Bundesheer

• bundesheer.at
• karriere.bundesheer.at
• bmlv.gv.at

Startseite - Service - TRUPPENDIENST - Folge 342, Ausgabe 6/2014

milCERT ein wesentlicher Beitrag zur Cyber Defence

Das Österreichische Bundesheer (ÖBH) leistet durch den Aufbau der speziellen Fähigkeiten des Military Computer Emergency Readiness Teams (milCERT) seinen Beitrag für die gesamtstaatlichen Anstrengungen zur Cybersicherheit Österreichs. In der Österreichischen Strategie für Cybersicherheit wird dem ÖBH die Verantwortung für Cyber Defence zugeordnet. Das milCERT wird dezidiert als Organisation zum Aufbau der operativen Fähigkeiten zur Abwehr von Cyberangriffen und zum weiteren Aufbau eines Lagebildes Cybersicherheit genannt.

Durch die Schaffung des Military Computer Emergency Readiness Teams, kurz milCERT, erfolgte im Mai 2013 ein wesentlicher Schritt zur Stärkung der Cyber Defence-Fähigkeiten des Österreichischen Bundesheeres. Nach einer mehrjährigen intensiven Projekt- und Planungsphase eines Expertenteams wurde durch die Anpassung der Organisationspläne des Führungsunterstützungszentrums und des Abwehramtes mit der Umsetzung begonnen. Nach Beendigung der Aufstellung und der Herstellung der vollen Operationsbereitschaft 2015 wird das Österreichische Bundesheer über ein, den nationalen und internationalen Anforderungen gerecht werdendes Cyber-Kompetenzzentrum verfügen. Mit den neuen Fähigkeiten können den permanent wachsenden Gefährdungen im Cyberraum, geeignete Präventiv- und Reaktivmaßnahmen entgegengesetzt werden.

Cyber Defence - Definition

"Cyber Defence ist die Summe aller Maßnahmen zur Verteidigung des Cyber-Raumes mit militärischen und speziell dafür geeigneten Mitteln zur Erreichung militärstrategischer Ziele. Cyber Defence ist ein integriertes System und besteht in seiner Gesamtheit aus der Umsetzung der Maßnahmen zur IKT-Sicherheit und der Informationssicherheit, aus den Fähigkeiten des milCERTs, der CNO (Computer Network Operations) und der Unterstützung durch die physischen Fähigkeiten der Streitkräfte."

Entwicklung

Das Österreichische Bundesheer hat früh erkannt, dass durch den Cyberraum ein neuer operativer Raum hinzugekommen ist, der wie bei Land- und Luftraum einer operativen Entsprechung bedarf. Daher nehmen Experten schon seit Jahren an internationalen Übungen und Testungen im Cyber-Bereich teil, sei es im Rahmen der Übungsreihen European Advance (Response), des Multinational Experiment7 (MNE7), der Combined Endeavour oder der Cyber Coalition-Übungsreihe. Wesentliche Ziele dieser Übungen sind die Standardisierung der Zusammenarbeit und des Informationsaustausches der teilnehmenden Nationen und daraus resultierend auch die Weiterentwicklung der jeweiligen Cyber Defence-Fähigkeiten. Insbesondere aus der Teilnahme an der "Cyber Coalition" seit dem Jahr 2010, anfangs als Beobachter und seit 2012 als aktiver Übungsteilnehmer, konnte der Bedarf an einem Element zur Wahrnehmung der Cyber Defence-Aufgaben eindeutig abgeleitet werden. Basierend auf diesen Erkenntnissen wurde durch ein Expertenteam, gebildet aus Mitarbeitern des Führungsunterstützungszentrums und unter der Federführung des Abwehramtes, eine detaillierte Prozess- und Aufgabenanalyse hinsichtlich der Anforderungen an ein militärisches Computer Emergency Readiness-Team durchgeführt. Das Team orientierte sich in seinem Planungsansatz an den Empfehlungen der European Network and Information Security Agency (ENISA). Das milCERT soll künftig der Kern der Cyberkompetenz des ÖBH sein.

