Umsetzung Massnahme 15 NCS Konzept für das Krisenmanagement bei Cyberkrisen (Stufe Bund)

Transkript

1 Bundeskanzlei BK Krisenmanagementausbildung des Bundes Stéphane Derron Umsetzung Massnahme 15 NCS Konzept für das Krisenmanagement bei Cyberkrisen (Stufe Bund) Ausgangslage Im Handlungsfeld "Kontinuitäts- und Krisenmanagement" des Umsetzungsplans der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken NCS ist folgende Massnahme definiert (Massnahme 15): Erarbeitung eines Konzeptes für Führungsabläufe und prozesse zur zeitgerechten Problemlösung: Das (allgemeine) Krisenmanagement muss angepasst werden und auch den Cyber- Aspekt beinhalten. Führungsabläufe und -prozesse des Bundes tragen innerhalb bestehender Prozesse der Cyber-Ausprägung Rechnung. Unter Federführung der BK soll ein Konzept für Führungsabläufe und -prozesse zur zeitgerechten Problemlösung erstellt werden, das auch den Cyber-Ausprägungen gerecht wird. Die Zuständigkeit für diese Massnahme liegt gemäss Umsetzungsplan bei der Bundeskanzlei. Dieses Konzept beschreibt nur die Prozesse auf Stufe Bund. Die Schnittstellen zu den Kantonen und kritischen Infrastrukturen werden im Rahmen der Arbeitsgruppe 3 Krisenmanagement der Cyber- Projekte des Sicherheitsverbundes Schweiz SVS bearbeitet. Krisenmanagement ist prozess- und nicht szenarioorientiert Notfall- und Krisenmanagement sind im Gegensatz zum Risikomanagement nicht szenario- sondern prozessorientiert: Führungsorganisation und Entscheidungsprozesse müssen immer dieselben sein, unabhängig davon, was geschehen ist. Dies ist besonders in einer Krisensituation wichtig, nämlich wenn die Reputation, die Handlungsfreiheit oder sogar die Existenz einer Organisation tangiert sind: Es sind dieselben Personen wie im Alltag, die auf höchster Ebene der Organisation Entscheidungen treffen müssen. Dieser Grundsatz ist und darf in der Bundesverwaltung, die vom Bundesrat geführt wird, nicht anders sein. Das allgemeine Krisenmanagement (Führungsabläufe und prozesse) auf Stufe Bund muss wegen der Ausprägung einer spezifischen Problematik nicht geändert werden (szenariounabhängig). Das, was szenarioabhängig ist, sind die Organe beim Bund, die sich mit bestimmten Risiken auseinandersetzen und diese im Alltag überwachen. Wenn ein Risiko sich verschärft oder ein Ausmass annimmt, dessen Konsequenzen den Bund oder die Bundesverwaltung in eine Krise führten oder führen könnten, dann sind es diese Organe, die das "allgemeine Krisenmanagement auf Stufe Bund" in Gang setzen müssen. Zudem werden sie dabei die Darstellung der Lage erstellen und die fachliche Beratung der Entscheidungsträger wahrnehmen. Schlussendlich werden sie bei der Umsetzung der auf strategischer Ebene entschiedenen Bewältigungsmassnahmen mitwirken. Im Cyber-Bereich ist dieses "risikospezifische Überwachungsorgan" die Melde- und Analysestelle Informationssicherung MELANI, die dann in einer Cyberkrise auf Stufe Bund beim federführenden Krisenstab sinnvoll angegliedert werden muss.

2 Konzept für das Krisenmanagement bei Cyberkrisen Das folgende Konzept gilt insbesondere für Cyberkrisen strategischen Ausmasses mit interdepartementaler Relevanz. Für einen solchen Fall setzt der Bundesrat einen spezifisch zusammengestellten strategischen Krisenstab ein und legt fest, wer diesen Krisenstab führt. Wie vorgängig erklärt, muss das allgemeine Krisenmanagement (Führungsabläufe und prozesse) nicht wegen einer allfälligen Cyber-Ausprägung der Krise geändert werden. Ein strategischer Krisenstab muss grundsätzlich drei Aufgaben erfüllen: 1. Vermittlung eines aktuellen, einheitlichen und umfassenden Lagebildes; 2. Schaffung der wesentlichen Grundlagen zur Entscheidungsvorbereitung des Bundesrates; insbesondere wird das Mitberichtsverfahren in abgekürzter Form durchgeführt; 3. Festlegung einer Kommunikationsstrategie und Definition der Kommunikationsmassnahmen des Bundes. Die Nationale Alarmzentrale NAZ oder das Bundeslagezentrum BLZ sind für das Lagebild zuständig (das BLZ wenn die Krise die innere Sicherheit tangiert). Die cyberspezifische Dimension der Lage wird von MELANI ermittelt und im umfassenden Lagebild integriert. Siehe Abbildung in Beilage 2 Struktur für die Ermittlung des Lagebildes im Falle einer Cyberkrise. Die Schaffung der Grundlagen für einen Bundesratsbeschluss ist Sache des spezifisch für den jeweiligen Fall zusammengestellten strategischen Krisenstabs. Um das Mitberichtsverfahren in abgekürzter Form durchführen zu können, müssen die Generalsekretäre oder andere hochrangige Vertreter aus jedem Departement in diesem Krisenstab Einsitz nehmen, ergänzt durch betroffene Amtsdirektoren und Kantonsvertreter. Bei Bedarf können einzelne Cyber- und Informatikspezialisten als Fachberater beigezogen werden. Hier darf man nicht aus den Augen verlieren, dass es sich um einen strategischen Krisenstab handelt, der Grundlagen für einen Bundesratsbeschluss schafft, und nicht um ein Koordinationsorgan, das auf operativer Ebene und im Rahmen seiner eigenen Kompetenzen Massnahmen im IKT-Bereich entscheidet und anordnet. Siehe Abbildung in Beilage 1 Führungsstruktur beim Bund für das überdepartementale Krisenmanagement. Kommunikationsstrategie und Kommunikationsmassnahmen des Bundes werden durch den ad hoc Krisenkommunikationsstab (gemäss Krisenkommunikationskonzept der Bundeskanzlei) definiert. Dieser Stab wird aus Vertretern der BK und des KID zusammengestellt. Bei Bedarf kann zur fachlichen Unterstützung ein Cyber- oder Informatikspezialist beigezogen werden. Verifizierung im Rahmen der strategischen Führungsübung 2013 (SFU 13) Im Mai 2013 fand die SFU 13 statt, der ein grossangelegter Cyberangriff gegen die Schweiz als Krisenszenario zugrunde lag. Diese Übung war aber keine Cyber- oder Informatikübung auf operativer Ebene sondern für die Krisenstäbe der Departemente konzipiert. Dabei ging es darum, politische Massnahmen zu definieren (strategische Ebene) und die festgelegte interdepartementale Zusammenarbeit zu verifizieren. Die SFU 13 war ein Anlass, eine neue Form von Krisenmanagement auf Stufe Bund zu testen. Die oben aufgeführten Aufgaben eines strategischen Krisenstabs wurden in der SFU 13 de facto gelebt: Vermittlung eines aktuellen, einheitlichen und umfassenden Lagebildes: Die Aufgabe, ein überdepartementales Lagebild zu erstellen, wurde vom Bundeslagezentrum (BLZ) des NDB übernommen, obwohl der SFU 13 eine Cyber-Thematik zugrunde lag. Für diesen Aufgabenbereich ist die Melde- und Analysestelle Informationssicherung (MELANI) zuständig, bei der schwere oder unübliche Cyber-Attacken innerhalb der kritischen Infrastrukturen gemeldet werden können, damit die Bedrohungen und Gefahren im Cyber-Bereich aufgenommen und beurteilt werden können. Dies dient auch der Erstellung eines umfassenden Lagebildes. Im Krisenfall mit Cyber- Ausprägung übernimmt MELANI eine Lagefunktion im Verbund mit den kritischen Infrastrukturen. Die operative Leitung ist im NDB-Teil von MELANI angesiedelt. Dieser arbeitete eng mit dem BLZ zusammen und war an den Vorbereitungssitzungen des BLZ, sowie der KGSi vertreten. Vorfälle wurden von den betroffenen Ämtern und kritischen Infrastrukturen entweder an MELANI, dem BLZ 2/5

3 oder beiden gemeldet. Weitergehende Informationen wurden von MELANI bei den kritischen Infrastrukturen eingeholt (dieser operative Vorgang wurde durch die Regie simuliert). Die Lageanalyse von MELANI war somit immer in das gesamte Lagebild des BLZ integriert. Schaffung der Grundlagen für Bundesratsbeschlüsse: Der Bundesrat hat, gestützt auf Artikel 1a Absatz 1 RVOV, die Federführung an das Präsidialdepartement übertragen (im 2013 das VBS). Der Krisenstab des Bundespräsidenten ermöglichte durch die Einbeziehung der Generalsekretäre aller Departemente eine effiziente und direkte Kooperation und schaffte eine übersichtliche Führungsstruktur. Dieser wurde zudem mit Fachwissen aus zuständigen Organisationseinheiten ergänzt. Die Anträge an den Bundesrat wurden im Krisenstab des Bundespräsidenten erarbeitet bevor sie als Sammelantrag redigiert wurden. Aufgrund der interdepartementalen Zusammensetzung des Krisenstabes des Bundespräsidenten fand das Mitberichtsverfahren implizit in diesem Gremium statt, wodurch Zeit gewonnen wurde. Die straffe Leitung durch den Bundespräsidenten wurde von den anderen Departementen allgemein geschätzt. Festlegung einer Kommunikationsstrategie und Definition der Kommunikationsmassnahmen: Die Krisenkommunikation des Bundes an die Öffentlichkeit wurde von Beginn an, gemäss Krisenkommunikationskonzept der Bundeskanzlei, durch den Bundesratssprecher übernommen. Er war Mitglied des Krisenstabs des Bundespräsidenten und übernahm eine führende und koordinierende Funktion, indem er die Krisenkommunikationszelle leitete, in der Kommunikationsvertreter aller Departemente zusammengeschlossen wurden. Diese Organisation/Struktur der Kommunikation funktionierte gut. Die SFU 13 hat gezeigt, dass sich diese interdepartementale Zusammenarbeit bewährt hat. Die Führung des interdepartementalen Krisenstabs muss jedoch nicht zwingend durch den/die Bundespräsidenten/-in übernommen, sondern kann auch von einem anderen Mitglied des Bundesrates sichergestellt werden. 3/5

4 Beilage 1 - Führungsstruktur beim Bund für das überdepartementale Krisenmanagement Bundesrat bestimmt federführendes Departement entscheidet Krisenstäbe der Departemente und der Bundeskanzlei Vertretung Vertretung Überdepartementaler Krisenstab Vertretung, ev. Integration BST ABCN MELANI/SONIA SOPA SOGE Sonderstäbe vermittelt umfassendes Lagebild auf strategischer Ebene (siehe Beilage 2) bereitet Entscheidungsgrundlagen zuhanden des Bundesrates definiert Kommunikationsstrategie und Kommunikationsmassnahmen wird von einem Mitglied des Bundesrates geführt Stab des federführenden Departementes Einsitz von den Generalsekretären oder anderen hochrangigen Vertreter aus jedem Departement (im Sinne eines Mitberichtsverfahrens) koordinieren auf operativer Ebene Entscheidungsgrundlagen zh. des Bundesrats oder Umsetzungsmassnahmen (im Sinne einer Ämterkonsultation) entscheiden im eigenen Kompetenzbereich und ordnen operative Massnahmen an führen Bundesratsbeschlüsse aus (operative Umsetzung) Bundesämter Vorfälle mit Cyber-Ausprägung 4/5

5 Beilage 2 - Struktur für die Ermittlung des Lagebildes im Falle einer Cyberkrise Umfassendes Lagebild auf strategischer Ebene Cyber Aspekte als Teil des gesamten Lagebildes Lagebild aus den betroffenen Organisationseinheiten der BV MELANI als SPOC und Cyber-Informationsdrehscheibe Lagebild aus den Kantonen Lagebild aus öffentlichen Quellen Lagebild von den KI Betreibern Lagebild von internationalen Kontakten aus dem MELANI-Netzwerk Vorfälle mit Cyber-Ausprägung Vorfälle ohne Cyber-Ausprägung 5/5