Die strategische Dimension von Cyber Security 02, 2013 · Keyspeaker. Zwei Drittel der ... – Definition von Mindeststandards für Risiko- und Sicherheitsmanagement Sicherstellung

Die strategische Dimension von Cyber SecurityEin Überblick der nationalen und internationalen strategischen Ausrichtung

Roland LedingerWien, April 2013

2 |

Überblick & Navigation

Einordnung des Themas IKT Sicherheitsstrategie Österreichische Strategie zur Cyber Sicherheit EU Aktivitäten in Bezug auf Cyber Security

Security Forum 2013 - 17. April


Themen, die eine digitale Welt dominieren!

Social Media

Green IT

Cyber Security

Smartphone

TabletApps

Cloud Computing

Shared Service

Facebook Twitter

Mobiles Breitband

Web 2.0

WikiCollaboration

Blogs

Semantic Web

Location based Services

Smart Grid Smart Meter

Public Cloud

IaaSPrivate Cloud SaaS

ParticipationPaaS

Standardisierung

StuxnetKritische Infrastruktur

CERTGovCERT

Botnetze

Virtualisierung Zentralisierung

HTML5

App Stores

VideoYoutube

Social Engineering

Open data Open Government

3 |


In welchem Umfang findet das digitale Leben statt?

über 900 Mio Facebook User, davon 2,5 Mio in Ö 2 Mrd Internetuser 5 Mrd Handyverträge

– 146 % Mobiltelefon Penetration in Ö; 5,67 Mrd. min und 1,78 Mrd SMS im 4.Q 2010

– 7.167 TB im 4.Q 2010 mittels Mobiltelefone heruntergeladen– Prognose, jedes 3. verkaufte Handy ist ein Smartphone und hat

Internet immer dabei 200 Mrd eMails werden täglich verschickt 15 Petabyte täglicher Datenzuwachs =

1.125.899.906.842.624 Zeichen durchschnitt. 350.000, in Spitzenzeiten bis zu 700.000 Rechner in

D Teil eines Botnetzes (Stand 2010)

4 |

Geheimhaltung/Vertrauen

Integrität

Legalität

Authentizität/Echtheit

Verfügbarkeit

Schutz der Privatsphäre

Datensicherheit

Was sind die wesentlichen Elemente der Sicherheit in einer digitalen Welt?


Eine

IKT-Sicherheits-strategie muss folgende Punkte adressieren

5 |

Internet-sicherheitInternet-sicherheit

Netzsicher-heit

Netzsicher-heit

Applikationssicherheit

Informationssicherheit

Schutz kritische Informationsinfrastruktur

IKT Sicherheitsstrategie

Cybe

r Crim

eC

yber

De

fen

se

Cyber Security Strategie

Security Forum 2013 - 17. April 6 |

Rechtlicher Rahmen von IKT Sicherheit

Informationssicherheit - Klassifizierung

Präventive IKT Sicherheitsmaßnahmen

Incidents- und Krisenmanagement

Koordination der IKT Sicherheits-/Cyber Security Strategie

International Cyber-Security Kontakte

Physischer Datensicherheit

IKT Strategie

E-Government

Datenschutz Kom.

ISK

APCIP

ZAS

7 |

PlattformDigitalAustria


GovCERT

CIIP-Coordination

Tätigkeitsfelder des öster.Bundeskanzleramts

7 |

Austrian

Trust Circle

Austrian

Trust Circle

Energy

Energy

Finance

Finance

Trans-portati

on

Trans-portati

on

Health

Health

Industry

Industry

……CERT.at

GovCERT

CIPCoordination

CIIPCoordination

SKKM

Nationaler Sicherheits

rat

Federal Govern-

ment

ISK

BKA

Platform Digital Austria

BKA/BM.I

BM.I

FüUZ

BMLVS

BKBVT

8 |

AbwAmt

Education

ResearchCI

Operators

CountriesCities

Communities

AwarenessInterest

Associations


HNa

Stakeholder aus dem privatenund öffentlichen Sektor

KSÖ

8

Austrian

Trust Circle

Austrian

Trust Circle

Energy

Energy

Finance

Finance

Trans-portati

on

Trans-portati

on

Health

Health

Industry

Industry

……CERT.at

GovCERTGovCERT

CIPCoordination

CIPCoordination

CIIPCoordination

CIIPCoordination

SKKMSKKM


rat


rat

Federal Govern-

ment

Federal Govern-

ment

ISKISK



BKA/BM.I

FüUZFüUZBKBKBVTBVT

9 |

AbwAmtAbwAmt

Education

ResearchCI

Operators

CountriesCities

Communities

CountriesCities

Communities

AwarenessInterest

Associations


HNaHNa

Stakeholder aus dem privatenund öffentlichen Sektor

KSÖ

9

10 |





Gemeinsame Erarbeitung stand im FokusButtom-up Ansatz

Ziel war die Erstellung einer nationalen IKT Sicherheitsstrategie als Grundlage für die Cyber Security Strategie Österreichs

konkrete Maßnahmen und eine Roadmap Prozess sollte alle Aspekte betrachten und alle

