European Cyber Defense - Teil 1: Strategien - Status Quo 2018 - Deloitte
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
European Cyber Defense Teil 1: Strategien – Status Quo 2018
European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Vorwort 06
Executive Summary 08
1. N
ationale Perspektive: Strategische Risiken
und die Bedeutung von Cybersicherheit 10
2. Z
iele und Aussagen nationaler
Cybersicherheitsstrategien 18
3. Akteure in der nationalen Cybersicherheitsvorsorge 28
4. S
achstand internationaler Kooperationen
zur Abwehr von Cyberbedrohungen 32
5. Handlungsfelder 40
Nationale und internationale
Cybersicherheitsstrategien auf einen Blick 44
Ansprechpartner und Autoren 62
03
Abb. 1 – Nationale Sicherheitsstrategien (NSS) und nationale
Cybersicherheitsstrategien (NCSS) mit Jahr der Inkraftsetzung im Vergleich
Redaktionsschluss: 27. August 2018
Schweden
NSS: 2017
NCSS: 2017
Niederlande
NSS: 2013
NCSS: 2018 Norwegen
Dänemark NSS: 2015
NSS: 2018 NCSS: 2017
Belgien NCSS: 2018
NSS: 1
NCSS: 2014
Luxemburg
NSS: 1
NCSS: 2018
Großbritannien
NSS: 2015
NCSS: 2016
Irland
NSS: 2015
NCSS: 2015
Frankreich
NSS: 2013
NCSS: 2015
Slowenien
NSS: 2010
NCSS: 2016
Spanien
NSS: 2013
NCSS: 2013
Portugal
NSS: 1
NCSS: 2015
Italien
NSS: 2015
NCSS: 2013
Finnland
NSS: 2013
NCSS: 2013
Estland
NSS: 2017
NCSS: 2014
Lettland
NSS: 2012
NCSS: 2014
Litauen
NSS: 2017
NCSS: 2011
Polen
NSS: 2014
Deutschland
NCSS: 2017
NSS: 2016
NCSS: 2016
Tschechien Österreich
NSS: 2015 NSS: 2013
NCSS: 2015 NCSS: 2013
Slowakei
NSS: 2016 Rumänien
NCSS: 2015 NSS: 2015
NCSS: 2013
Ungarn
NSS: 2012
NCSS: 2013 Kroatien
NSS: 2017
Bulgarien
NCSS: 2015
NSS: 2011
NCSS: 2016
Montenegro
NSS: 2008
Türkei NCSS: 2017
NSS: 1
NCSS: 2016
Griechenland
NSS: 2013
NCSS: 2017
(ohne Malta und Zypern)
1
Nicht in englischer Sprache frei verfügbar.
Vorwort
Cybersicherheit ist (auch) eine staatliche Aufgabe. Darüber sind
sich die europäischen Staaten einig. Wie aber gewährt der Staat
im Zusammenspiel mit Wirtschaft, Wissenschaft und Gesellschaft
Cybersicherheit? Welche Bedrohungen gibt es im Cyberraum für
Bürger und Unternehmen? Auf diese Fragen gibt es in Europa
ganz verschiedene Antworten und Lösungsansätze.
Wir haben bei unserer Analyse staatli- Ein unterschiedliches Verständnis der
cher Strukturen und Maßnahmen zur Herausforderung Cybersicherheit führt
Cybersicherheit festgestellt: Es gibt keinen zu unterschiedlichen Lösungsansätzen;
aktuellen und kompakten Überblick über dies spiegelt sich auch in der Struktur der
die verschiedenen nationalen Strategien, verschiedenen Strategiedokumente wider.
Akteure und Initiativen europäischer Staa- Angesichts des strategisch relevanten,
ten. Einen solchen Überblick wollen wir mit komplexen und dynamischen Untersu-
dem vorliegenden Teil 1 unseres Reports chungsgegenstandes Cybersicherheit galt
bereitstellen. es, nicht der sprichwörtlichen Gefahr zu
erliegen, Äpfel mit Birnen zu vergleichen.
Dieser Report ist das Ergebnis eines syste- Wir haben daher versucht, Kategorien zu
matischen Vergleichs der relevanten natio- identifizieren, die sich in allen Strategien
nalen Strategiedokumente mit Aussagen zu wiederfinden, und die entsprechenden
Cyber Defense. Unter Cyber Defense ver- Aussagen der jeweiligen Länder gegenüber-
stehen wir in diesem Zusammenhang alle gestellt. Die Kapitel eins bis drei widmen
staatlichen Aktivitäten, mit denen Cyberrisi- sich jeweils der Analyse der nachfolgenden
ken begegnet werden sollen. Ein Ziel dieser Fragestellungen:
Studie ist es auch, zu analysieren, was die
betrachteten Staaten unter Cyber Defense
verstehen.
Wir haben uns bewusst auf die Analyse
öffentlich zugänglicher Dokumente
beschränkt; im Wesentlichen waren dies
nationale Sicherheitsstrategien (NSS) und,
so vorhanden, nationale Cybersicherheits- „Die Gewährleistung von Freiheit und Sicherheit
strategien (NCSS). Unsere Untersuchung
umfasst 29 Länder, die der Europäischen
zählt zu den Kernaufgaben des Staates. Dies gilt
Union und/oder der NATO angehören; auch für den Cyber-Raum.“
vereinzelt haben wir auch die Cybersuper- (Deutschland, Cyber-Sicherheitsstrategie 2016)
mächte USA, China und Russland im Ver-
gleich betrachtet.
06
European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Welche Risiken
Welche Ziele,
werden in den Welche staatlichen
Aufgaben und
Sicherheitsstrategien Institutionen sind
Risiken werden
genannt und welchen für die Aufgaben
in den Cyber-
Stellenwert der Cybersicherheit
sicherheitsstrategien
hat dabei die verantwortlich?
genannt?
Cybersicherheit?
Uns ist bewusst, dass es eine Diskrepanz schen Kontexts zum jeweiligen Zeitpunkt
zwischen den in Strategiedokumenten der Erstellung. Sie gehen also von einer
genannten Maßnahmen und dem Grad individuellen Einschätzung der Bedro-
der Implementierung dieser Maßnahmen hungslage, der Verantwortung und Reich-
geben kann. Mit Blick auf das Ziel dieses weite des Staates sowie der Wirksamkeit
Reports haben wir aber weder die Aussa- von Technologie und Maßnahmen der
gen in den einzelnen Strategiedokumenten jeweiligen Ersteller zu unterschiedlichen
bewertet noch den Status quo der Struktu- Zeitpunkten aus. Bei der Ausrichtung
ren und Maßnahmen untersucht. zukünftiger Strategien profitieren sicher
alle Akteure von einem gemeinsamen
Der Vergleich nationaler Strategien wird Verständnis der möglichen Entwicklung
ergänzt durch eine Zusammenfassung der wesentlicher Treiber, die den zukünftigen
relevanten Dokumente, Aussagen zu Zielen strategischen Kontext bestimmen werden.
und aktuellen Initiativen der Europäischen
Union, NATO und Vereinten Nationen. Dieser erste Teil des Reports wird daher
ergänzt durch einen zweiten Teil, in dem
Ohne die Ergebnisse unserer Untersu- wir mögliche Szenarien zum Stand der
chung vorwegnehmen zu wollen: Die Cybersicherheit in Europa im Jahr 2030
identifizierten Cyberrisiken, strategischen entwickelt haben.
