Das Cyber-Sicherheitsnetzwerk
Das Cyber-Sicherheitsnetzwerk ist eine Initiative des BSI mit dem Ziel, eine flächendeckende dezentrale Struktur in Deutschland aufzubauen, die effizient und kostengünstig kleine und mittlere Unternehmen (KMU) sowie Bürgerinnen und Bürger bei IT-Sicherheitsvorfällen unterstützt. Im Oktober 2021 startet das BSI mit einer sechsmonatigen Pilotphase des Cyber-Sicherheitsnetzwerks im Raum Bonn.
Von Dustin Kernke und Angelika Jaschob, BSI
Durch die stark fortschreitende Digitalisierung sind neben Großkonzernen zunehmend auch immer mehr kleine und mittlere Unternehmen (KMU) gezwungen, ihre Prozesse und Geschäftsabläufe zu digitalisieren, um weiterhin wettbewerbsfähig zu bleiben. Hierdurch steigt das potenzielle Risiko von IT-Sicherheitsvorfällen. Vielen dieser Unternehmen fehlt es an der nötigen Erfahrung und Expertise, um angemessen auf solch einen Vorfall zu reagieren und damit den Schaden so gering wie möglich zu halten. An genau dieser Stelle setzt das Cyber-Sicherheitsnetzwerk (CSN) des BSI an.
Aufgabe
Das CSN ist ein freiwilliger Zusammenschluss von qualifizierten Expertinnen und Experten, die sich bereit erklären, ihr individuelles Fachwissen zur Behebung von IT-Sicherheitsvorfällen zur Verfügung zu stellen und so mithelfen, die IT-Sicherheitslage in Deutschland zu verbessern. Sie unterstützen Betroffene dabei, IT-Sicherheitsvorfälle zu erkennen und zu analysieren, das Schadensausmaß zu begrenzen sowie weitere Schäden abzuwenden. Dabei können die Unterstützungsleistungen je nach Vorfall und Zielgruppe unterschiedlich ausfallen und werden daher in der „Digitalen Rettungskette“ des CSN beschrieben.
Das Ziel des CSN besteht in der Schaffung eines deutschlandweiten Netzwerks, um Bürgerinnen und Bürgern sowie KMU Hilfe bei der Lösung und Behebung von IT-Sicherheitsvorfällen anzubieten. Hierfür soll unter anderem eine Landkarte mit regionalen Ansprechpartnern entstehen, welche die Betroffenen nach einem IT-Sicherheitsvorfall qualifiziert und auf Augenhöhe unterstützen können.
Die reaktive Unterstützung bei der Bearbeitung von IT-Sicherheitsvorfällen erfolgt im CSN in verschiedenen Eskalationsstufen, angefangen bei einer Telefon-Hotline für die erste Kontaktaufnahme über tiefergehende Analyse-Gespräche bis zum Einsatz eines Teams von Spezialisten vor Ort. Mithilfe eines Qualifizierungsprogramms werden „Digitale Ersthelfer“ und „Vorfall-Experten“ systematisch ausgebildet und formen so den Kern des CSN.
In einem Erfahrungsaustausch werden Erkenntnisse bei der Vorfall-Bearbeitung zwischen allen Teilnehmerinnen und Teilnehmern diskutiert, um so von Synergieeffekten zu profitieren. Zusätzlich werden die Erkenntnisse anonymisiert erfasst, analysiert sowie bewertet und danach in einem Lagebild und in Qualifizierungsmaßnahmen zusammengefasst. So können Empfehlungen und präventive Maßnahmen zielgerichteter erstellt und die Unterstützungsdienstleistung durch das CSN optimiert werden.
Bereits im Oktober 2021 startet die Pilotierung des CSN in der Region Bonn. Ziel ist es, die „Digitale Rettungskette“ in einem Zeitraum von sechs Monaten zu erproben und Optimierungspotenzial zu erkennen. Einige Herausforderungen werden sich erst in der eigentlichen Pilotphase zeigen und können auch erst dann adäquat gelöst werden. Die Pilotphase wird mit einer Evaluierung abschließen.
Aufbau
Die Geschäftsstelle des CSN (E-Mail: info@CSN.de) bildet die zentrale Anlaufstelle für Teilnehmende, Schulungsanbieter oder Helferinnen und Helfer des CSN. Sie nimmt die Registrierungen vor und beantwortet alle prozessualen und organisatorischen Fragen. Die strategische Ausrichtung sowie die Rahmenbedingungen für das CSN übernimmt eine Koordinierungsstelle im BSI unterstützt von einem „Round Table“. Dieser besteht in erster Linie aus Expertinnen und Experten sowie Vertreterinnen und Vertretern von Behörden, Bildungsinstitutionen und unterschiedlichen Interessensgruppen. Einen Überblick über alle Rollen des CSN gibt Abbildung 1.
