CIRCyber- und Informationsraum im Nationalen Cyber-Abwehrzentrum
Das Nationale Cyber-Abwehrzentrum ist eine Kooperations-, Kommunikations- und Koordinationsplattform der relevanten Sicherheitsbehörden. Auch die Bundeswehr ist Teil davon.
Das Nationale Cyber-Abwehrzentrum
Die Gründung des Cyber-AZ erfolgte bereits im Jahr 2011. Damals, in der Hochzeit der Diskussionen über „Cyber War“, wurde zunehmend die Notwendigkeit erkannt, einen gesamtstaatlichen und damit sicherheitsbehördenübergreifenden Ansatz zu entwickeln, um den Herausforderungen aus dem Cyberraum gerecht zu werden.
Mit der Sicherheitsstrategie 2016 wurde nochmals deutlich gemacht, dass Cybersicherheit eine gesamtstaatliche Aufgabe ist, in der auch die Bundeswehr eine stärkere Rolle spielen soll. Hierüber erfolgten intensive Abstimmungsprozesse zwischen den beteiligten Behörden und den zuständigen Ressorts. Schlussendlich wurde Ende 2019 der jetzige Status des Cyber-AZ als eine Kooperations-, Kommunikations- und Koordinationsplattform der relevanten (Sicherheits-)Behörden unterschiedlicher Ressorts und Ebenen festgeschrieben.
Die beteiligten Kernbehörden
Warum ist das Kommando CIRCyber- und Informationsraum im Cyber-AZ vertreten?
In der Cybersicherheitsstrategie von 2016 ist deutlich formuliert, dass Cybersicherheit eine gesamtstaatliche Aufgabe ist, bei der die Bundeswehr eine zunehmend stärkere Rolle spielt. Die Teilstreitkraft CIRCyber- und Informationsraum mit dem Kommando CIRCyber- und Informationsraum an der Spitze trägt bundeswehrübergreifend die Verantwortung für die Dimension Cyber- und Informationsraum. Der gesamtstaatliche Ansatz wird nachdrücklich unterstützt. Dabei ist das Cyber-AZ aus Sicht des CIRCyber- und Informationsraum ein zentrales Element zur Koordination der Zusammenarbeit staatlicher Stellen im Cyberraum.
Arbeiten im Nationalen Cyber-AZ
Fragen zum Nationalen Cyber-Abwehrzentrum
„Relevanz“ gehört zu den derzeitigen Herausforderungen des Cyber-AZ, denn es gibt kein abschließendes Verständnis zwischen allen Behörden, was für welche Behörde von Bedeutung ist. Das liegt auch daran, dass die einzelnen Behörden – etwa die Nachrichtendienste oder die Gruppe der Polizeibehörden – verschiedene Schwerpunkte haben, sodass sie jeweils unterschiedliche Informationen benötigen bzw. ausgetauschte Informationen anders einordnen. Daneben steht das Bundesamt für Sicherheit in der Informationstechnik als ITInformationstechnik-Sicherheits-Spezialdienstleister, das sowohl die Polizei, als auch die Nachrichtendienste in ihrer Arbeit unterstützt und zugleich in der ITInformationstechnik-Sicherheit national eine zentrale Rolle einnimmt.
Die Bundeswehr ist im Vergleich zu den weiteren Bundesbehörden der größte Betreiber von eigener Informationstechnik und hat in erster Linie den sicheren Betrieb der eigenen ITInformationstechnik Informationstechnik im In- und Ausland im Blick und kann vor diesem Hintergrund insbesondere Informationen zu aktuellen Beobachtungen, zum Beispiel an seinen Netzwerkgrenzen zum Internet, beitragen. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe hat unter anderem den Schutz kritischer (ziviler) Infrastrukturen im Fokus. Beide partizipieren von den Erkenntnissen der anderen Gruppen. Gerade vor dem Hintergrund der Herausforderungen, die mit den zunehmend zu beobachtenden hybriden Einflussnahmen externer Kräfte einhergehen, ist diese enge Zusammenarbeit besonders wichtig.
