Tatü, tata: „Cyberwehr“ für Hilfe bei IT-Sicherheitsvorfällen geplant – Unternehmen sollen kostenlos mitmachen

Die „Cyberwehr“ kommt, eine Feuerwehr für den Cyberraum. Sie soll unter Leitung des Bundesamtes für Sicherheit in der Informationstechnik bei IT-Sicherheitsvorfällen zum Einsatz kommen. Die Experten dafür sollen aus der Wirtschaft kommen und kostenlos für die Behörde arbeiten. Wir veröffentlichen einen Entwurf der Kooperationsvereinbarung.

Wenns im Cyberraum brennt, soll die Cyberwehr in Zukunft löschen - CC BY-SA 2.0 via flickr/sarabbit

Wenns im Cyberraum brennt, soll die Cyberwehr in Zukunft löschen – CC BY-SA 2.0 via flickr/sarabbit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) plant die Einrichtung einer „Cyberwehr“ – die künftige Feuerwehr für den Cyberraum. Dabei sollen Unternehmen Hand in Hand mit dem BSI Soforthilfe bei IT-Sicherheitsvorfällen leisten. Geholfen werden soll dabei vor allem Betreibern Kritischer Infrastrukturen (KRITIS), aber auch Einrichtungen von Bundes- und Länderverwaltungen sowie anderen „Institutionen im staatlichen Interesse“ (INSI).

KRITIS-Unternehmen sind zum Beispiel Energieversorger, Krankenhäuser oder Betreiber von Telekommunikationsnetzen. Kurz gesagt: Alle, die notwendig sind, um die Infrastruktur im Land am Laufen zu halten. Sie gehören neben anderen zu der Gruppe der INSI. Um zu einer INSI zu werden, gelten diverse Kriterien, zum Beispiel muss gegeben sein, dass ein „Cyber-Angriff auf die IT-Systeme der Institution […] zu einer Großgefahrenlage der öffentlichen Sicherheit, der Menschen oder der Umwelt führen“ kann oder dass ein Unternehmen eine „tragende wirtschaftliche Rolle“ spielt.

Für die Errichtung der „Cyberwehr“ planen BSI und Bundesinnenministerium (BMI) eine Kooperationsvereinbarung. Wir veröffentlichen hier die derzeitige Entwurfsfassung, die ZEIT ONLINE und netzpolitik.org vorliegt. Das BSI hat auf Anfrage bestätigt, dass „derzeit Überlegungen angestellt [werden], wie man Fachleute aus der Wirtschaft zur Unterstützung der im BSI geplanten „Mobile Incident Response Teams“ [mobile Eingreifteams] einbinden kann“ und diese Überlegungen unter dem Namen „Cyberwehr“ erfolgen würden. Zu Details will man uns keine Auskunft geben, da die Überlegungen noch nicht abgeschlossen seien.

Die Cyberwehr wird gerufen.

Den Ablauf für den Einsatz der Cyberwehr kann man sich – basierend auf dem Inhalt der Kooperationsvereinbarung – an einem fiktiven Beispiel in etwa so vorstellen:

Ein großes deutsches Energieversorgungsunternehmen aus Berlin, nennen wir es EnergyPower, stellt bei sich einen Hackingangriff fest. Unbedachterweise haben Mitarbeiter einen Mailanhang mit Schadsoftware geöffnet, die Schadsoftware breitet sich im Unternehmen aus. Die IT-Abteilung von EnergyPower stellt fest, dass sie der Situation nicht gewachsen ist. Nach einer kurzen Analyse geht sie davon aus, dass sensible Daten abfließen und die Angreifer Kontrolle über einige Mitarbeiter-PCs erlangt haben. Es ist nicht auszuschließen, dass die Angreifer sich auch Zugriff auf die zentrale Infrastruktur von EnergyPower verschaffen könnten. Die IT-Abteilung befürchtet, dass die Angreifer vorhaben, einen Blackout in Teilen des Netzes zu verursachen.

EnergyPower gehört zu den sogenannten KRITIS-Unternehmen. Außerdem liegt ein „nicht unerheblicher“ Vorfall vor und das Unternehmen ist nicht imstande, das Problem alleine zu lösen. Es richtet also eine Bitte um Unterstützung an das BSI, genauer die Leitstelle der Cyberwehr, ganz wie bei einem klassischen Notruf.

Wäre ein fremder Geheimdienst hinter dem Angriff zu vermuten, würde das jetzt einen Einsatz der Cyberwehr ausschließen – das wäre ein klassisches Einsatzgebiet des Verfassungsschutzes zum Wirtschaftsschutz.

Die Leitstelle vermittelt.

