DIGITAL AUSTRIA Cyber Security Strategie der Bundesregierung 26.November 2012 franz.vock@bka.gv.at
Agenda DIGITAL AUSTRIA IKT Sicherheitsstrategie ÖSCS (Österreichische Strategie für Cyber Sicherheit) 2
Agenda DIGITAL AUSTRIA Nationale IKT Sicherheitsstrategie ÖSCS (Österreichische Strategie für Cyber Sicherheit) 3
DIGITAL AUSTRIA Datenschutz Informationssicherheit Koordination der Cybersecurity Koordination der öffentlichen Netzsicherheit Vorfalls- und Krisenmanagement Sensibilisierung für Cyber Sicherheit Internationale Cybersecurity Kontakte Physische Datensicherung Datenschutz Kommission Informationssicherh. Komm. Koord.Schutz krit. Infrastrukt. IKT Strategie des Bundes Plattform Digitales Österr. CIO des Bundes Koord. Cyber Sicherheit GovCERT Cyber Security Steuerungsgruppe Data Backup-Zentrum 4
Koordination Cyber Sicherheit DIGITAL AUSTRIA Initiierung, Koordination und Herausgabe der Nationalen IKT- Sicherheitsstrategie Österreichs Koordination der Umsetzung der gesamtstaatlichen Österreichischen Strategie für Cyber Sicherheit Planung und Koordination von nationalen und internationalen Cyberübungen (CYBER EUROPE 2012, CE.AT2012) Technische Koordination von übergreifenden Cyber Krisenvorfällen Vertretung Österreichs in etlichen Internationalen Cyber Sicherheits Organisationen/Aktivitäten (ENISA, OECD, ) Koordination von öffentlichen Cybersicherheitsplattformen Koordination des IKT Sicherheitsportals (zusammen mit BMF) Koordination der Cyber Security Steuerungsgruppe 5
Agenda DIGITAL AUSTRIA Nationale IKT Sicherheitsstrategie ÖSCS (Österreichische Strategie für Cyber Sicherheit) 6
Motivation DIGITAL AUSTRIA Wir leben in einer perfekt vernetzten Welt, alle unsere Infrastrukturen sind mittels IKT optimiert.. Ein reibungsloses Funktionieren der IKT-Strukturen ist unverzichtbar für das Wohlbefinden und für den Wohlstand unserer Gesellschaft. 7
Motivation DIGITAL AUSTRIA Cyberkriminalität, der Missbrauch des Internet, die Gewährleistung von Netzwerksicherheit sind besondere Herausforderungen im Rahmen der gesamtstaatlichen Sicherheitspolitik. Attacken aus dem Cyber Space sind eine unmittelbare Gefahr für unsere Sicherheit sowie das Funktionieren von Staat, Wirtschaft und Gesellschaft. Sie können unser tägliches Leben schwerwiegend beeinträchtigen. Der Schutz des Cyberraums ist zu einer der wichtigsten Aufgaben unserer Zeit geworden 8
Motivation DIGITAL AUSTRIA Der von der Bundesregierung im Jahr 2011 beschlossene Entwurf Österreichische Sicherheitsstrategie, Sicherheit in einer neuen Dekade Sicherheit gestalten fordert eine gesamtstaatliche Strategie zur Cyber-Sicherheit. Das Bundeskanzleramt kommt der Verantwortung zum Erstellen einer Cyber-Sicherheitsstrategie aufgrund seiner Koordinationsrolle im Staat nach in enger Zusammenarbeit mit anderen Ministerien 9
IKT-Sicherheitsstrategie Ziele DIGITAL AUSTRIA Erstellen eines pro-aktiven Konzepts zum Schutz des Cyber-Raums und der Menschen im virtuellen Raum unter Berücksichtigung ihrer Grund- und Freiheitsrechte. Erhöhen von Sicherheit und Widerstandskraft österreichischer Infrastrukturen und Leistungen im Cyber-Raum Schaffen von Bewusstsein und Vertrauen für die österreichische Gesellschaft 10
IKT-Sicherheitsstrategie Ziele DIGITAL AUSTRIA Erarbeiten eines Cybersicherheits- Maßnahmenkatalogs für alle relevanten Bereiche in Österreich Erarbeiten eines gemeinsamen Verständnisses für Cybersicherheit in Österreich 11