Clusterorganisation milCERT

Mit der Aufstellung der Clusterorganisation milCERT wurde ein wesentlicher Beitrag zur Bereitstellung von Cyberverteidigungsfähigkeiten für das ÖBH geleistet. Das milCERT hat sich in relativ kurzer Zeit als fixe Größe im Cybersicherheitsumfeld der Republik etabliert und trägt bereits jetzt täglich zur Cyberverteidigung des ÖBH bei.

Das milCERT leistet bei der Planung und Umsetzung proaktiver Maßnahmen Unterstützung und steuert das ressortweite IKT-Sicherheitsvorfallmanagement. Diese Fähigkeiten werden seit Mai 2013 aufgebaut und weiterentwickelt. Zum gegenwärtigen Zeitpunkt sind die Prozesse in unterschiedlichen Reifegraden erreicht. Als Zielsetzung wird das Erreichen der "Full Operational Capability" (FOC) im Jahr 2015 angestrebt. Mit Erreichen der FOC wird das milCERT die IKT-Sicherheit des BMLVS im Einsatz und während der Einsatzvorbereitung sicherstellen und durch verschiedene Dienstleistungen die Cybersicherheit der Republik Österreich unterstützen.

Die Fähigkeiten des milCERT werden als reaktive, proaktive und als Sicherheitsqualitätsmanagement-Dienste erbracht, die sich an dem Best-Practice-Modell der Europäischen Agentur für Netzsicherheit orientieren.

Der reaktive Dienst wird im Wesentlichen über das IKT-Sih-Vorfallmanagement und die Reaktion auf Schwachstellen in IKT-Produkten (Vulnerability Handling) definiert. Ziel ist es, nach dem Eintritt von erkannten Bedrohungen und Schadensfällen, den Schutzzustand der IKT-Sicherheit wiederherzustellen und die Verfügbarkeit betroffener Services sicherzustellen. Hierzu zählen die Behandlung von IKT-Sicherheitsvorfällen, nachdem sie eingetreten sind, das Bereitstellen von Notfallteams, die Reaktion auf Sicherheitslücken, die IT-Forensik sowie ein Bereitschaftsdienst, der die Alarmierungskette und die Eskalation von Entscheidungen im Anlassfall sicherstellt.

Im proaktiven Dienst sind Aufgaben zusammengefasst, die die IKT-Sicherheit bereits vor dem Eintreten von IKT-Sicherheitsvorfällen erhöhen und die für das Österreichische Bundesheer zur Aufgabenerfüllung wesentlich sind. Die Produkte des proaktiven Dienstes sind das operative konsolidierte Cyberlagebild, Risikoanalysen, ein Warndienst sowie vorzeitiges Erkennen von technischen und konzeptiven Schwachstellen, Erforschen von Verwundbarkeiten in IKT-Systemen und Erarbeitung von Handlungsempfehlungen.

Aus den technischen Aufgaben wie Netzmonitoring, der Technologieüberwachung sowie der Informationssammlung und Bewertung der Informationen wird das Cyberlagebild bereitgestellt. Mithilfe der Erkenntnisse reaktiver und proaktiver Analysen wird ein Cyberlagebild erstellt, das den Entscheidungsträgern im Rahmen des militärischen Führungsverfahrens als unterstützendes Element der Einsatzplanung und zur Ausrichtung der militärischen Kräfte und des BMVLS dient. Mittels durchgeführter Sicherheitsaudits werden Bedrohungsanalysen und daraus resultierende Handlungsempfehlungen erarbeitet.

Zum Sicherheitsqualitätsmanagementdienst zählen jene Bereiche, die der Unterstützung und Verbesserung aller milCERT-Prozesse dienen. Es sind dies das Wissensmanagement und der Lessons Learned-Prozess. Ebenso erfolgen allgemeine Beratungsleistungen zu IKT-Sicherheitsmaßnahmen und -systemen sowie deren Akkreditierung und das Erhöhen der Sensibilität zu diesem Themenbereich. Durch die beiden Erstgenannten lässt sich die Effizienz der Aufgabenerfüllung kontinuierlich steigern und die Qualität der Produkte verbessern. Es handelt sich beim Sicherheits-Qualitäts-Management also eher um Metaprozesse, die die anderen Maßnahmen wesentlich beeinflussen und die Informationssicherheit langfristig erhöhen sollen.

Die Wahrnehmung und Verschränkung aller genannten Dienste hebt das milCERT auch über die klassische CERT-Aufgabe im Sinne eines Computer Emergency Response Teams (Computer Notfall Reaktions Team) hinaus und erweitert damit das Aufgabenspektrum wesentlich, so dass man von einem Kompetenzzentrum sprechen kann. Um diese Dienste unter Vermeidung struktureller Duplikationen anbieten zu können, wurden die bereits im ÖBH bestehenden Fähigkeiten gebündelt und in einer organisationsübergreifenden Clusterorganisation abgebildet. Die wesentlichen Aufgabenträger sind im Abwehramt und im Führungsunterstützungszentrum abgebildet. Die Provider von IKT-Systemen im ÖBH werden entsprechend eingebunden. Der notwendige personelle Aufwuchs hat unter diesen Organisationseinheiten zu erfolgen. Die gemeinsame Aufgabenerfüllung wird über ein Koordinierungselement gesteuert. Diese drei Dienste werden innerhalb des Österreichischen Bundesheeres wiederum durch drei verschiedene Ebenen erbracht. Die Aufgaben sind der betriebstechnischen Ebene, der technischen Sicherheitsebene und der Koordinations- und Informationsebene zugewiesen.

Die betriebstechnische Ebene und die damit verbundenen Sicherheitsaufgaben sind durch die jeweiligen Provider im Österreichischen Bundesheer wahrzunehmen. Sie sind integraler Bestandteil des Informations- und Meldeflusses des milCERTs. Die 1st-Level-Vorfallbehandlung nach dem Eintreten von IKT-Sicherheitsvorfällen inklusive technischer Erstanalyse soll durch die Provider für IKT-Systeme im eigenen Verantwortungsbereich durch IKT-Sicherheitselemente abgedeckt werden. Das Technical Center (TC/milCERT) im Führungsunterstützungszentrum bearbeitet die technische Sicherheits­ebene. Das Technical Center ist für die Abwicklung aller technischen Aufgaben im milCERT verantwortlich, wobei das Analyse- und Warnungszentrum die zentrale Koordinierungsstelle aller technischen Aktivitäten im Vorfallmanagement darstellt.

Das Coordination & Situation Center (C&SC/milCERT) ist im Abwehramt angesiedelt und bearbeitet die Aufgaben der Koordinations- und Informationsebene. Zu diesen Aufgaben zählen die Erstellung des konsolidierten operativen Cyberlagebildes, die Koordination der Clusterorganisation und des Wissensmanagements. In der Koordinations- und Informationsebene wird durch das Incident Coordination Center das IKT-Sih-Vorfallmanagement mit nachrichtendienstlichen Elementen und den technischen Lagebildern des Technical Centers zusammengeführt.

Diese drei Ebenen zusammen bilden die Fähigkeiten des milCERTs. Nur das koordinierte Zusammenführen der Fähigkeiten aller beteiligten Dienststellen ermöglicht das Erfüllen der Aufgaben des milCERTs.

Für die einzelnen Bediensteten im Österreichischen Bundesheer ist der wesentliche Nutzen, dass mit dem Betrieb des diensthabenden Systems milCERT eine zentrale Ansprechstelle für IKT-Sicherheitsvorfälle geschaffen worden ist. Das diensthabende System hält den aktuellen Überblick über die IKT-Sicherheitsvorfälle. Im Zusammenwirken mit den anderen milCERT-Prozessen können dadurch für die Kommandanten der betroffenen Dienststelle optimale Handlungsempfehlungen angeboten werden.

Mit diesen Entwicklungen wird der erste Schritt in der Fähigkeitenentwicklung für das Österreichische Bundesheer gesetzt, um zukünftig im Cyberraum besser militärisch wirksam werden zu können.