Wie geht es dann weiter? Laut Kooperationsvereinbarung wird der sogenannte „Incident Manager“ – zu deutsch: Störungsmanager in der Leitstelle – tätig. Dieser muss ein BSI-Mitarbeiter sein. Er übernimmt die Aufgabe, abzuschätzen, wie viele und welche Ressourcen für den Einsatz beim Betroffenen nötig sind, und die Kommunikation mit dem Betroffenen zu koordinieren. Die Leitstelle soll dann die kooperierenden Unternehmen kontaktieren und den Bedarf an Experten kommunizieren sowie das Einsatzteam zusammenstellen. Der grobe Ablauf:

Da das betroffene Unternehmen in der Energiebranche tätig ist, versucht die Leitstelle zur Vermeidung von Interessenskonflikten Experten aus anderen Wirtschaftszweigen zu erreichen. In der Regel soll ein Einsatzteam aus drei Cyberwehr-Mitgliedern und einem Einsatzleiter (Incident Handler) bestehen. Mindestens der Einsatzleiter soll aus dem BSI stammen. Für die restlichen drei Team-Mitglieder fragt die Leitstelle zunächst bei den Kontaktstellen von Unternehmen aus der Telekommunikationsbranche an, da diese vermutlich Erfahrung auf dem Gebiet der Angriffe haben.

Alle Kontaktstellen müssen rund um die Uhr erreichbar sein. Glücklicherweise hat die Leitstelle schnell Erfolg: Zwei große Unternehmen sagen zu und erklären sich bereit, je einen, beziehungsweise zwei Mitarbeiter auszuleihen und zu EnergyPower nach Berlin zu senden. Jedes in der Cyberwehr beteiligte Unternehmen muss der Cyberwehr Unterstützung bis zu 20 Personentagen im Jahr bereitstellen – kostenlos. Bezahlt werden lediglich Reisekosten und eine Verpflegungspauschale.

Der Einsatz beginnt.

Dann kann alles schnell gehen. EnergyPower hat dem Cyberwehr-Einsatz bereits zugestimmt, keine Einwände gegen den Einsatz der vorgeschlagenen Team-Mitglieder, die Leitstelle hat sich um An- und Abreisemodalitäten gekümmert. Vor Ort hat das BSI das Sagen:

Die Cyberwehr-Team-Mitglieder, deren Arbeitskraft durch die Kooperationspartner zur Verfügung gestellt wird, werden für das BSI bei dem Betroffenen tätig und durch das BSI als „Werkzeug“ eingesetzt, um seine gesetzlichen Beratungsaufgaben zur Förderung der Sicherheit in der Informationstechnik wahrzunehmen.

Um den Vorfall in den Griff zu bekommen, brauchen die Experten zwei Tage. Drei Tage wären möglich gewesen, das ist die maximale Einsatzdauer.

Vom erlangten Wissen profitieren

Nachdem der Angriff abgewehrt und eventuelle Schäden behoben sind, stellt sich die Frage, wie mit den erlangten Informationen umzugehen ist, denn unter Umständen sind auch Unternehmensinterna betroffen. Solange die Informationen nicht auf PowerEnergy zurückzuführen sind, dürfen die beiden eingesetzten Telekommunikationsunternehmen das erlangte Wissen nutzen, um sich selbst besser zu schützen.

Unter Umständen können jedoch sogar dem betroffenen Unternehmen die Informationen zum IT-Vorfall im eigenen Haus vorenthalten werden – nämlich dann, wenn nicht näher definierte „sicherheitsrelevante Gründe“ dem entgegenstehen. Der Abschnitt zum Thema „Datenschutz“ in der Kooperationsvereinbarung ist darüberhinaus noch nicht fertiggestellt.

Wo sollen die Teilnehmer herkommen?

Erstmal klingt die Idee einer Cyberwehr – mal abgesehen von ihrem Namen – sinnvoll. Was noch offen ist, ist die Frage nach der Motivation für Unternehmen, sich der Cyberwehr anzuschließen: Sie müssen kostenlos Arbeitskraft zur Verfügung stellen, als Gegenleistung erhalten sie Informationen über Angriffe, an deren Abwehr sie beteiligt waren und die sie eventuell zum eigenen Schutz verwenden können. Der Abschnitt zur Weiterverwendung dieser Informationen ist noch nicht ausgestaltet. Es würde attraktiv erscheinen, wenn alle beteiligten Unternehmen frühzeitig Informationen aus den Einsätzen bei Betroffenen erhielten, soweit das im Rahmen des Schutzes unternehmensinterner Informationen möglich ist.

Von dieser Ausgestaltung wird die größte Herausforderung für die Cyberwehr bestehen: Unternehmen zu finden, die mitmachen wollen. Laut Berichten von heise online aus dem Juni war die Cyberwehr ursprünglich als BSI-interne Gruppe geplant, das hat sich nun geändert: Nach der derzeitigen Vertragsausgestaltung ist die Cyberwehr genaugenommen eine Freiwillige Cyberwehr: Geholfen wird auch Nicht-Mitgliedern, es gibt keine Ausfallentschädigung und noch ist der Informationsaustausch nicht abschließend geklärt.

Ob Unternehmen bereit wären, mitzumachen, lässt sich derzeit schlecht abschätzen. Laut Informationen von ZEIT ONLINE weiß der Telekommunikationsriese Deutsche Telekom noch nichts von den Plänen. Auch bei den IT-Branchenverbänden BITKOM und eco sieht es ähnlich aus. Nur ein Unternehmen der Bundesdruckereigruppe konnte bestätigen, von den Plänen zu wissen.

Für das BSI liegen die Vorteile auf der Hand: Es würde über eine Auswahl an IT-Sicherheitsexperten verfügen können, die es selbst nicht bezahlen könnte. Denn die Löhne in der freien Wirtschaft sind deutlich attraktiver als die der Bundesbehörde. Aber nur wenn es wirklich gelingt, diese benötigten Ressourcen zu bündeln, kann die Cyberwehr zu einer echten Feuerwehr des Cyberraums werden.