Ziele und die daraus abgeleiteten Struktu-
ren und Maßnahmen der verschiedenen Wir möchten mit diesen beiden Veröffentli-
europäischen Länder unterscheiden sich chungen einen Beitrag zu der notwendigen
teilweise erheblich. Dieser Status quo Debatte zwischen Staat, Wirtschaft und
hat uns angesichts der relativ jungen, Gesellschaft, aber auch zwischen einzelnen
gleichwohl dynamischen Herausforderung staatlichen Akteuren leisten. Bestenfalls
Cybersicherheit wenig überrascht. tragen unsere Reports dazu bei, dass wir
alle die richtigen Antworten auf die Heraus-
Alle Dokumente fußen aber auf einer forderung Cybersicherheit finden – oder
bestimmten Wahrnehmung des strategi- zunächst die richtigen Fragen stellen.
07
Executive Summary
Technologischer Fortschritt, regulatori- Aus unserem systematischen Vergleich
sche Vorgaben und stetiger Wandel der haben wir sechs mögliche Handlungsfelder
Bedrohungslage sind wesentliche Einfluss- identifiziert. Wir sind überzeugt, dass diese
faktoren im Cyberraum. Die Entwicklungen einen großen Raum bei der Aktualisierung
sind rasant und führen zu gravierenden nationaler Cybersicherheitsstrategien
Herausforderungen für Staaten, die einnehmen werden.
öffentliche Sicherheit zu gewährleisten
und die internationale Zusammenarbeit zu Der erste Teil des Reports European Cyber
koordinieren. Diese Herausforderungen Defense wird mit 34 Faktenblättern über
müssen bei der Erarbeitung, Inkraftsetzung nationale und internationale Cybersicher-
und regelmäßigen Überarbeitung der heitsstrategien abgeschlossen. Die Struk-
nationalen (Cyber-)Sicherheitsstrategien tur der Faktenblätter orientiert sich an den
berücksichtigt werden. zuvor gennanten Leitfragen. Jedes Fakten-
blatt zeigt prägnante Schlüsselpunkte der
Der vorliegende erste Teil des Reports einzelnen Strategien. Für 32 Staaten, die
European Cyber Defense 2018 soll einen Europäische Union und die NATO werden
aktuellen und kompakten Überblick über kompakt die Ziele, Cyberbedrohungen und
die verschiedenen nationalen Strategien, die handelnden Akteure zusammengefasst.
Akteure und Initiativen europäischer Staa-
ten bieten. Kern des Reports ist ein syste-
matischer Vergleich relevanter nationaler
Strategiedokumente europäischer Staaten.
08
European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Zentrale und besonders relevante Ergebnisse sind:
Knapp die Hälfte der nationalen Sicherheitsstra-
tegien und mehr als ein Drittel der nationalen
Cybersicherheitsstrategien sind vier Jahre oder
älter. Globale Cybersicherheitsvorfälle in den
zurückliegenden vier Jahren scheinen kaum
Treiber für eine Aktualisierung zu sein. Teilweise
wurden auch selbstgesteckte feste Laufzeiten der
nationalen Cybersicherheitsstrategien überschrit-
ten, ohne eine Aktualisierung vorzunehmen. Cyberbedrohungen werden als eine der größten
nationalen Bedrohungen angesehen. Nach Häufigkeit
der Nennung in den nationalen Sicherheitsstrategien
sehen Regierungen eine überwiegende Gefahr durch
Cyberbedrohungen. Sie werden in den nationalen
Sicherheitsstrategien neben Terrorismus und organi-
sierter Kriminalität genannt. Es wird außerdem
festgestellt, dass immer häufiger konventionelle und
unkonventionelle Methoden kombiniert eingesetzt
werden (hybride Einflussnahme) oder staatliche und
nicht staatliche Akteure im Verbund agieren. Die
Daten- und Identitätsdiebstahl sowie Spionage werden in
Angriffe laufen dabei oftmals unterhalb der Schwelle
Summe aller betrachteten Cybersicherheitsstrategien als
eines bewaffneten Konflikts ab.
häufigste Bedrohungen beschrieben. Beide Bedrohungen
sind weltweite Phänomene der Cyberkriminalität.
In einzelnen Cybersicherheitsstrategien lässt sich
schwer eine klare Abgrenzung der Verantwortung auf
staatlicher Ebene erkennen. Oft wird diese über
mehrere Ressorts und Hierarchieebenen hinweg
verteilt. Mit der großen Bedeutung, die den hybriden
Bedrohungen zugemessen wird, wird auch ein
vernetzter Ansatz für eine angemessene Verteidigung
gefordert. Dieser lässt sich jedoch nicht durchweg in
Die Verwendung von einheitlichen Definitionen bestimmter den beschriebenen Strukturen erkennen.
Begriffe der Cybersicherheit ist nicht durchweg gegeben. Zwar
führt die NATO ein Glossar mit Begriffsbestimmungen, doch
mehrere Regierungen definieren einzelne Begriffe selbst oder
legen sie teilweise anders aus.
09
1. Nationale Perspektive: Strategische Risiken und die Bedeutung von Cybersicherheit Welche Risiken werden in der Sicherheits- strategie genannt und welchen Stellenwert hat Cybersicherheit? Nationale Sicherheitsstrategien sind die gangspunkt für den Vergleich nationaler strategien benannt und wie sie gegenüber obersten sicherheitspolitischen Grund- Cybersicherheitsstrategien sollte daher Cyberbedrohungen eingeordnet werden, lagendokumente von Regierungen. Sie zunächst der Vergleich nationaler Sicher- falls Cyberbedrohungen überhaupt als nehmen eine strategische Standortbe- heitsstrategien (NSS) sein. nationale Gefahren erkannt worden sind. stimmung vor und nennen die Interessen, Zusätzlich erfolgt eine Analyse der Alters- Prioritäten und Ziele der nationalen Eine langfristige, aber auch aktuelle struktur der Strategien. Sicherheitspolitik. Die Strategien sind meist strategische Standortbestimmung wird vorausschauend, um Krisen sowie Kon- für europäische Regierungen zunehmend 25 nationale Sicherheitsstrategien sind flikten vorzubeugen und um auf Gefahren schwieriger. Die sicherheitspolitische öffentlich verfügbar. Knapp die Hälfte angemessen zu reagieren. Oft sind sie Situation wird komplexer, Gefahren sind dieser Strategien ist bereits vier Jahre zugleich sicherheitspolitische Analysen und weniger vorhersehbar als in der Vergangen- oder älter. Handlungserklärungen der Regierungen heit. Sicherheitsstrategien müssen diese gegenüber ihren nationalen Parlamenten. Komplexität und die daraus resultierenden Als oberste sicherheitspolitische Doku- unsicheren Lageänderungen berück- mente sind sie auch die Grundlage einer sichtigen. Dieser Abschnitt zeigt, welche nationalen Cybersicherheitsstrategie. Aus- Gefahren in den nationalen Sicherheits- 10
European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Abb. 2 – Auffallende Fakten nationaler Sicherheitsstrategien2
Knapp die Hälfte Vor 10 Jahren
der nationalen Sicherheitsstrategien wurde bereits die älteste nationale
ist vier Jahre oder älter. Sicherheitsstrategie, von Montenegro,
in Kraft gesetzt.
2018
wurde die jüngste nationale Sicherheitsstrategie,
von Dänemark, in Kraft gesetzt.
Die nationale Sicherheitsstrategie von Gleichwohl stellt sich - insbesondere in
Dänemark wurde 2018 in Kraft gesetzt. Bezug auf das relativ neue Phänomen
Damit hat Dänemark die aktuellste Cyberbedrohung - die Frage, ob zukünftige
Sicherheitsstrategie der Länder im Fokus Strategien in kürzeren Zyklen aktualisiert
dieser Studie. Im Gegensatz dazu haben werden, um die Erkenntnisse derartiger
Bulgarien, Ungarn, Lettland, Montenegro Angriffe berücksichtigen zu können, oder
und Slowenien Strategien, deren Inkraft- ob Strategien bewusst generisch bleiben,
setzungen im Jahr 2012 waren oder ohne eine explizite Referenz auf einzelne
teilweise sogar bis 2008 zurückgehen. Ereignisse zu nehmen.
