(BS) Fake News in den Sozialen Medien. Ransomware-Angriffe ohne Lösegeldforderungen. Die deutsche Gesellschaft erlebt eine hybride – vermutlich auch russische – „Einflussnahme“, wie es in der Bundeswehr-Sprache heißt. Also plant die Bundeswehr den Umstieg auf Zero Trust-Sicherheitsarchitektur und ein gemeinsames Verteidigungsprojekt mit der EU, um auf dem digitalen Feld handlungsfähig zu sein.
„Wir haben bei uns im Cyber- und Informationsraum nachweisbar eine hybride Einflussnahme“, sagt Generalmajor Jürgen Setzer. „Wir sind betroffen und müssen handeln.“Die Situation ließe sich mit derjenigen in der Ukraine vor dem russischen Überfall vergleichen, warnt der stellvertretende Inspekteur des Kommando Cyber- und Informationsraum (CIR) und CISO der Bundeswehr auf einem parlamentarischen Abend des Behörden Spiegel. Dort sprachen Fachleute aus dem Heer, der Industrie und dem Außenministerium.
Hybride Einflussnahme
Ohne Namen zu nennen, berichtet Setzer von einem Energieunternehmen, das aus dem Cyber-Raum angegriffen wurde. Die Systeme des Unternehmens seien verschlüsselt und Daten gestohlen worden. Dieses Vorgehen ist klassisch für Cyber-Kriminalität. Normalerweise bieten die Angreiferinnen und Angreifer an, die Systeme gegen Zahlung eines Lösegeldes wieder zu entschlüsseln. Doch in diesem Fall… „Kein Bekennerschreiben“, sagt Setzer. „Das ist ungewöhnlich.“
Wie können sich Organisationen gegen solche Angriffe wappnen? Mo Cashman, der Principal Engineer von Trellix weist darauf hin, dass sich die Cyber-Sicherheitslandschaft ständig weiterentwickle. Die CISOs müssten neue Technologien implementieren, um ihr System auf dem Stand der Technik zu halten. Ganz oben auf der Agenda der meisten CISOs sei inzwischen beispielsweise Cyber-Sicherheitsarchitektur nach dem Zero Trust-Prinzip einer Cyber Readiness.
Zero Trust für die Bundeswehr
Der CISO der BWI, des IT-Dienstleisters der Bundeswehr, ist ein Beleg für diese These. Christopher Waas sagt klar: „Es ist Zeit, die Sicherheitsphilosophie des maximalen Perimeterschutzes bei Behörden und in der Bundeswehr zu überdenken.“ Bei Perimeterschutz verhindern Firewalls und VPN, dass Unbefugte von außen auf ein Netz zugreifen. Stattdessen solle man auf Zero Trust setzen, fordert der BWI-CISO. Mit Zero Trust-Sicherheitsarchitektur gilt zunächst kein Zugriff als vertrauenswürdig. Egal, ob er aus dem eigenen oder einem fremden Netzwerk erfolgt. Erst nachdem verschiedene Informationen zur Authentifizierung der Anfrage abgefragt wurden, lässt das Netz den Zugriff zu.
Waas skizziert zwei Schritte um Zero Trust für die Netze der Bundeswehr zu realisieren. Im ersten Schritt müsse die BWI herausfinden, welche Informationen einen Zugriff legitimieren könnten. Der Dienstrang des Fragestellers, der Patchstand seines Systems und vieles mehr. Im zweiten Schritt würden dann Policies für Zugriffe entwicklet und Zero Trust technisch installiert. Irgendwann ab dem Jahr 2026 könnte die Bundeswehr über ein Zero Trust-Netz verfügen.
Grenzüberschreitende Koordination
Neben der Frage nach dem eigenen sicheren Netz, stellt sich aber auch die nach einem koordinierten Vorgehen bei Cyber-Attacken. „Wie gehen wir mit multinationalen Angreiferinnen und Angreifern um?“, formuliert Dr. Sven Egyedy, der CDO des Auswärtigen Amts (AA) die Gretchen-Frage der Cyber-Sicherheit. „Wir brauchen eine gesetzliche Neubewertung, die es uns erlaubt als wehrhafte Demokratie auch das Jahr 2030 zu erreichen und eine wehrhafte Demokratie zu bleiben.“ Zusammenarbeit über alle Grenzen hinweg sei dabei unverzichtbar.
Generalmajor Setzer will mit dem Kommando CIR zu dieser Aufgabe beitragen. Dafür hat das Kommando der EU ein PESCO-Projekt vorgeschlagen, also ein gemeinsames Verteidigungsprojekt. Das Cyber and Information Domain Coordination Centre (CIDCC) soll nationalen militärischen Cyber-Sicherheitsorganisationen den Austausch von Informationen und Erkenntnissen ermöglichen. Damit soll die EU auf dem digitalen Gefechtsfeld handlungsfähig werden. Ab Oktober des nächsten Jahres stellen die Partner Geld für die erste Aufbaustufe bereit. Bis zum Jahr 2026 soll das CIDCC spätestens stehen.