Kooperationsvereinbarung Cyberwehr

Zwischen der Bundesrepublik Deutschland

vertreten durch das Bundesministerium des Innern

vertreten durch den Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik
Godesberger Allee 185 – 189
53175 Bonn

– im Folgenden „BSI“ –

und den in Anlage 1 aufgeführten Kooperationspartnern der Cyberwehr

– im Folgenden „Kooperationspartner“ –

wird folgende Kooperationsvereinbarung geschlossen:

Präambel

[ggf. ergänzen]

§ 1 Aufgabe und Ziel der Cyberwehr

(1) Die „Cyberwehr“ ist ein Zusammenschluss von freiwillig kooperierenden Unternehmen (Kooperationspartner) und dem BSI. Die Cyberwehr steht unter der Leitung des BSI.

(2) Mit der Cyberwehr wird das Ziel verfolgt, insbesondere Institutionen der Bundes- und Länderverwaltung, Betreibern Kritischer Infrastrukturen (KRITIS) und anderen Institutionen im staatlichen Interesse (INSI) im Falle eines IT-Sicherheitsvorfalls Soforthilfe in Form einer schnellen und zeitlich befristeten vor-Ort-Unterstützung zu gewähren. Zu den Aufgaben der Cyberwehr gehören insbesondere:

a) Lagefeststellung und Lagebeurteilung
b) Beratung zu ersten technischen Gegenmaßnahmen und Konfigurationsempfehlungen
c) Beratung zur Aufnahme eines Notbetriebs
d) beratende Unterstützung des lokalen Betriebspersonals bei der Aufnahme des Notbetriebs
e) Beratung zur Krisenkommunikation

§ 2 Kooperationsvereinbarung und Einsatzkonzept

(1) Diese Kooperationsvereinbarung regelt die Aufgaben und Rahmenbedingungen für die Cyberwehr sowie die Grundsätze der Zusammenarbeit zwischen dem BSI und den Kooperationspartnern.

(2) Diese Kooperationsvereinbarung wird durch das Einsatzkonzept Cyberwehr (Anlage X) konkretisiert.

§ 3 Kooperationspartner und deren Aufnahme in die Cyberwehr

(1) Die Kooperationspartner der Cyberwehr sind die in Anlage 1 aufgeführten juristischen Personen.

(2) Das BSI kann weitere Kooperationspartner in die Cyberwehr aufnehmen, soweit diese über die erforderliche fachliche Qualifikation verfügen. Die Prüfung erfolgt durch die Geschäftsstelle der Cyberwehr (§ 7).

§ 4 Beitrag der Kooperationspartner

(1) Die Kooperationspartner erklären sich bereit, die Arbeitskraft geeigneter Mitarbeiter aus ihrem Unternehmen als technische Experten (Cyberwehr-Team-Mitglieder) für die Cyberwehr kostenlos zur Verfügung zu stellen, soweit im Einzelfall keine relevanten unternehmensinternen Erwägungen dagegen sprechen. Die Prüfung der unternehmensinternen Erwägungen obliegt dem jeweiligen Kooperationspartner.

(2) Die Kooperationspartner sichern ein Abrufkontingent für Einsätze in Höhe von bis zu 20 Personentagen im Kalenderjahr zu.

(3) Einsätze, Übungen und Fortbildungen der Cyberwehr sind für die freiwillig teilnehmenden Beschäftigen des Kooperationspartners reguläre Arbeitszeit. Die Kooperationspartner verpflichten sich, den Cyberwehr-Team-Mitgliedern für den Zeitraum der auf Anforderung der Cyberwehr erfolgten Teilnahme an Einsätzen, Übungen und Fortbildungen die jeweiligen Arbeitsentgelte einschließlich aller Nebenleistungen und Zulagen fortzuzahlen, die ohne Ausfallzeiten üblicherweise entstanden wären.

§ 5 Kontaktstelle für den Einsatzfall und Ansprechpartner bei dem Kooperationspartner

(1) Die Kooperationspartner benennen in ihrem Unternehmen zum Zwecke der Alarmierung der jeweiligen Cyberwehr-Team-Mitglieder eine Kontaktstelle, die jederzeit (24h/7Tage) erreichbar ist. Die Kontaktstelle wird in Anlage 2 dieser Kooperationsvereinbarung aufgenommen.

(2) Die Kooperationspartner benennen zum Zwecke der allgemeinen Absprache und Koordinierung sowie zur Planung von grundsätzlichen, allgemeinen und strategischen Fragen dieser Kooperationsvereinbarung jedenfalls zwei Ansprechpartner in ihrem Unternehmen. Jedenfalls einer dieser Ansprechpartner soll an den gemeinsamen Planungs- und Koordinierungsbesprechungen der Cyberwehr teilnehmen. Ein Wechsel der Ansprechpartner soll sich auf ein Mindestmaß beschränken. Die Ansprechpartner der Kooperationspartner werden in Anlage 3 zu dieser Kooperationsvereinbarung festgelegt.

