Bayerisches Staatsministerium des Innern und für Integration

Transkript

1 Bayerisches Staatsministerium des Innern und für Integration Verfassungsschutzinformationen Bayern 1. Halbjahr 2018 Fünf Jahre Cyber-Allianz-Zentrum Bayern Fünf Jahre erfolgreiches Wirken des im Zuge der Bayerischen Cybersicherheitsstrategie zum 1. Juli 2013 neu eingerichteten Cyber-Allianz-Zentrums Bayern (CAZ) Das Angebot des CAZ wird gut angenommen, auch bei kritischen und sensiblen Angriffen In bereits ca. 900 Fällen wurde das CAZ um Unterstützung gebeten, um mögliche Cyberangriffe auf Einrichtungen von Wirtschaft, Wissenschaft und Politik zu erkennen und wirksame Gegenmaßnahmen zu ermöglichen Im Bayerischen Landesamt für Verfassungsschutz (BayLfV) wurde zum 1. Juli 2013 das CAZ eingerichtet. Das CAZ unterstützt bayerische Unternehmen und Betreiber Kritischer Infrastruktur (KRITIS) als zentraler Ansprechpartner und Kompetenzzentrum bei der Prävention und Abwehr von Bedrohungen aus dem Netz. Insgesamt hat das CAZ in den vergangenen fünf Jahren ca. 900 Anfragen erhalten und daraus über 200 Fälle generiert, bei denen der Verdacht auf einen nachrichtendienstlich gesteuerten elektronischen Angriff bestand. Fallbearbeitungen resultieren zum Teil aus Hinweisen von Unternehmen und befreundeten Behörden bzw. basieren auf eigenen Ermittlungsansätzen und Erkenntnissen. Die Analyse führt teilweise zu sehr komplexen Sachverhalten, die einen hohen Arbeitsaufwand notwendig machen.

2 - 2 - Struktur und Arbeitsweise Die Fallbearbeitung gliedert sich in drei Säulen: forensisch-technische Analyse nachrichtendienstliche Bewertung Kommunikation und Netzwerkbildung Grafik: Bayerisches Landesamt für Verfassungsschutz Meldungen zu Vorfällen nimmt der Bereich Kommunikation des CAZ auf und berät gemeinsam mit den betroffenen Wirtschaftsunternehmen vertraulich über das weitere Vorgehen. Gibt es Anhaltspunkte für einen gezielten Angriff, erfolgt zunächst die Analyse aus forensisch-technischer Sicht. Gleiches gilt für gezielte Angriffe auf staatliche Stellen, die ebenfalls im CAZ analysiert werden. Die technischen Ergebnisse fließen weiter in die zweite Säule des CAZ, in der eine nachrichtendienstliche Bewertung stattfindet. Alle Ergebnisse werden im CAZ gesammelt und intern weiterverarbeitet; neben dem betroffenen Unternehmen erhalten auch andere, möglicherweise ebenfalls von einem ähnlichen Angriff betroffene, Unternehmen Informationen zu den erkannten Angriffsmustern in anonymisierter Form. Dadurch können Schutzmechanismen optimiert und Angriffe wirksam abgewehrt werden. Netzwerkbildung Zwischen zahlreichen Unternehmen der bayerischen Wirtschaft und dem BayLfV hat sich eine über viele Jahre gewachsene Sicherheitspartnerschaft entwickelt. Mit dem Bereich Wirtschaftsschutz steht das BayLfV im Rahmen der präventiven Spionage- und Sabotageabwehr schon seit über zehn Jahren im engen Kontakt mit der bayerischen Wirtschaft. Es bietet rund um die Themen Proliferation, Wirt-

3 - 3 - schafts- und Wissenschaftsspionage kostenfreie Serviceleistungen an, z. B. allgemeine Vorträge zur Sensibilisierung bis hin zu vertraulichen Gesprächen in betroffenen Firmen und Hochschulen. Die Zuständigkeit des Verfassungsschutzes ergibt sich aus dem gesetzlichen Auftrag zum Schutz vor der Spionagetätigkeit ausländischer Nachrichtendienste. Das CAZ unterhält feste Kontakte zu rund 170 Unternehmen, wissenschaftlichen Einrichtungen und KRITIS-Betreibern. Im Bereich der Cybersicherheit arbeitet das CAZ zudem mit unterschiedlichen Akteuren auf Landes- und Bundesebene zusammen, beispielsweise mit dem Bundesamt für Verfassungsschutz (BfV) und den Verfassungsschutzbehörden der anderen Länder sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Als Institution im besonderen staatlichen Interesse (INSI) gehört das CAZ zudem der Nationalen Allianz für Cyber-Sicherheit an. Auf Landesebene ist das CAZ ein wichtiger Baustein der Initiative Cybersicherheit, die 2013 im Rahmen der Bayerischen Cybersicherheitsstrategie ins Leben gerufen wurde. Weitere institutionelle Säulen der Initiative Cybersicherheit sind das Sachgebiet Cybersicherheit beim Bayerischen Staatsministerium des Innern und für Integration sowie das Dezernat 54- Cybercrime im Bayerischen Landeskriminalamt. Das CAZ unterhält darüber hinaus Kontakte zu den Cybercrime-Schwerpunktdienststellen München und Nürnberg. Außerdem findet ein Austausch mit dem neu gegründeten Landesamt für Sicherheit in der Informationstechnik (LSI) statt. Eine enge Zusammenarbeit verbindet das CAZ mit den Industrie- und Handelskammern (IHK) sowie mit den Wirtschaftsverbänden. Auch in den Hochschulbereich bestehen vielfältige Sicherheitspartnerschaften. Bilanz Das CAZ hat sich seit seiner Gründung im Juli 2013 als vertrauenswürdiger und kompetenter Ansprechpartner für Unternehmen, KRITIS-Betreiber und Wissenschafts- bzw. Forschungseinrichtungen bei der Prävention und Aufklärung elektronischer Angriffe mit Spionage- oder Sabotagehintergrund etabliert. Durch den Aufbau eines Vertrauensverhältnisses zu zahlreichen Unternehmen und Einrichtungen ( Sicherheitspartnerschaft ) konnte erreicht werden, dass immer mehr Be-

4 - 4 - troffene Cybervorfälle freiwillig an das CAZ melden und sich dort präventiv oder im Nachgang zu Vorfällen beraten lassen, um zukünftig besser geschützt zu sein. Seit 2013 hat das CAZ zudem über 100 individuelle Sensibilisierungsgespräche in Unternehmen oder an Hochschulen geführt und über 200 Fachvorträge bei einzelnen Bedarfsträgern oder auf Informationsveranstaltungen und Messen gehalten. Hervorzuheben sind insbesondere Ermittlungen im Zusammenhang mit zwei international agierenden Angreifergruppen mit mutmaßlich nachrichtendienstlichem Hintergrund aus dem Iran und aus Russland: So ist es dem CAZ gelungen, einen groß angelegten Cyberangriff, der auf deutsche und internationale Unternehmen unterschiedlicher Branchen sowie Universitäten innerhalb und außerhalb der EU abzielte, aufzudecken. Der Angreifer hatte sich unberechtigt Zugriff auf mehrere Benutzerkennungen für Firmen- bzw. Universitätsserver verschafft und konnte sich somit in das interne Rechnernetz der Zielobjekte einloggen. Ein betroffenes bayerisches Unternehmen stellte den Angriff fest und zog das CAZ zur Beratung hinzu. Mittels forensisch-technischer Analyse wurden die genutzten Schadprogramme und Angriffsvektoren untersucht, um Informationen über die verwendete technische Infrastruktur zu erhalten und Rückschlüsse auf den Angreifer ziehen zu können. Die nachrichtendienstliche Bewertung ergab, dass internationale Unternehmen aus den Branchen Petrochemie, Maschinenbau, Rüstung, Luft- und Raumfahrt und die in diesen Fachbereichen spezialisierten Universitäten im Fokus des Angreifers standen. Im Ergebnis ließ die Analyse auf einen iranischen Hintergrund schließen. Das CAZ leitete Informationen zu dem erkannten Angriffsmuster in Form einer anonymisierten Warnmeldung an potenziell gefährdete bayerische Unternehmen und Hochschulen weiter, damit diese ihre Systeme gezielt untersuchen und frühzeitig geeignete Schutzmaßnahmen ergreifen konnten. In einem weiteren Fall führten Ermittlungen im Zusammenhang mit dem G7-Gipfel in Elmau zur sogenannten SOFACY-Gruppe. Diese mutmaßlich von Russland aus agierende Gruppierung war seit 2009 wiederholt durch gezielte Spionageangriffe aufgefallen. Weitere Opfer waren u. a. Militärattachés, Verteidigungsministerien, Militärangehörige, Polizeimissionen im Ausland, Forschungseinrichtungen sowie Rüstungs- und Energieunternehmen. Umfangreiche Hintergrundermittlungen des

5 - 5 - CAZ lieferten ausreichende Anhaltspunkte für die Einleitung eines Ermittlungsverfahrens durch die Bundesanwaltschaft im Hinblick auf eine gezielte Spionage- Angriffskampagne eines russischen Nachrichtendienstes gegen die Bundesrepublik Deutschland.