Entwicklungsperspektiven

Nach der Etablierung des milCERTs ist ein wesentlicher nächster Schritt das Schaffen eines einheitlichen Verständnisses des Systems Cyber Defence und der militärischen Verfahren im Cyberraum innerhalb des Österreichischen Bundesheeres.

Dazu ist es einerseits nötig, das Phänomen "Cyber" in die allgemeinen militärischen Ausbildungen zu integrieren und andererseits eigene Cyberausbildungsgänge aufzubauen. Die Komplexität der Fähigkeiten der gefechtstechnischen und taktischen Cyberebene (hier sind Fähigkeiten wie Malwareanalyse, Reverse Engineering, Vulnerability Handling, Forensik, Netzwerkaudit etc. gemeint.) bedingt eine nicht zu unterschätzende Entwicklungsdauer und stellt Ansprüche an das auszubildende Personal. Im System Cyber Defence wird sowohl technisches als auch militärisches Personal benötigt. Daher muss sowohl an die militärische Ausbildung von technischem, aber auch an die technische Ausbildung von militärischem Personal gedacht werden. Neben dem Bereich der Eigenausbildung sollten aber auch andere Möglichkeit zur Fähigkeitenentwicklung angedacht werden. Insbesondere die Begrifflichkeiten "Cybergrundwehrdienst" und "Cybermiliz" stehen immer wieder als Schlagworte im Raum. Was kann man sich darunter vorstellen?

Cybergrundwehrdienst

In der zweiten Jahreshälfte 2014 haben die ersten "Cybergrundwehrdiener" ihren Dienst angetreten. Die eigens ausgewählten Grundwehrdiener werden zur Open Source Intelligence und Informationsauswertung im Cyber Documentation and Research Center beim Führungsunterstützungsbataillon 2 in St. Johann i. Pongau und in der Zentraldokumentation/LVAk eingesetzt. Durch die strukturierte Informationsgewinnung unterstützen sie die Erstellung des konsolidierten operativen Cyberlagebildes.

Trotz der Problematik ausreichend Spezialisten anwerben zu können, ist der Einsatz von Grundwehrdienern zur Analyse von Schadcode oder in der Systementwicklung im Moment nicht vorgesehen. Denn dem Einsatz von Grundwehrdienern in diesen Bereichen widerspricht die kurze Nutzungsdauer von maximal vier Monaten bei einem unverhältnismäßig hohen Einarbeitungsaufwand. Daher wäre das Schaffen von eigenen Dienstmodellen, beispielsweise analog dem für Militärmusiker, ein denkbarer Schritt, um die Nutzungsdauer von Cybergrundwehrdienern zu erhöhen. Der Grundwehrdiener würde bereits mit der Stellung einem Aufnahmeverfahren unterzogen, er verpflichtet sich als Person im Ausbildungsdienst und wäre somit für zwölf Monate in der Funktion einsetzbar. Da hier vermutlich hauptsächlich HTL-Maturanten angesprochen würden, ist ein zwölfmonatiger Ausbildungsdienst auf dem Weg zum Studium nicht unrealistisch. Darüber hinaus könnte ein Modell ähnlich den Kaderpräsenzeinheiten für die zeitlich begrenzte Verpflichtung von Cybersoldaten angedacht werden. Insbesondere für angehende Studenten wäre hier die finanzielle Berufsförderung als Verpflichtungsanreiz zu sehen. Wenn man dieses Modell konsequent weiterverfolgt, führt dies zur "Cybermiliz".