§ 6 Aufgaben des BSI

(1) Das BSI leitet die Cyberwehr. Es übernimmt hierzu die nachfolgenden Aufgaben

a) Geschäftsstelle (§ 7)
b) Leitstelle (§ 8)
c) Vorkommando (§ 9)
d) Ausführungsorgan (§ 10)
e) Incident Handler (Einsatzführer vor-Ort) (§ 12)
f) Incident Manager (§ 13)

(2) Einrichtung und Betrieb der Geschäftsstelle und der Leitstelle sind Aufgaben, die das BSI dauerhaft wahrnimmt. Bezüglich der Aufgaben aus § 6(1) c) bis f) entscheidet das BSI nach eigenem Ermessen, wann und ob es welche dieser Aufgaben aus § 6(1) wahrnimmt. Die Wahrnehmung ist abhängig von den Erfordernissen der jeweiligen (Einsatz-)Situation. Es werden im konkreten Einsatzfall nicht zwingend alle Aufgaben zeitgleich wahrgenommen.

§ 7 Geschäftsstelle

(1) Die Geschäftsstelle der Cyberwehr nimmt alle allgemeinen und organisatorischen Aufgaben wahr, die zur Errichtung und zum Betrieb der Cyberwehr erforderlich sind.

(2) Die Geschäftsstelle der Cyberwehr ist insbesondere verantwortlich für die

a) Erstellung und Pflege der Anlagen dieses Vertrages
b) Erstellung und Pflege einer aktuellen Liste der von den Kooperationspartnern benannten Cyberwehr-Team-Mitgliedern (inkl. Fachgebiet)
c) Organisation von Übungen, Schulungen und Arbeitstreffen
d) Erstellung von Einsatzberichten und die Dokumentation von Übungen, Schulungen und Arbeitstreffen
e) Archivierung von Einsatzberichten und weiteren Dokumenten
f) Prüfung der fachlichen Qualifikation der einzelnen Cyberwehr-Team-Mitglieder
g) strategische Ausrichtung sowie die Weiterentwicklung und den Ausbau der Cyberwehr
h) Aufnahme neuer Kooperationspartner
i) Öffentlichkeitsarbeit

(3) Die Geschäftsstelle der Cyberwehr entscheidet im Einzelfall über das ob und wie der Weitergabe und Weiterverwendung von Informationen und Erkenntnissen aus Einsätzen der Cyberwehr. Soweit erforderlich wird vor einer Weitergabe und Weiterverwendung eine Einwilligung des Betroffenen eingeholt.

§ 8 Leitstelle

(1) Die Leitstelle der Cyberwehr ist Teil des nationale IT-Lagezentrum des BSI.

(2) Die Leitstelle der Cyberwehr nimmt die Unterstützungsersuchen der hilfesuchenden Betroffenen entgegen. Sie prüft, ob alle Voraussetzungen für den Einsatz der Cyberwehr vorliegen und teilt dem Betroffenen das Ergebnis der Prüfung mit.

(3) Soweit die Voraussetzungen für den Einsatz der Cyberwehr vorliegen, holt die Leitstelle die Zustimmung des Betroffenen für den Einsatz der Cyberwehr ein und dokumentiert diese.

(4) Die Leitstelle der Cyberwehr kontaktiert die jeweiligen Kontaktstellen der Kooperationspartner und übermittelt den Bedarf an Technischen Experten. Basierend auf den Rückmeldungen der Kontaktstellen stellt die Leitstelle das Team der im konkreten Einsatzfall zu entsendenden Cyberwehr-Team-Mitglieder zusammen.

(5) Die Leitstelle koordiniert die An- und Abreise der Cyberwehr-Team-Mitglieder.

§ 9 Vorkommando

(1) Die Cyberwehr kann zur allgemeinen Klärung der Einsatzlage ein Vorkommando zu dem Betroffenen entsenden. Das Vorkommando besteht in der Regel nur aus Beschäftigten des BSI.

(2) Die Einsatzzeiten des Vorkommandos sind keine Einsatzzeiten i. S. d. § 18

§ 10 Cyberwehr-Team-Mitglieder

(1) Cyberwehr-Team-Mitglieder sind alle Beschäftigten des BSI und der Kooperationspartner, deren Arbeitskraft durch ihren jeweiligen Arbeitgeber für die Cyberwehr zur Verfügung gestellt wurde und deren fachliche Eignung durch die Geschäftsstelle der Cyberwehr festgestellt wurde.

§ 11 Pflichten der Cyberwehr-Team-Mitglieder

[ggf. ergänzen / Eine Verpflichtung der einzelnen Mitglieder setzt eine entsprechende Einwilligung voraus. Dies müsste vorab geklärt werden.]

§ 12 Incident Handler (Einsatzführer vor Ort)

(1) Der Incident Handler ist ein Cyberwehr-Team-Mitglied, dessen Eignung für die fachliche Führung von Einsätzen durch die Geschäftsstelle der Cyberwehr festgestellt wurde. Der Incident Handler soll ein Beschäftigter des BSI sein.

(2) Der Incident Handler der Cyberwehr koordiniert den fachlichen Einsatz der Cyberwehr vor Ort. Er ist gegenüber den anderen Cyberwehr-Team-Mitglieder im Einsatzfall weisungsbefugt und entscheidet über die Einsatzstrategie sowie über die Einsatzdauer.