Seitdem haben zahlreiche Krisen und
Konflikte die globale Sicherheitslage ver- Die nationalen Sicherheitsstrategien von
ändert. Zum Beispiel beeinflussten die glo- China und Russland wurden 2015 und die
bale Finanzkrise ab 2007, der Kaukasus- der USA 2017 in Kraft gesetzt. Damit sind
konflikt 2008, die weltweite Übertragung die Strategien der Global Player jünger als
einer H1N1-Influenza-Pandemie 2009, der das Durchschnittsalter der hier vergliche-
Arabische Frühling (und die damit zusam- nen europäischen Sicherheitsstrategien.
menhängenden Konflikte im Irak und in
Syrien) ab 2011, die Eurokrise ab 2012, Die Möglichkeiten des Cyberraums
die NSA-Affäre 2013, der Ukraine-Konflikt bringen stets neue Herausforderungen,
ab 2014, die Flüchtlingskrise ab 2015 Bedrohungen und Risiken hervor. Die
und vor allem unzählige Terroranschläge, Grenzen verschwimmen und regionale,
unter anderem in Paris, Brüssel, Nizza, ja selbst lokale Ereignisse können globale
Berlin und Barcelona das Weltgeschehen. Auswirkungen haben. Die Trennlinie zwi-
Diese Ereignisse werden allerdings in schen äußerer und innerer Sicherheit ist
den einzelnen Strategien nicht explizit im Cyberraum weitgehend aufgelöst.
genannt - schlichtweg, weil teilweise das
Veröffentlichungsdatum der Strategie vor
den Ereignissen lag.
2
Ohne NSS von Belgien, Luxemburg, Portugal, Türkei. 11Cyberattacken sind vergleichsweise wenig „Da der Zugang zu Software mit hohem
aufwendig, einfach durchzuführen und es
ist schwer für die Verteidiger die Herkunft Schadenspotenzial auch aufgrund von Proliferation
eines Angriffs zweifelsfrei zuzuordnen. Die vergleichsweise leicht und günstig ist, sind die für
Quellen und Intentionen eines Angriffs sind
vielfältiger Natur. Sie können vom Militär, Cyberangriffe notwendigen Mittel nicht auf Staaten
den Geheimdiensten, Extremisten, Terro- begrenzt. Auch terroristische Gruppierungen, kriminelle
risten, der organisierten Kriminalität und
auch von Einzeltätern ausgehen. Organisationen und versierte Einzelpersonen können
potenziell mit geringem Aufwand erheblichen Schaden
anrichten. Damit stoßen Bemühungen um die Schaffung
international verbindlicher Regelwerke oder vertrauens-
und sicherheitsbildender Maßnahmen an enge Grenzen.“
(Deutschland, Weißbuch 2016)
Staatliche Sicherheitsvorsorge muss die
„Like terrorism, this is not simply a risk for the future.
Gesamtheit aller Maßnahmen umfassen,
die dem Schutz der Nationen dient und die Government, the private sector and citizens are under
Lebengrundlage der Gesellschaften auf-
sustained cyber attack today, from both hostile states
rechterhält. Maßnahmen zum Schutz des
Cyberraums gehören zweifelsfrei dazu. and criminals. They are stealing our intellectual property,
sensitive commercial and government information,
and even our identities in order to defraud individuals,
organisations and the Government.”
(Großbritannien, Premierminister, National Security Strategy 2010))
12European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Unsere Analyse zeigt: Regierungen haben gefolgt von organisierter Kriminalität. Alle zugrunde. Der Begriff wird unterschiedlich
die nationale Bedrohung aus und im betrachteten Sicherheitsstrategien gehen ausgelegt, in den einzelnen Strategien
Cyberraum erkannt. Cyberbedrohungen auf Cyberbedrohungen ein. Allerdings liegt steht der Begriff gleichbedeutend für u.a.
werden am häufigsten als nationale Bedro- den nationalen Strategien keine einheit- Cyberbedrohungen, Cyberattacken oder
hung genannt, neben Terrorismus und liche Definition von Cyberbedrohungen Cyberterrorismus.
Abb. 3 – Nationale Gefahren und Einordnung von Cyberbedrohungen
gemäß nationaler Sicherheitsstrategien3
natürlich/menschlich
illegale/ verursachte
unkontrollierte Migration
Katastrophen
Epidemien/Pandemien
Cyberbedrohungen
organisierte
Kriminalität Terrorismus
Klimawandel
Verbreitung von Bedrohungen der sicheren
Massenvernichtungs- Rohstoff- und Energieversorgung
waffen
3
Gemäß der Anzahl der Nennungen in den betrachteten Strategien. 13Die französische Regierung stellt in ihrer Deutschland liefert mit dem Weißbuch
aktuellen Sicherheitsstrategie Cyberatta- von 2016 seine aktuelle Grundlage für die
cken mit Terrorismus, atomarer Aufrüstung nationale Sicherheitspolitik des Landes. Die
und Pandemien auf eine Stufe.4 Gleichzeitig Bundesregierung schreibt, dass die Ver-
hebt sie hervor, dass diese Bedrohungen netzung und Verbreitung von Risiken durch
noch dringlicher geworden sind und dass die Globalisierung getrieben wird. Die
man ihnen mit internationalen Kooperatio- Möglichkeit von Cyberangriffen wird neben
nen begegnen muss. Informationsoperationen, Epidemien und
Terrorismus insbesondere angesprochen.
Großbritannien sticht mit der Einordnung Hervorzuheben ist, dass die Bundesregie-
seiner nationalen Gefahren heraus. So rung im Weißbuch vereinzelt Definitionen
führte es 2015 zum dritten Mal nach 2010 vornimmt.
und 2012 eine umfangreichere Risikobe-
wertung durch. Hierbei werden nationale
und internationale Risiken analysiert und
ihre Eintrittswahrscheinlichkeit sowie
Tragweite beurteilt. Auf dieser Grundlage
werden die Risiken mit der höchsten Priori-
tät festgelegt. Cyberbedrohungen wurden,
neben fünf weiteren nationalen Bedrohun-
gen, mit der höchsten Priorität eingestuft.5
„Die sichere und gesicherte sowie freie Nutzung
des Cyber- und Informationsraums ist elementare
Voraussetzung staatlichen und privaten Handelns
in unserer globalisierten Welt. Die wachsende
und sämtliche Lebensbereiche durchdringende
Digitalisierung mit ihrer fortschreitenden Vernetzung
von Individuen, Organisationen und Staaten prägt in
einzigartiger Weise die Chancen unserer Gegenwart und
Zukunft. Sie macht Staat, Gesellschaft und Wirtschaft
jedoch zugleich besonders verwundbar für Cyberangriffe
und erfordert unmittelbare Gefahrenabwehr.“
(Deutschland, Weißbuch 2016)
4
French White Paper (2013), S. 7.