Cybermiliz

Der Cybergrundwehrdiener würde für zwölf Monate verwendet, wählt ein Studium im Informatikbereich und kann weiterführende Lehrgänge beim Österreichischen Bundesheer in der Ferienzeit besuchen. In seinem späteren Berufsleben würde bei einer einschlägigen Spezialisierung im Beruf die bereits gewonnene Praxis in der Cyber Defence während des Grundwehrdienstes und seiner bisherigen Milizlaufbahn sicherlich als Vorteil gegenüber "normalen" Absolventen anerkannt werden. Denn im Gegensatz zu so manchem anderen Milizkameraden könnte sein vertieftes Wissen im zivilen Umfeld direkt angewendet und der neuen Firma Ausbildungskosten erspart werden. Hier zeigt sich auch, warum das Modell der Cybermiliz erfolgreich umgesetzt werden könnte: das Militär bildet Spezialisten aus. Gerade im Bereich der Cyber- und IKT-Sicherheit kosten Ausbildungen im privaten Umfeld viel Geld und bestimmtes Know-how wird an zivilen Ausbildungslehrgängen gar nicht angeboten.

Der Milizsoldat bekäme darüber hinaus auch die Möglichkeit geboten, am militärischen Übungsangebot teilzunehmen und so seine erworbenen Fähigkeiten zu testen und zu trainieren. Das Österreichische Bundesheer übt bereits derzeit mit dem Cooperative Cyber Defence Centre of Excellence (CCDCoE) der NATO in Tallinn/Est auf virtuellen Übungsplätzen - sogenannten Cyber Ranges. Dabei handelt es sich um in sich abgeschlossene Netzwerke zum Üben von Verteidigungsmaßnahmen. Für Behörden und Unternehmen vor allem der kritischen Infrastruktur, die sich ebenfalls intensiv um ihre Cybersicherheit bemühen müssen, ergäbe sich daher das verlockende Angebot, Cybermilizsoldaten bevorzugt anzustellen.

Ein Vorteil für das Österreichische Bundesheer bestünde dabei in der Erhöhung der Anzahl an verfügbaren Cyberexperten - bei vergleichsweise niedrigen Personalkosten. Der wesentlich größere Vorteil ergäbe sich aber durch das Bereithalten von Experten, die nicht nur die vorher erprobten Einsatzverfahren und militärischen Abläufe kennen, sondern vor allem auch an den Systemen der kritischen Infrastruktur täglich mitarbeiten. Dadurch könnte das Österreichische Bundesheer einen erheblichen Wissenszuwachs erzielen, den es ohne die Milizkomponente nicht erreichen kann.

Die Cybermiliz wäre bereits im Rahmen von Waffenübungen beispielsweise zur Entwicklung von Softwareprojekten oder zur Aufarbeitung von speziellen Problemstellungen nutzbar. Dies kann auch zeitlich und örtlich getrennt von der Truppe stattfinden - eine weitere Eigenart des Cyberraumes.

Folgerichtig könnten diese Überlegungen zur Schaffung einer neuen Waffengattung innerhalb des Österreichischen Bundesheeres führen.

Alles Utopie?

Tatsächlich gibt es bereits internationale Beispiele, die diesen Schritt gesetzt haben. Ob es im Österreichischen Bundesheer zur Ausprägung einer eigenen Cybertruppe neben der Führungsunterstützung kommt oder ob diese beiden Bereiche miteinander verschmelzen, und welche Zukunft dabei der Cybergrundwehrdiener und die Cybermiliz spielen, wird derzeit neben den Überlegungen zur Schaffung eines Cyber Defence Centers im Österreichischen Bundesheer durch die Projektgruppe Cyber Defence erarbeitet.

Zusammenfassung

Das milCERT als Teil des österreichischen CERT-Verbundes ist das operative Cyber Koordinierungs- und Kompetenzzentrum im ÖBH. Es stellt Informationen und Unterstützung für alle Kommanden und Dienststellen des BMLVS und nach Bedarf auch für andere Bundesdienststellen zur Verfügung. Das milCERT unterstützt bei der Planung und Umsetzung proaktiver Maßnahmen zur Verhinderung von IKT-Sicherheitsvorfällen. Es stellt die IKT-Sicherheit des BMLVS im Einsatz und während der Einsatzvorbereitung sicher und unterstützt durch verschiedene Dienstleistungen die Cybersicherheit der Republik Österreich.