§ 13 Incident Manager

(1) Der Incident Manager ist ein Cyberwehr-Team-Mitglied, dessen Eignung für die Leitung von Einsätzen durch die Geschäftsstelle der Cyberwehr festgestellt wurde. Er ist Teil der Leitstelle. Der Incident Manager kann nur ein Beschäftigter des BSI sein.

(2) Er ist dafür zuständig die BSI-internen Ressourcen freizugeben, den Ressourcenbedarf aus dem Abrufkontingent festzulegen und die Kommunikation und Koordinierung mit der Managementebene des Betroffenen zu übernehmen.

(3) Die Aufgaben des Incident Managers können auch durch den Incident Handler (Einsatzführer vor Ort) mit übernommen werden. Die Entscheidung über die Aufgabenwahrnehmung trifft die Geschäftsstelle.

§ 14 Status der Cyberwehr-Team-Mitglieder

(1) Einsätze, Übungen und Fortbildungen der Cyberwehr sind für die Cyberwehr-Team-Mitglieder reguläre Arbeitszeit bei ihrem jeweiligen Arbeitgeber/Dienstherren.

(2) Die Cyberwehr-Team-Mitglieder, deren Arbeitskraft durch die Kooperationspartner zur Verfügung gestellt wird, werden für das BSI bei dem Betroffenen tätig und durch das BSI als „Werkzeug“ eingesetzt, um seine gesetzlichen Beratungsaufgaben zur Förderung der Sicherheit in der Informationstechnik wahrzunehmen (§ 3 BSIG). Die Cyberwehr-Team-Mitglieder nehmen dementsprechend Aufgaben wahr, die unmittelbar aus dem behördlichen Pflichtenkreis des BSI stammen. Sie sind damit während der Dauer der Teilnahme an Einsätzen, Übungen und Fortbildungen der Cyberwehr Verwaltungshelfer des BSI und somit „Amtswalter“ i.S.d. § 839 Abs. 1 S. 1 BGB, Art. 34 S. 1 GG (beachte hierzu: § 26).

§ 15 Voraussetzungen für den Einsatz der Cyberwehr

(1) Der Einsatz der Cyberwehr erfolgt nach pflichtgemäßem Ermessen des BSI. Es besteht kein Anspruch eines Betroffenen auf Unterstützung.

(2) Die Cyberwehr kann nur bei einem Betroffenen tätig werden, wenn alle der folgenden Voraussetzungen erfüllt sind:

a) Der Betroffenen hat ausdrücklich um Unterstützung gebeten.
b) Der Betroffene gehört zu einer Zielgruppe der Cyberwehr. Zielgruppen der Cyberwehr sind:

  • Institutionen der Bundes- und Länderverwaltungen
  • Betreiber von Kritischen Infrastrukturen (gem. Rechtsverordnung KRITIS)
  • Institutionen im staatlichen Interesse (INSI)

c) Der dem Unterstützungsersuchen zugrunde liegende IT-Vorfall ist nicht unerheblich. Ein IT-Vorfall ist jedenfalls dann nicht unerheblich, wenn

  • der Unternehmensbestand durch den IT-Vorfall gefährdet ist,
  • die durch den IT-Vorfall verursachte Störung oder der IT-Angriff eine besondere Qualität aufweisen oder
  • aufgrund des IT-Vorfalls besondere Konsequenzen absehbar sind, was insbesondere dann der Fall ist, wenn der IT-Vorfall eine Kritikalität für die Gesamtwirtschaft oder das staatliche Gemeinwesen erkennen lässt oder Hinweise auf eine potentielle Breitenwirkung erkennbar sind und damit die Gefahr besteht, dass sich der IT-Vorfall kurzfristig bei einer großen Anzahl weiterer Institutionen wiederholt oder dass die Auswirkung dieses IT-Vorfalls eine große Anzahl weiterer Institutionen bzw. Bürger massiv beeinträchtigt.

d) Der Betroffene hat glaubhaft gemacht, dass er nicht in der Lage ist, den IT-Vorfall mit eigenen Mitteln einzudämmen.

(3) Auch wenn die Voraussetzungen des § 15(2) erfüllt sind, wird die Cyberwehr nicht tätig, wenn ein nachrichtendienstlicher Hintergrund zu vermuten ist.

(4) Wurde eine Strafanzeige gestellt, wird die Cyberwehr nur nach vorheriger Abstimmung mit der zuständigen Staatsanwaltschaft oder der zuständigen Polizeibehörde tätig.

§ 16 Einberufen der Cyberwehr

(1) Soweit die Voraussetzungen des § 15 erfüllt sind, entscheidet der Incident Manager nach eigenem Ermessen, welche fachlichen Kompetenzbereiche für die Unterstützung des Betroffenen im konkreten Einzelfall erforderlich sind.

(2) Die Leitstelle informiert die für den konkreten Einzelfall benötigten Beschäftigten des BSI und stellt zugleich ein Einsatz-Beteiligungs-Ersuchen bei den jeweiligen Kontaktstellen der Kooperationspartner. Soweit möglich berücksichtigt die Leitstelle bei der Auswahl Wirtschaftszweig und Geschäftsfeld des Betroffenen, um eventuell konkurrierende Kooperationspartner nicht an dem Einsatz zu beteiligen (beachte auch Hinweisobliegenheit aus § 16(6)). In der Regel wird ein Einsatzteam aus einem Einsatzleiter und drei weiteren Cyberwehr-Team-Mitglieder bestehen.

(3) In dem Einsatz-Beteiligungsersuchen an den Kooperationspartner teilt die Leitstelle der Kontaktstelle mit, in welchem technischen Fachgebiet die Unterstützung benötigt wird. Zudem informiert die Leitstelle die Kontaktstelle in welcher Form eine Unterstützung erforderlich ist; d. h. ob, für die Dauer des Einsatzes, lediglich eine Erreichbarkeit der Cyberwehr-Team-Mitglieder an ihrem originären Arbeitsplatz benötigt wird oder ob eine vor-Ort-Unterstützung erforderlich ist. Soweit möglich informiert die Leitstelle auch über die zu erwartende Dauer des Einsatzes.

(4) Die Kontaktstelle des Kooperationspartners entscheidet unverzüglich über das Einsatz-Beteiligungsersuchen des BSI und gibt schnellstmöglich eine Rückmeldung.

(5) Basierend auf der Rückmeldung der Kontaktstelle, stellt die Leitstelle das Cyberwehr-Team zusammen und koordiniert die An- und Abreise.

(6) Der Betroffene wird durch die Leitstelle über die am Einsatz beteiligten Kooperationspartner informiert. Soweit der Betroffene Einwände gegen die Beteiligung eines Kooperationspartners erhebt, wird dieser von dem Einsatz ausgeschlossen.

§ 17 Einsatz der Cyberwehr

[ggf. generische Einsatzbeschreibung der Cyberwehr einfügen]

§ 18 Einsatzdauer

(1) Die maximale Einsatzdauer bei dem Betroffenen vor Ort, inklusive Übergabezeit (§ 19(3)) ist auf drei Tage beschränkt.

(2) Abhängig vom Einsatzort ist die Einsatzdauer für eine erforderliche An- und Abreise um jeweils einen weiteren Tag zu verlängern. Die maximale Ausfallzeit des Cyberwehr-Team-Mitgliedes beträgt damit fünf Tage.

§ 19 Auflösung des Einsatzteams und Übergabe

(1) Der Incident Manager beendet den Einsatz nach seinem pflichtgemäßen Ermessen.

(2) Der Einsatz soll spätestens nach Ablauf des dritten Einsatztages vor Ort (§ 18) durch den Einsatzleiter beendet werden.

(3) Die durch die Cyberwehr erlangten Erkenntnisse über den IT-Vorfall werden dem Betroffenen zur weiteren Verwendung (z.B. Weiterverwendung durch eigene Beschäftigte des Betroffenen oder nachfolgende Helfer) zur Verfügung gestellt, soweit dem keine sicherheitsrelevanten Gründe entgegenstehen.

(4) Ein Abzug der Cyberwehr-Team-Mitglieder vor Beendigung des Einsatzes durch den Incident Manager ist nur in begründeten Ausnahmefällen zulässig.

§ 20 Weiterverwendung von Informationen und Erkenntnissen

vgl. Regelung in § 27 – [ggf. ergänzen]

§ 21 Einsatzhäufigkeit

[ggf. ergänzen]

§ 22 Reisekosten und Übernachtung

Die Kosten der Cyberwehr-Team-Mitglieder für An- und Abreise sowie Übernachtung werden i. d. R. von dem Betroffenen getragen.

§ 23 Tagegeld/Verpflegungsmehraufwendungen

Die Cyberwehr-Team-Mitglieder haben für die Dauer des Einsatzes einen Anspruch auf Tagegeld analog dem Bundesreisekostengesetz.

§ 24 Übungen und Fortbildungen

Die Geschäftsstelle organisiert in regelmäßigen Abständen Übungen und Fortbildungen für die Cyberwehr.

§ 25 Abwerbeverbot

Ein Kooperationspartner oder das BSI darf keinem angestellten Mitarbeiter der anderen Kooperationspartner oder des BSI, die als Cyberwehr-Team-Mitglied eingesetzt werden, das Angebot machen, ihn während der Beteiligung an dieser Kooperationsvereinbarung oder ein Jahr nach Kündigung und Austritt aus dieser Kooperationsvereinbarung (§ 30; §34) einzustellen.

§ 26 Haftung

(1) Die Bundesrepublik Deutschland haftet im Wege der Amtshaftung (§ 839 Abs. 1 S. 1 BGB, Art. 34 S. 1 GG) für Schäden, die durch die Cyberwehr verursacht werden.

(2) Die Kooperationspartner haften der Bundesrepublik Deutschland im Innenverhältnis für für Schäden, die durch ihre Beschäftigten im Rahmen eines Cyberwehr-Einsatzes verursacht werden.

§ 27 Vertraulichkeit

(1) Die Kooperationspartner verpflichten sich, die Bestimmungen dieser Kooperationsvereinbarung, sowie alle ihnen im Rahmen dieser Kooperationsvereinbarung bekannt gewordenen Informationen auch nach Kündigung und Austritt aus dieser Kooperationsvereinbarung zeitlich unbegrenzt als vertraulich zu behandeln, sie Dritten nicht zugänglich zu machen und sie nicht für andere eigene Zwecke zu verwerten, die nicht dem Schutz der eignen IT dienen.

(2) Sofern die Informationen und Erkenntnisse, die im Rahmen der Unterstützung eines Betroffenen erlangt werden, keine Hinweise auf diesen Betroffenen enthalten, können die Kooperationspartner diese zur Prävention und Detektion von Cyber-Angriffen auf die eigene IT nutzen. Diese sogenannten Indicators of Compromise (IoC) umfassen insbesondere:

a) Samples des Schadprogramms oder dessen Komponenten
b) Angaben zum Verhalten des Schadprogramms / Angriffstools oder deren Komponenten, sowie deren Funktionalität
c) Angaben zum Kommunikationsverhalten zu sogenannten Command & Control (C&C) Servern, Nachlade-Servern oder Drop-Sites (Rückmeldekanäle, Zieladresse, Protokoll, etc.)
d) Dateinamen des Schadprogramms oder dessen Komponenten
e) Hashsummen des Schadprogramms oder dessen Komponenten
f) Angaben zum vermuteten Infektionsweg oder zur Vorgehensweise der Angreifer
g) Zeitraum des Vorfalls
h) Systemspezifische Information zum betroffenen System (Betriebssystem, Versionsstand)

(3) Falls die Weitergabe von Informationen ganz oder teilweise notwendig ist, bedarf dies jeweils der vorherigen schriftlichen Einwilligungserklärung des BSI. Gegenstände und Unterlagen mit Bezug zum Kooperationsgegenstand sind so zu verwahren, dass Kenntnisnahme und Missbrauch durch unbefugte Dritte ausgeschlossen wird. Diese Pflichten gelten insbesondere auch für Daten in elektronischer Form.

(4) Ausgenommen von der Vertraulichkeit sind solche Informationen, die nachweislich

a) im Zeitpunkt der Unterzeichnung dieser Kooperationsvereinbarung bereits offenkundig sind oder während der Laufzeit dieser Kooperationsvereinbarung ohne Zutun eines Kooperationspartner offenkundig werden.
b) im Zeitpunkt der Unterzeichnung dieser Kooperationsvereinbarung bereits bekannt waren oder von Dritten bekannt gemacht werden, soweit die Informationen nicht direkt oder indirekt vom BSI oder von Kooperationspartnern stammen. Die Ausnahmen gemäß § 27(4) a) und b) sind von dem Kooperationspartner zu beweisen, der sich auf diese Ausnahme beruft.

(5) Informationen, Unterlagen und Gegenstände die im Rahmen dieser Kooperationsvereinbarung erlangt wurden, dürfen von den Kooperationspartnern nur für Zwecke der Durchführung dieses Vertrages eingesetzt werden. Die Kooperationspartner dürfen Informationen, Unterlagen und Gegenstände nur an solche Beschäftige in ihrem Unternehmen weitergeben, die sie zur Durchführung dieser Kooperationsvereinbarung kennen müssen. Beschäftige von Kooperationspartnern sind schriftlich und unmittelbar zu Gunsten des BSI zur Vertraulichkeit nach diesen Regeln zu verpflichten. Die Kooperationspartner werden die Vertraulichkeitsvereinbarung mit seinen Beschäftige so ausgestalten, dass diese auch nach Kündigung und Austritt aus dieser Kooperationsvereinbarung zur Vertraulichkeit verpflichtet sind.

(6) Die Vertraulichkeitspflicht der Kooperationspartner bleibt auch nach Beendigung dieser Kooperationsvereinbarung auf Dauer in Kraft.

(7) Die Verpflichtung zur Vertraulichkeit gilt nicht, wenn eine Verpflichtung zur Offenlegung der vertraulichen Information durch Beschluss eines Gerichts, der Anordnung einer Behörde oder gesetzlich besteht.

§ 28 Datenschutz

[ggf. ergänzen]

§ 29 Öffentlichkeitsarbeit

(1) Die Kooperationspartner können in eigenen Publikationen, Werbung und Stellungnahmen veröffentlichen, dass sie Kooperationspartner der Cyberwehr sind. Sie sind berechtigt hierfür das Logo der Cyberwehr zu verwenden. Eine solche Veröffentlichung soll der Geschäftsstelle des BSI spätestens mit dem Zeitpunkt der Veröffentlichung angezeigt werden. Soweit sie einen Bezug zu einem anderen Kooperationspartner aufweist, darf sie nur mit dessen vorheriger Einwilligung veröffentlicht werden. Die Einwilligung bedarf zu ihrer Wirksamkeit jedenfalls der Textform.

(2) Die über die in § 29(1) hinausgehende Öffentlichkeitsarbeit für die Cyberwehr wird ausschließlich durch das BSI ausgeführt. Öffentliche Stellungnahmen der Kooperationspartner in Bezug auf oder im Zusammenhang mit der Cyberwehr, die über eine Stellungnahme i.S.v. § 29(1) hinausgeht sind vor Veröffentlichung mit der Geschäftsstelle der Cyberwehr abzustimmen und nur mit ihrer Einwilligung zulässig. Dies gilt insbesondere für Stellungnahmen mit dem Bezug zu Einsätzen der Cyberwehr. Die Einwilligung der Geschäftsstelle bedarf zu ihrer Wirksamkeit jedenfalls der Textform.

(3) Soweit eine geplante öffentliche Stellungnahme des BSI einen Bezug zu einem Kooperationspartner aufweist, wird die Geschäftsstelle der Cyberwehr diese Stellungnahme mit dem Kooperationspartner abstimmen. Wird bei dieser Abstimmung keine Einigung erzielt, entfernt die Geschäftsstelle vor Veröffentlichungen der Stellungnahme den Bezug zu dem jeweiligen Kooperationspartner.

§ 30 Beginn der Kooperationsvereinbarung

(1) Die Rechte und Pflichten aus dieser Kooperationsvereinbarung beginnen für den jeweiligen Kooperationspartner mit dem Datum der Aufnahme in die Cyberwehr durch die Geschäftsstelle (§ 7(2)h). Das Datum der Aufnahme wird dem Kooperationspartner von der Geschäftsstelle zusammen mit der Aufnahmebestätigung mitgeteilt.

§ 31 Mindestlaufzeit und ordentliche Kündigung der Kooperationsvereinbarung

(1) Die Mindestlaufzeit dieser Kooperationsvereinbarung beträgt 24 Monate ab dem Zeitpunkt der Aufnahme in die Cyberwehr.

(2) Nach Ablauf der 24 Monate kann die Beteiligung an der Cyberwehr jederzeit von jedem Kooperationspartner durch Kündigung der Kooperationsvereinbarung zum Quartalsende beendet werden.

(3) Eine Kündigung bedarf zu ihrer Wirksamkeit der Schriftform.

§ 32 Außerordentliche Kündigung der Kooperationsvereinbarung

(1) Die Vertragsparteien können diesen Vertrag jederzeit aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen.

(2) Ein wichtiger Grund ist gegeben, wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung dieses Vertrages bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Vertrages nicht zugemutet werden kann.

(3) Ein Wichtiger Grund liegt insbesondere dann vor, wenn


a) …
b) …
c) …
d) …

§ 33 Außerordentliche Kündigung der Kooperationsvereinbarung durch das BSI

Das BSI kann die Kooperationsvereinbarung jederzeit mit jedem Kooperationspartner kündigen. Die Kündigung bedarf zu ihrer Wirksamkeit der Schriftform.

§ 34 Rechtsfolgen eines Austritts aus der Kooperationsvereinbarung

[ggf. ergänzen]

§ 35 Anzuwendendes Recht und geltende Vorschriften

(1) Dieser Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland.

(2) Allgemeine Geschäftsbedingungen der Kooperationspartner finden im Verhältnis zum BSI oder anderen Kooperationspartnern keine Anwendung.

§ 36 Auslegung der Kooperationsvereinbarung

(1) Lücken oder Widersprüche der Kooperationsvereinbarung sind so auszulegen, dass die Durchführung der Kooperationsvereinbarung gewährleistet ist.

(2) Eine etwaige Ungültigkeit oder Undurchsetzbarkeit einzelner Bestimmungen berührt die Wirksamkeit im Übrigen nicht, wenn dadurch der Zweck der Kooperationsvereinbarung weiterhin erreicht werden kann. Insoweit wird eine unwirksame oder undurchsetzbare Bestimmung durch eine gesetzliche Regelung ersetzt.

§ 37 Nebenabreden und Schriftform

(1) Außerhalb dieser Kooperationsvereinbarung und seiner Anlagen bestehen zum Zeitpunkt des Vertragsschlusses bezüglich des Kooperationsgegenstandes (§ 2) keine weiteren Abreden zwischen dem BSI und einem Kooperationspartner oder zwischen den Kooperationspartnern.

(2) Künftige Änderungen oder Ergänzungen dieser Kooperationsvereinbarung bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.

§ 38 Gerichtsstand

Ausschließlicher Gerichtsstand und Erfüllungsort dieser Kooperationsvereinbarung ist Bonn.

§ 39 Anlagen

[ggf. ergänzen]

Anlage 1: Liste der Kooperationspartner
Anlage 2: Liste der Kontaktstellen
Anlage 3: Liste der Ansprechpartner

76 Kommentare
      • Indusi 4.0 6. Okt 2016 @ 20:28
      • Sebastian M. 7. Okt 2016 @ 8:38
  1. Frl. Unverständnis 6. Okt 2016 @ 18:23
  2. Schwarzmaler20 6. Okt 2016 @ 22:28
          • Schwarzmaler20 7. Okt 2016 @ 5:06
          • Sebastian M. 7. Okt 2016 @ 8:41
          • Schwarzmaler20 7. Okt 2016 @ 5:12
    • Sebastian M. 7. Okt 2016 @ 8:44
  3. kunigundel 7. Okt 2016 @ 0:22
      • kunigundel 7. Okt 2016 @ 1:56
  4. N8z77ck Du8irk 7. Okt 2016 @ 0:28
        • echoDerZukunft 8. Okt 2016 @ 23:44
  5. Doppellhelix 7. Okt 2016 @ 7:23
  6. Frerk Meyer 9. Okt 2016 @ 12:16

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. Die Kommentar-Regeln findest Du hier.

Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden