Cyber-Verteidigung: Es fehlen die Fachkräfte

Interview mit Sheila Becker, Verantwortliche für Cyber-Verteidigung in der Luxemburger Armee

Was bedeutet Cyber-Verteidigung im Allgemeinen? Und wo ist der Unterschied zur Cyber-Sicherheit?

Sheila Becker: In der Regel ist es eine Frage der Definition. In beiden Fällen geht es vor allem um den Schutz der Daten. Die Abkürzung „CIA“- das hat nichts mit dem amerikanischen Geheimdienst zu tun, sondern steht für confidentiality, integrity, availability – nennt die wichtigsten Aspekte dabei. Confidentiality bedeutet, dass Daten lediglich von den dazu berechtigten Benutzern gelesen werden können. Integrity bedeutet, dass die Daten so bleiben sollen, wie sie sind. Sie dürfen nicht unbemerkt verändert werden. Availability bedeutet, dass man an die Daten kommt, wenn man sie braucht.

Damit sind schon die Grundprinzipien der Cyber-Sicherheit genannt. Dann gibt es aber auch Definitionen der Cyber-Sicherheit, die sich nicht nur auf die Daten beziehen, sondern die Benutzer miteinschließen. Dies bedeutet z.B., dass Benutzer, besonders auf sozialen Netzwerken, nicht selbst zum Ziel eines Angriffes werden oder die eigenen Leute durch Unvorsichtigkeit in Gefahr bringen.

Der Begriff Cyber-Verteidigung wird hier bei uns, aber auch im Ausland gerne mit der militärischen Verteidigung im Cyber-Raum in Verbindung gebracht. Im Militärwesen ist die Sicherheit der Zustand, den man anhand von Verteidigung als Vorsorge oder Reaktion erreichen will. Da Cyber-Sicherheit im Allgemeinen benutzt wird und auch Aspekte der Cyber-Kriminalität mit einbezieht, benutzt die NATO den Begriff Cyber-Defence. Cyber-Defence betrifft also die Verteidigung und lässt den Bereich der Cyber-Kriminalität außen vor, da dies nicht im Aufgabenbereich der NATO liegt.

Die Absicherung des Cyber-Bereichs ist ein branchenübergreifendes Unterfangen. Daher ist es unabkömmlich die Kompetenzen untereinander zu verbinden. Eine eindeutige Trennung der Begriffe Cyber-Sicherheit und Cyber-Verteidigung ist daher meines Erachtens für uns momentan nicht nötig.

Was sind die primären Ziele der Luxemburger Armee im Bereich Cyber-Verteidigung?

S.B.: Da es ein branchenübergreifendes Unterfangen ist, wird es auch zu einem behördenübergreifenden Unterfangen. Daher steht die Kooperation mit den anderen staatlichen Verwaltungen an erster Stelle, die jeweils ihren Teil zur Absicherung des Cyber-Raums beitragen.

Zusätzlich zu dem, was von anderen Verwaltungen bereits abgedeckt wird, ist momentan unser primäres Ziel, unsere Absicherung zu stärken sowie unsere Leute zu schützen, indem wir die Sensibilisierung des Personals fördern.

Was bedeutet das konkret?

S.B.: Momentan arbeiten wir an einem Sensibilisierungsprogramm, das auf die verschiedenen Nutzergruppen abgestimmt werden soll. Auch in diesem Bereich greifen wir auf die Erfahrungen anderer Verwaltungen zurück. Unser Ziel ist es ein interaktives Cyber-Hygiene Programm auszuarbeiten, damit das Personal sich bestmöglich den ausgesetzten Gefahren bewusst wird.

Wie ist die Cyber-Verteidigung des Landes organisiert? Wer übernimmt den zivilen Bereich, wer den militärischen?

S.B.: Es gibt mehrere Verwaltungen und Organisationen, die hier zusammenspielen: das CTIE (Centre des technologies de l’information de l’Etat), GOVCERT, HCPN (Haut-commissariat à la Protection nationale), securitymadein.lu, und so weiter… Jede Organisation hat sozusagen ihre eigene Rolle und damit ist dann auch die Cyber-Sicherheit / Verteidigung, sowohl der zivilen wie auch der militärischen Bereiche, gegeben. Wir treffen uns regelmäßig und sprechen uns ab. So ist zum Beispiel GOVCERT für das Incident Handling zuständig und das CTIE für die staatlichen Netzwerke.