Das Österreichische Bundesheer hat sich aufgrund der steigenden Bedeutung der Prävention entschlossen - angelehnt an die etablierte Begriffswelt - mit der Benennung des milCERTs einen eigenen Weg zu gehen. milCERT steht dabei für Military Computer Emergency Readiness Team. Die Verwendung des Begriffes Readiness anstatt Response hat zwei Gründe:

- Die Abänderung drückt die wesentliche Erweiterung des Aufgabenspektrums gegenüber einem traditionellen CERT- oder CSIRT-Team aus. Hier ist insbesondere das Erstellen des operativen Cyberlagebildes herauszustreichen.

- Die Beibehaltung der traditionellen Abkürzung CERT im Sinne einer Trademark erleichtert den Kontakt mit nationalen und internationalen Partnerorganisationen wie dem Österreichischen CERT-Verbund. Dadurch können Partner die Organisation und ihre Fähigkeiten sofort richtig einordnen. (Mattes, Phillip; Die Wissensarbeit im Military Computer Emergency Readiness Team).

Dem Österreichischen Bundesheer wurde am 2. Mai 2013 offiziell von der Carnegie Mellon University zugesprochen, den Namen AUT-milCERT zu verwenden.

Cyber Raum

Gemäß Bundeskanzleramt, Österreichische Strategie für Cyber Sicherheit (ÖSCS), Wien 2013, S. 21, ist der "Cyber Raum der virtuelle Raum aller auf Datenebene vernetzten IT-Systeme im globalen Maßstab. Dem Cyberraum liegt als universelles und öffentlich zugängliches Verbindungs- und Transportnetz das Internet zugrunde, welches durch beliebige andere Datennetze ergänzt und erweitert werden kann. Im allgemeinen Sprachgebrauch bezeichnet Cyberspace auch das weltweite Netzwerk von verschiedenen unabhängigen IK-Infrastrukturen, Telekommunikationsnetzen und Computersystemen. In der sozialen Sphäre kann bei Benutzung dieses globalen Netzwerkes zwischen Individuen interagiert werden, Ideen ausgetauscht, Informationen verteilt, soziale Unterstützung gewährt, Geschäfte getätigt, Aktionen gelenkt, künstlerische und mediale Werke geschaffen, Spiele gespielt, politisch diskutiert und vieles mehr getan werden. Cyber Space ist zum Überbegriff für Alles mit dem Internet Verbundene geworden. Viele Staaten betrachten die vernetzte IKT und die unabhängigen Netzwerke, die über dieses Medium operieren als Teil ihrer "Nationalen Kritischen Infrastrukturen".

CERT/CSIRT

Mit dem Aufkommen der ersten größeren Bedrohung der IT-Infrastruktur durch einen Wurm namens "Morris", der sehr rasch verbreitet worden ist und so eine Vielzahl an IT-Systemen infizieren konnte, wurde der Bedarf an einem koordinierten Informationsaustausch zwischen Systemadministratoren und IT-Führungskräften erkannt. Die Lösung, die durch die Defence Advanced Research Projects Agency (DARPA) - einer Behörde des US Verteidigungsministeriums - erarbeitet wurde, war das CERT Coordination Center (CERT/CC), das an der Carnegie Mellon Universität in Pittsburgh (USA) installiert wurde. Dabei steht CERT für Computer Emergency Response Team. Dieser Begriff ist durch das CERT/CC als geschützte Marke eingetragen. Aufgrund des erhöhten administrativen Aufwandes zum Erwerb des geschützten Namens CERT hat sich vielfach auch als Synonym der Begriff CSIRT etabliert. CSIRT ist das Akronym für Computer Security Incident Response Team.

Unter beiden Begriffen wurde anfänglich ein Reaktionsteam für Compu­tersicherheitsverletzungen verstanden. In der Praxis hat sich jedoch gezeigt, dass es wesentlich effektiver wäre, vor Schadenseintritt bereits Maßnahmen zu setzen, um die Schadensfälle zu verringern. Daher sind diese Organisationen heute meistens umfassender strukturiert und bieten auch Dienstleistungen im präventiven Bereich, wie Warnungen oder Sicherheitsratschläge, aber auch Schulungsmaßnahmen und Sicherheitsmanagementdienste an.

---

Abwehramt