Abwehramt: Sicherheitsakkreditierung von Informations- und Kommunikationssystemen
Im Österreichischen Bundesheer (ÖBH) müssen klassifizierte Informationen gemäß Geheimschutzvorschrift entsprechend geschützt werden! Dies trifft umsomehr bei IKT-Systemen zur Verarbeitung klassifizierter Informationen zu. Das Abwehramt hat die Kompetenz der Zulassung von Schutzsystemen und ist für die Harmonisierung von NATO- und EU-klassifizierten Informationen zuständig.
Mit der Einführung des Waffensystems Eurofighter im Jahre 2005 mussten im ÖBH NATO-Sicherheitsstrukturen abgebildet, respektive Aufgaben wahrgenommen werden, die die Sicherheit von klassifizierten Informationen gemäß Geheimschutzvorschrift, die in Informations- und Kommunikationssystemen (IKT-Systemen) verarbeitet werden, gewährleisten. Ebenso war dies eine Vorgabe der Europäischen Union, die sich in einem Beschluss des Rates über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen begründet.
Eine effektive Informationssicherung stellt ein angemessenes Niveau an Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität und Beweisbarkeit sicher und stützt sich auf einen Risikomanagementprozess. Dabei muss auf die Verhältnismäßigkeit zwischen dem Schutzbedarf und den Investitionen für die Absicherungsmaßnahmen und auf Anwenderfreundlichkeit und Akzeptanz des Systems geachtet werden.
Unter einem IKT-System versteht man ein System, das die Bearbeitung von Informationen in elektronischer Form ermöglicht. Zu einem IKT-System gehören sämtliche für seinen Betrieb benötigten Voraussetzungen, einschließlich der Infrastruktur und dem Personal. Um einen entsprechenden Informationsschutz in IKT-Systemen zu erreichen, sind nachstehende Erfordernisse Voraussetzung:
- Der Zugang zu klassifizierten Informationen in IKT-Systemen darf nur für Personen möglich sein, die entsprechend der jeweiligen Klassifizierungsstufe sicherheitsbelehrt bzw. sicherheitsgeprüft (Verpflichtung zum Geheimschutz bzw. Sicherheitsüberprüfung gem. Sicherheitspolizeigesetz/SGP oder Verlässlichkeitsprüfung gem. Militärbefugnisgesetz/MBG) sind. Diese Maßnahmen werden unter dem Begriff "Personal Security" zusammengefaßt.
- IKT-Systeme, in denen klassifizierte Informationen bearbeitet werden, dürfen nur in ihren Klassifizierungsstufen entsprechend abgesicherten Bereichen betrieben werden. Die NATO unterscheidet hier zwischen Administrative Area, Security Area Class I und Security Area Class II. Die EU unterscheidet zwischen Verwaltungsbereichen, besonders geschützten Bereichen und technisch abgesicherten Bereichen.
Im ÖBH unterscheidet man Bereiche von der Sicherheitsstufe A bis zur Sicherheitsstufe D, die man im weitesten Sinne als "nationale Äquivalente" ansehen kann. An einer "Harmonisierung" mit den EU- und NATO-Bereichen wird gearbeitet.
Die Maßnahmen zur "baulichen Absicherung" von Bereichen werden unter dem Begriff "Physical Security" subsumiert. Die Vorgaben der "Physical Security" sind für den Normbetrieb ausgelegt und anzuwenden. In Einsatzszenarien werden sie überwiegend durch entsprechende Maßnahmen z. B. Bewachung, "Out of bounds", kompensiert.
Klassifizierte Informationen, die in IKT-Systemen bearbeitet werden, unterliegen einer entsprechenden Verwaltung, selbst wenn diese automatisiert erfolgt. Diese Maßnahmen werden unter dem Begriff "Document Security" erfasst. Die Hard- und Software selbst, mit der klassifizierte Informationen bearbeitet werden, unterliegen ebenfalls entsprechend der Klassifizierungsstufe einer Vielzahl von Bestimmungen bzw. Vorschriften, die unter den Begriff "Technical Security" fallen. Dieses Spektrum erstreckt sich von Maßnahmen zur Verhinderung/Minderung von elektromagnetischen Abstrahlungen bis zur Verwendung von entsprechend zugelassenen Hardware- oder Softwareverschlüsselungen oder einer entsprechenden Verkabelung zur Absicherung von Übertragungswegen sowie Vorgaben zur Absicherung von Systemübergängen und Zusammenschaltungen etc.
Um sicherzustellen, dass ein IKT-System zur Bearbeitung von klassifizierten Informationen entsprechend geschützt ist bzw. dass die darin bearbeiteten Informationen einen adäquaten Schutzzustand haben, werden derartige Systeme sicherheitsakkreditiert, das heißt, von der Planung des Systems selbst über einen Probebetrieb bis hin zur "vollständigen Indienststellung" durchläuft es einen Zulassungsprozess, der garantiert, dass die entsprechenden nationalen oder bi- bzw. multilateralen Vorschriften zur Informationssicherung eingehalten werden. Die Dokumentation derartiger Systeme erfolgt mit den systemspezifischen Sicherheitsanforderungen (internationales Pendant: Specific Security Requirement Statement - SSRS) und den sicherheitsbezogenen Betriebsvorschriften (internationales Pendant Security Operations - SecOps).
Den Abschluss eines solchen Zulassungsprozesses bildet eine Bestätigung der für die Sicherheitsakkreditierung zuständigen Stelle im ÖBH, die neben dem System die zu verarbeitende Klassifizierungsstufe und die Gültigkeitsdauer der Sicherheitsakkreditierung festlegt. IKT-Systeme werden in bestimmten Intervallen entsprechenden Kontrollen unterzogen, um sicherzustellen, dass einerseits die vorgegebenen Bestimmungen eingehalten werden und andererseits die eingesetzte Technologie den zeitgemäßen Erfordernissen der Informationssicherheit entspricht. Müssen Komponenten oder Anwendungen mit Auswirkungen auf die IKT-Sicherheit erneuert oder ergänzt werden, kann dies mittels einer Freigabe zur Verwendung (Anm.: durch die Security Accreditation Authority - SAA) erfolgen oder eine Neuzulassung erfordern. Abgeleitet aus einschlägigen Bestimmungen waren für die Sicherheitsakkreditierung von IKT-Systemen nachstehend angeführte Stellen im Abwehramt bzw. Führungsunterstützungszentrum zu bilden:
- Eine Sicherheits-Akkreditierungsstelle zur Festlegung von Sicherheitsrichtlinien, Strukturen und Verfahren und zur formellen Sicherheitsakkreditierung nach Überprüfung der Einhaltung von bi- oder multilateralen oder nationalen Vorgaben (NATO- und EU-Pendant: SAA). Die SAA wird ressortintern und -extern durch den Leiter der nachrichtendienstlichen Abwehr vertreten. Eine Krypto-Zulassungsstelle zur Sicherstellung, dass verwendete kryptografische Produkte den nationalen, EU- oder NATO-Kryptografiekonzepten entsprechen (NATO-Pendant: National Communication Security Authority - NCSA, EU-Pendant: Crypto Accreditation Authority - CAA).
- Eine TEMPEST-Stelle zur Sicherstellung der Einhaltung von nationalen, EU- oder NATO-Vorgaben in Bezug auf kompromittierende elektromagnetische Abstrahlung (NATO- und EU-Pendant: TEMPEST Authority - TA).
- Eine Krypto-Verteilungsstelle zur Sicherstellung der Einhaltung von Vorgaben und Festlegung von Strukturen und Verfahren zur sicheren Verwendung des Kryptomaterials und das Krypto-Schlüsselmanagement (NATO-Pendant: National Distribution Authority - NDA, EU-Pendant: Crypto Distribution Authority - CDA).
- Eine Stelle für Informationssicherung zur Festlegung und Ausführung technischer Vorgaben der Informationssicherheit sowie die Erstellung von technischen Detailplanungen und die Durchführung des Risikomanagements (NATO-Pendant: INFOSEC Planning an Implementation Authority - IA, EU-Pendand: Information Assurance Authority - IAA).
- Eine Stelle für Betriebssicherheit zur Dokumentation der betriebenen Systeme, Bereitstellung der erforderlichen Unterlagen für den Akkreditierungsprozess der Systeme und der Unterstützung und Implementierung von Informationssicherheitsvorkehrungen und deren Überprüfung (NATO und EU Pendant: INFOSEC Operating Authority - IOA).