14 5
National Security Strategy and Strategic Defense and Security Review 2015.European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Die digitale Vernetzung von Menschen, Allgemeinen auf den strategischen Ansatz
Unternehmen und Staaten in Europa der NATO und teilt deren Einschätzung der
nimmt mehr und mehr zu. Infrastrukturen, Risiken und Bedrohungen der nationalen
wie Energieversorgungsnetze, Zahlungs- Sicherheit, ohne auf diese explizit einzuge-
verkehrssysteme, Kommunikationsnetze hen. Kurz geht die Regierung auf die zuneh-
und andere, überschreiten nationale mende Nutzung der Informationstechno-
Grenzen. Im Cyberraum verlieren nationale logie ein. Sie sieht dabei eine Gefährdung
Grenzen auch als Sicherheitsschranken durch Cyberkriminalität, insbesondere in
an Bedeutung. Die Unterscheidung von der Verkehrsinfrastruktur, Telekommuni-
innerer und äußerer Sicherheit wird kation, Gesundheits- und Sozialsystem,
schwieriger und einheitliche Standards Finanzsystem und in der Versorgung der
einer Gemeinschaft im Cyberraum werden Bevölkerung. Eine Priorisierung der Cyber-
zunehmend wichtiger, insbesondere bei bedrohung gegenüber anderen nationalen
Themen der Sicherheit. Auch im Cyber- Bedrohungen nimmt Montenegro nicht vor.
raum ist eine Gemeinschaft nur so stark
wie ihr schwächstes Glied. Eine veraltete Die Regierungen der Länder erwarten,
nationale Sicherheitsstrategie könnte so dass Terroristen und Strukturen der
ein schwaches Glied sein. Sie könnte zum organisierten Kriminalität Cyberattacken
Beispiel geänderte Bedrohungslagen nicht als Werkzeug einsetzen werden, um ihre
abdecken oder auch den aktuellen Stand Operationen zu unterstützen. Einige Nati-
der Technik nicht berücksichtigen. onen erwarten, dass Cyberattacken immer
öfter Teil der sogenannten „hybriden
Montenegro hat mit Abstand die älteste Kriegsführung“ oder von „Hybridattacken“
Sicherheitsstrategie, sie wurde 2008 in werden. Diese Angriffe kombinieren
Kraft gesetzt. Bedrohungen aus dem konventionelle und unkonventionelle
Cyberraum werden hier zwar als nationales militärische Operationen mit zivilen Mitteln
Risiko genannt, eine Priorisierung gegen- oder der Cyberraum wird als Werkzeug für
über anderen Risiken ist hingegen nicht zu Informationskrieg und die Verbreitung von
erkennen. Montenegro ist Teil einer Region, Propaganda genutzt. Hierbei wird darauf
die in den vergangenen Jahren dynami- gezielt, Ordnungskategorien (z.B. zwischen
schen Veränderungen ausgesetzt war. Die Krieg und Frieden oder zwischen Freund
Regierung betrachtet die Sicherheitslage und Feind) zu verwischen, um den potenz-
im Schwerpunkt im regionalen Kontext. In tiellen Gegner zu verwirren und seine Reak-
der Strategie bezieht sich Montenegro im tionsmöglichkeiten einzuschränken.6
6
Gemäß Schmid, Johann: Hybride Kriegführung und das "Center of Gravity" der Entscheidung, in: Sicherheit und Frieden 2/2016, S. 114–120. 15Nahezu alle Regierungen beschreiben in According to cyber-attacks: „It could therefore
ihren nationalen Sicherheitsstrategien
einen vernetzten Sicherheitsansatz als constitute a genuine act of war.”
Antwort auf die zugrunde liegende Sicher- (Frankreich, White Paper 2013)
heitslage und insbesondere als Antwort
auf hybride Bedrohungen. Der vernetzte
Ansatz soll die Koordination verschiedens-
ter Akteure verbessern. Er soll mit militä-
rischen und zivilen Mittel für nachhaltige
Stabilität, Sicherheit und Frieden sorgen. In
den verglichenen nationalen Sicherheits-
strategien wird verschiedensten Akteuren
in Staat, Wirtschaft und Gesellschaft
Verantwortung der Sicherheitsvorsorge
zugeschrieben.
Militärischen Akteuren wird eine zentrale „Cyberspace has become a new operational
Rolle zugeschrieben, um auf Angriffe gegen
die jeweilige Bevölkerung zu reagieren. Die domain of conducting combat activity.”
Mehrheit der Länder erklärt, militärische (Slowakei, White Paper 2016)
Einheiten für die Verteidigung und für Ope-
rationen im Cyberraum auszubilden.
Der Vergleich der nationalen Sicherheits- „Cyberspace, a new area of relations which has
strategien zeigt, nicht präzise definiert
und von anderen Operationsräumen spurred the development of new information
abgegrenzt werden kann. Wir glauben, dass and communication technologies, has blurred
einheitlichen Definitionen und Bewertun-
gen von Bedrohungen zukünftig ein großer borders, making possible an unprecedented
Stellenwert beigemessen wird. Kaum eine globalisation that provides new opportunities but
nationale Sicherheitsstrategie definiert
diese Begriffe. Die spanische Regierung entails serious risks and threats.”
nimmt einen Versuch der Definition des (Spanien,The National Security Strategy 2013)
Cyberraums in ihrer nationalen Sicherheits-
strategie vor.
Während die Definition der spanischen „Der Informationsraum ist der Raum, in dem
Regierung abstrakt ist, ist die deutsche
Definition detaillierter und trennt die Informationen generiert, verarbeitet, verbreitet,
Begriffe Cyberraum und Informationsraum. diskutiert und gespeichert werden. Der
Sie unterscheidet dabei „räumlich“ die
informationstechnischen Systeme vom Cyberraum ist der virtuelle Raum aller weltweit
Informationsraum, es erfolgt somit eine auf Datenebene vernetzten bzw. vernetzbaren
Unterscheidung der technischen von der
logischen Sphäre. Allein diese beiden informationstechnischen Systeme. Dem
unterschiedlichen Auslegungen des Begrif- Cyberraum liegt als öffentlich zugängliches
fes Cyberraum zeigen, dass den nationalen
Strategien aktuell keine einheitliche Defini- Verbindungsnetz das Internet zugrunde,
tion zugrunde liegt. welches durch beliebige andere Datennetze
erweitert werden kann.“
(Deutschland, Weißbuch 2016)
16European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Die litauische Regierung nimmt in ihrer „Cyber threats – actions in the cyber space aimed
nationalen Strategie eine Begriffsbestim-
at disturbing the functioning of critical information
mung von Cyberbedrohung vor und stellt
den Staat, die kritischen Infrastrukturen infrastructures, activities of state institutions
und den Bürger als zu schützendes Gut
and economic sectors of importance for national
heraus.
security, obtaining classified or any other non-public
Wenn Regierungen Begriffe im Zusammen-
information, committing other criminal acts and thus
hang mit der Cybersicherheit definieren,
dann nehmen sie diese Definitionen in den impairing the security of the State and its citizens.”
meisten Fällen im Rahmen der nationalen (Litauen, National Security Strategy 2017)
Cybersicherheitsstrategien vor. Einige
Begriffe werden im folgenden Abschnitt
vorgestellt.
Laut dem World Economic Forum
zählen USA, China und Russland zu den
Supermächten mit den am weitesten
entwickelten Cyberfähigkeiten.7 Eine klare
Definition vom Cyberraum oder von Cyber-
bedrohungen liefern auch diese Staaten
in ihren nationalen Sicherheitsstrategien
nicht. Trotzdem lohnt sich der Blick in ihre
nationalen Sicherheitsstrategien, um ihre
Einordnung von Cyberbedrohungen gegen-
über anderen nationalen Bedrohungen zu
vergleichen. mit der Nutzung von Informations- und
Kommunikationstechnologien zur Verbrei-
China setzte seine nationale Sicherheits- tung und Förderung von Ideologien, wie
strategie 2015 in Kraft.8 Eine Priorisierung z.B. Faschismus, Extremismus, Terrorismus
von Cyberbedrohungen gegenüber und Separatismus, eine Hauptbedrohung
anderen nationalen Bedrohungen wird für die staatliche und öffentliche Sicherheit
nicht vorgenommen. Doch die Regierung sind. Damit sieht die russische Regierung in
stellt deutlich heraus, dass der strategische der Verbreitung von Ideologien im Cyber-
Wettbewerb im Cyberraum neue Dimen- raum eine größere Gefahr als in Faktoren,
sionen erreicht hat und dass dabei diese die die lebenswichtigen IT-Infrastrukturen
Art der Kriegführung beschleunigt wird. angreifen oder zerstören können.
