Die strategische Dimension von Cyber Security. Ein Überblick der nationalen und internationalen strategischen Ausrichtung

Transkript

1 Die strategische Dimension von Cyber Security Ein Überblick der nationalen und internationalen strategischen Ausrichtung Roland Ledinger Wien, April 2013

2 Überblick & Navigation Einordnung des Themas IKT Sicherheitsstrategie Österreichische Strategie zur Cyber Sicherheit EU Aktivitäten in Bezug auf Cyber Security 2

3 Themen, die eine digitale Welt dominieren! Open data Open Government Web 2.0 Semantic Web Facebook Twitter Blogs Wiki Social Media Stuxnet Social EngineeringKritische Infrastruktur Botnetze Cyber Security CERT GovCERT IaaS Private Cloud PaaS SaaS Collaboration Participation Youtube Cloud Computing Mobiles Breitband Video Standardisierung Public Cloud Smartphone HTML5 Apps Tablet Location based Services App Stores Shared Service Virtualisierung Zentralisierung Smart Meter Green IT Smart Grid 3

4 In welchem Umfang findet das digitale Leben statt? über 900 Mio Facebook User, davon 2,5 Mio in Ö 2 Mrd Internetuser 5 Mrd Handyverträge 146 % Mobiltelefon Penetration in Ö; 5,67 Mrd. min und 1,78 Mrd SMS im 4.Q TB im 4.Q 2010 mittels Mobiltelefone heruntergeladen Prognose, jedes 3. verkaufte Handy ist ein Smartphone und hat Internet immer dabei 200 Mrd s werden täglich verschickt 15 Petabyte täglicher Datenzuwachs = Zeichen durchschnitt , in Spitzenzeiten bis zu Rechner in D Teil eines Botnetzes (Stand 2010) 4

5 Was sind die wesentlichen Elemente der Sicherheit in einer digitalen Welt? Geheimhaltung/Vertrauen Eine IKT-Sicherheitsstrategie muss folgende Punkte adressieren Integrität Legalität Authentizität/Echtheit Verfügbarkeit Schutz der Privatsphäre Datensicherheit 5

6 Cyber Security Strategie Informationssicherheit NetzsicherNetzsicherheit heit Cyber Crime Cyber Defense Applikationssicherheit InternetInternetsicherheit sicherheit Schutz kritische Informationsinfrastruktur IKT Sicherheitsstrategie 6

7 Tätigkeitsfelder des öster. Bundeskanzleramts Rechtlicher Rahmen von IKT Sicherheit Informationssicherheit Klassifizierung Präventive IKT Sicherheitsmaßnahmen Incidents- und Krisenmanagement Datenschutz Kom. ISK APCIP IKT Strategie PlattformDigitalAustria E-Government Koordination der IKT Sicherheits-/Cyber Security Strategie International Cyber-Security Kontakte GovCERT CIIP-Coordination ZAS Physischer Datensicherheit 7 7

8 Stakeholder aus dem privaten BKA und öffentlichen Sektor CIIP CIP Coordination GovCERT Platform Digital Austria Coordination Nationaler Sicherheits rat Federal Government BKA/BM.I Ener gy CERT.at ISK Indust ry Research Austri an Trust Circle Heal th Education Financ e KSÖ Transportati on CI Operators Countries Cities Communi ties Awareness Interest Associations SKKM FüUZ AbwAmt HNa BVT BK BM.I BMLVS 8 8

9 Stakeholder aus dem privaten und öffentlichen Sektor CIP CIP Coordination Coordination GovCERT GovCERT CIIP CIIP Coordination Coordination Nationaler Nationaler Sicherheits Sicherheits rat rat BKA/BM.I Federal Federal GovernGovernment ment Ener gy Platform Platform Digital Digital Austria Austria CERT.at ISK ISK Indust ry Research Austri an Trust Circle Heal th Education Financ e KSÖ Transportati on CI Operators Countries Countries Cities Cities Communi Communi ties ties Awareness Interest Associations SKKM SKKM FüUZ FüUZ AbwAmt AbwAmt HNa HNa BVT BVT BK BK 9 9

10 Überblick & Navigation Einordnung des Themas IKT Sicherheitsstrategie Österreichische Strategie zur Cyber Sicherheit EU Aktivitäten in Bezug auf Cyber Security 10

