die Teilnehmer waren gezwungen, unter teils erheblichem
Zeitdruck schwerwiegende Entscheidungen zu treffen und Gegenmaßnahmen zu koordinieren,
die ihrerseits wiederum Rückwirkungen auf die weitere Eskalation nach sich zogen.
Eine abschließende Analyse des Planspieles zeigte, dass sich die österreichische Konzeption
des Cyber Krisenmanagements mit ziviler Ausrichtung unter der Koordination des Cyber
Security Centers in allen wesentlichen Punkten erfolgreich bewähren konnte. Seitens der Spielleitung wurde wiederholt insbesondere die hervorragende Kommunikation und Kooperation
zwischen den beteiligten Organisationen, gleich ob staatlich oder privat, hervorgehoben. Im
internationalen Vergleich wäre demnach Österreich das Land, in dem eine ressortübergreifende Kommunikation am schnellsten initiiert wurde und somit eine gemeinsame, effektive
Bekämpfung der Bedrohungen schon zu einem sehr frühen Zeitpunkt einsetzen konnte. Es ist
davon auszugehen, dass dies vor allem durch die etablierten und eingespielten Strukturen in
Österreich möglich wurde.
Eine Stäke dieser Cyber Übung war aber auch die Möglichkeit, konkretes Verbesserungspotential
zu identifizieren und somit die Resilienz gegenüber den Bedrohungen aus dem Cyber Raum
weiter zu verbessern. Dies schließt unter anderem auch Ansätze zur intensiveren Einbindung
des privaten Sektors in Phasen einer bereits weit fortgeschrittenen Eskalation, sowie zu einer
intensiveren internationalen Kooperation in Krisenfällen mit ein.
4.2 Cyber Coalition (NATO)
Seit 2008 führt die NATO jährlich eine Cyber Verteidigungsübung mit dem Namen »Cyber
Coalition« durch, um Entscheidungsprozesse, technische und operationelle Abläufe sowie die
Zusammenarbeit zwischen den Teilnehmern zu üben. Es sind an der Übungsserie rund 600
internationale Teilnehmer aus 28 NATO-Nationen und 7 NATO Partnerstaaten (darunter auch
Österreich) beteiligt. Österreich war durch milCERT, CVZ und GovCERT vertreten.
35
Übungszwecke für das ÖBH waren:
••
Kenntnisgewinn über die benötigten Organisationsstrukturen und Abläufe, um Cyber­
angriffe auf das ÖBH entsprechend bearbeiten bzw. abwehren zu können
••
Testen und Verbessern der Cyber Verteidigungsfähigkeiten
••
Kommunikation mit Partnern und der Partner untereinander
••
Herstellen von Kontakten zu Bearbeitern der Cyber Verteidigungsthematik von NATOund Partnerländern, Test der Kommunikationslinien, der Ablauforganisation, der Bearbeitungsprozesse und der technischen Fähigkeiten
4.3 Locked Shields (NATO)
Bei dieser größten technischen Übung (besteht seit 2008, rund 400 internationale Teilnehmer)
im Cyber Verteidigungsbereich ist nach wie vor Abwehr im Fokus, jedoch sollen auch die
aktiven Verfahren geübt werden. Es haben sich somit auch die Übungs- und Ausbildungsziele
über die Jahre kaum verändert, jedoch die Herausforderungen (Attack Vectors). Österreich ist
bei dieser Übungsserie durch milCERT und CVZ vertreten; das CSC nahm als Beobachter teil.
Übungszwecke für das ÖBH waren:
••
Als Team umfassende Cyber Angriffe erkennen, Auswirkungen beschränken und die
Vorfälle entsprechend einheitlicher Vorgaben zu bearbeiten (z. B. rechtliche Aspekte,
Informationsaustausch)
••
Stärkung der internationalen Zusammenarbeit durch Schaffung von Vertrauen
4.4 Crossed Swords (NATO)
Crossed Swords ist eine dreitägige technische Cyber Verteidigungsübungsserie mit der Ausrichtung auf Pentester und Situational Awareness-Experten. Diese haben in einer virtualisierten
Umgebung Ziele zu erreichen und technische Aufgabenstellungen abzuarbeiten. Es nehmen
daran rund 30 internationale Vertreter teil, seitens Österreichs das milCERT.
36
5 Zusammenfassung / Ausblick
Auch im Jahr 2015 hat sich der bereits in den Jahren zuvor beobachtete Trend hin zu einer
signifikanten Steigerung von sicherheitsrelevanten Aktivitäten / Vorfällen im Cyber Bereich
fortgesetzt. Insgesamt ist daher die Bedrohungslage als ansteigend einzustufen.
Auf nationaler Ebene ist dabei insbesondere das signifikante Auftreten der Vorfallsarten
Ransom­ware und Betrug / Phishing zu beobachten. Während die einzelnen Schadenssummen
beispielsweise bei Ransomware tendentiell überschaubar blieben, traten insbesondere im Bereich
des CEO-Fraud in einzelnen Fällen enorme Schäden auf.