Das chinesische Ministerium für Nationale
Verteidigung stellt fest, dass die weltweiten Im Gegensatz zur Russischen Föderation
Großmächte ihre nationalen Sicher- nehmen die USA die Risikoidentifizierung
heitsstrategien an diese Beschleunigung mit Blick auf die Sicherheit und Wider-
anpassen und eine militärische Umstruktu- standsfähigkeit ihrer kritischen Infrastruk-
rierung dahingehend herbeiführen. turen vor und nicht in erster Linie auf die
Verbreitung von Ideologien. Sie priorisieren
Die Russische Föderation setzte ihre nati- die Risiken und ihre Schutzanstrengungen,
onale Sicherheitsstrategie ebenfalls 2015 Fähigkeiten und Abwehrmaßnahmen nach
in Kraft. Eine deutliche Priorisierung von den katastrophalen oder kaskadierenden
nationalen Gefahren lässt die Regierung Konsequenzen von Cyberangriffen. Die
darin nicht erkennen. Doch sie hebt hervor, nationale Sicherheitsstrategie der USA
dass alle Aktivitäten im Zusammenhang wurde 2017 in Kraft gesetzt.
7
„The countries which are believed to have the most developed cyber warfare capabilities are the United States, China, Russia, Israel and the
United Kingdom”; https://www.weforum.org/agenda/2016/05/who-are-the-cyberwar-superpowers/
8
Chinese Military Strategy (2015): White Paper. 172. Ziele und Aussagen nationaler Cybersicherheitsstrategien Welche Ziele, Aufgaben und Risiken werden in der Cybersicherheitsstrategie genannt? Der grenzüberschreitende Cyberraum Dieser Abschnitt führt einen kompakten Cybersicherheitsstrategien, sie wurden eröffnet Chancen und birgt Risiken. Er Vergleich von 29 nationalen Cybersicher- 2018 in Kraft gesetzt. Litauen besitzt die fordert neue Ansätze und neue Handlungs- heitsstrategien durch und zeigt im Kern, älteste Strategie, sie wurde schon 2011 in felder staatlichen Handelns. Der Staat steht welche Ziele in den Strategien beschrieben Kraft gesetzt. Seitdem sind sieben Jahre in der Pflicht, den steten Veränderungen und welche Cyberbedrohungen von den vergangen. Trotz zahlreicher Cyberangriffe zu begegnen und Rahmenbedingungen im Regierungen benannt werden. Vorab wird in den letzten Jahren, wie zum Beispiel die Interesse seiner Bürger zu schaffen. Mit verglichen, wann die nationalen Cybersi- Schadprogramme Stuxnet ab 2010 und einer nationalen Cybersicherheitsstrategie cherheitsstrategien in Kraft gesetzt worden Shamoon ab 2012 sowie die Ransomware kann eine Regierung ein Grundlagendoku- sind. Wanna Cry und die Wiper Malware Petya ment für die Cybersicherheit in Kraft setzen ab 2016, wurden ältere Strategien nicht und wesentliche Weichenstellungen für die Die nationalen Cybersicherheitsstrategien angepasst. zukünftige Cybersicherheitspolitik einer sind im Schnitt jünger als die nationalen Nation vornehmen. Sie kann strategische Sicherheitsstrategien. Mehr als ein Drittel Leitlinien definieren, Handlungsräume der aktuellen nationalen Cybersicherheits- abgrenzen, ressortübergreifende Verant- strategien ist vier Jahre oder älter. Däne- wortung festlegen und handelnde Akteure mark und Luxemburg besitzen die jüngsten benennen. 18
European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Abb. 4 – Nationale Cybersicherheitsstrategien im Überblick
Mehr als ein Drittel Vor 7 Jahren
der nationalen Cyber- wurde bereits die älteste
sicherheitsstrategien ist vier nationale Cybersicherheits-
Jahre oder älter. strategie, von Litauen, in
Kraft gesetzt.
2018
wurden die jüngsten Cybersicherheitsstrategien
von Dänemark und Luxemburg in Kraft gesetzt.
Eine stets wiederkehrende Befassung oder allerdings haben sie ihren selbstgesteckten ihrer Nationen voll ausschöpfen. Sie kön-
Aktualisierung einer Strategie könnten Zeitraum bereits überschritten, ohne eine nen dadurch auch Risiken im Cyberraum
die Regierungen durch feste Laufzeiten Aktualisierung vorgenommen zu haben. beherrschbar machen. In allen betrach-
erreichen. Mit dem Erreichen des Endes teten Strategien sind Ziele definiert. In 28
der Laufzeit wird gewiss nicht die nationale Die nationalen Cybersicherheitsstrategien von 29 Cybersicherheitsstrategien wird die
Cybersicherheitsstrategie außer Kraft beziehungsweise die vergleichbaren Sicherung der kritischen Infrastrukturen
gesetzt, doch die Wahrscheinlichkeit einer Grundlagendokumente für Cybersicherheit als Ziel gesetzt. Nur die norwegische Regie-
zeitnahen Aktualisierung ist umso höher, aus China9 , Russland10 und den USA11 rung nennt dieses Ziel nicht direkt. Indirekt
desto näher man dem Ende der Laufzeit sind im Schnitt aktueller als die europäi- beschreibt sie allerdings ein Pilotprojekt,
kommt. Eine feste Laufzeit kann verbindli- schen Dokumente. Russland setzte seine welches einen funktionsfähigen Markt für
che Richtschnur für eine wiederkehrende Cyber-Security Strategy 2014, die USA ihre Unternehmen und Nutzer der kritischen
Befassung sein. In den uns vorliegenden Cyber Strategy 2015 und China sein Cyber- Infrastrukturen schaffen soll.
Dokumenten haben nur elf von achtund- sicherheitsgesetzt 2016 in Kraft.
zwanzig Regierungen einen festen Zeitrah-
men zu ihren Cybersicherheitsstrategien Mit einer klaren Zieldefinition können
hinzugefügt. Estland und Irland sind zwei Regierungen eine zukunftsgerichtete
der Staaten, die ihrer Cybersicherheitsstra- Cybersicherheitspolitik ermöglichen und
tegie eine feste Laufzeit hinzugefügt haben, die Chancen des Cyberraums im Sinne
9
Cyber Security Law of the People’s Republic of China (2016)
10
Russian Cyber-Security Strategy (2014)
11
The DoD Cyber Strategy (2015) 19Abb. 5 – Auffallende Kernziele nationaler Cybersicherheitsstrategien12
97% 93%
sehen die Sicherung haben sich sichere und
kritischer Infrastrukturen robuste Informationssysteme
als Ziel als Ziel gesetzt
7% 76%
setzen auf eine schnelle definieren einen sicheren
Reaktion auf Cyberangriffe Datentransfer als Ziel
Sichere und robuste Informationssysteme nem nationalen Cybersicherheitszentrum
sind das am zweithäufigsten genannte Ziel. (NCSC) nicht nur ein Hub von Experten aus
Beispielsweise nennt Frankreich dieses Gesellschaft und Wirtschaft, sondern die
Ziel an vorderster Stelle und als politische Regierung plant damit auch eine Organisa-
Reaktion auf die weltweit durchgeführ- tion, von der aus schnelle Reaktionen auf
ten Cyberangriffe. In ihrem Weißbuch Hauptbedrohungen vorgenommen werden
beschreibt die französische Regierung, können. Slowenien definiert mit seiner
dass robuste Informationssysteme mit Cybersicherheitsstrategie Maßnahmen,
einer koordinierten Organisation und einer die es ihrem nationalen Cybersicherheits-
operativen Zusammenarbeit verschiedener system erleichtern, schnelle Reaktionen
staatlicher Stellen einhergehen müssen, durchzuführen. In fast allen anderen Cyber-
um robust gegen Cyberangriffe zu sein. sicherheitsstrategien werden Reaktionen
Montenegro und Portugal sind die einzigen auf Cyberangriffe erwähnt, jedoch nicht in
beiden Staaten, die dieses Ziel nicht direkt, einen zeitlichen Zusammenhang gebracht.
