Mit <kes>+ lesen

Das BSI im Nationalen Cyber-Abwehrzentrum : Kommunikation und Koordination auf der behördenübergreifenden Einrichtung für Cyber-Sicherheit in Deutschland

Ransomware, Ausnutzung von Schwachstellen, DDoS – täglich finden Cyber-Angriffe mit kriminellen Absichten, zur Einflussnahme auf die Gesellschaft und staatliche Entscheidungen sowie Cyberspionage und -sabotage bis hin, nicht zuletzt im Kontext des russischen Angriffskriegs auf die Ukraine, zur Unterstützung militärischer Operationen statt. Bereits vor Jahren wurden diese durch die Bundesregierung als ernst zunehmende Gefahr eingestuft. Im Rahmen der Umsetzung der Cyber-Sicherheitsstrategie für Deutschland 2011 wurde daher das Nationale Cyber-Abwehrzentrum geschaffen (Cyber-AZ).

Lesezeit 7 Min.

Von Roland Hartmann, stellvertretender Koordinator des Nationalen Cyber-Abwehrzentrums, und Carolin Wagner, Referat Vorfallsbearbeitung und Verbindungsstelle Nationales Cyber-Abwehrzentrum im BSI

Das Nationale Cyber-Abwehrzentrum (Cyber-AZ) wurde als gemeinsame behörden- und institutionenübergreifende Plattform für einen verbesserten und beschleunigten Informationsaustausch zwischen den beteiligten Behörden und Einrichtungen eingerichtet. Zudem soll es zur stärkeren Koordinierung von Schutz- und Abwehrmaßnahmen gegen IT-Sicherheitsvorfälle in Deutschland beitragen.

Nunmehr acht gleichberechtigte Kernbehörden arbeiten unter Beachtung ihrer jeweiligen Aufgaben, Zuständigkeiten und gesetzlichen Befugnisse im Cyber-AZ nochmals intensiviert zusammen: das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das Bundesamt für den Militärischen Abschirmdienst (BAMAD), das Bundesamt für Verfassungsschutz (BfV), das Bundeskriminalamt (BKA), der Bundesnachrichtendienst (BND), das Bundespolizeipräsidium (BPOLP), das Kommando Cyber- und Informationsraum (KdoCIR) und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das Zollkriminalamt (ZKA) und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sind als assoziierte Stellen beteiligt. Die Einbindung weiterer relevanter Einrichtungen der Länder wurde 2021/2022 erprobt und wird nun verstetigt. Hierbei handelt es sich um die Schwerpunktstaatsanwaltschaften Köln und Bamberg sowie die CyberAbwehr-Bayern und das Hessen CyberCompetenceCenter (Hessen3C), was den gesamtstaatlichen und föderativen Ansatz bei der Aufrechterhaltung der Cybersicherheit in Deutschland unterstreicht.

Perspektivisch soll das Cyber-AZ organisatorisch und strategisch weiterentwickelt werden, um den stetig wachsenden Herausforderungen unter anderem im Bereich der Digitalisierung gerecht werden zu können. Dies hat die Bundesregierung unter anderem in ihrer Digitalstrategie verankert: „Wir schaffen eine gesetzliche Grundlage für das Nationale Cyber-Abwehrzentrum und entwickeln es weiter, stärken damit nachhaltig die ressortübergreifende und gesamtstaatliche Zusammenarbeit in der Cybersicherheit und ermöglichen das Verdichten von Informationen zu einem gemeinsamen und umfassenden Lagebild der Cybersicherheit.“

Die Rollen

Operativ bedeutet dies, dass die verschiedenen Behörden und Einrichtungen Mitarbeiter:innen für die Aufgaben des Cyber-AZ entsenden. Das BSI hat als gastgebende Behörde zusätzliche Verantwortung übernommen und stellt Räumlichkeiten und Technik für die Aufgabenerfüllung des Cyber-AZ an seinem Standort in Bonn bereit. Um den Austausch zwischen dem Cyber-AZ und dem Nationalen IT-Lagezentrum im BSI zu stärken, ist das Cyber-AZ in räumlicher Nähe zum IT-Lagezentrum untergebracht.

Personell besteht das Cyber-AZ aus vier verschiedenen Rollen: dem Koordinatorenteam, den Verbindungspersonen, dem Lageteam und der Geschäftsstelle. Die beteiligten Behörden können jeweils Mitarbeiter:innen zur Wahrnehmung der einzelnen Rollen entsenden.