Wie schon erwähnt, ist Cyber-Sicherheit hier im Land als eine große Zusammenarbeit zu betrachten. Alleingänge funktionieren nicht, die Armee ist dafür zu klein, wir können nicht alle militärischen Cyber-Bereiche alleine abdecken. Hinzuzufügen ist, dass man um alles alleine abdecken zu können, bereits beim Staat existierende Kompetenzen im Rahmen der Armee nochmals aufbauen müsste.

Ziel zukünftiger Cyber-Angriffe wird insbesondere die zivile Infrastruktur eines Landes sein. Wer ist für den Schutz des Schienenverkehrs, des Flughafens, des Stausees und des Pumpspeicherwerks in Vianden zuständig?

S.B.: Diese spezifische Infrastruktur kann man als lebenswichtige Infrastruktur bezeichnen. In diesem Bereich ist das Haut-Commissariat à la Protection nationale zuständig.

Gibt es keine Konflikte oder Überschneidungen bei dieser Aufgabenverteilung? Besteht ein Organigramm, wo ich als Bürger erkennen kann, welche Organisation welchen Bereich der Arbeit abdeckt?

S.B.: Nehmen wir die Beispiele circl (Computer incident response center Luxembourg) und GOVCERT (Government computer emergency response team). GOVCERT ist für staatliche Entitäten und für kritische Infrastruktur zuständig und circl für die Industrie. Es gibt also eine Aufteilung. Aber ein entsprechendes Organigramm gibt es meines Wissens nach bis dato noch nicht.

Welches sind die größten Gefahren für die Luxemburger Cyber-Sicherheit?

S.B.: Im Allgemeinen kann man sagen, dass es keine 100% Sicherheit gibt. Die immer größer werdende Vernetzung erhöht natürlich die Angriffsfläche im Cyber-Raum. Heutzutage sind Kühlschränke, Autos und vieles andere vernetzt und sie können bspw. als Bot missbraucht werden.[1] Auch hat fast jeder heutzutage ein Smartphone oder ein Tablet, aber es fehlt das Bewusstsein, dass diese Geräte genauso wie PCs angreifbar sind.

Bedeutet das, dass Ihre Abteilung bzw. die Luxemburger Armee eher auf Cyber-Kriminalität spezialisiert ist?

S.B.: Nein, das habe ich damit nicht gemeint, absolut nicht. Kriminalität gehört zum Aufgabenbereich der Polizei. Nehmen wir das Beispiel Ransomware (Erpressungstrojaner): Diese gehören in den Bereich der Kriminalität, können aber auch Schäden an der öffentlichen Infrastruktur verursachen. Wenn ich mein Netzwerk schützen möchte, dann muss ich schauen, dass so eine Attacke nicht zustande kommt. Ich muss sicherstellen, dass meine Systeme Up-To-Date sind, dass ich aktuelle Backups besitze usw. Das wird vom CTIE gewährleistet, so dass wir in diesem Bereich, als Staat, etwa bei den letzten Angriffen nicht betroffen waren.

Wer wird konkret angegriffen?

S.B.: Die einzelnen Einwohner eines Landes werden nicht gezielt angegriffen, da gilt eher das Prinzip Zufall. Ein Krimineller will Geld machen, dem ist es egal, von wem es kommt. Kritische Infrastruktur oder die internen Netzwerke von Regierungen können natürlich Ziel von Angriffen sein.

Wer ist für die Abwehr solcher Angriffe zuständig?

S.B.: Darum kümmert sich das GovCERT. Wir sehen die verschiedenen Organisationen als ein Ganzes an. Unser gemeinsames Ziel ist es eine sichere Cyberumgebung zu schaffen.

Gibt es auch eine Organisation innerhalb der EU, die für die europäische Cyber-Sicherheit verantwortlich ist?

S.B.: Die EU unternimmt vieles in diesem Bereich, es gibt bspw. die ENISA (European Union Agency for Network and Information Security). Diese Agentur veranstaltet eine regelmäßige Übung, die Cyber Europe, bei der die Sicherheit der europäischen Infrastruktur getestet wird. Im Allgemeinen gehen die Entwicklungen im Cyber-Bereich in viele verschiedene Richtungen und diese zu verfolgen, benötigt viel Zeit. Natürlich machen wir das nicht alleine. Zum Beispiel gibt es auf Ebene der UN einen GGE (United Nations Group of Governmental Experts) der prüft, ob und wie das internationale Recht im Cyberbereich angewendet wird. Das Außenministerium verfolgt diese Prozesse. Übrigens ist auch die Cyber-Diplomatie ein Bereich, der in Zukunft eine immer wichtigere Rolle spielen wird. Diese neue Art der Diplomatie wird benötigt um mithilfe von anderen Staaten Cyber-Incidents aufzuklären oder gegebenenfalls zu stoppen.