Zur Unterstützung des Leiters des Abwehramtes, der auch Mitglied der Informationssicherheitskommission - ISK im Bundeskanzleramt ist, wurde das Sicherheitsakkreditierungsgremium (Internationales Pendant: Security Accreditation Board - SAB) gebildet, das grundsätzlich zweimal im Jahr oder anlassbezogen tagt. Es besteht aus Leitern der Dienststellen mit IKT-Kompetenz und Vertretern der operativen Kommanden und einer Kontrollinstanz und fungiert als beratendes Organ in Angelegenheiten der Sicherheitsakkreditierung.
Mit dem Bundesgesetz über die Umsetzung völkerrechtlicher Verpflichtungen zur sicheren Verwendung von Informationen, dem Informationssicherheitsgesetz (InfoSiG) aus dem Jahre 2002, wurde die Informationssicherheitskommission (ISK) geschaffen, die als Kollektivorgan für die Informationssicherheit fungiert. Sie besteht aus den Informationssicherheitsbeauftragten der Ressorts und ist im Bundeskanzleramt angesiedelt (Multilaterales Pendant: National Security Agency - NSA).
Die ISK teilte der korrespondierenden NATO-Dienststelle (dem NATO Office for Security - NOS) im Jahr 2006 mit, dass die im ÖBH für die Informationssicherheit gebildeten Stellen (Authorities) unter der Verantwortung des Abwehramtes die Aufgaben für IKT-Systeme wahrnehmen, in denen NATO-klassifizierte Informationen verarbeitet werden. Die Zuständigkeit für EU-klassifizierte Informationen verblieb vorerst bei der ISK.
Diese Konstellation bewirkte, dass die Sicherheitsakkreditierung für IKT-Systeme im ÖBH, in denen NATO-klassifizierte Informationen verarbeitet wurden, durch das AbwA erfolgte. Für eine formale Zulassung der IKT-Systeme, in denen EU-klassifizierte Informationen verarbeitet wurden, war die ISK zuständig. Nachdem im ÖBH der Bedarf an IKT-Systemen besteht, in denen sowohl NATO- als auch EU-klassifizierte Informationen bearbeitet werden können, wurde die "Doppelgleisigkeit" der Zuständigkeiten mit einer Novelle der Informationssicherheitsverordnung (InfoSiV) im Jahre 2013 dahingehend bereinigt, als die Informationssicherheitskommission das Abwehramt, respektive die nachrichtendienstliche Abwehr (ndAbw), mit den Aufgaben einer Zertifizierungsstelle für IKT-Systeme, die der Erfüllung von Aufgaben des Bundesheeres gem. Art. 79, Abs. 1 B-VG dienen, betraute. Somit fungiert die ndAbw als Sicherheitsakkreditierungsstelle des BMLVS für militärische IKT-Systeme.
Eine der wesentlichen Herausforderungen im Bereich der Sicherheitsakkreditierung von IKT-Systemen besteht darin, die bi- und multilateralen und nationalen Vorschriften auf Aktualstand zu halten, entsprechend zu interpretieren und umzusetzen. Dies insbesonders im Hinblick auf zu tätigende Investitionen zum Informationsschutz, selbst bei der derzeit finanziell angespannten Lage im ÖBH, bzw. generell in der staatlichen Verwaltung.
Definitionen
Vertraulichkeit: Informationen werden gegenüber unbefugten Personen, Stellen oder Verarbeitungsprozessen nicht offengelegt - Zugriffsschutz.
Verfügbarkeit: Informationen sind auf Anfrage einer befugten Stelle verfügbar und nutzbar.
Integrität: Die Genauigkeit und die Vollständigkeit der Informationen sind gewährleistet - Änderungsschutz.
Authentizität: Die Garantie, dass Informationen echt sind und aus glaubwürdigen Quellen (Bona-fide-Quellen) stammen.
Beweisbarkeit: Die Möglichkeit des Nachweises, dass ein Vorgang oder ein Ereignis stattgefunden hat, so dass dieser Vorgang oder dieses Ereignis nicht nachträglich abgestritten werden kann.
Abwehramt