beziehungsweise nicht wörtlich nennen. Sie Auch von Großbritannien und Slowenien
legen ihren Schwerpunkt mehr auf einen wird der Begriff „schnell“ nicht weiter defi-
sicheren Datentransfer, welcher auch von niert. Offen bleibt in beiden Strategien, ob
drei Viertel der betrachteten nationalen damit proaktive oder nur reaktive schnelle
Strategien genannt wird. Maßnahmen gemeint sind.
Nur 2 von 29 Regierungen, Großbritannien
und Slowenien, nennen schnelle Reakti-
onen auf Cyberangriffe in ihren aktuellen
Strategien. Großbritannien plant mit sei-
20 12
in Prozent der Nennungen in den betrachteten StrategienEuropean Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Abb. 6 – Kernziele nationaler Cybersicherheitsstrategien13
schnelle Reaktion Bildung,
auf Angriffe
Forschung und Aufklärung, Vertrauen
öffentlich-private
Entwicklung und Sensibilisierung
Partnerschaften
der Bevölkerung
Schutz und Ausbau unabhängige
Sicherheitspolitik
kritischer Infrastrukturen
sichere und robuste
sicherer und Informationssysteme
widerstandsfähiger
internationale Kooperation
Cyberraum Kooperationen nationaler
Stärkung des
Rechtssystems
Institutionen
sicherer Wahrung der
Datentransfer Verteidigungsfähigkeit Grund- und
Verfolgung von Menschenrechte
gegen Cyberangriffe Cyberkriminalität
13
gemäß der Anzahl der Nennungen in den betrachteten Strategien 21Im Vergleich zu den nationalen Sicher- „Cyber Sicherheit beschreibt den Schutz eines
heitsstrategien werden in den nationalen
Cybersicherheitsstrategien im größeren zentralen Rechtsgutes mit rechtsstaatlichen Mitteln vor
Umfang hinreichende Begriffsdefinitionen akteursbezogenen, technischen, organisations- und
vorgenommen und zum Teil Glossare
beigefügt. Die österreichische Regierung naturbedingten Gefahren, die die Sicherheit des Cyber
hat eines der umfangreichsten Glossare. In Space (inklusive Infrastruktur- und Datensicherheit) und
ihrem „Cyber Sicherheit Glossar“ definiert
sie 29 Begriffe im Zusammenhang mit die Sicherheit der Nutzer im Cyber Space gefährden.
Cybersicherheit. Cybersicherheit an sich Cyber Sicherheit trägt dazu bei, die Gefährdungen zu
definiert sie wie folgt:
erkennen, zu bewerten und zu verfolgen sowie die
Fähigkeit zu stärken, Störungen im und aus dem Cyber
Space zu bewältigen, die damit verbundenen Folgen zu
mindern sowie die Handlungs- und Funktionsfähigkeit der
davon betroffenen Akteure, Infrastrukturen und Dienste
wieder herzustellen.“
(Österreich, Österreichische Strategie für Cyber Sicherheit 2013)
Die österreichische Definition von Cyber- „Cyber security provided at a national scale for any
sicherheit ist im Vergleich detaillierter als
andere. Unter Cybersicherheit wird nicht hardware and software systems associated with all
nur die Sicherheit der Infrastruktur und der services, transactions, information/data provided
Daten verstanden, sondern auch Daten,
Systeme und zusammenhängende Dienste, through the information and communication
explizit die Sicherheit der Nutzer. Weniger technologies that constitute national cyber space.”
umfassend nehmen Dänemark und die (Türkei, National Cyber Security Strategy 2016 to 2019)
Türkei die Definitionen vor, da in diesen
ausschließlich Daten, Systeme und den
zusammenhängenden Diensten betrachtet
werden. „Cyber security encompasses protection against
breaches of security resulting from attacks on data or
systems via a connection to an external network or
system. Cyber security thus focuses on vulnerabilities
inherent to the interconnection of systems, including
connections to the Internet.”
(Dänemark, Danish Cyber and Information Security Strategy 2018)
„Cyber-Sicherheit ist die IT-Sicherheit der im Cyber-
Raum auf Datenebene vernetzten bzw. vernetzbaren
informationstechnischen Systeme.“
(Deutschland, Cyber-Sicherheitsstrategie für Deutschland 2016)
22European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Die Bundesregierung nimmt eine der als Cyberbedrohungen benannt. Beide
engsten Begriffsbestimmungen vor und Bedrohungen sind weltweite Phänomene
definiert den Begriff Cybersicherheit, der Cyberkriminalität. Es sind Straftaten,
ähnlich wie die Türkei und Dänemark, mit die unter Ausnutzung von Informations-
Blick auf die Datenebene bzw. auf Ebene und Kommunikationstechnik durchgeführt
informationstechnischer Systeme. werden oder gegen diese gerichtet sind.4
Die Strafverfolgung und Bekämpfung von
Unabhängig von den Begriffsbestimmun- Cyberkriminalität auf nationaler Ebene
gen erkennen alle betrachteten Staaten wird in den betrachteten Staaten unter-
Bedrohungen im Cyberraum. Sie erkennen, schiedlich gehandhabt, in der Regel durch
dass Cyberangriffe auf Staaten und auf kri- Organisationen mit polizeilichen Aufgaben.
tische Infrastrukturen schon lange Realität International kann kein Land diese Phä-
sind und dass Angreifer vor entwickelten nomene alleine lösen, die Arbeit in der
Staaten und digitalisierten Streitkräften Gemeinschaft wird zunehmend wichtiger.
keinen Halt machen, sondern diese viel- Das European Cybercrime Centre (EC3) bei
mehr als lohnendes Ziel sehen. In mehr Europol und Interpol bekämpfen Cyberkri-
als der Hälfte der betrachteten nationalen minalität auf internationaler Ebene.