11 Gemeinsame Erarbeitung stand im Fokus Buttom-up Ansatz Ziel war die Erstellung einer nationalen IKT Sicherheitsstrategie als Grundlage für die Cyber Security Strategie Österreichs konkrete Maßnahmen und eine Roadmap Prozess sollte alle Aspekte betrachten und alle Stakeholder einbinden (BMI, BMLVS, BMF, BMxx, GovCERT, CERT, CERT-VERBUND, ACT-Austrian Trust Circle, Länder, Städte- und Gemeindebund, KSÖ, div Institutionen, privaten Sektoren der kritischen Info-Infrastruktur, ) WICHTIG: eine breite Basis finden, die für die Umsetzung der Roadmap notwendig ist 11

12 Zeitlicher Ablauf Detailausarbeitung von Maßnahmen Monitoring des Maßnahmenkataloges Evaluierung und Nachjustierung Ausarbeitung IKT Sicherheitsstrategie Ausgangssituation - Lagebild Strategische Zielsetzung Strukturen Maßnahmen Katalog Sofortmaßnahmen Sofortmaßnahmen Begleitende Koordination und Kommunikation Maßnahmen Maßnahmen Maßnahmen 12

13 Kickoff für den Prozess Am 16. November Kickoff Veranstaltung Über 200 Teilnehmer aus den verschiedenen Sektoren Präsident Hange vom BSI Deutschland war Keyspeaker. Zwei Drittel der Teilnehmer haben sich für Arbeitsgruppen nominiert. Daher eine der größten IKT SicherheitsInitiative über alle Sektoren hinweg

14 Die Elemente der Strategie-Erarbeitung Ausgangssituation IKT in Österreich, Gefährdungslage, Rahmenbedingungen, politische Ziele, Basisprinzipien, Vision, Leitbild, abgeleitete Maßnahmen, Strategische Zielsetzungen Awareness, Schutz kritischer Informations-Infrastrukturen, IKT Sicherheit für BürgerInnen, IKT Sicherheit für die Wirtschaft, IKT Sicherheit in der öffentlichen Verwaltung, IKT Sicherheit im militärischen Bereich, IKT Research, IKT Diplomatie, IKT Governance, Gesetzgebung, abgeleitete Maßnahmen, Strukturen Alle existierenden und notwendigen Strukturen, deren Verantwortungen, Zielsetzungen und das nationale und internationale Zusammenwirken, abgeleitete Maßnahmen Nachhaltige Maßnahmen und Methoden Bedrohungsanalysen, Risikoanalysen, Krisenmanagement, Erhöhung der Widerstandskraft von Info-Infrastr., Aufbau von vorbeugenden Maßnahmen, Einrichten von CyberPartnerschaften, Untersuchung und Verfolgen von Cyberattacken, Cyber Forschung und Ausbildung, abgeleitete Maßnahmen, 14

15 Arbeitsgruppen zur Strategie-Erarbeitung Risikoeinschätzung/-management Lagesituation, -monitoring und -folgerungen Gefährdungslage Kritische Infrastruktur Bildung und Forschung Stakeholder und Strukturen, nationale und internationale Vernetzung Awareness 15

16 Erste Zwischenergebnisse Am 2. März 2012 wurden erste Ergebnisse der Arbeitsgruppen im Bundeskanzleramt vorgestellt Keyspeaker Mr. Servida von der EU-Kom (European Internet Strategy) Insgesamt 130 österr. Cyber Security Experten waren in die Erarbeitung involviert Tolle Ergebnisse aller Arbeitsgruppen. Das gemeinsame Ziel wurde dabei von allen Arbeitsgruppen unterstrichen: make the Internet safer in Austria

17 Arbeitsgruppen Ist-Status erhoben Handlungsfelder definiert Kernelemente identifiziert 17

18 Abschlussveranstaltung 15. Juni 2012 im BKA erfolgt die Präsentation Keynote Dr. Steve Purser ENISA- Head of Technical Competence Dpt AG Leiter stellen das Ergebnis vor 18

19 Auszug der Inhalte der IKT Sicherheitsstrategie Strukturen/Stakeholder Optimieren der Cyber Security Stakeholder und Strukturen -Landschaft in Österreich Einrichten einer öffentlichen Cyber-Partnerschaft ein öffentliches Cyber-Krisenmanagement eine Cyber Security-Steuerungsgruppe eine Informationsdrehscheibe für Cyber Security Einrichten eines Cyber-Lagezentrums Strukturen schaffen für Standards, Zertifizierungen, Qualitäts-Assessments 19

