Informationssicherheit in der Bundeswehr – neue Wege

0
1054
Generalmajor Jürgen Setzer, Chief Information Security Officer der Bundeswehr und Stellvertreter Inspekteur CIR. (Foto: BS/Bundeswehr, Sebastian Robelet)

Verfügbar, vertraulich und integer sollen die Daten der Bundeswehr sein. Das ist mein Anspruch als Chief Information Se­curity Officer der Bundeswehr. Daten sind heute Voraussetzung für die Führungs- und Einsatzfähigkeit der Streitkräfte, damit ihr Schutz auch Voraussetzung für die Vertei­digungsfähigkeit unseres Landes. Informa­tionssicherheit ist eine zentrale Aufgabe für uns im Organisationsbereich Cyber- und In­formationsraum (CIR). Es bedeutet für uns, Risiken zu verstehen, zu kontrollieren und zu minimieren. Hierbei gehen wir neue Wege.

Risiken für die Informationssicherheit sind vielfältiger Natur, bspw. Konfigurations-oder Kompatibilitätsfehler. Vor allem aber auch der “Faktor Mensch” muss bei der Risikoanalyse wesentlich mitgedacht wer­den. Denn in vielen Fällen ist er es, der die Ausnutzung einer Schwachstelle erst ermöglicht. Gezielt spähen Angreifer bspw. die individuelle Verwundbarkeit von Nut­zern aus und sprechen sie mit personalisier­ten, hochprofessionellen Phishing-E-Mails (“Social Engineering”) an. Um das richtige IT-Sicherheitsverhalten jedes Einzelnen in solchen und ähnlichen Situationen und das Bewusstsein für die Bedrohungen zu för­dern, nehmen die Bundeswehrangehöri­gen regelmäßig an zielgruppenorientierten Schulungen teil. So wurden unsere Mitar­beiter aufmerksame und handlungssichere User und erhöhen im Verbund mit techni­schen Sicherheitsmaßnahmen die Informa­tionssicherheit.

Bevor ein IT-System in der Bundeswehr in Betrieb geht, testen wir es auf Schwach­stellen und lassen diese schließen. So wird jedes System auf seine Informationssicher­heit hin überprüft. Dies leisten unsere Ex­perten im Zentrum für Cyber-Sicherheit in Euskirchen.

Ein erster Schritt hierbei ist die automa­tisierte, toolbasierte Schwachstellenanaly­se. Ziel dabei ist es, alle bereits bekannten technischen Schwachstellen innerhalb des Systems zu finden. Darüber hinaus geht die Arbeit der Penetrationstester, die um­fassend versuchen, die im Rahmen der Informationssicherheit getroffenen tech­nischen sowie organisatorischen Maßnah­men in einem definierten Bereich eines IT-Systems kontrolliert zu überwinden. So können Schwachstellen frühzeitig erkannt und zudem nach geringerem Aufwand als bei einem bereits in Nutzung befindlichen IT-System geschlossen werden.

Vor Inbetriebnahme werden die Systeme abschließend auf die Einhaltung der Vorga­ben der Informationssicherheit überprüft.

Regelmäßig überprüfen wir im Betrieb befindliche IT-Systeme der Bundeswehr auf ihre Sicherheit: Wir nennen das Red- Teaming. Mit der Brille eines Angreifers fra­gen wir uns: Wo könnten “wir” größtmögli­chen Schaden anrichten? Wo ist die IT der Bundeswehr am verwundbarsten? Ist das Ziel ausgemacht, versuchen unsere “haus­eigenen” Spezialisten im Zentrum Cyber- Operationen, im laufenden Betrieb “den besten Weg hinein” zu finden. Sie stehen dabei einem realen Verteidiger gegenüber. Diese Angriffssituationen sind realitätsnah verdeckt und können sich über einen deut­lich längeren Zeitraum erstrecken.

Mit diesen Cyber-Sicherheitsmaßnahmen können wir auf Champions-League-Niveau die vorhandene Angriffshürde für einen wirklichen Angreifer realistisch beurteilen. Wir gewinnen wertvolle Erkenntnisse über den Reifegrad der IT-Infrastruktur sowie die Prozesse unserer Organisation.

Die Bundeswehr leistet auch einen Bei­trag zur gesamtstaatlichen Sicherheitsvor­sorge im Nationalen Cyber-Abwehrzent­rum (Cyber-AZ). Die Federführung für die Cyber-Sicherheit Deutschlands liegt beim Bundesministerium des Inneren, für Bau und Heimat. Das Kommando Cyber- und In­formationsraum arbeitet im Cyber-AZ eng mit acht weiteren Behörden aus Strafver­folgung, Bevölkerungsschutz und Nachrich­tendiensten zusammen. Die Koordination der Zuständigkeiten und der Informations­austausch zwischen den Behörden bei Cy­ber-Angriffen werden mit dieser Plattform – unterhalb der rechtlichen Schwelle des Verteidigungsfalls – aus unserer Sicht ver­bessert.

Das Gemeinsame Lagezentrum CIR des Kommandos CIR stellt dem Cyber-AZ die relevanten Informationen zur Verfügung. Hier verarbeiten unsere Analysten unter­schiedliche sowohl strukturierte als auch unstrukturierte Daten aus verschiedenen Quellen – unter Nutzung von Künstlicher Intelligenz und Big Data-Methoden. So kön­nen bspw. durch Korrelationen von Daten aus den IT-Systemen der Bundeswehr mit Erkenntnissen aus dem Militärischen Nach­richtenwesen sowie offen zugänglichen Informationen aus sozialen Netzwerken Rückschlüsse auf eine zunehmende hybri­de Bedrohung oder einen koordinierten Cy­ber- und Informationsraumangriff gezogen werden. Die so gewonnenen Analysen stel­len wir Nutzern in der Bundeswehr, jedoch auch anderen Behörden zur Verfügung.

Daneben kann die Bundeswehr ihre “Cy­ber-Feuerwehr”, die Incident Response Teams, im Rahmen der technischen Amts­hilfe, wenn erforderlich, zur Verfügung stel­len. Wir haben bereits ein weites Netzwerk zu anderen Behörden, Forschungseinrich­tungen, Betreibern von KRITIS oder Inter­net Service Providern geknüpft, denn Infor­mationssicherheit kann heute nur noch in einem übergreifenden gesamtstaatlichen Ansatz erfolgreich sichergestellt werden.

Eingebunden in dieses stetig wachsende Netzwerk arbeiten wir täglich mit ganzer Kraft für die Informationssicherheit in der Bundeswehr.

Verfasser dieses Gastbeitrages ist Generalmajor Jürgen Setzer, Chief Information Security Officer der Bundeswehr und Stellvertreter Inspekteur CIR.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here