Cybersicherheitsstrategien werden Daten-
und Identitätsdiebstahl sowie Spionage
Abb. 7 – Am häufigsten benannte Bedrohungen gemäß nationaler Cybersicherheitsstrategien5
Mehr als die Hälfte
der betrachteten nationalen
Cybersicherheitsstrategien benennen
Daten- und Identitätsdiebstahl
sowie Spionage als Bedrohungen
4
BMI (2018), http://www.bmi.bund.de
5
in Prozent der Nennungen in den betrachteten Strategien; USA, China und Russland
benennen diese Cyberbedrohungen auch in ihren nationalen Cybersicherheitsstrategien. 23China und die USA sehen in diesen Phäno- Cyberterrorismus, Malware, Ransomware,
menen der Cyberkriminalität auch Haupt- Botnets und Hacking sind weitere Bedro-
bedrohungen für die nationale Cybersicher- hungen, die am häufigsten in den vergliche-
heit und benennen diese explizit in ihren nen nationalen Cybersicherheitsstrategien
nationalen Cybersicherheitsstrategien. genannt werden. Deutlich weniger häufig
Russland benennt diese Phänomene nicht. werden menschliche Fehler, illoyale Mit-
In der russischen Cyber-Security Strategy arbeiter oder Social Engineering in den
werden die Bedrohungen im Cyberraum Strategien als Cyberbedrohungen gesehen,
von der Möglichkeit zur Verbreitung von obwohl der Risikofaktor Mensch im aktuel-
Informationen abhängig gemacht. Russland len Cyber Security Report vom Institut für
sieht die Gefahr, dass Informations- und Demoskopie Allensbach und von Deloitte
Kommunikationstechnologien als Waffe zur als größte Gefahr für Unternehmen gese-
Verbreitung von Informationen eingesetzt hen wird.16
werden. Die Bedrohung sehen sie in der
Störung der öffentlichen Ordnung sowie in
der Verbreitung von Hass und Terrorismus.
Abb. 8 – Bedrohungen gemäß nationaler Cybersicherheitsstrategien17
Angriffe auf öffentliche
Einrichtungen, Netzwerke
Spionage Erpressung, Belästigung,
Vermögensschädigung
und Infrastrukturen
Daten und Sabotage
menschliche Identitätsdiebstahl
Fehler
Hacking
illegaler Handel & Erwerb
Cyber Warfare
(Daten, Hardware)
& Terrorismus Malware,
Ransomware, Botnets
ideologisch
motivierte Angriffe
16
Deloitte, Cyber Security Report 2017, Teil 2, S. 14.
24 17
gemäß der Anzahl der Nennungen in den betrachteten StrategienEuropean Cyber Defense |
Teil 1: Strategien – Status Quo 2018
Diese und viele weitere Bedrohungen „Cyber-Verteidigung umfasst die in der Bundeswehr
im Cyberraum beeinflussen die Ziele der
Cybersicherheit – Vertraulichkeit, Integrität im Rahmen ihres verfassungsmäßigen Auftrages
und Verfügbarkeit. Cyberangriffe zielen und dem völkerrechtlichen Rahmen vorhandenen
sogar direkt und gewollt mit Mitteln der
Informationstechnologie gegen ein oder defensiven und offensiven Fähigkeiten zum Wirken im
mehrere IT-Systeme und die Ziele der Cyber-Raum, die zur Einsatz- und Operationsführung
Cybersicherheit. Um das Sicherheitsrisiko
auf ein akzeptables Maß zu reduzieren, geeignet und erforderlich sind oder zur Abwehr
können wirksame Schutzmaßnahmen von (militärischen) Cyber-Angriffen und damit dem
ergriffen werden. Cybersicherheit ist eine
gesamtstaatliche Aufgabe und wird zuneh- Schutz eigener Informationen, IT sowie Waffen-
mend durch eine Zusammenarbeit über und Wirksysteme dienen. Dazu gehört auch
politische Ressortgrenzen hinweg gewähr-
leistet. Dabei muss neben der territorialen die Nutzung und Mitgestaltung von Strukturen,
Unversehrtheit und der Souveränität die Prozessen und Meldewesen der Cyber-Abwehr unter
Sicherheit eines Staates auch im Cyber-
raum verteidigt werden. Cyber Defense, als verteidigungsrelevanten Aspekten und Situationen.”
Begriff, wird in den betrachteten nationalen (Deutschland, Cyber-Sicherheitsstrategie für Deutschland 2016)
Cybersicherheitsstrategien unterschiedlich
ausgelegt. In Deutschland und Österreich
fasst die Cyberverteidigung eher den Teil
der militärischen, speziell dafür geeigneten
Mittel der Verteidigung zusammen.
Im internationalen Umfeld wird der Begriff „The application of effective protective measures to
Cyber Defense eher allgemeiner und weni-
ger militärisch ausgelegt. Oft werden alle obtain an appropriate level of Cyber Security in order to
Aufgaben darunter zusammengefasst, die guarantee Defence’s operation and functionalities. This
IT-Systeme schützen und wiederherstellen
sowie Bedrohungen erkennen und darauf is achieved by applying appropriate protective measures
reagieren. to reduce the security risk to an acceptable level. Cyber
Defence consists of following duties: Protect, Detect,
Respond, and Recover.“
(Belgien, Cyber Security Strategy for Defence 2014)
25Die schwedische Regierung geht noch „Cyber defence capabilities are an important part of
einen Schritt weiter und erklärt, dass auch
the […] Defence. Vital systems must be protected from
aktive Operationen zur Cyberverteidigung
gehören. attack. This also requires the ability to carry out active
operations in the cyber domain.”
(Schweden, Sweden’s Defence Policy 2016 to 2020)
Die nationalen Cybersicherheitsstrategien „Je kompetenter und vorsichtiger der Gegner, desto
von Deutschland, Finnland, Frankreich,
schwieriger ist die Attribution. Aber auch die besten
Großbritannien, den Niederlanden und
Slowakei erwähnen ebenso offensive Hacker machen Fehler, so dass es oft eine Indizienkette
Maßnahmen und Fähigkeiten zum Schutz
gibt, die auf eine bestimmte Gruppe deutet. Je
der eigenen Systeme und Informationen
im Cyberraum. Belgien und Portugal geben qualifizierter der Gegner, desto schwieriger wird aber
in ihren Strategien einen Ausblick über die
auch ein Gegenschlag, vor allem wenn dabei »aus der
Entwicklung von zukünftigen offensiven
Fähigkeiten. Die NATO definiert proaktive Hüfte geschossen« wird. Komplexe Cyber-Angriffe
Maßnahmen zum Erkennen von möglichen
erfordern ein hohes Maß an Kenntnis des Zielsystems
Cyberangriffen oder zum Ermitteln des
Ursprungs einer Cyberoperation mit dem und seines Einsatzkontexts.“
Begriff Active Cyber Defense. Das können (Schulze, Matthias, Hacking back? Technische und politische
auch präventive Cyberoperation gegen die Implikationen digitaler Gegenschläge, in SWP-Aktuell 59, August 2017)
Quelle eines möglichen Cyberangriffs sein.18
Active Cyber Defense und präventive
Cyberoperationen werden kontrovers
diskutiert, zum Beispiel, ob auch aktiv mit
konventionellen Mitteln auf einen Cyber-
angriff reagiert werden darf, ab welcher
Wahrscheinlichkeit eines Cyberangriffs ein
präventiver Gegenschlag gerechtfertigt ist
und wie mit einer möglichen falschen Attri-
bution des Gegners umzugehen ist.
Die Unterscheidung von aktiven und defen-
siven Maßnahmen im Cyberraum kann
nicht klar abgegrenzt werden. Die aktive
Verteidigung sollte maßgeschneidert auf
den möglichen Angreifer sein, um wirken
zu können. Dazu sollte der Verteidiger
Informationen über systemspezifische
Schwachstellen gewinnen. Wir sind der
Meinung, dass Active Cyber Defense die
Cybersicherheit verstärkt und deshalb wei-
terhin an Bedeutung gewinnen wird.
26 18
NATO CCD COE, Definition, https://ccdcoe.org/cyber-definitions.html.European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
273. Akteure in der nationalen Cybersicherheitsvorsorge Welche Institutionen auf staatlicher Ebene haben welche Verantwortung und Aufgaben für Cybersicherheit? Die Ausgestaltung der jeweiligen Institu- Daher ist es nicht verwunderlich, dass in tionen im Bereich Cyber auf nationaler der Regel die jeweiligen nationalen Cyber- Ebene unterscheidet sich von Staat zu strategien mehrere Akteure benennen, Staat. Im Gegensatz zu der Außen- oder die mit Cybersicherheit auf staatlicher Verteidigungspolitik existieren in den Ebene beauftragt sind. Es ist unverkennbar, untersuchten Staaten keine einheitlichen dass Cyber als Thema nicht nur einem Strukturen, die beispielsweise in einem Geschäftsbereich in den Staaten zuge- einzelnen Ministerium mit leitendem Ver- ordnet ist. So ist das Querschnittsthema antwortungsbereich widergespiegelt sind. je nach Schwerpunktsetzung den einzel- Der schwer einzugrenzende Cyberraum nen Ministerien zugeteilt, zum Beispiel zeigt hier abermals seine Besonderheit Cyberkriminalität dem Innenministerium, und Komplexität, da dieser im Vergleich Cyberaußenpolitik dem Außenministerium zu anderen Politikfeldern nicht so einfach und Cyberverteidigung dem Verteidigungs- thematisch sowie organisatorisch greifbar ministerium. und damit zuzuordnen ist. 28
European Cyber Defense |
Teil 1: Strategien – Status Quo 2018
„Innere und äußere Sicherheit fallen in wenigen Bereichen so eng zusammen wie
im Cyberraum. Die Bedrohungslage im Cyberraum erfordert eine ganzheitliche
Betrachtung im Rahmen der Cybersicherheitspolitik. Die Wahrung der
Cybersicherheit und -verteidigung ist somit eine gesamtstaatliche Aufgabe, die
gemeinsam zu bewältigen ist. Dazu gehört auch der gemeinsame Schutz der
kritischen Infrastrukturen. Die Konkretisierung der Aufgabenwahrnehmung
erfolgt im Rahmen der Cybersicherheitsstrategie, die unter Federführung des
Bundesministeriums des Innern erarbeitet wird. Verteidigungsaspekte der
gesamtstaatlichen Cybersicherheit sind originäre Aufgaben des Bundesministeriums
der Verteidigung und der Bundeswehr, während die Gesamtverantwortung für die
internationale Cybersicherheitspolitik beim Auswärtigen Amt liegt.“
(Deutschland, Weißbuch 2016)
Insgesamt unterscheiden sich die koordi- Die grundsätzliche Anzahl der Institu-
nierenden Institutionen bei der Cyberthe- tionen, die in den jeweiligen nationalen
matik in den jeweiligen Staaten. Zumeist Cyberstrategien genannt werden, variiert
ist jedoch die Federführung in einem teilweise stark. So werden beispielsweise
Ministerium angesiedelt. Beispielsweise in einigen Strategien drei oder weniger
kommt im türkischen Kontext diese Rolle Akteure genannt (z.B. Litauen, Polen
dem Ministerium für Transport, Marine und oder Portugal); bei anderen Staaten ist
Kommunikation zu, welches neben dem die Zahl sogar zweistellig (z.B. Lettland).
Verfassen der nationalen Cybersicherheits- Auch Deutschland gehört zu den Staaten,
strategie auch den Cyberaktionsplan für deren Cyberlandschaft vergleichsweise
2016-2019 koordiniert. ausdifferenziert ist. So existieren neben
dem Bundesamt für Sicherheit in der Infor-
In Deutschland – trotz einer vorhandenen mationstechnik (BSI) und dem Kommando
Aufgabenteilung – übernimmt das Bun- Cyber- und Informationsraum (KdoCIR)
desministerium des Innern, für Bau und weitere Institutionen wie das Nationale
Heimat die Federführung in staatlichen Cyber-Abwehrzentrum (NCAZ) oder die
Cyberfragen. Auch in Irland übernimmt Zentrale Stelle für Informationstechnik im
diese Funktion ein Ministerium, nämlich Sicherheitsbereich (ZITiS).
das Ministerium für Kommunikation, Ener-
gie und natürliche Ressourcen, welches
mit dem dort angesiedelten National Cyber
Security Centre die Cyberpolitik steuert.
29In einzelnen Cybersicherheitsstrategien schaftlichen Einrichtungen etabliert. Neben Informationsraum für diesen Zweck im
lässt sich sogar sehr schwer eine klare dem CERT-Bund existiert auch noch das April 2017 offiziell aufgestellt hat. Neben
Verantwortungsverteilung auf staatlicher Computer Emergency Response Team der Deutschland schreiben Bulgarien, Finnland,
Ebene erkennen. So wird beispielsweise in Bundeswehr (CERTBw), welches die ca. Großbritannien, Irland, Lettland, Polen
der litauischen Strategie Strategie mit dem 200.000 Computer der Bundeswehr vor und Spanien von militärischen Cyber-De-
CERT_LT gerade mal ein Akteur genannt. Angriffen aus dem Internet schützt. fense-Kapazitäten in den nationalen
Daran anlehnend kann jedoch festgehalten Cybersicherheitsstrategien, das entspricht
werden, dass diese Computer Emergency In den letzten Jahren zeichnet sich zudem annähernd einem Drittel der betrachteten
Response Teams (CERT) nahezu ein fester eine Tendenz ab, dass mehr und mehr Strategien. Auch streben Dänemark,
Bestandteil der Cybersicherheit europäi- europäische Staaten den Cyberraum Deutschland, Großbritannien, Norwegen,
scher Staaten sind: CERT/CSIRT-Strukturen zunehmend als einen Ort der potenziellen Spanien und die USA bis Anfang 2019 an,
bzw. deren Förderung sind in knapp zwei Kriegsführung verstehen und dahingehend gemeinsam Prinzipien der Cyberkriegs-
Drittel (19 von 29) der betrachteten natio- Maßnahmen ergreifen. Dies ist auch im führung aufzustellen, die als Anleitung für
nalen Cybersicherheitsstrategien benannt. Einklang mit der Entwicklung auf der Ebene ihre jeweiligen Streitkräfte beim Anwenden
So auch in Deutschland, wo bereits im der internationalen Organisationen, indem von Cyberoperationen dienen sollen.19 Vor
Jahr 2001 das Computer Emergency Res- beispielsweise die NATO 2016 den Cyber- allem die großen europäischen Staaten wie
ponse Team Bund (CERT-Bund) gegründet raum als eigenständige Kriegsdimension Deutschland, Frankreich und Großbritan-
wurde. Hierbei unterstützt eine Gruppe definiert hat. Um für den „Cyberwar“ im nien haben in den letzten Jahren in militäri-
von Sicherheitsfachleuten die staatlichen Notfall gewappnet zu sein, haben viele sche Cyberkapazitäten investiert.20
Institutionen bei der Lösung von konkreten Staaten in den letzten Jahren militärische
IT-Sicherheitsvorfällen. Weitere eigen- Cyberfähigkeiten in ihren Streitkräften
ständige CERT-Strukturen sind in anderen etabliert. So auch die Bundesrepublik
Bundesbehörden, in Länderverwaltungen, Deutschland, die innerhalb der Bundes-
in einzelnen Unternehmen und in wissen- wehr den Organisationsbereich Cyber- und
0
0101
1
01
001
1
10
0
10
10110
0
0 01
00
0 1
01
10
01
1001
19
https://www.reuters.com/article/us-naato-cyber/nato-mulls-offensive-defense-with-cyber-warfare-rules-idUSKBN1DU1G4?utm_source=applenews
30 20
https://www.euractiv.de/section/eu-innenpolitik/news/eu-ruesten-fuer-den-cyberkrieg/Sie können auch lesen