Ja, grundsätzlich werden die Verbindungspersonen des KdoCIRKommando Cyber- und Informationsraum von verschiedenen Fachbereichen der Dienststelle sowie der OpZ CIRCyber- und Informationsraum regelmäßig mit Informationen zu akuten Sachverhalten mit Cyberbezug informiert. Die Informationen, die übermittelt werden, können etwa aus dem Bereich Informationssicherheit der Bundeswehr, Militärisches Nachrichtenwesen oder Korrelation stammen. Die Verbindungspersonen des KdoCIRKommando Cyber- und Informationsraum haben dann unter anderem die Aufgabe, daraus den Anteil, der für das Cyber-AZ behördenübergreifend relevant ist, zu transportieren und den wechselseitigen Austausch und bei Bedarf die Abstimmung von Maßnahmen sicherzustellen.
Grundsätzlich setzt der verfassungsmäßige Auftrag der Bundeswehr die Grenzen für einen Einsatz im Inland. Nur im Krisen- und Verteidigungsfall kommt es zu einer umfänglichen Zuständigkeit der Bundeswehr. Die allermeisten schädlichen Handlungen im Cyberraum sind bis jetzt aber entweder krimineller Natur, dienen der Spionage oder sind von ihrer Schadwirkung wohl bewusst unterhalb der Grenze, die einen bewaffneten Konflikt auslösen und somit eine Zuständigkeit der Bundeswehr im Rahmen der Verteidigung bewirken könnte.
Die Cyber-Bedrohungslage für Deutschland ist aber auf anhaltend hohem Niveau und schädliche Handlungen finden durchgängig statt. Im Rahmen sogenannter hybrider Einflussnahmen finden vielfältige Aktivitäten, auch staatlicher Akteure, statt, die sich auch im Cyber- und Informationsraum abspielen. Daher ist der behörden- und damit zuständigkeitsübergreifende Austausch und die Zusammenarbeit relevanter denn je.
Ein wichtiger Punkt sind die sogenannte Übermittlungsvorschriften, welche den Austausch von Informationen zwischen den jeweiligen Behörden regeln. Hierbei werden verschiedene multilaterale Austauschbeziehungen zwischen Behörden normiert. Es gibt aber keine übergreifende Regelung, die alle am Cyber-AZ beteiligen Behörden einschließt, was den tagtäglichen Austausch im Cyber-AZ immer wieder deutlich erschwert. Ein Beispiel wären Erkenntnisse aus polizeilichen Ermittlungen. Dort hat die Bundeswehr grundsätzlich keine Zuständigkeit und der Datenschutz (Stichwort: Opfer- und Täterschutz) gebietet, dass die Polizei nicht die Erlaubnis hat, die Bundeswehr an Details laufender Verfahren zu beteiligen. Auch wenn seitens der Bundeswehr regelmäßig kein Interesse an den Opferdaten besteht (es sei denn, das Opfer stet in einer Beziehung zur Bundeswehr), wären Erkenntnisse über Täter (Methoden, Infrastrukturen und eingesetzte Hilfsmittel) von hohem Interesse, insbesondere wenn es sich um staatliche Akteure oder deren Stellvertreter handelt.
Auch die Tatsache, dass das Cyber-AZ keine Behörde ist, erschwert im täglichen Geschäft die Zusammenarbeit immer wieder.
Diese Probleme sind seit vielen Jahren bekannt und sollen nunmehr im Rahmen des durch die Bundesregierung angestoßenen Fortentwicklungsprozesses des Cyber-AZ angegangen werden.
Im Krisenmanagement des Bundes ist beschrieben, wie die verschiedenen staatlichen Stellen im Falle einer ITInformationstechnik(Informationstechnik)-Krise in der Bundesrepublik Deutschland zusammenarbeiten. Bei ITInformationstechnik-Krisen nimmt das BSIBundesamt für Sicherheit in der Informationstechnik eine zentrale Rolle ein. Das Cyber-AZ wird in diesem Fall mit einer primär beratenden Rolle gegenüber dem ITInformationstechnik-Krisenstab des BMIBundesministerium des Innern und für Heimat beschrieben.
