Sicherheit im Cyber Raum, von der Strategie bis zur …e-government.adv.at/2013/pdf/30_Ledinger-eGovernmentKonferenz...Keyspeaker. Zwei Drittel der ... – Definition von Mindeststandards

Sicherheit im Cyber Raum, von der Strategie bis zur Umsetzung Ein Überblick der nationalen und internationalen

strategischen Ausrichtung

Roland Ledinger

Wien, Juni 2013

2 |

Überblick & Navigation

Einordnung des Themas

IKT Sicherheitsstrategie

Österreichische Strategie zur Cyber Sicherheit

EU Aktivitäten in Bezug auf Cyber Security

ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013

ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 3 |

Ko

mp

lex

itä

t s

teig

t

in d

er

dig

itale

n W

elt


In welchem Umfang findet das digitale Leben statt?

über 900 Mio Facebook User, davon 2,5 Mio in Ö

2 Mrd Internetuser

5 Mrd Handyverträge

– 146 % Mobiltelefon Penetration in Ö; 5,67 Mrd. min und 1,78 Mrd SMS im 4.Q 2010

– 7.167 TB im 4.Q 2010 mittels Mobiltelefone heruntergeladen

– Prognose, jedes 3. verkaufte Handy ist ein Smartphone und hat Internet immer dabei

200 Mrd eMails werden täglich verschickt

15 Petabyte täglicher Datenzuwachs = 1.125.899.906.842.624 Zeichen

durchschnitt. 350.000, in Spitzenzeiten bis zu 700.000 Rechner in D Teil eines Botnetzes (Stand 2010)

4 |

Was sind die wesentlichen Elemente der Sicherheit in

einer digitalen Welt?


Geheimhaltung/Vertrauen

Integrität

Legalität

Authentizität/Echtheit

Verfügbarkeit

Schutz der Privatsphäre

Datensicherheit

Eine

IKT-Sicherheits-

strategie muss

folgende Punkte

adressieren

5 |

Internet-

sicherheit

Netzsicher-

heit

Applikationssicherheit

Informationssicherheit

Schutz kritische Informationsinfrastruktur


Cyber C

rime C

yb

er

De

fen

se

Cyber Security Strategie


CERT.at

GovCERT

CIP Coordination

CIIP Coordination

SKKM

Nationaler

Sicherheits

rat

Federal

Govern-

ment

ISK

BKA

Platform

Digital

Austria

BKA/BM.I

BM.I

FüUZ

BMLVS

BK BVT

7 |

Austrian Trust Circle

Energy

Finance

Trans-portation

Health

Industry

…

AbwAmt

Education

Research CI

Operators

Countries

Cities

Communi

ties

Awareness Interest

Associations


HNa

Stakeholder aus dem privaten

und öffentlichen Sektor

KSÖ

7

8 |








Gemeinsame Erarbeitung stand im Fokus Buttom-up Ansatz

Ziel war die Erstellung einer nationalen IKT

Sicherheitsstrategie als Grundlage für die Cyber

Security Strategie Österreichs

konkrete Maßnahmen und eine Roadmap

Prozess sollte alle Aspekte betrachten und alle

Stakeholder einbinden (BMI, BMLVS, BMF, BMxx, GovCERT,

CERT, CERT-VERBUND, ACT-Austrian Trust Circle, Länder,

Städte- und Gemeindebund, KSÖ, div Institutionen, privaten

Sektoren der kritischen Info-Infrastruktur, …)

WICHTIG: eine breite Basis finden, die für die

Umsetzung der Roadmap notwendig ist

9 |

10 | ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013

Am 16. November Kickoff Veranstaltung

Über 200 Teilnehmer aus den

verschiedenen Sektoren

Präsident Hange vom BSI Deutschland war

Keyspeaker.

Zwei Drittel der Teilnehmer haben sich

für Arbeitsgruppen nominiert.

Daher eine der

größten

IKT Sicherheits-

Initiative über

alle Sektoren

hinweg.

Kickoff – für den Prozess

10 |


Am 2. März 2012 wurden erste Ergebnisse der

Arbeitsgruppen im Bundeskanzleramt vorgestellt

Keyspeaker Mr. Servida von der EU-Kom (European Internet Strategy)

Insgesamt 130 österr. Cyber Security Experten waren in die Erarbeitung

involviert

Tolle Ergebnisse aller Arbeitsgruppen.

Das gemeinsame Ziel wurde dabei von allen Arbeitsgruppen unterstrichen: make

the Internet safer in Austria.

Erste Zwischenergebnisse

11 |

Abschlussveranstaltung

15. Juni 2012 im BKA erfolgt die Präsentation

Keynote Dr. Steve Purser ENISA- Head of Technical

Competence Dpt

AG Leiter stellen

das Ergebnis vor



Auszug der Inhalte der IKT

Sicherheitsstrategie – Strukturen/Stakeholder

Optimieren der „Cyber Security Stakeholder und

Strukturen“-Landschaft in Österreich

– Einrichten einer öffentlichen Cyber-Partnerschaft

• ein öffentliches Cyber-Krisenmanagement

• eine Cyber Security-Steuerungsgruppe

• eine Informationsdrehscheibe für Cyber Security

– Einrichten eines Cyber-Lagezentrums

– Strukturen schaffen für

Standards, Zertifizierungen,

Qualitäts-Assessments

13 |



Sicherheitsstrategie – kritische Infrastruktur

Cyber-Krisenmanagement

– Aufbau einer Struktur zum nationalen Cyber-

Krisenmanagement

– Cyber-Lagezentrums

– Einrichten einer

tragfähigen

Krisenkommunikation

Informationsaustausch von öffentlichen und

privaten Akteuren

14 |



Sicherheitsstrategie - kritische Infrastruktur

Risikomanagement und Informationssicherheit

– Förderung des Risikomanagements innerhalb der

kritischen Infrastrukturbetreiber

– Einrichten eines Cyber Competence Centers

– Pflege des Informationssicherheitshandbuch als Basis für

den Grundschutz

– Durchführen von Technologiefolgenabschätzungen

– Freiwilliges Registrierungssystem von Experten, wie dies

in der Verwaltung schon erfolgt

15 |



Sicherheitsstrategie - Risikomanagement

Identifizierung von Kernunternehmen in den

Sektoren

Umfassendes Risiko- und Sicherheitsmanagement

über Sektoren hinweg

– Verdichtung des Risikokatalogs

– Definition von Mindeststandards für Risiko- und

Sicherheitsmanagement

Sicherstellung von Mindeststandards und Lenkung

der Risikoakzeptanz in Kernunternehmen

16 |



Sicherheitsstrategie – Bildung und Forschung

Bildung

– Frühzeitige schulische Ausbildung in IKT, IKT-Sicherheit

und Medienkompetenz

– Verpflichtende IKT-Ausbildung aller Studierenden der

Pädagogik

– Verstärkte Ausbildung von IKT-SicherheitsspezialistInnen

im tertiären Sektor

– IKT-Sicherheit als wichtiger Bestandteil in der

Erwachsenenbildung / Weiterbildung

Forschung

– Vermehrte Einbindung von IKT-Sicherheitsthemen in

angewandte IKT-Forschung

– Aktive Themenführerschaft bei internationalen

Forschungsprogrammen 17 |



Sicherheitsstrategie

Stärkung der IKT-Sicherheitskultur in Österreich

Positive Positionierung der IKT-Sicherheit

Abgestimmte und koordinierte Vorgehensweise

– Einrichten eines

IKT-Sicherheitsportals

www.onlinesicherheit.at

– Awareness-Kampagnen

– Beratungsprogramme

– Standardisierung

18 |

19 |







Erarbeitung ÖSCS

Grundlage: Ministerratsbeschluss vom 11. Mai 2012

Intensive Zusammenarbeit zwischen BM.I, BMLVS und

BKA – strategische Koordination durch BKA

Grundlage: Österreichische Sicherheitsstrategie (ÖSS)

Verhandler: Verbindungspersonen zum NSR + CS

Experten

Vorhandenen Aktivitäten und Erarbeitungen wurden

eingebracht:

– IKT-Sicherheitsstrategie

– Cyber Crime und Cyber Defence Strategien

– KSÖ-Aktivitäten (Risiko-Matrix etc.), usw.

Beschluss ÖSCS im MR am 20. März 2013


Definition Cyber Sicherheitspolitik

Nationale, europäische und internationale Maßnahmen

zur positiven Mitgestaltung des Cyber Space im Interesse der

Bürger, Wirtschaft, Wissenschaft und des Staates,

zur Verhinderung des Entstehens /Wirksamwerdens von

Bedrohungen des / der Menschen im Cyber Space (Prävention),

zum Schutz des Rechtsgutes Cyber Sicherheit gegenüber

Bedrohungen bzw. zu deren Bewältigung.


Breiter Ansatz / Chancen:

Der Cyber Space ist als

Informations- und Kommunikationsraum,

Sozialer Interaktionsraum,

Wirtschafts- und Handelsraum,

Politischer Partizipationsraum,

Steuerungsraum

bedeutend für Staat, Wirtschaft, Wissenschaft, Gesellschaft.


Risiken und Bedrohungen

Fehlbedienungen

Cyber Kriminalität

Identitätsmissbrauch

Cyber Extremismus / Cyber Terrorismus

Massive Angriffe staatlicher / nicht staatlicher Akteure


Prinzipien

Allgemeine Prinzipien:

Umfassende, integrierte, proaktive,

solidarische Sicherheitspolitik

Spezielle Prinzipien:

Rechtsstaatlichkeit

Subsidiarität

Selbstregulierung

Verhältnismäßigkeit


Strukturen und Prozesse

Einrichtung Cyber Sicherheits-Steuerungsgruppe

Schaffung Struktur zur Koordination auf operativer Ebene

Einrichtung übergreifendes Cyber Krisenmanagement

Stärkung bestehender Strukturen

Erstellung Code of Conduct (Info-Austausch, Meldeverpflichtung, usw.)

Festlegung von Mindestsicherheitsstandards

Erstellung jährlicher Bericht zur Cyber Sicherheit


Kooperation Staat, Wirtschaft, Gesellschaft etc.

Einrichtung Cyber Sicherheits-Plattform (Nutzung ATC, KSÖ

etc.)

Stärkung der Unterstützung für KMUs

Ausarbeitung Cyber Sicherheitskommunikationsstrategie

Schutz kritischer Infrastrukturen

Sensibilisierung und Ausbildung

Forschung und Entwicklung

Internationale Zusammenarbeit


Österreichische Strategie für Cybersicherheit

wurde am 20. März 2013 von

der Bundesregierung unter

Einbringung von BMI, BMLVS,

BMeiA und BKA beschlossen.

Download unter

www.digitales.oesterreich.gv.at


Cyber Security – Struktur


Nationaler Sicherheitsrat

Verbindungspersonen zum

nationalen Sicherheitsrat

Cyber

Experten

Cyber Security Steuerungsgruppe Vorsitz: BKA

Mitglieder: BMI, BMLVS, BMeiA, BMJ

und im Bedarfsfall weitere (BM, Länder, usw.)

Operative Koordination

Krisenmanagement

SKKM

Cyber Security Plattform

Einbindung der Wirtschaft

28 |

29 |








EU Aktivitäten

Europäische Cybersicherheit Strategie

– Vorstellung Entwurf EK am 07.02.2013

– Behandlung in 15 Rat-Arbeitsgruppen und in der

FOP on Cyber Issues

– Bis E03/2013 werden Anmerkungen gesammelt

– Geplant: Ende April/Anfang Mai finale Behandlung

im kommenden FOP Meeting

– Verabschiedung noch durch irische Präsidentschaft

30 |


EU Aktivitäten

Europäische Cybersicherheit Strategie

– Kernpunkte (5 strategische Prioritäten)

• Widerstandsfähigkeit erhöhen

• Eindämmung der Cyberkriminalität

• Ausbau der Cyberverteidigung

• Entwicklung von industriellen Cyber-Ressourcen

• Einheitliche Cyberraumstrategie auf int. Ebene

– Viele Maßnahmen dazu

– Trennung der Aufgaben in

Netz- und Informations-

sicherheit, Strafverfolgung

und Verteidigung

– Begleitende NIS - Richtlinie

31 |


EU Aktivitäten

Ein wesentlicher Eckpfeiler in der Umsetzung ist

die NIS-Richtlinie

Ziel ist das Setzen von minimalen Sicherheitsstandards

Säulen der Richtlinie: – Nationale Fähigkeiten

– Kooperation auf EU-Ebene

– Sektorübergreifende Zusammenarbeit (PPP)

32 |


EU Aktivitäten

Begleitende NIS Richtlinie

– Kernpunkte

• Jeder Staat hat eine NIS Strategie und einen nationalen NIS

Kooperationsplan

• Es gibt eine für NIS zuständige Behörde

• Jeder MS hat ein CERT mit einem def. Mindestumfang

• Ein Kooperationsnetz für die europ. Komm. wird aufgebaut

• Ein Frühwarnsystem und Koordinierte Reaktion

• Übergreifender NIS Kooperationsplan auf europ. Ebene

• Verpflichtende Meldung von Sicherheitsvorfällen

• Förderung von Normen

• Befugnisse für verbindliche Anweisungen und Sanktionen

bei Verstößen durch die nat. NIS Behörde

33 |


EU Aktivitäten – NIS Richtlinie

Einordnung der NIS-Behörde in die Struktur

34 |

Der Cyberraum kennt keine Grenzen, wohl in jeglicher Hinsicht! für Ihre Aufmerksamkeit!

Die Österreichische Strategie zur Cyber Sicherheit

sowie die IKT-Sicherheitsstrategie finden sie zum

Download auf www.digitales.oesterreich.gv.at

Roland Ledinger

[email protected]

http://www.digitales.oesterreich.gv.at/

Documents

Sicherheit im Cyber Raum, von der Strategie bis zur …e-government.adv.at/2013/pdf/30_Ledinger-eGovernmentKonferenz...Keyspeaker. Zwei Drittel der ... – Definition von Mindeststandards