gemeinsames Verständnis BKA DIGITAL AUSTRIA Infomations sicherheits komission Plattform Digitales Österreich Ausbildung FüUZ GovCERT Forschung CIP Koordination BKA/BM.I CERT.at Sensibilisierung CIIP Koordination Privatwirtschaft Interessensverbände Nationaler Sicherheits rat KI Betreiber Bundes- Regierung SKKM Länder Städte Gemeinden C4 BMLVS AbwAmt HNa BVT BM.I BK 12
gemeinsames Verständnis BKA DIGITAL AUSTRIA Infomations sicherheits komission Plattform Digitales Österreich Ausbildung FüUZ GovCERT Forschung CIP Koordination BKA/BM.I CERT.at Sensibilisierung CIIP Koordination Privatwirtschaft Interessensverbände Nationaler Sicherheits rat KI Betreiber Bundes- Regierung SKKM Länder Städte Gemeinden C4 BMLVS AbwAmt HNa BVT BM.I BK 13
gemeinsames Verständnis BKA DIGITAL AUSTRIA Infomations sicherheits komission Plattform Digitales Österreich Ausbildung FüUZ GovCERT Forschung CIP Koordination BKA/BM.I CERT.at Sensibilisierung CIIP Koordination Privatwirtschaft Interessensverbände Nationaler Sicherheits rat KI Betreiber Bundes- Regierung SKKM Länder Städte Gemeinden C4 BMLVS AbwAmt HNa BVT BM.I BK 14
DESHALB DIGITAL AUSTRIA Einladen eines representativen Querschnitts von Österreichs Cyber- Sicherheits Stakeholder aus Industrie, Akademien und öffentlicher Verwaltung Enges Zusammenarbeiten von Österreichs Cyber-Sicherheits Stakeholder durch gemeinsames Erarbeiten einer Strategie zur Absicherung des Cyber-Raums Erzeugen einer gemeinsamen Verantwortung für Ergebnisse der IKT Sicherheitsstrategie
Der Kickoff DIGITAL AUSTRIA Am 16. November 2011 startete die IKT Sicherheitsstrategie mit dem Kickoff Ca. 200 Teilnehmer Präsident Hange vom BSI Deutschland war Keyspeaker. Zwei Drittel der Teilnehmer sagten eine aktive Teilnahme zu die Strategie zu entwickeln. So startete die größten Cybersicherheits Initiative in Österreich mit Teilnehmern aus allen wichtigen Cybersicherheits- Bereichen 16
IKT-Sicherheitsstrategie 5 Arbeitsgruppen Zwei Arbeitsgruppenleiter pro Gruppe Frei in der Prozessgestaltung Frei im zeitlichen Ablauf Verantwortlich für den Inhalt Verantwortlich für die Synchronisation Ein BKA Koordinator pro Gruppe Unterstützt den AG-Leiter Protokolliert die Resultate Kümmert sich um die Organisation BKA is verantwortlich für die übergeordnete Koordination der gesamten IKT Sicherheitsstrategie 17
IKT-Sicherheitsstrategie must have - Elemente Status Quo Status Quo of Cyber-Security in Austria Current situation of ICT in Austria, Threat and Risk Situation, Cyber conditions, political goals, basic principles, Vision and Mission Statement, derived measures, Strategische Ziele Strategic Goals Awareness, Research and Education, CIIP, Cyber-Risk Management, ICT Security Issues for citizens, economy, public adminstration, military, diplomacy, gouvernance, legislation, derived measures, Strukturen Cyber-Security Stakeholder and Structures All existing and necessary cyber-security stakeholders and structures, their responsibilities, objectives and their national and international cooperations, derived measures... Massnahmenkatalog Measures Catalogue of sustainable measures and Catalogue of sustainable measures, measures derived from threat analysis, risk analysis, measures for crisis management, measures to increase the resilience of Information Infrastructures, preventive measures, setting up cyber-partnerships, investigation and prosecution of cyber attacks, cyber research, cyber education, cyber-security awareness measures, derived measures,... 18