Stakeholder einbinden (BMI, BMLVS, BMF, BMxx, GovCERT, CERT, CERT-VERBUND, ACT-Austrian Trust Circle, Länder, Städte- und Gemeindebund, KSÖ, div Institutionen, privaten Sektoren der kritischen Info-Infrastruktur, …)

WICHTIG: eine breite Basis finden, die für die Umsetzung der Roadmap notwendig ist

11 |


Zeitlicher Ablauf

Ausarbeitung IKT Sicherheitsstrategie

Detailausarbeitung von MaßnahmenMonitoring des MaßnahmenkatalogesEvaluierung und Nachjustierung

Sofortmaßnahmen

Sofortmaßnahmen

Begleitende Koordination und Kommunikation

Maßnahmen

Maßnahmen

Maßnahmen

Ausgangssituation - Lagebild

Strategische Zielsetzung

StrukturenMaßnahmen

Katalog

12 |

13 |Security Forum 2013 - 17. April

Am 16. November Kickoff Veranstaltung Über 200 Teilnehmer aus den

verschiedenen Sektoren Präsident Hange vom BSI Deutschland war

Keyspeaker. Zwei Drittel der Teilnehmer haben sich

für Arbeitsgruppen nominiert. Daher eine der

größten IKT Sicherheits-Initiative über alle Sektorenhinweg.

Kickoff – für den Prozess

13 |


Die Elemente der Strategie-Erarbeitung

AusgangssituationIKT in Österreich, Gefährdungslage, Rahmenbedingungen, politische Ziele, Basisprinzipien, Vision, Leitbild, abgeleitete Maßnahmen, …

Strategische ZielsetzungenAwareness, Schutz kritischer Informations-Infrastrukturen, IKT Sicherheit für BürgerInnen, IKT Sicherheit für die Wirtschaft, IKT Sicherheit in der öffentlichen Verwaltung, IKT Sicherheit im militärischen Bereich, IKT Research, IKT Diplomatie, IKT Governance, Gesetzgebung, abgeleitete Maßnahmen, …

StrukturenAlle existierenden und notwendigen Strukturen, deren Verantwortungen, Zielsetzungen und das nationale und internationale Zusammenwirken, abgeleitete Maßnahmen …

Nachhaltige Maßnahmen und MethodenBedrohungsanalysen, Risikoanalysen, Krisenmanagement, Erhöhung der Widerstandskraft von Info-Infrastr., Aufbau von vorbeugenden Maßnahmen, Einrichten von Cyber-Partnerschaften, Untersuchung und Verfolgen von Cyberattacken, Cyber Forschung und Ausbildung, abgeleitete Maßnahmen, …

14 |


Arbeitsgruppen zur Strategie-Erarbeitung

Risikoeinschätzung/-management – Lagesituation, -monitoring und -folgerungen – Gefährdungslage

Kritische Infrastruktur Bildung und Forschung Stakeholder und Strukturen, nationale und

internationale Vernetzung Awareness

15 |


Am 2. März 2012 wurden erste Ergebnisse der Arbeitsgruppen im Bundeskanzleramt vorgestellt

Keyspeaker Mr. Servida von der EU-Kom (European Internet Strategy) Insgesamt 130 österr. Cyber Security Experten waren in die Erarbeitung

involviert Tolle Ergebnisse aller Arbeitsgruppen. Das gemeinsame Ziel wurde dabei von allen Arbeitsgruppen unterstrichen: make

the Internet safer in Austria.

Erste Zwischenergebnisse

16 |

Arbeitsgruppen

Ist-Status erhoben Handlungsfelder definiert Kernelemente

identifiziert


Abschlussveranstaltung

15. Juni 2012 im BKA erfolgt die Präsentation Keynote Dr. Steve Purser ENISA- Head of Technical

Competence Dpt AG Leiter stellen

das Ergebnis vor



Auszug der Inhalte der IKT Sicherheitsstrategie – Strukturen/Stakeholder

Optimieren der „Cyber Security Stakeholder und Strukturen“-Landschaft in Österreich

– Einrichten einer öffentlichen Cyber-Partnerschaft● ein öffentliches Cyber-Krisenmanagement ● eine Cyber Security-Steuerungsgruppe ● eine Informationsdrehscheibe für Cyber Security

– Einrichten eines Cyber-Lagezentrums– Strukturen schaffen für

Standards, Zertifizierungen, Qualitäts-Assessments

19 |


Auszug der Inhalte der IKT Sicherheitsstrategie – kritische Infrastruktur

Cyber-Krisenmanagement – Aufbau einer Struktur zum nationalen Cyber-

Krisenmanagement– Cyber-Lagezentrums– Einrichten einer

tragfähigen Krisenkommunikation

Informationsaustausch von öffentlichen und privaten Akteuren

20 |


Auszug der Inhalte der IKT Sicherheitsstrategie - kritische Infrastruktur

Risikomanagement und Informationssicherheit – Förderung des Risikomanagements innerhalb der

kritischen Infrastrukturbetreiber– Einrichten eines Cyber Competence Centers– Pflege des Informationssicherheitshandbuch als Basis

für den Grundschutz– Durchführen von Technologiefolgenabschätzungen– Freiwilliges Registrierungssystem von Experten, wie

dies in der Verwaltung schon erfolgt

21 |


Auszug der Inhalte der IKT Sicherheitsstrategie - Risikomanagement

Identifizierung von Kernunternehmen in den Sektoren

Umfassendes Risiko- und Sicherheitsmanagement über Sektoren hinweg

– Verdichtung des Risikokatalogs – Definition von Mindeststandards für Risiko- und

Sicherheitsmanagement

Sicherstellung von Mindeststandards und Lenkung der Risikoakzeptanz in Kernunternehmen

22 |


Auszug der Inhalte der IKT Sicherheitsstrategie – Bildung und Forschung Bildung

– Frühzeitige schulische Ausbildung in IKT, IKT-Sicherheit und Medienkompetenz

– Verpflichtende IKT-Ausbildung aller Studierenden der Pädagogik

– Verstärkte Ausbildung von IKT-SicherheitsspezialistInnen im tertiären Sektor

– IKT-Sicherheit als wichtiger Bestandteil in der Erwachsenenbildung / Weiterbildung

Forschung– Vermehrte Einbindung von IKT-Sicherheitsthemen in

angewandte IKT-Forschung– Aktive Themenführerschaft bei internationalen

Forschungsprogrammen23 |


Auszug der Inhalte der IKT Sicherheitsstrategie Stärkung der IKT-Sicherheitskultur in Österreich Positive Positionierung der IKT-Sicherheit Abgestimmte und koordinierte Vorgehensweise

– Einrichten einesIKT-Sicherheitsportalswww.onlinesicherheit.at

– Awareness-Kampagnen– Beratungsprogramme– Standardisierung

24 |

25 |





Die österr. Strategie zur Cyber Sicherheit

Intensive Zusammenarbeit zwischen BM.I, BMLVS und BKA – Koordination durch BKA

Basiert auf der Österreichischen Sicherheitsstrategie

– Verbindungspersonen zum NSR + CS Experten

Vorhandenen Aktivitäten und Erarbeitungen wurden eingebracht:

– IKT Sicherheitsstrategie– Cyber Crime und Cyber Defence Strategien– KSÖ-Aktivitäten (Risiko-Matrix etc.), usw.

Grundlage MR Beschluss vom 11. Mai 2012

26 |

Definition Cyber Sicherheitspolitik

Nationale, europäische und internationale Maßnahmen

zur positiven Mitgestaltung des Cyber Space im Interesse der

Bürger, Wirtschaft, Wissenschaft und des Staates,

zur Verhinderung des Entstehens /Wirksamwerdens von

Bedrohungen des / der Menschen im Cyber Space (Prävention),

zum Schutz des Rechtsgutes Cyber Sicherheit gegenüber

Bedrohungen bzw. zu deren Bewältigung.


Breiter Ansatz / Chancen:

Der Cyber Space ist als

Informations- und Kommunikationsraum,

Sozialer Interaktionsraum,

Wirtschafts- und Handelsraum,

Politischer Partizipationsraum,

Steuerungsraum

bedeutend für Staat, Wirtschaft, Wissenschaft, Gesellschaft.


Risiken und Bedrohungen

. Fehlbedienungen

. Cyber Kriminalität

. Identitätsmissbrauch

. Cyber Extremismus / Cyber Terrorismus

. Massive Angriffe staatlicher / nicht staatlicher Akteure


Prinzipien

Allgemeine Prinzipien:. Umfassende, integrierte, proaktive,

solidarische Sicherheitspolitik

Spezielle Prinzipien:

. Rechtsstaatlichkeit

. Subsidiarität

. Selbstregulierung

. Verhältnismäßigkeit


Strukturen und Prozesse

Einrichtung Cyber Sicherheits-Steuerungsgruppe

Schaffung Struktur zur Koordination auf operativer Ebene

Einrichtung übergreifendes Cyber Krisenmanagement

Stärkung bestehender Strukturen

Erstellung Code of Conduct (Info-Austausch, Meldeverpflichtung, usw.)

Festlegung von Mindestsicherheitsstandards

Erstellung jährlicher Bericht zur Cyber Sicherheit


Kooperation Staat, Wirtschaft, Gesellschaft etc.

Einrichtung Cyber Sicherheits-Plattform (Nutzung ATC, KSÖ etc.)

Stärkung der Unterstützung für KMUs

Ausarbeitung Cyber Sicherheitskommunikationsstrategie

Schutz kritischer Infrastrukturen

Sensibilisierung und Ausbildung

Forschung und Entwicklung

Internationale Zusammenarbeit


Österreichische Strategie für Cybersicherheit

wurde am 20. März 2013 von der Bundesregierung unter Einbringung von BMI, BMLVS, BMeiA und BKA beschlossen.

Download unter www.digitales.oesterreich.gv.at


34 |





EU Aktivitäten

Europäische Cybersicherheit Strategie – Vorstellung Entwurf EK am 07.02.2013– Behandlung in 15 Rat-Arbeitsgruppen und in der

FOP on Cyber Issues– Bis E03/2013 werden Anmerkungen gesammelt– Geplant: Ende April/Anfang Mai finale Behandlung

im kommenden FOP Meeting– Verabschiedung noch durch irische Präsidentschaft

35 |


EU Aktivitäten

Europäische Cybersicherheit Strategie – Kernpunkte (5 strategische Prioritäten)

● Widerstandsfähigkeit erhöhen● Eindämmung der Cyberkriminalität● Ausbau der Cyberverteidigung● Entwicklung von industriellen Cyber-Ressourcen● Einheitliche Cyberraumstrategie auf int. Ebene

– Viele Maßnahmen dazu– Trennung der Aufgaben in

Netz- und Informations-sicherheit, Strafverfolgung und Verteidigung

– Begleitende NIS - Richtlinie

36 |


EU Aktivitäten

Ein wesentlicher Eckpfeiler in der Umsetzung ist die NIS-Richtlinie

Ziel ist das Setzen von minimalen Sicherheitsstandards

Säulen der Richtlinie:– Nationale Fähigkeiten– Kooperation auf EU-Ebene– Sektorübergreifende Zusammenarbeit (PPP)

37 |


EU Aktivitäten

Begleitende NIS Richtlinie– Wird in der RAG Telekom behandelt– Behandlung der NIS Richtlinie entkoppelt von der

Strategie– 5 Kapitel und 22 Artikel

● Allgemein● Nationaler Rahmen für NIS ● Zusammenarbeit der Behörden● Sicherheit der Netze und Informationssysteme● Schlussbemerkungen

38 |


EU Aktivitäten

Begleitende NIS Richtlinie– Kernpunkte

● Jeder Staat hat eine NIS Strategie und einen nationalen NIS Kooperationsplan

● Es gibt eine für NIS zuständige Behörde● Jeder MS hat ein CERT mit einem def. Mindestumfang● Ein Kooperationsnetz für die europ. Komm. wird aufgebaut● Ein Frühwarnsystem und Koordinierte Reaktion● Übergreifender NIS Kooperationsplan auf europ. Ebene● Verpflichtende Meldung von Sicherheitsvorfällen● Förderung von Normen● Befugnisse für verbindliche Anweisungen und Sanktionen

bei Verstößen durch die nat. NIS Behörde

39 |


EU Aktivitäten – NIS Richtlinie

Sicherheitsanforderungen für Unternehmen

Hohe internationale Verflechtung von Unternehmendaher EU-weite Maßnahmen zum Schutz notwendig

Erweiterung der Telekom-RL Art 13.a

Risikomanagement

Meldeverpflichtung bei Vorfällen

40 |


EU Aktivitäten – NIS Richtlinie

Einordnung der NIS-Behörde in die Struktur

41 |

Der Cyberraum kennt keine Grenzen, wohl in jeglicher Hinsicht!für Ihre Aufmerksamkeit!

Die Österreichische Strategie zur Cyber Sicherheit sowie die IKT-Sicherheitsstrategie finden sie zum Download auf www.digitales.oesterreich.gv.at

Roland [email protected]

http://www.digitales.oesterreich.gv.at/

Documents

Die strategische Dimension von Cyber Security 02, 2013 · Keyspeaker. Zwei Drittel der ... – Definition von Mindeststandards für Risiko- und Sicherheitsmanagement Sicherstellung