Your best Invest – Die Informationssicherheits- und Awareness-Tage 2021
Your best Invest – Die Informationssicherheits- und Awareness-Tage 2021
- Datum:
- Ort:
- Bonn
- Lesedauer:
- 6 MIN
Einmal jährlich findet unter Führung der europäischen ITInformationstechnik-Sicherheitsbehörde ENISA der European Cyber-Security-Month statt. Auch die Bundeswehr beteiligte sich im Oktober mit verschiedenen Aktionen. Im Fokus stand dabei die Sensibilisierung zum umsichtigen und verantwortungsbewussten Umgang mit Informationstechnik im Cyberraum.
Generalmajor Jürgen Setzer aus dem Kommando Cyber- und Informationsraum ist als Chief Information Security Officer der Bundeswehr der Hauptverantwortliche für alle Belange der Informationssicherheit innerhalb der Bundeswehr. Im Interview zieht er ein Fazit zum Aktionsmonat.
Warum ist ein Bewusstsein für die Gefahren aus dem Cyberraum für die Bundeswehr für Sie so wichtig?
Informationssicherheit ist heute eine der wesentlichen Voraussetzungen für die Einsatzbereitschaft unserer Bundeswehr. Ohne die gesicherte Verfügbarkeit, die Integrität und die Vertraulichkeit von Daten können wir heute unseren Auftrag weder im Grundbetrieb noch im Einsatz erfüllen. Deshalb kommt dem Schutz unserer Information bei deren Bearbeitung, Übertragung und Speicherung eine so entscheidende Bedeutung zu!
Hybride Szenare und die mit diesen verbundenen Herausforderungen, insbesondere in der Dimension Cyber- und Informationsraum im Cyberraum, fordern unsere besondere Aufmerksamkeit. Bereits unterhalb der Schwelle zum bewaffneten Konflikt können hier potentielle Gegner Wirkung erzielen und das, ohne sich zu erkennen zu geben. Wir alle wissen um die Schwierigkeit der Attribution.
Aber wir bereiten uns auf solche Szenarien im Cyberraum bestmöglich vor. Hierzu haben wir unterschiedliche Vorkehrungen getroffen. Zum einen sind dies technische Maßnahmen, zum anderen etablierte Prozesse, die die gesamte Kette von Prävention, Detektion und Reaktion umfassen. Wir sind hier gut aufgestellt, aber um dieses Niveau zu halten, müssen wir nahezu täglich besser werden.
Technik und Prozesse sind aber nichts ohne die Wachsamkeit unserer Soldatinnen und Soldaten sowie zivilen Mitarbeiterinnen und Mitarbeiter. Ihre Aufmerksamkeit ist entscheidend, ebenso wie die schnelle und richtige Reaktionsfähigkeit. Cyberangriffe werden immer komplexer und können nicht immer durch die technischen Vorkehrungen erkannt und gefiltert werden. Angriffsvektoren nutzen häufig ausgeklügelte, in Teilen individualisierte Phishingmails, speziell auf die Nutzenden zugeschnitten.
Somit kommt es am Ende des Tages auf jede Soldatin oder zivile Mitarbeiterin und jeden Soldaten oder zivilen Mitarbeiter an. Sie sind, bildlich gesprochen, die letzte Verteidigungslinie – „The last Line of Defense.“
Herr General – Sie wollen alle Angehörigen der Bundeswehr vor Gefahren aus dem Cyberraum sensibilisieren. Ein hochgestecktes Ziel für Sie?
Wir sprechen von fast einer viertel Million Angehörigen, die täglich an ca. 1500 Standorten im In- und Ausland, im Grundbetrieb und im Einsatz, ihren Dienst leisten. Natürlich ist dies eine besondere Herausforderung für die Cybersicherheit in der Bundeswehr.
Ich freue mich deshalb besonders, dass wir dieses Jahr erstmalig eine mittlere vierstellige Teilnehmerzahl bei den Informationssicherheits- und Awareness-Tagen verzeichnen konnten. ITInformationstechnik-Nutzende, Informationssicherheitsbeauftragte und Führungskräfte aus allen Ebenen der Bundeswehr haben wir so unmittelbar erreicht. Und diese sind Multiplikatoren hinein in die gesamte Bundeswehr!
Denn alle Dienststellen in der Bundeswehr sind angehalten, eine jährliche Auffrischung zur Informationssicherheit für ihre ITInformationstechnik-Nutzenden durchzuführen und diese für aktuelle Gefahren zu sensibilisieren, zum Beispiel für Phishing-Attacken. Cyber-Awareness muss so zu einem eingeübten ständigen Verhaltensmuster werden. Bevor ich eine Mail oder einen Anhang öffne, muss hier ein „Kontrollblick“ erfolgen, genauso selbstverständlich wie das Anlegen des Sicherheitsgurtes in einem Kraftfahrzeug vor Fahrtbeginn.
Für mich als Chief Information Security Officer der Bundeswehr (CISOBwChief Information Security Officer) ist es besonders wichtig, alle Angehörigen der Bundeswehr in der Cyber-Awareness zu schulen und sie hierzu an ihrem jeweiligen Arbeitsplatz abzuholen. Denn einen Beitrag kann und muss jeder und jede einzelne leisten.
Nichts schützt unsere Informationen und ITInformationstechnik so gut, wie aufmerksame Mitarbeitende – auch und vor allem im Home-Office!
Wie kann denn die Umsetzung innerhalb der Bundeswehr aussehen?
Informationssicherheit ist in erster Linie eine Gemeinschaftsleistung. Daher unterstützt das Zentrum für Cybersicherheit der Bundeswehr (ZCSBwZentrum für Cyber-Sicherheit der Bundeswehr) die Informationssicherheitsbeauftragten der Dienststellen aktiv. Darüber hinaus gilt es, jeder und jedem bewusst zu machen, dass wir als Angehörige der Bundeswehr – wie im übrigen viele Bürgerinnen und Bürger auch – in mehrfacher Hinsicht für unseren Umgang mit Informationstechnik verantwortlich sind: Sowohl privat, als auch mit dienstlicher ITInformationstechnik, die wir nutzen. Dieses Bewusstsein darf an der Schranke einer Kaserne nicht aufhören. Und um das zu schärfen, hatten wir verschiedene Aktionen im Zuge des European Cyber-Security Month.
Im hessischen Frankenberg (Eder) beispielsweise, wurde beim dortigen Bataillon Elektronische Kampfführung ein reger Austausch gefördert. Dort fand am 12. und 13. Oktober mit Unterstützung des Hessen CyberCompetenceCenter (Hessen3C) eine Awareness-Schulung für den ganzen Standort statt. Auch diese interdisziplinäre zivile Zusammenarbeit stärkt die allgemeine Cyber-Prävention.
Cyber-Awareness ist Chefsache, deshalb war es dem Chief Information Security Officer Hessens, Ralf Stettner, auch persönlich wichtig, sich ein Bild vor Ort zu machen. Ministerialdirigent Ralf Stettner ist Leiter der Abteilung VII „Cyber- und ITInformationstechnik-Sicherheit, Verwaltungsdigitalisierung“ des Hessischen Ministeriums des Innern und für Sport und als Oberst der Reserve mit der Bundeswehr sehr verbunden.
Die Informationssicherheits- und Awareness-Tage bei der Bundeswehr am 21. und 22. Oktober beim Kommando Cyber- und Informationsraum dienten zudem als Multiplikatorenschulung. Vor allem auch mit Themen aus dem Bundesamt für die Sicherheit in der Informationstechnik (BSIBundesamt für Sicherheit in der Informationstechnik), das in Deutschland traditionell die Koordination der hiesigen Maßnahmen zum ESCM übernimmt. Ebenso werden durch Vertreter der European Defense Agency (EDAEuropäische Verteidigungsagentur) und der NATONorth Atlantic Treaty Organization School Oberammergau Anregungen aus multinationaler Perspektive aufgenommen.
Gibt es für Sie besondere Schwerpunkte der Sensibilisierung?
Cyber-Angreifer passen sich ständig an. Dies zeigt die massive Betroffenheit von Angriffen mit Ransomware bei Behörden, Unternehmen und kritischen Infrastrukturen auch in Deutschland. Cyber-Angreifer sind aber allgemein erfolgreicher, wenn Social-Engineering gegen die menschlichen Schwächen eingesetzt wird. Hier gilt es vor der Welle der Angreifer zu bleiben und Angriffe individuell erkennen zu lernen und dabei richtig handeln zu können.
Ein fingierter Gutschein bei der Bundeswehr hatte ja zuletzt auch in der Öffentlichkeit für Aufsehen gesorgt. Können Sie uns da aufklären?
Unabhängig von dienstlicher Stellung, Dienstgrad oder Ausbildung – Cyber-Kriminelle und staatliche Akteure suchen sich das schwächste Glied in der Kette aus, um erfolgreich einen Angriff durchführen zu können. Hier gilt es immer vor die Welle der Angreifer zu kommen.
Mit diesem Ziel vor Augen haben wir als interne Präventionsmaßnahme und als Schutz vor Social-Engineering – im Rahmen einer aktiven ausschließlich bundeswehrinternen Awareness-Kampagne – am 28. September eine fingierte Phishing-Mail an die ITInformationstechnik-Nutzenden verschickt. Solche Präventionsmaßnahmen finden bereits seit 2019 regelmäßig in der Bundeswehr statt. Dabei tritt die Bundeswehr nicht als Gewerbetreibender auf, sondern nutzt die scheinbar real wirkenden aber fingierten Angebote zur Bewusstseinsschärfung – mit dem Unterschied zum Cyber-Kriminellen: Wir klären auf und sensibilisieren!
Das verdeckte Vorgehen und das Überraschungsmoment dieses internen Red Teamings bietet die Möglichkeit, ein reales Verhalten der Betroffenen zu erfahren. Eine Aufklärung findet dabei immer statt, die sogar diesmal für Aufmerksame in der betreffenden E-Mail selbst mitgeliefert wurde.
Als Chief Information Security Officer der Bundeswehr, der für die Regelung und Überwachung der Informationssicherheit in der gesamten Bundeswehr verantwortlich ist, kann ich hier mit meinem Lagebeurteilungsprozess ansetzen, Handlungsbedarf erkennen und bedarfsorientiert schneller reagieren.