Die Funktion des Koordinators (sowie die der zwei Stellvertreter) wurde 2019 eingerichtet und soll behördenrotierend jeweils für zwei Jahre wahrgenommen werden. Nach dem ersten Koordinator aus dem BKA wird diese Rolle derzeit vom BND besetzt. BSI und KdoCIR stellen zurzeit die beiden stellvertretenden Koordinatoren. Das Koordinatorenteam sorgt für die praktische Umsetzung der Geschäftsordnung des Cyber-AZ und der dort formulierten Ziele. Es wirkt moderierend und initiiert notwendige Entscheidungen durch die beteiligten Einrichtungen.

Alle Behörden und Einrichtungen des Cyber-AZ sind im Cyber-AZ durch Verbindungspersonen vor Ort vertreten. Insgesamt über 50 Verbindungspersonen tragen den arbeitstäglichen Austausch und wirken in diversen Arbeitsgruppen und entsprechenden Abstimmungen zwischen den Behörden mit. Die Verbindungspersonen sind jene, die Informationen zu Cyber-Sachverhalten und -Vorfällen zusammentragen, an eine, mehrere oder alle Behörden des Cyber-AZ verteilen, Erkenntnisse in den verschiedenen Behörden erfragen und in die eigenen Häuser zurücktransportieren.

Das Lageteam, bestehend aus Kolleg:innen verschiedener Behörden, bereitet die arbeitstäglichen Lagebesprechungen vor beziehungsweise nach und erstellt einmal wöchentlich die Cyber-Sicherheitslage Deutschland (CSLD). Die Geschäftsstelle, ebenfalls aus verschiedenen Behörden besetzt, unterstützt das Cyber-AZ insbesondere organisatorisch.

Cyber-Abwehrzentrum

Das Nationale Cyber-Abwehrzentrum ist die Kooperations-, Kommunikations- und Koordinationsplattform der zuständigen (Sicherheits-) Behörden unterschiedlicher Ressorts, die insbesondere durch ein gemeinsames, aktuelles und umfassendes Cyber-Sicherheitslagebild für Deutschland, strategische Berichterstattungen sowie durch die koordinierende operative
und interdisziplinäre Fallbearbeitung unverzichtbare Beiträge zur gesamtstaatlichen Cyber-Sicherheit und somit – auch im Krisenfall – zur Handlungsfähigkeit der Bundesregierung leistet.

Die Aufgaben

Mindestens arbeitstäglich finden Lagebesprechungen statt, um Informationen zu aktuellen Cyber-Sachverhalten oder -Vorfällen zeitnah zusammenzutragen und bewerten zu können. Der Fokus liegt hier auf Sachverhalten und Vorfällen von (potenziell) gesamtstaatlicher Tragweite. Behördenaktivitäten sind so unter den Behörden bekannt und können bei Bedarf abgestimmt und koordiniert werden: Hier können beispielsweise Maßnahmen zur Abwehr und Bewältigung von Cyber-Angriffen abgestimmt werden. Die Umsetzung der Aktivitäten verbleibt jedoch weiterhin in der Zuständigkeit der jeweiligen Behörde – über eigene operative Befugnisse verfügt das Cyber-AZ nicht.

Das Lageteam erstellt einmal wöchentlich die Cyber-Sicherheitslage Deutschland (CSLD) – das wohl bekannteste Produkt des Cyber-AZ. Dieses trägt die relevanten Informationen der arbeitstäglichen Lagebesprechungen zusammen und erstellt so eine behördenübergreifende Bewertung der Lageinformationen. Darüber hinaus werden auch anlassbezogene Sonderberichterstattungen erstellt. Dies ist immer dann der Fall, wenn durch außergewöhnliche Ereignisse eine schnelle Information der Bedarfsträger des Cyber-AZ erforderlich ist. Adressiert werden mit diesen Produkten jeweils Ministerien und Behörden des Bundes, aber auch der Länder, die aufgrund ihrer Arbeit einen Bezug zum Thema Cybersicherheit haben.

Weniger sichtbar, aber wirkungsvoll in der Koordination, kann das Cyber-AZ binnen kürzester Frist alle vertretenen Behörden an einen Tisch holen und – unter Beachtung der geltenden gesetzlichen Bestimmungen – Informationen zu konkreten akuten Sachverhalten oder Vorfällen austauschen. Ebenso gibt es themenbezogen verschiedene Arbeits- (AG) und Unterarbeitsgruppen (UAG), wie beispielsweise die AG KRITIS, in denen einzelne Themenkomplexe behandelt werden. Auch hier ist das Ziel, frühzeitig die Informationen zusammenzutragen, um „vor die Lage“ zu kommen sowie eine gemeinsame Bewertung und daraus resultierende Maßnahmen abzuleiten. Die Umsetzung der Maßnahmen verbleibt auch hier in den dafür zuständigen Behörden.