Betroffene können über die Webseiten oder über das Service-Center (Hotline) nach einem IT-Sicherheitsvorfall Kontakt mit dem CSN aufnehmen. Die Kontaktstelle ist die erste Anlaufstelle für Betroffene eines IT-Sicherheitsvorfalls – sie hilft bei der Einschätzung des Vorfalls und der Entscheidung, welcher qualifizierte Teilnehmer (d. h. „Digitaler Ersthelfer“, „Vorfall-Experte“ oder IT-Sicherheitsdienstleister) des CSN kontaktiert werden sollte.
Abbildung 1: Aufbau des CSN
Unterstützung
Von wem und vor allem wie einem Betroffenen geholfen werden kann, ist abhängig davon, wie kritisch der IT-Sicherheitsvorfall ist. Um für jeden Betroffenen die passende Unterstützungsleistung anbieten zu können, sieht das CSN eine „Digitale Rettungskette“ vor, die aus mehreren Eskalationsstufen besteht (vgl. Abb. 2). Sie ermöglicht es Betroffenen eines IT-Sicherheitsvorfalls, an einem beliebigen Glied der Kette einzusteigen, aber notfalls auch aktiv an das nächste Glied in der Kette zu eskalieren, sollte die momentane Stufe nicht in der Lage sein, den IT-Sicherheitsvorfall zu lösen. Dabei reicht die Unterstützung in den Stufen der „Digitalen Rettungskette“ von schriftlichen Leitfäden über eine telefonische Unterstützung durch die Expertinnen und Experten des CSN bis hin zu einem Team von Spezialisten, welches vor Ort tätig werden kann. Mit dem Konzept einer „Digitalen Rettungskette“ arbeiten „Digitale Ersthelfer“, „Vorfall-Experten“ und IT-Sicherheitsdienstleister aufeinander abgestimmt und bilden ein übergreifendes Komplettsystem.
An erster Stelle der „Digitalen Rettungskette“ steht die Hilfe zur Selbsthilfe: Hierzu finden die Betroffenen auf der Webseite des CSN Informationen zu „Erste-Hilfe-Maßnahmen“. Diese setzen sich aus drei Bausteinen zusammen: Informationen/Leitfäden und damit einhergehend weiterführenden Links, einer anonymen Meldestelle sowie einem Selbsteinschätzungstest. Letzterer liefert den Betroffenen eine erste Einschätzung, welche der Eskalationsstufen der „Digitalen Rettungskette“ möglicherweise zuerst kontaktiert werden sollte. Für die Kontaktaufnahme stehen dem Betroffenen die Kontaktdaten der Expertinnen und Experten des CSN auf den Webseiten zur Verfügung.
Die Hotline bildet das zweite Glied der „Digitalen Rettungskette“. Sie ist über die kostenfreie Telefonnummer 0800 2741000 zu erreichen und hilft Betroffenen, den IT-Sicherheitsvorfall richtig einzuschätzen sowie bei der Entscheidung, welches Glied der „Digitalen Rettungskette“ (Eskalationsstufe) zu kontaktieren ist.
Die „Digitalen Ersthelfer“ bilden das dritte Glied: Ihre Aufgabe liegt darin, Betroffene bei der Behebung von kleineren IT-Störungen und IT-Sicherheitsvorfällen mit Ersthilfe zu unterstützen. Das CSN stellt „Digitalen Ersthelfern“ hierfür den „Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle für Digitale Ersthelfer“ zur Verfügung, welcher zur Problemlösung herangezogen werden kann. Ziel dieser Stufe ist es, den Betroffenen erste Handlungsempfehlungen an die Hand zu geben, um die Auswirkungen des Vorfalls einzudämmen oder das Problem zu lösen. Sollten „Digitale Ersthelfer“ ein Problem nicht beheben können, so haben die Betroffenen die Möglichkeit, sich im nächsten Schritt an einen „Vorfall-Experten“ oder IT-Sicherheitsdienstleister (mit einem Team von „Vorfall-Experten“) zu wenden.
Die „Vorfall-Experten“ bilden das vierte Glied. Sie sind vom BSI personenzertifizierte IT-Fachleute mit nachgewiesener Expertise bei der Behandlung von IT-Sicherheitsvorfällen. Im Rahmen der „Digitalen Rettungskette“ sind sie so weit qualifiziert, dass sie in der Lage sind, den Vorfall tiefer zu analysieren und entsprechende Hilfestellung zu geben – gegebenenfalls auch vor Ort.
Das fünfte und damit letzte Glied der „Digitalen Rettungskette“ bilden die IT-Sicherheitsdienstleister. In den meisten Fällen kann davon ausgegangen werden, dass „Vorfall-Experten“ die Probleme der Betroffenen lösen können. Sollte dies jedoch aufgrund der Komplexität eines IT-Sicherheitsvorfalls nicht möglich sein, können Betroffene sich schließlich an die höchste Eskalationsstufe wenden: zertifizierte und registrierte IT-Sicherheitsdienstleister. Diese halten ganze Teams aus „Vorfall-Experten“ und IT-Spezialisten vor, die aus diesem Grund auch komplexe und zeitaufwendigere IT-Sicherheitsvorfälle geeignet betreuen können.
Abbildung 2: Die „Digitale Rettungskette“
Engagement im CSN
Welche Rolle eine interessierte Person im CSN wahrnehmen kann, ist abhängig von ihren Qualifikationen:
- „Digitale Ersthelfer“ können alle Bürgerinnen und Bürger werden, wie beispielsweise IT-affine Nachbarn, Studierende, aber auch Expertinnen und Experten. Grundvoraussetzung ist ein entsprechender Basiskurs, welcher kostenfrei durch das CSN angeboten wird. Er gliedert sich in drei Module und basiert auf dem „Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle für Digitale Ersthelfer“. In den Modulen werden die Grundlagen und Arbeitsweisen des CSN gezeigt. Außerdem lernen die Teilnehmenden, wie kleinere IT-Störungen und IT-Sicherheitsvorfälle behandelt und behoben werden können und wie „Digitale Ersthelfer“ serviceorientierte Telefongespräche führen. Am Ende jedes Moduls findet ein Kompetenztest statt. Die Teilnehmerinnen und Teilnehmer des Basiskurses können sich dann nach erfolgreicher Teilnahme beim CSN als „Digitale Ersthelfer“ registrieren lassen. Im Anschluss daran werden die „Digitalen Ersthelfer“ auf den Webseiten des CSN veröffentlicht.
- „Vorfall-Experten“ hingegen müssen eine kostenpflichtige dreitägige Aufbauschulung absolvieren sowie eine Personenzertifizierung durch die Zertifizierungsstelle des BSI nachweisen, da sie im Vergleich zu „Digitalen Ersthelfern“ deutlich komplexere IT-Sicherheitsvorfälle bearbeiten. Die Aufbauschulung der „Vorfall-Experten“ findet bei im CSN registrierten IT-Schulungsanbietern statt und basiert auf einem speziellen Curriculum. Die Themen der Schulung sind begleitend in einem „Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle für Vorfall-Experten“ aufbereitet. Eine Liste der aktuellen Schulungsanbieter findet sich unter www.bsi.bund.de/CSN_Schulungsanbieter. Die anschließende Personenzertifizierung umfasst neben der Prüfung der benötigten Nachweise auch eine Kompetenzprüfung in Form eines Multiple-Choice-Tests. Nach erfolgreicher Zertifizierung ist dann eine Registrierung beim CSN möglich. Alle registrierten „Vorfall-Experten“ werden auf den Webseiten des CSN veröffentlicht.
- Eine Zertifizierung als IT-Sicherheitsdienstleister setzt ein Team von mindestens drei vom BSI zertifizierten „Vorfall-Experten“ voraus. Nach erfolgreicher Zertifizierung kann sich ein IT-Sicherheitsdienstleister ebenfalls beim CSN registrieren und auf die Liste der zur Verfügung stehenden IT-Sicherheitsdienstleister setzen lassen.
Zusätzlich haben Unternehmen die Möglichkeit, einen „Vorfall-Experten“ im Unternehmen auszubilden: Um nach einem IT-Sicherheitsvorfall möglichst schnell und effektiv reagieren zu können, ist dieser „Vorfall-Experte“ des Unternehmens die kompetente Schnittstelle zu den „Vorfall-Experten“ des CSN und außerdem erster Ansprechpartner bei einem größeren Schadensfall. Eine entsprechende Qualifikation wird ebenfalls durch die dreitägige Aufbauschulung für „Vorfall-Experten“ erworben. Nach erfolgreicher Schulung ist eine Registrierung beim CSN als „Unternehmens-Vorfall-Experte“ möglich.
Erfüllt der „Vorfall-Experte“ die Anforderungen der Personenzertifizierung, kann er sich zusätzlich auch zertifizieren lassen und dann aktiv im CSN als „Vorfall-Experte“ mitwirken.
Die Teilnahme als registriertes Mitglied des CSN, sei es als „Digitaler Ersthelfer“ oder „Vorfall-Experte“ oder anderweitig, bringt eine Vielzahl an Vorteilen mit sich. Allem voran helfen Mitglieder, die IT-Sicherheitslage in Deutschland zu verbessern und Betroffene bei der Lösung ihrer IT-Sicherheitsprobleme zu unterstützen. Neben der fachlichen Weiterbildung im Bereich der IT-Sicherheit und der Vorfalls-Analyse können Mitglieder zusätzlich ihre persönlichen Fähigkeiten verbessern und weiterentwickeln.
Zudem haben alle Teilnehmer des CSN die Möglichkeit, an regionalen Foren mitzuwirken. Dort können sie sich mit anderen „Vorfall-Experten“ und „Digitalen Ersthelfern“ austauschen, neue Kontakte knüpfen und sich zu ihren Erfahrungen bei der Vorfallsbearbeitung austauschen. Zusätzlich besteht die Möglichkeit, mit Übungsszenarien und Spielen in einem speziellen „Trainingskoffer“ das Wissen spielerisch zu vertiefen und zu erweitern. Der „Trainingskoffer“ steht Forenleitern und Trainern kostenlos zur Verfügung. Er umfasst IT-Sicherheitsspiele wie das „Rettungskettendomino“ oder das „IT-Sicherheitsmemory“. Zusätzlich enthält der Koffer Rollenspiele, bei denen sich die Teilnehmerinnen und Teilnehmer beispielsweise in der Rolle eines Betroffenen oder eines „Digitalen Ersthelfers“ wiederfinden und anhand konkreter IT-Sicherheitsvorfälle die Behandlung von IT-Sicherheitsvorfällen üben können.
Fazit
In der Pilotphase des Cyber-Sicherheitsnetzwerks (CSN) wird die Effektivität des Zusammenschlusses qualifizierter Expertinnen und Experten im Bereich der IT-Sicherheit getestet. Betroffene eines IT-Sicherheitsvorfalls können sich über verschiedene Kanäle wie der CSN-Website oder der CSN-Hotline melden und je nach Komplexität des Vorfalls die Störung selbst beheben oder die Hilfe eines qualifizierten „Digitalen Ersthelfers“, „Vorfall-Experten“ oder IT-Dienstleisters in Anspruch nehmen. Interessierte können sich über die verschiedenen Schulungs- und Zertifizierungsverfahren zur Teilnahme am CSN qualifizieren. Die Rollen/Glieder in der „Digitalen Rettungskette“ und die zugehörigen Qualifizierungsmaßnahmen umfassen:
- Digitale Ersthelfer: kostenfreier Online-Basiskurs und Selbsttest
- „Vorfall-Experten“: kostenpflichtige dreitägige Aufbauschulung und Personenzertifizierung durch das BSI
- IT-Sicherheitsdienstleister: Team aus mindestens drei zertifizierten „Vorfall-Experten“
- „Vorfall-Experten im Unternehmen“: kostenpflichtige dreitägige Aufbauschulung
Registrierte Teilnehmerinnen und Teilnehmer genießen neben der persönlichen und fachlichen Weiterbildung zusätzliche Vorteile, wie beispielsweise die Teilnahme an regionalen Foren, in denen sie ihre Erfahrungen teilen, Kontakte zu weiteren Experten knüpfen und ihr Wissen weiter ausbauen können. Mit den eigens für das CSN entwickelten Spielen aus dem „Trainingskoffer“ werden die Foren aufgelockert und mit Spaß verknüpft. Aktuell befindet sich das Netzwerk noch am Anfang und startet mit der Pilotphase in der Region Bonn.
Weiterführende Informationen sowie Informationen zum Engagement im CSN finden Sie unter www.bsi.bund.de/CSN.
Literatur
[1] Angelika Jaschob, Cyber-Sicherheitsnetzwerk, BSI-Magazin 2021/01, S. 56, Juni 2021, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Magazin/BSI-Magazin_2021_01.pdf
[2] BSI, Eckpunktepapier zum CSN, Version 3.1, Januar 2021, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CSN/210122_Eckpunktepapier.pdf
[3] BSI, Basiskurs für die Qualifikation als „Digitale Ersthelfer“, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/CyberSicherheitsnetzwerk/Onlinekurs/Onlinekurs_node.html
[4] BSI, Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle für „Digitale Ersthelfer“, Juli 2021, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CSN/210712_Leitfaden_Digitaler_Ersthelfer.pdf
[5] BSI, Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle – für „VorfallExperten“, Juli 2021, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CSN/210712_Leitfaden_Vorfall_Experte.pdf
[6] BSI, Personenzertifizierung: Programm für „Vorfall-Experten“, Juli 2021, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Vorfall-Experte.pdf
[7] BSI, Curriculum zur Qualifikation von „Vorfall-Experten“, Januar 2021, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CSN/210122_Curriculum_Qualifikation_Vorfall_Experten.pdf