Hinsichtlich der Trends ist feststellbar, dass vor allem die Vorfallsarten Ransomware und DDoS
eindeutig steigende Tendenzen aufweisen, die einer besonderen Beobachtung und gezielter
Gegenmaßnahmen bedürfen. Diese Schlussfolgerungen liegen dabei durchaus im internationalen Trend.
Für die Zukunft ist zu erwarten, dass Cyber Angriffe auch weiterhin immer mehr mit »klassischen« Verbrechensmodellen verschmelzen und zunehmend als reines Werkzeug für Betrug
oder Erpressung eingesetzt werden.
Es haben sich die bereits in den Vorjahren aufgezeigten Trends zur Zentralisierung nationaler
Cyber Security Steuerung und Koordination sowie das zunehmende Interesse von Regierungen an Cyber Angelegenheiten auch 2015 weiter fortgesetzt. Der vermehrten Einbindung
des privaten Sektors in Cyber Sicherheitsangelegenheiten wird in diesem Kontext besondere
Bedeutung beigemessen.
International hält der Trend zur Kooperation auf bi- und multinationaler Ebene ebenfalls weiter
an. Wichtige internationale Themen mit intensiver Beteiligung Österreich waren 2015: Das
Einsetzen für Grund- und Menschenrechte im Internet, das Einsetzen für ein freies Internet, die
Strategie für einen digitalen Binnenmarkt für Europa, die »EU Cyber Sicherheitsstrategie« mit
der angeschlossenen »Richtlinie des EP und des Rates über Maßnahmen zur Gewährleistung
einer hohen gemeinsamen Netz- und Informationssicherheit« (NIS), der »EU Cyber Defence
Policy Framework«, die Schlussfolgerungen zur Cyberdiplomatie, Aktivitäten der »European
Network and Information Security Agency« (ENISA), regelmäßige bilaterale Konsultationen
mit der NATO, die bilateralen Konsultationen mit der »Cooperative Cyber Defence Center of
Excellence (CCDCoE)« in Tallinn / Estland, die Mitarbeit an vertrauensbildenden Maßnahmen
im Rahmen der OSZE.
Fragen der Cyber Sicherheit werden im Rahmen von EU, VN, OSZE, NATO, OECD und
Europarat sowie in multilateralen Foren (Global Conference on Cyberspace, Central European
Cyber Security Platform, Freedom Online Coalition) unter aktiver Beteiligung von Österreich
verstärkt thematisiert.
Die vorhandenen Aktivitäten und Strukturen in Österreich wurden 2015 in Einklang mit den
Vorgaben aus der ÖSCS weiterentwickelt und konsolidiert, wobei ein Schwergewicht auf die
Vernetzung bestehender Aktivitäten und Strukturen gelegt wurde. Im den folgenden Jahren wird
es darauf ankommen, die bestehenden und neu etablierten Strukturen, sowohl im öffentlichen
als auch im nicht-öffentlichen Bereich, auf das gemeinsame Ziel der Steigerung der Sicherheit
des Cyber Raumes und des Bereithaltens hochentwickelter Fähigkeiten für den Extremfall der
37
militärischen Landesverteidigung auch im Cyber Raum hin auszurichten und zum bestmöglichen Zusammenwirken im Rahmen der Umfassenden Landesverteidigung bzw. Umfassenden
Sicherheitsvorsorge zu bringen.
38
Anlage A – Abkürzungsverzeichnis
ATC
Austrian Trust Circle
BKA
Bundeskanzleramt
BMEIA
Bundesministerium für Europa, Integration und Äußeres
BM.I
Bundesministerium für Inneres
BMLVS
Bundesministerium für Landesverteidigung und Sport
CDC / CVZ
Cyber Defence Center / Cyber Verteidigungszentrum
CERT
Computer Emergency Response Team
CKM
Cyber Krisenmanagement
CSC
Cyber Security Center
CSP
Cyber Sicherheit Plattform
CSS
Cyber Sicherheit Steuerungsgruppe
CSIRT
Computer Security Incident Response Team
DoS / DDoS
Denial of Service / Distributed Denial of Service
ENISA
European Network and Information Security Agency
GovCERT
Government Computer Emergency Response Team
GSVP
Gemeinsame Sicherheits- und Verteidigungspolitik
IKDOK
Innerer Kreis der operativen Koordinierungsstrukturen
milCERT
militärisches Computer Emergency Response Team
NATO
Nordatlantische Vertragsorganisation
NIS
Netz- und Informationssicherheit
OECD
Organisation für wirtschaftliche Zusammenarbeit und Entwicklung
OSZE
Organisation für Sicherheit und Zusammenarbeit in Europa
ÖBH
Österreichisches Bundesheer
ÖSCS
Österreichische Strategie für Cyber Sicherheit
VN
Vereinte Nationen
39