Ein Beispiel

In der Nacht des 24. Februar 2022 – dem Beginn des russischen Angriffskriegs gegen die Ukraine – kam es zu einer Störung im Kommunikationssatellitennetzwerk KA-SAT 9A des US-amerikanischen Unternehmens ViaSat Inc. Infolge dieser Störung wurden auch Ausfälle der satellitengestützten Internetversorgung des Betreibers ViaSat und von weiteren Providern, die das Netzwerk von ViaSat nutzen, verzeichnet. In Deutschland waren infolgedessen unter anderem die Erreichbarkeit, Steuerbarkeit und Entstörung einer großen Anzahl angebundener Windenergieanlagen lediglich stark eingeschränkt möglich.

In den täglichen Lagebesprechungen des Cyber-AZ wurden im Februar 2022 bereits die ersten Informationen zu dem Sachverhalt zusammengetragen, da es sich potenziell auch um die Verfügbarkeit der Windenergieanlagen, also der kritischen Dienstleistung Strom handelt. Im weiteren Verlauf des Jahres haben die Behörden immer wieder neue Erkenntnisse ausgetauscht und so die Klärung des Falls von unterschiedlichen Seiten in ihren jeweiligen Zuständigkeiten begleitet. Abschließend wurde ein Sonderbericht zum genannten Vorfall verfasst, um den Sachverhalt nochmals komprimiert zusammenzutragen.

Parallel dazu hat die UAG Strom, eine UAG der AG KRITIS, auch über diesen einzelnen Vorfall hinaus aktuelle Ereignisse im Bereich der kritischen Dienstleistung Strom zusammengetragen und mit diesen Erkenntnissen den Bericht zur Cybergefährdungslage der Stromversorgung in Deutschland aktualisiert. Ein Teil des Berichts beschäftigt sich auch mit einer Bewertung der aktuellen Ereignisse und den daraus resultierenden Maßnahmen. Die Umsetzung der Maßnahmen verbleibt aber auch hier in den dafür zuständigen Behörden.

Rolle des BSI

Das BSI ist die Cyber-Sicherheitsbehörde des Bundes – als solche nimmt sie auch im Cyber-AZ eine zentrale Rolle ein. Als Meldestelle für Cyber-Sicherheitsvorfälle in der Bundesverwaltung sowie aufgrund der gesetzlichen Meldepflichten von KRITIS-Betreibern verfügt das BSI über eine Vielzahl von Informationen über aktuelle Cybervorfälle. Bei Bedarf und unter Berücksichtigung der Interessen des Betroffenen kann sich das BSI im Cyber-AZ mit anderen Behörden austauschen, weitere Maßnahmen koordinieren, um bestmöglich helfen zu können.

Die Lageinformationen, die im Lagezentrum des BSI zusammenfließen, werden – sofern sie einen gesamtstaatlichen Bezug haben – im Rahmen einzelner Lagebeiträge in die Lagebesprechungen des Cyber-AZ eingebracht, so den anderen Behörden zur Verfügung gestellt und durch diese mit jeweils eigenen, in die Lagebesprechung eingebrachten Informationen angereichert und gegebenenfalls gemeinsam bewertet. Die Fachexpertise und langjährige Erfahrung der BSI-Mitarbeiter:innen, unter anderem im Schutz der Regierungsnetze und der Sicherung zentraler Netzübergänge oder im Schutz von kritischen Infrastrukturen, wird genutzt, um sowohl die Beiträge anderer Behörden anzureichern als auch je nach Themenkomplex in einzelnen Arbeits- oder Unterarbeitsgruppen in unterschiedlichen Formaten aufzubereiten. So ergibt sich durch das gegenseitige Anreichern ein Gesamtlagebild mit weiteren Perspektiven, das zusammen aussagekräftiger ist als die Summe der einzelnen Zuarbeiten.

Eine belastbare Zusammenarbeit mit den anderen (Sicherheits-) Behörden im Cyber-AZ ist für das BSI essenziell, um Informationen zu eigenen Cybersachverhalten und -vorfällen schnell, fundiert und unkompliziert zusammenzutragen. So ist es auch bei komplexeren Sachverhalten möglich, dass Betroffenen zuverlässig und aus einer Hand geholfen werden kann. Für das BSI ist das Cyber-AZ daher die erprobte Plattform zur Kommunikation, Kooperation und Koordination zu Cyber-Sachverhalten und -vorfällen mit den nationalen Sicherheitsbehörden.

Abbildung 1

Rolle, Teilnehmer und Fachaufsichten des Nationalen Cyber-Abwehrzentrums (Cyber-AZ)

Diesen Beitrag teilen: