Übersicht der staatlichen Cybersicherheitsarchitektur
© Stiftung Neue Verantwortung e. V. (CC BY-SA)

Von A(DIC) bis Z(ITiS)

Zum Behörden-Labyrinth im Cyber-Dschungel

Die Bundesregierung will ihrem Koalitionsvertrag zufolge das Bundesamt für Sicherheit in der Informationstechnik (BSI) als nationale Cyber-Sicherheitsbehörde ausbauen und dessen Rolle stärken. Das Cyber-Abwehrzentrum (Cyber-AZ) ist ein Kernelement der Cyber-Sicherheitsstrategie der Bundesregierung und soll nach dem Hacker-Angriff rund um den Jahreswechsel 2018/19 zum „Cyber-Abwehrzentrum plus“ weiterentwickelt werden. Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) sieht sich als das Start-up unter den Behörden. – Es ist viel in Bewegung gekommen, doch das Behörden-Labyrinth im Cyber-Dschungel reicht noch viel weiter. Ein Überblick.

BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das zum Geschäftsbereich des Bundesministeriums des Innern, für Bau und Heimat (BMI) gehört, ist nach seinem Leitbild der zentrale IT-Sicherheitsdienstleister des Bundes und für IT-Sicherheit in Deutschland verantwortlich. Demgemäß steht es im Mittelpunkt der staatlichen Cyber-Sicherheitsarchitektur. Zur regionalen Vernetzung baut das BSI deutschlandweit Verbindungsbüros auf.

Nationales IT-Lagezentrum und IT-Krisenreaktionszentrum

LZ

Das Nationale IT-Lagezentrum (LZ) ist Teil des BSI und mit der Aufgabe betraut, rund um die Uhr ein IT-Lagebild zu erstellen; nachts übernimmt das Gemeinsame Melde- und Lagezentrum (GMLZ) des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) eine Grundüberwachung. Durch ein konstantes Beobachten und Analysieren verschiedenster Quellen entsteht so eine Gesamtschau der aktuellen IT-Sicherheitslage mit dem Ziel, auftretende Cyber-Angriffe und andere IT-Sicherheitsvorfälle schnell zu erkennen und zu bewerten sowie ggf. zu alarmieren und darauf zu reagieren. Das LZ hält vorrangig über das Kommunikationsnetzwerk des Computer Emergency Response Team auf Bundesebene (CERT-Bund) Kontakte zu verschiedensten Partnern und stellt auch dem Nationalen Cyber-Abwehrzentrum (Cyber-AZ) vielfältige Informationen zur Verfügung.

IT-Krisenreaktionszentrum

Die Organisation und Technik des LZ sind darauf ausgelegt, im Bedarfsfall zum IT-Krisenreaktionszentrum aufzuwachsen. Damit ist das Ziel verbunden, eine schnelle Reaktion auf schwerwiegende Vorfälle sicherzustellen, um rechtzeitige Gegenmaßnahmen zu ermöglichen sowie Schäden größeren Ausmaßes zu vermeiden. Das IT-Krisenreaktionszentrum verfügt über einen rund um die Uhr erreichbaren Bereitschaftsdienst, die erforderliche technische Infrastruktur, es kann in mehreren Stufen erweitert werden und zusätzliche Experten hinzuziehen. Im Krisenfall koordiniert das IT-Krisenreaktionszentrum die Zusammenarbeit zwischen den beteiligten Krisenmanagementorganisationen.

CERT-Struktur und Länderebene

CERT-Bund, VCV, CERT-Verbund

Ebenfalls Teil des BSI ist das Computer Emergency Response Team (CERT) auf Bundesebene (CERT-Bund). Es ist präventiv tätig und unterstützt bei der Reaktion auf IT-Sicherheitsvorfälle; dabei fungiert es als zentrale Anlaufstelle für alle Bundesbehörden sowie Computer-Notfallteam im Falle eines sicherheitsrelevanten IT-Vorfalls und kooperiert im Rahmen des Verwaltungs-CERT-Verbunds (VCV) mit den CERTs auf Länderebene. In einem weiteren, dem sogenannten CERT-Verbund haben sich über 30 große CERTs von Bundes- und Landesbehörden, Verbänden und Unternehmen zusammengeschlossen.

Länder-CERTs, Cybercrime-Zentren, ZACs, LSIs

Auf Länderebene bestehen nicht nur Länder-CERTs, die im Rahmen des VCV mit dem CERT-Bund kooperieren. In fast allen Bundesländern existieren zudem inzwischen eigene Cybercrime-Zentren wie „Hessen 3C“oder die Zentralstelle Cybercrime Bayern (ZCB), die für die Bekämpfung und Aufklärung von Cyber-Kriminalität zuständig und bei Landeskriminalämtern (LKÄ) oder Staatsanwaltschaften angesiedelt sind. Weiterhin gibt es sogenannte Zentrale Ansprechstellen Cybercrime der Polizeien der Länder und des Bundes für die Wirtschaft (ZACs), die Unternehmen im Falle von Internetstraftaten zur Verfügung stehen und bei den Polizeien des Bundes und der Länder angesiedelt sind. Darüber hinaus besteht nach dem Vorbild des Landesamtes für Sicherheit in der Informationstechnik Bayern (LSI) auch in weiteren Bundesländern das Vorhaben, eigene LSIs zu errichten; dem könnte eine stärkere Einbindung der Länderebene in ein Cyber-Abwehrzentrum plus (Cyber-AZ+) entgegenwirken.

Nationales Cyber-Abwehrzentrum (plus) und vertretene Behörden

Cyber-AZ

Das Nationale Cyber-Abwehrzentrum (NCAZ oder Cyber-AZ) ist weder Teil des BSI, noch eine eigenständige Behörde, sondern ein als Informations- und Kooperations-, zunehmend auch als Koordinationsplattform ausgestalteter Zusammenschluss verschiedener deutscher IT-Sicherheitsbehörden auf Bundesebene und beim federführenden BSI angesiedelt. Die Bezeichnung als „Abwehrzentrum“ ruft unerfüllbare Erwartungen hervor, weil es nie das Ziel des Cyber-AZ war, Cyber-Angriffe abzuwehren. Vielmehr soll es die operative Zusammenarbeit optimieren sowie Schutz- und Abwehrmaßnahmen koordinieren. Dazu ist es mit den Lagezentren und entsprechenden Einrichtungen der beteiligten Behörden vernetzt; zudem entsendet jede der Behörden eine Verbindungsperson ins Cyber-AZ. So bringt das BSI den informationstechnischen Blick, BfV, BND und BAMAD die nachrichtendienstliche Perspektive, BKA, BPol und ZKA die polizeiliche Sicht, die Bundeswehr militärische Bezüge, das BBK relevante Aspekte des Bevölkerungsschutzes und die BaFin Hintergründe aus der Wirtschaftskriminalität ein, um einen Cyber-Angriff zu bewerten. Künftig sollen auch die aufsichtführenden Stellen über die Betreiber der Kritischen Infrastrukturen (KRITIS) im Cyber-AZ mitarbeiten.

Cyber-AZ+

Mit dem Ausbau des Cyber-AZ zu einem Cyber-Abwehrzentrum plus (Cyber-AZ+) soll eine stärkere Einbindung der Länderebene sowie eine bedarfsgerechte Zusammenarbeit mit ausgewählten Firmen verbunden werden. Obwohl derzeit unterschiedliche Modelle und Anbindungen des Cyber-AZ+ diskutiert werden, etwa eine Angliederung an Polizei, Geheimdienste oder Bundeswehr, erscheint es am wahrscheinlichsten, dass das Cyber-AZ+ weiterhin beim BSI angesiedelt bleibt – auch weil alle anderen Modelle der bestehenden Kritik mit Blick auf das Trennungsgebot von Polizei und Geheimdiensten oder hinsichtlich der Unabhängigkeit des BSI selbst noch viel mehr zuwider laufen würden.

BfV, BND, BAMAD, BKA, BPol, ZKA, Bw, BBK, BaFin

Zu den im Cyber-AZ vertretenen Behörden zählen neben dem BSI das Bundesamt für Verfassungsschutz (BfV), der Bundesnachrichtendienst (BND), das Bundesamt für den Militärischen Abschirmdienst (BAMAD), das Bundeskriminalamt (BKA), die Bundespolizei (BPol), das Zollkriminalamt (ZKA), die Bundeswehr (Bw), das BBK sowie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Besonders BSI, BfV, BKA und Bundeswehr zählen auch die unmittelbare Abwehr von Cyber-Angriffen zu ihren eigenen Aufgaben; dabei ist bei der Bundeswehr das neu aufgestellte Kommando Cyber- und Informationsraum (KdoCIR) für die militärische Verteidigung des Cyber- und Informationsraums verantwortlich.

Politik, Öffentlichkeit, Wirtschaft

Cyber-SR

Der Nationale Cyber-Sicherheitsrat (Cyber-SR) unter dem Vorsitz des Beauftragten der Bundesregierung für Informationstechnik (BfIT) hat die Aufgabe, als politisch-strategischer Ratgeber der Bundesregierung relevante Entwicklungen im Bereich der Cyber-Sicherheit zu identifizieren und daraus resultierende Handlungsempfehlungen zu geben; dafür erhält er in regelmäßigen Abständen etwa anlassbezogene Empfehlungen des Cyber-AZ. Der Cyber-SR bringt relevante Akteure der Bundesebene, der Länder und aus der Wirtschaft zusammen; die Bundesregierung ist durch das BMI, Bundeskanzleramt (BKAmt), Auswärtiges Amt (AA), Bundesministerium der Verteidigung (BMVg), Bundesministerium für Wirtschaft und Energie (BMWi), Bundesministerium der Justiz und für Verbraucherschutz (BMJV), Bundesministerium für Finanzen (BMF), Bundesministerium für Bildung und Forschung (BMBF) sowie Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) vertreten.

AfCS, DSiN

Die Allianz für Cyber-Sicherheit (AfCS oder ACS) ist eine Initiative des BSI in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom), in der mit rund 3.000 Institutionen u. a. aus Wirtschaft, Behörden, Forschung und Wissenschaft alle wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland zum Austausch von Informationen über Gefährdungen im Cyber-Raum zusammengeschlossen sind. Deutschland sicher im Netz e.V. (DsiN) verfolgt unter Beteiligung von BMI, BMWi, BSI, BKA und BfDI das Ziel, die Bevölkerung sowie kleine und mittlere Betriebe über IT-Sicherheit aufzuklären.

BfDI

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist nicht unmittelbar mit Fragen der Cyber-Sicherheit befasst, aber er überwacht die Daten- und Informationsverarbeitung in Deutschland unter dem Aspekt des Datenschutzes, ist dabei in der Ausübung seines Amtes unabhängig und unterliegt nur der parlamentarischen Kontrolle durch den Bundestag.

UP KRITIS, Initiative Wirtschaftsschutz

Der Umsetzungsplan Kritische Infrastrukturen (UP KRITIS), dessen Geschäftsstelle vom BSI betrieben wird, ist eine öffentlich-private Kooperation zwischen KRITIS-Betreibern, deren Verbänden sowie den zuständigen staatlichen Stellen und zielt auf die Aufrechterhaltung der Versorgung mit kritischen Infrastrukturdienstleistungen ab. Die Initiative Wirtschaftsschutz ist auf Wirtschaftsspionage, Sabotage und Konkurrenzausspähung fokussiert; von staatlicher Seite sind BSI, BKA, BfV und BND beteiligt.

Zivile und militärische Entwicklung und Beschaffung

ZITiS

Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), das „Start-up unter den Behörden“, gehört wie das BSI zum Geschäftsbereich des BMI und unterstützt und berät Bundesbehörden wie BKA, BfV oder BPol. ZITiS entwickelt und erforscht neue informationstechnische Methoden und Werkzeuge etwa für digitale Forensik, Telekommunikationsüberwachung, Krypto- oder Big-Data-Analyse und stellt diese zur Verfügung.

ITZ Bund, BNetzA

Das Informationstechnikzentrum Bund (ITZ Bund) ist IT-Dienstleister der Bundesverwaltung und soll unter anderem auch den Schutz vor Cyber-Angriffen verbessern. Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) kümmert sich dabei – teilweise gemeinsam mit dem BSI – u. a. um IT-Sicherheitsanforderungen in den Sektoren Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen.

CIH, CODE, BWI, BAAINBw

Wo das BMI auf ZITiS oder BNetzA zurückgreift, stehen dem BMVg das Cyber Innovation Hub (CIH), das Forschungsinstitut Cyber Defence (CODE) an der Universität der Bundeswehr, die Bundesweite IT-Systemhaus GmbH (BWI) oder das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw) zur Verfügung. Das CIH bietet eine Plattform zur Verknüpfung von Bundeswehr und Startups, um innovative Technologien für die Bundeswehr zu erforschen und weiterzuentwickeln. CODE verfolgt die Zielsetzung, innovative technische Neuerungen zum Schutz von Daten, Software und Systemen für die Bundeswehr zu verwirklichen. Die bundeseigene BWI hat die Bundeswehr-IT umfassend modernisiert; zu den aktuellen Schwerpunkten des IT-Dienstleisters zählen das Betreiben und Modernisieren von nichtmilitärischen Informations- und Kommunikationstechniken der Bundeswehr. Hauptaufgabe des BAAINBw ist die Ausstattung der Bundeswehr.

Ausblick

DIIS, ADIC

Die Gründung des Deutschen Instituts für Internet Sicherheit (DIIS) durch das AA wurde schon in der Cyber-Sicherheitsstrategie für Deutschland 2016 angekündigt. Dessen Fokus soll auf Cyber-Sicherheitsthemen mit Bezug zu internationaler Stabilität und Krisenprävention liegen. Die Einrichtung der Agentur für Innovation in der Cybersicherheit (ADIC) hingegen wurde erst im Koalitionsvertrag 2018 beschlossen. Unter Federführung von BMI und BMVg soll die Cyber-Agentur die “technologische Innovationsführerschaft” im Bereich der sicherheitsrelevanten Schlüsseltechnologien gewährleisten.

Diese Grafik unterliegt einer CreativeCommons-Lizenz (CC BY-SA). Die Vervielfältigung,
Verbreitung und Veröffentlichung, Veränderung oder Übersetzung von Inhalten
der Stiftung Neue Verantwortung, die mit der Lizenz „CC BY-SA“ gekennzeichnet
sind, sowie die Erstellung daraus abgeleiteter Produkte sind unter den Bedingungen
„Namensnennung” und „Weiterverwendung unter gleicher Lizenz“ gestattet. Ausführliche Informationen zu den Lizenzbedingungen finden Sie hier: http://creativecommons.org/licenses/by-sa/4.0/
© Stiftung Neue Verantwortung e. V. (CC BY-SA)

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.