Wie ist die Cyber-Verteidigung auf Nato-Ebene organisiert?

S.B.: Die NATO ist in diesem Bereich ähnlich aufgebaut wie die nationale Cyber-Verteidigung. Es gibt eine Organisation, die sich um das Incident Handling kümmert, und eine weitere, die sich um das Netzwerk kümmert.

Die NATO formuliert Guidelines und Policys, die den Mitgliedern und der NATO selber Schwerpunkte vorgeben. Das ist aber reine Verteidigung, da steckt keine offensive Zielsetzung dahinter.

Das Verteidigungsbudget des Großherzogtums wird bis 2025 auf 0,6% des BSP erhöht. Cyber-Verteidigung spielt eine immer wichtigere Rolle. Wie glauben Sie, sollte das Geld investiert werden?

S.B.: Unsere Abteilung besteht momentan aus zwei Personen. Um überhaupt große Projekte angehen zu können, die arbeitsintensiv sind, werden wir Personal benötigen. Dann könnte der Staat, wenn Bedarf besteht, in Infrastruktur investieren, die die Netzwerke oder Informationen des gesamten Landes schützt. Von dieser Infrastruktur könnte die Armee ebenfalls profitieren oder daran beteiligt sein.

Informatiker sind schon in der Wirtschaft eine Mangelware. Mit welchen Anreizen könnte die Armee werben, um diese Leute anzulocken?

S.B.: Das steht noch nicht fest und die Einstellung dieser Personen hängt nicht nur von der Armee ab. Wir müssen uns mit anderen staatlichen Organisationen absprechen. Ein Anreiz für eine Anstellung beim Staat könnte eventuell sein, dass man bei internationalen Übungen teilnehmen kann, was im Privaten eventuell nicht so machbar ist.

Aber das Problem fängt schon bei der Ausbildung an. Das Fach Informatik hat immer noch einen trockenen Anschein, so dass sich nicht genug junge Leute für das Fach begeistern können. Außerdem bedeutet ein Informatikstudium nicht, dass der Absolvent in Sicherheitsfragen ein Spezialist ist. Da entsprechende Fortbildungen erst seit kurzem angeboten werden, besteht ein Mangel an qualifiziertem Personal. Dies ist aber ein Problem, das nicht nur den Sicherheitsbereich betrifft, sondern den gesamten IT-Bereich.

Mit der Erhöhung des Verteidigungsbudgets bis 2025 ist geplant, dass die Luxemburger Armee in Drohnen investiert. Wer wird diese Drohnen warten und absichern? Die Armee selbst oder der respektive Drohnenhersteller?

S.B.: Das Projekt ist noch nicht klar definiert. Wer die Drohnen betreiben wird, ist auch nicht sicher. Es hängt z.B. davon ab, ob sie etwa im Rahmen einer Auslandsmission von einer Host-Nation betrieben werden, dann kümmert sich dieses Land um die Sicherheit. Wenn aber Luxemburg der Betreiber ist, dann werden wir uns eigenständig um die Sicherheit der Drohnen kümmern müssen.

Ist es korrekt, dass die Luxemburger Armee kein eigenes, unabhängiges Informatiknetzwerk besitzt?

S.B.: Wir hängen – wie alle anderen staatlichen Institutionen – am Netzwerk des CTIE, der das gesamte staatliche Netzwerk verwaltet. Die Armee könnte zwar ein unabhängiges Netzwerk aufbauen, aber momentan ist das aufgrund des Mangels an qualifiziertem Personal schlicht nicht möglich. Das CTIE hat sich sein Fachwissen aufgebaut, die machen ihre Aufgabe gut.

Dann besteht auch in Zukunft keine Notwendigkeit, dass die Armee ein eigenes autonomes Netzwerk aufbaut?

S.B.: Der genaue Bedarf ist momentan noch nicht festgelegt. Es wäre denkbar, dass man sich für einen Notfall einen Backup zurückhält. Aber es ist momentan vom Personal her einfach nicht machbar.

 

Besten Dank für das Gespräch!

 

Das Interview wurde am 19.07.2017 geführt. (MK/BM)

 

[1] Anmerkung der Redaktion: Ein Botnet besteht aus einer Gruppe von Rechnern, die mit einer automatisierten Schadsoftware infiziert sind. Diese Rechner werden als Bots (englische Abkürzung für Roboter) missbraucht. Der Bot-Master kann diese übernommenen Rechner für verschiedene Einsatzzwecke missbrauchen (Klickbetrug, DDoS-Attacken, Versand von Phishing- oder Spam-Mails etc…).