Zunehmend werden jedoch Stimmen laut, die dem Cyber-AZ auch im Falle einer ITInformationstechnik-Krise eine stärkere Rolle zugedenken möchten. Dieses nicht zuletzt, da das Cyber-AZ als Kooperations-, Kommunikations- und Koordinationsplattform der relevanten (Sicherheits-)Behörden breiter aufgestellt ist und alle wesentlichen Akteure hier bereits tagtäglich vertreten sind. Mit permanent eingerichteten Kommunikationskanälen bis zur Einstufung GEHEIM findet die Befassung mit länderübergreifenden Vorfällen bereits jetzt wiederkehrend statt. Dabei werden bei Bedarf auch Vertreter aus weiteren Bundes- und bei Bedarf auch aus verschiedenen Landesbehörden hinzugezogen.
Es sind bereits gravierende Cyberangriffe vorgefallen. So wurde beispielsweise der Landkreis Anhalt-Bitterfeld im Sommer 2021 Opfer eines Ransomwareangriffs. Dabei sorgte die Verschlüsselung interner Daten über Monate für weitreichende Ausfälle von Dienst- und Serviceleistungen des Landkreises. Das Ausmaß des Angriffes führte zum erstmaligen Ausrufen eines Katastrophenfalls aufgrund eines ITInformationstechnik-Vorfalls. Der Militärische Organisationsbereich CIRCyber- und Informationsraum unterstütze im Rahmen der Amtshilfe den Landkreis mit Personal zur Wiederherstellung der Arbeitsfähigkeit.
Ein weiterer gravierender Cyberangriff ereignete sich am 24. Februar 2022, dem ersten Tag des russischen Angriffskrieges gegen die Ukraine. Ein mit großer Vorlaufzeit geplanter Angriff auf ein Satellitennetzwerk sorgte neben den Ausfall von Satellitenverbindungen im Raum Ukraine und Osteuropa auch für Kollateralschäden an einer Vielzahl von europäischen Windkraftanlagen. Beide Vorfälle wurden im Cyber-AZ von Beginn an intensiv behandelt und regelmäßig unter Einbeziehung der Fachexpertisen der einzelnen beteiligten Behörden bewertet.
Die Bundeswehr profitiert regelmäßig von Informationen, welche im Cyber-AZ geteilt werden. Cyberangriffe auf Unternehmen, die Vertragsbeziehungen mit der Bundeswehr haben, können auch eine Betroffenheit der Bundeswehr erzeugen. Somit ist es von enormer Bedeutung, dass diese Informationen auf dem schnellsten Wege in die Bundeswehr gelangen, um einen potenziellen Schaden abzuwenden.
Darüber hinaus ist nicht zu unterschätzen, dass durch die Teilhabe am Cyber-AZ als Kooperations-, Kommunikations- und Koordinationsplattform der relevanten (Sicherheits-) Behörden bereits jetzt die nötigen Arbeitsbeziehungen und Kommunikationsstrecken etabliert und erprobt wurden, welche im Falle einer ITInformationstechnik-Krise oder Schlimmerem eine zeitnahe gesamtstaatliche Reaktion ermöglicht.
Wie wird sich die Beteiligung am Cyber-AZ weiterentwickeln?
Eine Weiterentwicklung findet bereits seit 2021 statt. In diesem Rahmen erfolgte u.a. die dauerhafte Beteiligung von zwei Bundesländern sowie Justizvertretern, die Aufstellung eines Lageteams, sowie die Teilnahme des Cyber-AZ an unterschiedlichen Übungen. Mit der Veröffentlichung der Nationalen Sicherheitsstrategie im Juni 2023 erfolgte auch eine weitere konkrete Beauftragung zur Fortentwicklung des Cyber-AZ durch die zuständigen Ressorts. Der Schwerpunkt liegt hierbei auf der Weiterentwicklung eines abgestimmten gesamtstaatlichen Cyberlagebildes.
Für die Bewältigung aktueller Entwicklungen und Herausforderungen im Cyber- und Informationsraum, insbesondere im Falle besonderer Sachverhalte oder krisenartiger Entwicklungen, bedarf es eines noch stärker übergreifenden Ansatzes innerhalb der gesamtstaatlichen Cyber-Sicherheitsarchitektur. Das Cyber-AZ als die Kooperations-, Kommunikations- und Koordinationsplattform der relevanten (Sicherheits-)Behörden unterschiedlicher Ressorts und Ebenen ist hierfür von besonderer Bedeutung, in dieser Rolle zu stärken und die bestehenden Fähigkeiten sind weiter auszubauen.