20 Auszug der Inhalte der IKT Sicherheitsstrategie kritische Infrastruktur Cyber-Krisenmanagement Aufbau einer Struktur zum nationalen CyberKrisenmanagement Cyber-Lagezentrums Einrichten einer tragfähigen Krisenkommunikation Informationsaustausch von öffentlichen und privaten Akteuren 20

21 Auszug der Inhalte der IKT Sicherheitsstrategie - kritische Infrastruktur Risikomanagement und Informationssicherheit Förderung des Risikomanagements innerhalb der kritischen Infrastrukturbetreiber Einrichten eines Cyber Competence Centers Pflege des Informationssicherheitshandbuch als Basis für den Grundschutz Durchführen von Technologiefolgenabschätzungen Freiwilliges Registrierungssystem von Experten, wie dies in der Verwaltung schon erfolgt 21

22 Auszug der Inhalte der IKT Sicherheitsstrategie - Risikomanagement Identifizierung von Kernunternehmen in den Sektoren Umfassendes Risiko- und Sicherheitsmanagement über Sektoren hinweg Verdichtung des Risikokatalogs Definition von Mindeststandards für Risiko- und Sicherheitsmanagement Sicherstellung von Mindeststandards und Lenkung der Risikoakzeptanz in Kernunternehmen 22

23 Auszug der Inhalte der IKT Sicherheitsstrategie Bildung und Forschung Bildung Frühzeitige schulische Ausbildung in IKT, IKT-Sicherheit und Medienkompetenz Verpflichtende IKT-Ausbildung aller Studierenden der Pädagogik Verstärkte Ausbildung von IKTSicherheitsspezialistInnen im tertiären Sektor IKT-Sicherheit als wichtiger Bestandteil in der Erwachsenenbildung / Weiterbildung Forschung Vermehrte Einbindung von IKT-Sicherheitsthemen in angewandte IKT-Forschung Aktive Themenführerschaft bei internationalen Forschungsprogrammen 23

24 Auszug der Inhalte der IKT Sicherheitsstrategie Stärkung der IKT-Sicherheitskultur in Österreich Positive Positionierung der IKT-Sicherheit Abgestimmte und koordinierte Vorgehensweise Einrichten eines IKT-Sicherheitsportals Awareness-Kampagnen Beratungsprogramme Standardisierung 24

25 Überblick & Navigation Einordnung des Themas IKT Sicherheitsstrategie Österreichische Strategie zur Cyber Sicherheit EU Aktivitäten in Bezug auf Cyber Security 25

26 Die österr. Strategie zur Cyber Sicherheit Intensive Zusammenarbeit zwischen BM.I, BMLVS und BKA Koordination durch BKA Basiert auf der Österreichischen Sicherheitsstrategie Verbindungspersonen zum NSR + CS Experten Vorhandenen Aktivitäten und Erarbeitungen wurden eingebracht: IKT Sicherheitsstrategie Cyber Crime und Cyber Defence Strategien KSÖ-Aktivitäten (Risiko-Matrix etc.), usw. Grundlage MR Beschluss vom 11. Mai

27 Definition Cyber Sicherheitspolitik Nationale, europäische und internationale Maßnahmen zur positiven Mitgestaltung des Cyber Space im Interesse der Bürger, Wirtschaft, Wissenschaft und des Staates, zur Verhinderung des Entstehens /Wirksamwerdens von Bedrohungen des / der Menschen im Cyber Space (Prävention), zum Schutz des Rechtsgutes Cyber Sicherheit gegenüber Bedrohungen bzw. zu deren Bewältigung. 27

28 Breiter Ansatz / Chancen: Der Cyber Space ist als Informations- und Kommunikationsraum, Sozialer Interaktionsraum, Wirtschafts- und Handelsraum, Politischer Partizipationsraum, Steuerungsraum bedeutend für Staat, Wirtschaft, Wissenschaft, Gesellschaft. 28

29 Risiken und Bedrohungen. Fehlbedienungen. Cyber Kriminalität. Identitätsmissbrauch. Cyber Extremismus / Cyber Terrorismus. Massive Angriffe staatlicher / nicht staatlicher Akteure 29

30 Prinzipien Allgemeine Prinzipien:. Umfassende, integrierte, proaktive, solidarische Sicherheitspolitik Spezielle Prinzipien:. Rechtsstaatlichkeit. Subsidiarität. Selbstregulierung. Verhältnismäßigkeit 30