IKT-Sicherheitsstrategie Roadmap Ausarbeitung Ausarbeiten der IKT-Sicherheitsstrategie Sync mit BM.I and BMLVS Detailausarbeitung von Maßnahmen Ausgangssituation - Lagebild Strategische Zielsetzung Strukturen Maßnahmen Katalog S y n c Sofortmaßnahmen Sofortmaßnahmen Begleitende Koordination und Kommunikation Maßnahmen Maßnahmen 19
IKT-Sicherheitsstrategie Abschlussveranst. Am 15. Juni 2012, präsentierte die IKT Sicherheitsstrategie die finalen Resultate der AGs und das Dokument Nationale IKT Sicherheitsstrategie Österreich Keyspeaker war Dr. Purser von der ENISA Im feierlichen Rahmen am Ballhausplatz wurde damit der erste Abschnitt des größten gemeinsam erarbeiteten Cyber Sicherheitsprojekts Österreichs beendet Cyber-Security@BKA Nationale IKT Sicherheitsstrategie
Nationale IKT Sicherheitsstrategie Österreich Stakeholder und Strukturen Bildung und Forschung Schutz kritischer Infrastrukturen Awareness Risikomanagement und Lagebild http://www.digitales.oesterreich.gv.at/docview.axd?cobid=47986 21
Die Ergebnisse der Arbeitsgruppe: Stakeholder und Strukturen 22
Die Ergebnisse der Arbeitsgruppe: Stakeholder und Strukturen Optimierung der Cyber-Landschaft in Österreich Ein dichtes Netz von Cyber Security Strukturen in Österreich muss alle Bereiche, Tätigkeitsfelder und Zielgruppen von Cyber Security berücksichtigen. Vernetzung der Stakeholder und Strukturen Anreize, Förderungsmaßnahmen und gesetzliche Grundlagen fördern ein enges Vernetzen österreichischer Cyber Security Stakeholder und Strukturen. Ausbau des rechtlichen Rahmens für Cyber Security in Österreich Der rechtliche Rahmen in Österreich ist an die Erfordernisse der IKT-Sicherheitsstrategie anzupassen. Förderung der internationalen Kooperationen Aktive Teilnahme und Förderung von allen wichtigen internationalen Organisationen und Aktivitäten zum Thema Cyber Security 23
Ergebnisse der Arbeitsgruppe: Schutz kritischer Infrastrukturen 24
Ergebnisse der Arbeitsgruppe: Schutz kritischer Infrastrukturen Aufbau eines Cyber-Krisenmanagement Reaktive Mittel zur bundesweiten Katastrophen- und Krisenbekämpfung im Bereich Nationaler Cyber Security werden aufgebaut. Ausbau von Risikomanagement und Informationssicherheit Proaktive Risikominimierung wird auf Unternehmens- und Organisationsebene gefördert. Informationsaustausch von öffentlichen und privaten Akteuren Ein fließender Informationsaustausch von öffentlichen und privaten Akteuren schafft für das Risikomanagement die notwendigen Grundlagen und für das Krisenmanagement die erforderlichen Rahmenbedingungen. 25
Die Ergebnisse der Arbeitsgruppe: Risikomanagement und Lagebild 26
Die Ergebnisse der Arbeitsgruppe: Risikomanagement und Lagebild Identifizierung von Kernunternehmen in den Sektoren Durchführung von Risikobewertungen derjenigen Kernunternehmen, deren Ausfall Auswirkungen haben, die den Unternehmensbereich bei weitem übersteigen. Sicherstellung von Mindeststandards und Lenkung der Risikoakzeptanz in Kernunternehmen Risikoakzeptanz für Kernunternehmen soll auf übergeordneter Ebene entschieden werden, Mindeststandards dafür sollen festgelegt und überprüft werden, alternative Lenkungsinstrumente sollen untersucht werden. Check von etabliertem Krisen- und Notfallmanagement in den Sektoren Prozesse des staatlichen Krisen- und Notfall-Managements sind hinsichtlich ausreichender Bedachtnahme auf Risiken zu überprüfen, die sich aus der zunehmenden Abhängigkeit von zahlreichen Kernprozessen durch IKT-Unterstützung ergeben. Etablieren einer Lagebeurteilung und -management Ein Lagezentrum zur übergeordneten Beurteilung wird institutionell aufgebaut, um den Sektoren eine Basis für Einschätzungen und Entscheidungen zu geben und aus gesamtheitlicher Sicht eine Lagebeurteilung machen zu können. 27
Ergebnisse der Arbeitsgruppe: Bildung und Forschung 28
Ergebnisse der Arbeitsgruppe: Bildung und Forschung Frühzeitige schulische Ausbildung in IKT, IKT-Sicherheit und Medienkompetenz IKT und IKT-Sicherheit sind verstärkt in die Lehrpläne und den Unterrichtsalltag aufzunehmen. Verpflichtende IKT-Ausbildung aller Studierenden der Pädagogik IKT-(Sicherheits)-Kompetenzen sollen in die Ausbildung an pädagogischen Hochschulen und Universitäten für die Vermittlung dieser Kompetenzen an den Schulen aufgenommen werden Verstärkte Ausbildung von IKT-SicherheitsspezialistInnen im tertiären Sektor Die heute bereits vorhandenen Studien- und Ausbildungsangebote sollen sich pro aktiv weiterentwickeln. Die Vernetzung und Kooperation der einzelnen Bildungsorganisationen soll gefördert werden IKT-Sicherheit als wichtiger Bestandteil in der Erwachsenenbildung / Weiterbildung Entwicklung und Vernetzung zielgruppenspezifischer Angebote als kontinuierliche Weiterbildung für Einzelunternehmen, KMUs und Zielgruppen im Privatbereich soll gefördert werden 29
Ergebnisse der Arbeitsgruppe: Bildung und Forschung IKT-Sicherheitsforschung als Basis für nationale Kompetenz Es soll eine verstärkte Etablierung von Sicherheitsforschungsinstituten sowie eine stärkere Vernetzung von Forschungsorganisationen gefördert werden. Vermehrte Einbindung von IKT-Sicherheitsthemen in angewandte IKT-Forschung Es ist eine vermehrte Einbindung von IKT-Sicherheitsthemen in angewandte IKT- Forschung sowie in andere Forschungsbereiche anzustreben. Aktive Themenführerschaft bei internationalen Forschungsprogrammen Es ist eine aktive Themenführerschaft bei EU-Forschungsprogrammen anzustreben 30
Ergebnisse der Arbeitsgruppen: Awareness 31
Ergebnisse der Arbeitsgruppen: Awareness Stärkung der IKT-Sicherheitskultur in Österreich Gezielte Awareness-Maßnahmen in allen relevanten Zielgruppen und Handlungsfeldern Einrichten eines IKT Sicherheitsportals zur Darstellung von Cyber-Informationen Positive Positionierung der IKT-Sicherheit Begleitende Marketing-Maßnahmen sollen im Rahmen der Awareness-Kampagnen eine positive Positionierung der IKT-Sicherheit sicherstellen. Abgestimmte und koordinierte Vorgehensweise Awareness-Maßnahmen sollen auf Basis einer abgestimmten und zentral koordinierten Vorgehensweise umgesetzt und gemonitort werden Wirksamkeit und Nachhaltigkeit der Awareness-Maßnahmen Es soll ein Messinstrument etabliert werden, dass regelmäßig die Wirksamkeit der getroffenen Awareness-Maßnahmen kontrollieren sowie Auswirkungen auf die Reduzierung von Sicherheitsvorfällen monitoren kann. 32
DIGITAL AUSTRIA Umsetzungsplan 33
DIGITAL AUSTRIA Die erste große Umsetzung: Das IKT Sicherheitsportal 34
DIGITAL AUSTRIA Die erste große Umsetzung: Das IKT Sicherheitsportal 35
DIGITAL AUSTRIA Die erste große Umsetzung: Das IKT Sicherheitsportal 36
DIGITAL AUSTRIA Die erste große Umsetzung: Das IKT Sicherheitsportal Freischaltung Mitte Dezember Freischaltung M12/2012!! 37
Agenda DIGITAL AUSTRIA Cyber Security @ BKA Nationale IKT Sicherheitsstrategie ÖSCS (Österreichische Strategie für für Cyber Sicherheit) 38
MRV DIGITAL AUSTRIA BMI BKA BMLVS BMEIA Haben sich geeinigt auf einen Nat.IKT Sicherheitsstrategie Nat und Int.. Cyber Exercises Austrian Trust Circle GovCERT CERT Verbund CIIP Freiwillige Cyber Feuerwehr Intern. Cyber. Aktivitäten Cybercrime Grundsatzfragen Cyber Risikomatrix MRV Ministerratsvortrag Planspiele mit Fokus CIP Cyberplattform Cyberveranstaltungen Bundesregierung hat dies zur Kenntnis genommen Gez. Faymann / Mikl-Leitner / Darabos / Spindelegger Auf bereits in den Ressorts erarbeitete Ergebnisse zum Schutz des Cyber Space soll aufgebaut werden. Cyber Lagezentrum Aufbau von Cyber Kapazitäten Strat. Koop. mit NATO Teiln. an int. Ausbildungsvorh. Koop. Mit Ausbild.Inst. Wiss. Cyber-Projekte milcert Cyberassitenzleistiungen Backup-Systeme Engagmt. in int. Org- Engagement für Grundrechte Einsetzen für freies Internet Koop&Austausch mit int. Org. u.v.m Die Österreichische Strategie zur Cyber-Sicherheit soll in einem breiten, alle relevanten Akteure integrierenden Ansatz erstellt werden. Ziel ist die Annahme der Strategie durch die Bundesregierung bis Ende 2012. 39
BMEIA BMLVS B M. I B K A Nach MRV = IKT Sicherheitsstrategie ein wesentlicher Beitrag zur Cybersecurity Gesamtstrategie Ausarbeiten der IKT-Sicherheitsstrategie Maßnahmen Katalog Cyber Risiko Matrix -> Handlungsempfehlungen Cyber Umfrage bei den 100 größten Unternehmen Cyber Cyber Crime Defense Prozess Process Cybersicherheit intelligent regulieren Cyber Defense Prozess Engagement für Menschenrechte offline wie online Cyber Security Steuerungsgruppe Cyber Planspiel Redaktionsteam: Synchronisation aller initiativen Sofortmaßnahmen Sofortmaßnahmen Maßnahmen Maßnahmen Maßnahmen Cyber Europe 2012 40 Österr. Strategie für Cyber Sicherheit
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Der Startschuss für die Erarbeitung der ÖSCS erfolgte in der 1. Besprechung der Steuerungsgruppe Cyber Sicherheit am 4. September 2012 Es wurde ein Auftrag an eine Vorbereitungsgruppe definiert. Die Vorbereitungsgruppe (auch als Redaktionsteam bezeichnet) begann danach den Beschluss umzusetzen und hat nach mehreren Iterationen die ÖSCS in einer ersten Version Ende 10/2012 fertiggestellt. Basis für die Ausarbeitung waren vor allem die Österreichische Sicherheitsstrategie, die Nationale IKT Sicherheitsstrategie, die vom BMI/KSÖ ausgearbeiteten CS-Dokumente und die NCSS der Länder Deutschland, Schweiz, Niederlande und Tschechien, sowie Unterlagen von OECD und ENISA. Die Vorbereitungsgruppe hat alle Papiere analysiert, bewertet und das für Österreich geeignete in die Strategie aufgenommen. Dabei waren die Ressorts für jeweilige Kapitel verantwortlich. Allergrößter Wert wurde darauf gelegt, ein gemeinsames Ergebnis zu erzielen 41
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Kapitel Einleitung Chancen und Risiken Prinzipien Strategische Ziele Handlungsfelder und Maßnahmen Umsetzung 42
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Kapitel Einleitung Chancen und Risiken Prinzipien Strategische Ziele Handlungsfelder und Maßnahmen Umsetzung Informations- und Kommunikationsraum Sozialer Interaktionsraum Wirtschafts- und Handelsraum Politischer Partizipationsraum Steuerungsraum Tatraum 43
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Kapitel Einleitung Chancen und Risiken Prinzipien Strategische Ziele Handlungsfelder und Maßnahmen Umsetzung Umfassende Cyber Sicherheitspolitik Integrierte Cyber Sicherheitspolitik Proaktive Cyber Sicherheitspolitik Solidarische Cyber Sicherheitspolitik Rechtsstaatlichkeit Subsidiarität Selbstregulierung /Begleitung durch Ordnungsrahmen Verhältnismäßigkeit Umfassende kohärente Cyber Sicherheitspolitik 44
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Kapitel Einleitung Chancen und Risiken Prinzipien Strategische Ziele Handlungsfelder und Maßnahmen Umsetzung Bereitstellen eines sicheren resilienten und verlässlichen Cyberraums Sicherstellung der IKT Infastrukturen durch einen gesamtstaatlichen Ansatz und durch PPP Schutz des Rechtsguts Cyber Sicherheit Einrichtung einer Kultur der Cybersicherheit Aufbau von Wissen, Fähigkeiten und Kapazitäten durch Dialog zur Cybersicherheit Aktive Rolle bei der int. Zusammenarbeit Ausbau des E-Government Eigenverantwortung stärken 45
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Kapitel Einleitung Chancen und Risiken Prinzipien Strategische Ziele Handlungsfelder und Maßnahmen Umsetzung 46
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Handlungsfeld 1 Strukturen und Prozesse Einrichtung einer Cyber Sicherheit Steuerungsgruppe Einrichtung eines operativen Cyber Sicherheit Centers (CSC) Einrichtung eines übergreifenden Cyber Krisenmanagements Stärkung bestehender Cyber Strukturen Cyber-Security@BKA Nationale IKT Sicherheitsstrategie 47
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Handlungsfeld 2 Governance Schaffung eines zeitgemäßen ordnungspolitischen Rahmen Festlegung von Mindestsicherheitsstandards Erstellung eines jährlichen Berichts zur Cyber Sicherheit 48
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Handlungsfeld 3 Kooperation Staat, Wirtschaft und Gesellschaft Einrichtung einer Cyber Sicherheit Plattform Stärkung der Unterstützung für KMUs Ausarbeitung einer Cyber Sicherheit Kommunikationsstrategie 49
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Handlungsfeld 4 Schutz kritischer Infrastrukturen Widerstandkraft der kritischen Infrastrukturen erhöhen 50
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Handlungsfeld 5 Sensibilisierung und Ausbildung Stärkung der Cyber Sicherheit Kultur Verankerung von Cyber Sicherheit und Medienkompetenz auf allen Ebenen der Aus- und Weiterbildung Cyber-Security@BKA Nationale IKT Sicherheitsstrategie 51
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Handlungsfeld 6 Forschung und Entwicklung Österreichs Forschung im Bereich Cyber Sicherheit stärken 52
DIGITAL AUSTRIA ÖSCS Österr. Strategie für Cybersicherheit Handlungsfeld 7 Internationale Zusammenarbeit Effektives Zusammenwirken für Cyber Sicherheit in Europa und weltweit 53
B K A Roadmap ÖSCS 12/2012 03/2013 Ausarbeiten der ÖSCS Maßnahmen Katalog Grober Budgetplan Freigabe durch die Bundesregierung Umsetzungsplan Detailierter Budgetplan Freigabe der Umsetzung Umsetzungen Umsetzungen Umsetzungen Umsetzungen Umsetzungen Umsetzungen Cybersecurity Gesamtstrategie Cyber-Security @ BKA 54
Danke Franz Vock Bundeskanzleramt Abt. IKT-Strategie des Bundes / E-Government Cyber Security, Secure Electronic-Identity, International Issues Mitglied von GovCERT Österreich franz.vock@bka.gv.at
Backup DIGITAL AUSTRIA 56