31 Strukturen und Prozesse Einrichtung Cyber Sicherheits-Steuerungsgruppe Schaffung Struktur zur Koordination auf operativer Ebene Einrichtung übergreifendes Cyber Krisenmanagement Stärkung bestehender Strukturen Erstellung Code of Conduct (Info-Austausch, Meldeverpflichtung, usw.) Festlegung von Mindestsicherheitsstandards Erstellung jährlicher Bericht zur Cyber Sicherheit 31

32 Kooperation Staat, Wirtschaft, Gesellschaft etc. Einrichtung Cyber Sicherheits-Plattform (Nutzung ATC, KSÖ etc.) Stärkung der Unterstützung für KMUs Ausarbeitung Cyber Sicherheitskommunikationsstrategie Schutz kritischer Infrastrukturen Sensibilisierung und Ausbildung Forschung und Entwicklung Internationale Zusammenarbeit 32

33 Österreichische Strategie für Cybersicherheit wurde am 20. März 2013 von der Bundesregierung unter Einbringung von BMI, BMLVS, BMeiA und BKA beschlossen. Download unter 33

34 Überblick & Navigation Einordnung des Themas IKT Sicherheitsstrategie Österreichische Strategie zur Cyber Sicherheit EU Aktivitäten in Bezug auf Cyber Security 34

35 EU Aktivitäten Europäische Cybersicherheit Strategie Vorstellung Entwurf EK am Behandlung in 15 Rat-Arbeitsgruppen und in der FOP on Cyber Issues Bis E03/2013 werden Anmerkungen gesammelt Geplant: Ende April/Anfang Mai finale Behandlung im kommenden FOP Meeting Verabschiedung noch durch irische Präsidentschaft 35

36 EU Aktivitäten Europäische Cybersicherheit Strategie Kernpunkte (5 strategische Prioritäten) Widerstandsfähigkeit erhöhen Eindämmung der Cyberkriminalität Ausbau der Cyberverteidigung Entwicklung von industriellen Cyber-Ressourcen Einheitliche Cyberraumstrategie auf int. Ebene Viele Maßnahmen dazu Trennung der Aufgaben in Netz- und Informationssicherheit, Strafverfolgung und Verteidigung Begleitende NIS - Richtlinie 36

37 EU Aktivitäten Ein wesentlicher Eckpfeiler in der Umsetzung ist die NIS-Richtlinie Ziel ist das Setzen von minimalen Sicherheitsstandards Säulen der Richtlinie: Nationale Fähigkeiten Kooperation auf EU-Ebene Sektorübergreifende Zusammenarbeit (PPP) 37

38 EU Aktivitäten Begleitende NIS Richtlinie Wird in der RAG Telekom behandelt Behandlung der NIS Richtlinie entkoppelt von der Strategie 5 Kapitel und 22 Artikel Allgemein Nationaler Rahmen für NIS Zusammenarbeit der Behörden Sicherheit der Netze und Informationssysteme Schlussbemerkungen 38

39 EU Aktivitäten Begleitende NIS Richtlinie Kernpunkte Jeder Staat hat eine NIS Strategie und einen nationalen NIS Kooperationsplan Es gibt eine für NIS zuständige Behörde Jeder MS hat ein CERT mit einem def. Mindestumfang Ein Kooperationsnetz für die europ. Komm. wird aufgebaut Ein Frühwarnsystem und Koordinierte Reaktion Übergreifender NIS Kooperationsplan auf europ. Ebene Verpflichtende Meldung von Sicherheitsvorfällen Förderung von Normen Befugnisse für verbindliche Anweisungen und Sanktionen bei Verstößen durch die nat. NIS Behörde 39

40 EU Aktivitäten NIS Richtlinie Sicherheitsanforderungen für Unternehmen Hohe internationale Verflechtung von Unternehmen daher EU-weite Maßnahmen zum Schutz notwendig Erweiterung der Telekom-RL Art 13.a Risikomanagement Meldeverpflichtung bei Vorfällen 40

41 EU Aktivitäten NIS Richtlinie Einordnung der NIS-Behörde in die Struktur 41

42 Der Cyberraum kennt keine Grenzen, wohl in jeglicher Hinsicht! für Ihre Aufmerksamkeit! Die Österreichische Strategie zur Cyber Sicherheit sowie die IKT-Sicherheitsstrategie finden sie zum Download auf Roland Ledinger