Tatü, tata: „Cyberwehr“ für Hilfe bei IT-Sicherheitsvorfällen geplant – Unternehmen sollen kostenlos mitmachen

Die „Cyberwehr“ kommt, eine Feuerwehr für den Cyberraum. Sie soll unter Leitung des Bundesamtes für Sicherheit in der Informationstechnik bei IT-Sicherheitsvorfällen zum Einsatz kommen. Die Experten dafür sollen aus der Wirtschaft kommen und kostenlos für die Behörde arbeiten. Wir veröffentlichen einen Entwurf der Kooperationsvereinbarung.

Wenns im Cyberraum brennt, soll die Cyberwehr in Zukunft löschen – CC BY-SA 2.0 via flickr/sarabbit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) plant die Einrichtung einer „Cyberwehr“ – die künftige Feuerwehr für den Cyberraum. Dabei sollen Unternehmen Hand in Hand mit dem BSI Soforthilfe bei IT-Sicherheitsvorfällen leisten. Geholfen werden soll dabei vor allem Betreibern Kritischer Infrastrukturen (KRITIS), aber auch Einrichtungen von Bundes- und Länderverwaltungen sowie anderen „Institutionen im staatlichen Interesse“ (INSI).

KRITIS-Unternehmen sind zum Beispiel Energieversorger, Krankenhäuser oder Betreiber von Telekommunikationsnetzen. Kurz gesagt: Alle, die notwendig sind, um die Infrastruktur im Land am Laufen zu halten. Sie gehören neben anderen zu der Gruppe der INSI. Um zu einer INSI zu werden, gelten diverse Kriterien, zum Beispiel muss gegeben sein, dass ein „Cyber-Angriff auf die IT-Systeme der Institution […] zu einer Großgefahrenlage der öffentlichen Sicherheit, der Menschen oder der Umwelt führen“ kann oder dass ein Unternehmen eine „tragende wirtschaftliche Rolle“ spielt.

Für die Errichtung der „Cyberwehr“ planen BSI und Bundesinnenministerium (BMI) eine Kooperationsvereinbarung. Wir veröffentlichen hier die derzeitige Entwurfsfassung, die ZEIT ONLINE und netzpolitik.org vorliegt. Das BSI hat auf Anfrage bestätigt, dass „derzeit Überlegungen angestellt [werden], wie man Fachleute aus der Wirtschaft zur Unterstützung der im BSI geplanten „Mobile Incident Response Teams“ [mobile Eingreifteams] einbinden kann“ und diese Überlegungen unter dem Namen „Cyberwehr“ erfolgen würden. Zu Details will man uns keine Auskunft geben, da die Überlegungen noch nicht abgeschlossen seien.

Die Cyberwehr wird gerufen.

Den Ablauf für den Einsatz der Cyberwehr kann man sich – basierend auf dem Inhalt der Kooperationsvereinbarung – an einem fiktiven Beispiel in etwa so vorstellen:

Ein großes deutsches Energieversorgungsunternehmen aus Berlin, nennen wir es EnergyPower, stellt bei sich einen Hackingangriff fest. Unbedachterweise haben Mitarbeiter einen Mailanhang mit Schadsoftware geöffnet, die Schadsoftware breitet sich im Unternehmen aus. Die IT-Abteilung von EnergyPower stellt fest, dass sie der Situation nicht gewachsen ist. Nach einer kurzen Analyse geht sie davon aus, dass sensible Daten abfließen und die Angreifer Kontrolle über einige Mitarbeiter-PCs erlangt haben. Es ist nicht auszuschließen, dass die Angreifer sich auch Zugriff auf die zentrale Infrastruktur von EnergyPower verschaffen könnten. Die IT-Abteilung befürchtet, dass die Angreifer vorhaben, einen Blackout in Teilen des Netzes zu verursachen.

EnergyPower gehört zu den sogenannten KRITIS-Unternehmen. Außerdem liegt ein „nicht unerheblicher“ Vorfall vor und das Unternehmen ist nicht imstande, das Problem alleine zu lösen. Es richtet also eine Bitte um Unterstützung an das BSI, genauer die Leitstelle der Cyberwehr, ganz wie bei einem klassischen Notruf.

Wäre ein fremder Geheimdienst hinter dem Angriff zu vermuten, würde das jetzt einen Einsatz der Cyberwehr ausschließen – das wäre ein klassisches Einsatzgebiet des Verfassungsschutzes zum Wirtschaftsschutz.

Die Leitstelle vermittelt.

Wie geht es dann weiter? Laut Kooperationsvereinbarung wird der sogenannte „Incident Manager“ – zu deutsch: Störungsmanager in der Leitstelle – tätig. Dieser muss ein BSI-Mitarbeiter sein. Er übernimmt die Aufgabe, abzuschätzen, wie viele und welche Ressourcen für den Einsatz beim Betroffenen nötig sind, und die Kommunikation mit dem Betroffenen zu koordinieren. Die Leitstelle soll dann die kooperierenden Unternehmen kontaktieren und den Bedarf an Experten kommunizieren sowie das Einsatzteam zusammenstellen. Der grobe Ablauf:

Da das betroffene Unternehmen in der Energiebranche tätig ist, versucht die Leitstelle zur Vermeidung von Interessenskonflikten Experten aus anderen Wirtschaftszweigen zu erreichen. In der Regel soll ein Einsatzteam aus drei Cyberwehr-Mitgliedern und einem Einsatzleiter (Incident Handler) bestehen. Mindestens der Einsatzleiter soll aus dem BSI stammen. Für die restlichen drei Team-Mitglieder fragt die Leitstelle zunächst bei den Kontaktstellen von Unternehmen aus der Telekommunikationsbranche an, da diese vermutlich Erfahrung auf dem Gebiet der Angriffe haben.

Alle Kontaktstellen müssen rund um die Uhr erreichbar sein. Glücklicherweise hat die Leitstelle schnell Erfolg: Zwei große Unternehmen sagen zu und erklären sich bereit, je einen, beziehungsweise zwei Mitarbeiter auszuleihen und zu EnergyPower nach Berlin zu senden. Jedes in der Cyberwehr beteiligte Unternehmen muss der Cyberwehr Unterstützung bis zu 20 Personentagen im Jahr bereitstellen – kostenlos. Bezahlt werden lediglich Reisekosten und eine Verpflegungspauschale.

Der Einsatz beginnt.

Dann kann alles schnell gehen. EnergyPower hat dem Cyberwehr-Einsatz bereits zugestimmt, keine Einwände gegen den Einsatz der vorgeschlagenen Team-Mitglieder, die Leitstelle hat sich um An- und Abreisemodalitäten gekümmert. Vor Ort hat das BSI das Sagen:

Die Cyberwehr-Team-Mitglieder, deren Arbeitskraft durch die Kooperationspartner zur Verfügung gestellt wird, werden für das BSI bei dem Betroffenen tätig und durch das BSI als „Werkzeug“ eingesetzt, um seine gesetzlichen Beratungsaufgaben zur Förderung der Sicherheit in der Informationstechnik wahrzunehmen.

Um den Vorfall in den Griff zu bekommen, brauchen die Experten zwei Tage. Drei Tage wären möglich gewesen, das ist die maximale Einsatzdauer.

Vom erlangten Wissen profitieren

Nachdem der Angriff abgewehrt und eventuelle Schäden behoben sind, stellt sich die Frage, wie mit den erlangten Informationen umzugehen ist, denn unter Umständen sind auch Unternehmensinterna betroffen. Solange die Informationen nicht auf PowerEnergy zurückzuführen sind, dürfen die beiden eingesetzten Telekommunikationsunternehmen das erlangte Wissen nutzen, um sich selbst besser zu schützen.

Unter Umständen können jedoch sogar dem betroffenen Unternehmen die Informationen zum IT-Vorfall im eigenen Haus vorenthalten werden – nämlich dann, wenn nicht näher definierte „sicherheitsrelevante Gründe“ dem entgegenstehen. Der Abschnitt zum Thema „Datenschutz“ in der Kooperationsvereinbarung ist darüberhinaus noch nicht fertiggestellt.

Wo sollen die Teilnehmer herkommen?

Erstmal klingt die Idee einer Cyberwehr – mal abgesehen von ihrem Namen – sinnvoll. Was noch offen ist, ist die Frage nach der Motivation für Unternehmen, sich der Cyberwehr anzuschließen: Sie müssen kostenlos Arbeitskraft zur Verfügung stellen, als Gegenleistung erhalten sie Informationen über Angriffe, an deren Abwehr sie beteiligt waren und die sie eventuell zum eigenen Schutz verwenden können. Der Abschnitt zur Weiterverwendung dieser Informationen ist noch nicht ausgestaltet. Es würde attraktiv erscheinen, wenn alle beteiligten Unternehmen frühzeitig Informationen aus den Einsätzen bei Betroffenen erhielten, soweit das im Rahmen des Schutzes unternehmensinterner Informationen möglich ist.

Von dieser Ausgestaltung wird die größte Herausforderung für die Cyberwehr bestehen: Unternehmen zu finden, die mitmachen wollen. Laut Berichten von heise online aus dem Juni war die Cyberwehr ursprünglich als BSI-interne Gruppe geplant, das hat sich nun geändert: Nach der derzeitigen Vertragsausgestaltung ist die Cyberwehr genaugenommen eine Freiwillige Cyberwehr: Geholfen wird auch Nicht-Mitgliedern, es gibt keine Ausfallentschädigung und noch ist der Informationsaustausch nicht abschließend geklärt.

Ob Unternehmen bereit wären, mitzumachen, lässt sich derzeit schlecht abschätzen. Laut Informationen von ZEIT ONLINE weiß der Telekommunikationsriese Deutsche Telekom noch nichts von den Plänen. Auch bei den IT-Branchenverbänden BITKOM und eco sieht es ähnlich aus. Nur ein Unternehmen der Bundesdruckereigruppe konnte bestätigen, von den Plänen zu wissen.

Für das BSI liegen die Vorteile auf der Hand: Es würde über eine Auswahl an IT-Sicherheitsexperten verfügen können, die es selbst nicht bezahlen könnte. Denn die Löhne in der freien Wirtschaft sind deutlich attraktiver als die der Bundesbehörde. Aber nur wenn es wirklich gelingt, diese benötigten Ressourcen zu bündeln, kann die Cyberwehr zu einer echten Feuerwehr des Cyberraums werden.


Kooperationsvereinbarung Cyberwehr

Zwischen der Bundesrepublik Deutschland

vertreten durch das Bundesministerium des Innern

vertreten durch den Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik
Godesberger Allee 185 – 189
53175 Bonn

– im Folgenden „BSI“ –

und den in Anlage 1 aufgeführten Kooperationspartnern der Cyberwehr

– im Folgenden „Kooperationspartner“ –

wird folgende Kooperationsvereinbarung geschlossen:

Präambel

[ggf. ergänzen]

§ 1 Aufgabe und Ziel der Cyberwehr

(1) Die „Cyberwehr“ ist ein Zusammenschluss von freiwillig kooperierenden Unternehmen (Kooperationspartner) und dem BSI. Die Cyberwehr steht unter der Leitung des BSI.

(2) Mit der Cyberwehr wird das Ziel verfolgt, insbesondere Institutionen der Bundes- und Länderverwaltung, Betreibern Kritischer Infrastrukturen (KRITIS) und anderen Institutionen im staatlichen Interesse (INSI) im Falle eines IT-Sicherheitsvorfalls Soforthilfe in Form einer schnellen und zeitlich befristeten vor-Ort-Unterstützung zu gewähren. Zu den Aufgaben der Cyberwehr gehören insbesondere:

a) Lagefeststellung und Lagebeurteilung
b) Beratung zu ersten technischen Gegenmaßnahmen und Konfigurationsempfehlungen
c) Beratung zur Aufnahme eines Notbetriebs
d) beratende Unterstützung des lokalen Betriebspersonals bei der Aufnahme des Notbetriebs
e) Beratung zur Krisenkommunikation

§ 2 Kooperationsvereinbarung und Einsatzkonzept

(1) Diese Kooperationsvereinbarung regelt die Aufgaben und Rahmenbedingungen für die Cyberwehr sowie die Grundsätze der Zusammenarbeit zwischen dem BSI und den Kooperationspartnern.

(2) Diese Kooperationsvereinbarung wird durch das Einsatzkonzept Cyberwehr (Anlage X) konkretisiert.

§ 3 Kooperationspartner und deren Aufnahme in die Cyberwehr

(1) Die Kooperationspartner der Cyberwehr sind die in Anlage 1 aufgeführten juristischen Personen.

(2) Das BSI kann weitere Kooperationspartner in die Cyberwehr aufnehmen, soweit diese über die erforderliche fachliche Qualifikation verfügen. Die Prüfung erfolgt durch die Geschäftsstelle der Cyberwehr (§ 7).

§ 4 Beitrag der Kooperationspartner

(1) Die Kooperationspartner erklären sich bereit, die Arbeitskraft geeigneter Mitarbeiter aus ihrem Unternehmen als technische Experten (Cyberwehr-Team-Mitglieder) für die Cyberwehr kostenlos zur Verfügung zu stellen, soweit im Einzelfall keine relevanten unternehmensinternen Erwägungen dagegen sprechen. Die Prüfung der unternehmensinternen Erwägungen obliegt dem jeweiligen Kooperationspartner.

(2) Die Kooperationspartner sichern ein Abrufkontingent für Einsätze in Höhe von bis zu 20 Personentagen im Kalenderjahr zu.

(3) Einsätze, Übungen und Fortbildungen der Cyberwehr sind für die freiwillig teilnehmenden Beschäftigen des Kooperationspartners reguläre Arbeitszeit. Die Kooperationspartner verpflichten sich, den Cyberwehr-Team-Mitgliedern für den Zeitraum der auf Anforderung der Cyberwehr erfolgten Teilnahme an Einsätzen, Übungen und Fortbildungen die jeweiligen Arbeitsentgelte einschließlich aller Nebenleistungen und Zulagen fortzuzahlen, die ohne Ausfallzeiten üblicherweise entstanden wären.

§ 5 Kontaktstelle für den Einsatzfall und Ansprechpartner bei dem Kooperationspartner

(1) Die Kooperationspartner benennen in ihrem Unternehmen zum Zwecke der Alarmierung der jeweiligen Cyberwehr-Team-Mitglieder eine Kontaktstelle, die jederzeit (24h/7Tage) erreichbar ist. Die Kontaktstelle wird in Anlage 2 dieser Kooperationsvereinbarung aufgenommen.

(2) Die Kooperationspartner benennen zum Zwecke der allgemeinen Absprache und Koordinierung sowie zur Planung von grundsätzlichen, allgemeinen und strategischen Fragen dieser Kooperationsvereinbarung jedenfalls zwei Ansprechpartner in ihrem Unternehmen. Jedenfalls einer dieser Ansprechpartner soll an den gemeinsamen Planungs- und Koordinierungsbesprechungen der Cyberwehr teilnehmen. Ein Wechsel der Ansprechpartner soll sich auf ein Mindestmaß beschränken. Die Ansprechpartner der Kooperationspartner werden in Anlage 3 zu dieser Kooperationsvereinbarung festgelegt.

§ 6 Aufgaben des BSI

(1) Das BSI leitet die Cyberwehr. Es übernimmt hierzu die nachfolgenden Aufgaben

a) Geschäftsstelle (§ 7)
b) Leitstelle (§ 8)
c) Vorkommando (§ 9)
d) Ausführungsorgan (§ 10)
e) Incident Handler (Einsatzführer vor-Ort) (§ 12)
f) Incident Manager (§ 13)

(2) Einrichtung und Betrieb der Geschäftsstelle und der Leitstelle sind Aufgaben, die das BSI dauerhaft wahrnimmt. Bezüglich der Aufgaben aus § 6(1) c) bis f) entscheidet das BSI nach eigenem Ermessen, wann und ob es welche dieser Aufgaben aus § 6(1) wahrnimmt. Die Wahrnehmung ist abhängig von den Erfordernissen der jeweiligen (Einsatz-)Situation. Es werden im konkreten Einsatzfall nicht zwingend alle Aufgaben zeitgleich wahrgenommen.

§ 7 Geschäftsstelle

(1) Die Geschäftsstelle der Cyberwehr nimmt alle allgemeinen und organisatorischen Aufgaben wahr, die zur Errichtung und zum Betrieb der Cyberwehr erforderlich sind.

(2) Die Geschäftsstelle der Cyberwehr ist insbesondere verantwortlich für die

a) Erstellung und Pflege der Anlagen dieses Vertrages
b) Erstellung und Pflege einer aktuellen Liste der von den Kooperationspartnern benannten Cyberwehr-Team-Mitgliedern (inkl. Fachgebiet)
c) Organisation von Übungen, Schulungen und Arbeitstreffen
d) Erstellung von Einsatzberichten und die Dokumentation von Übungen, Schulungen und Arbeitstreffen
e) Archivierung von Einsatzberichten und weiteren Dokumenten
f) Prüfung der fachlichen Qualifikation der einzelnen Cyberwehr-Team-Mitglieder
g) strategische Ausrichtung sowie die Weiterentwicklung und den Ausbau der Cyberwehr
h) Aufnahme neuer Kooperationspartner
i) Öffentlichkeitsarbeit

(3) Die Geschäftsstelle der Cyberwehr entscheidet im Einzelfall über das ob und wie der Weitergabe und Weiterverwendung von Informationen und Erkenntnissen aus Einsätzen der Cyberwehr. Soweit erforderlich wird vor einer Weitergabe und Weiterverwendung eine Einwilligung des Betroffenen eingeholt.

§ 8 Leitstelle

(1) Die Leitstelle der Cyberwehr ist Teil des nationale IT-Lagezentrum des BSI.

(2) Die Leitstelle der Cyberwehr nimmt die Unterstützungsersuchen der hilfesuchenden Betroffenen entgegen. Sie prüft, ob alle Voraussetzungen für den Einsatz der Cyberwehr vorliegen und teilt dem Betroffenen das Ergebnis der Prüfung mit.

(3) Soweit die Voraussetzungen für den Einsatz der Cyberwehr vorliegen, holt die Leitstelle die Zustimmung des Betroffenen für den Einsatz der Cyberwehr ein und dokumentiert diese.

(4) Die Leitstelle der Cyberwehr kontaktiert die jeweiligen Kontaktstellen der Kooperationspartner und übermittelt den Bedarf an Technischen Experten. Basierend auf den Rückmeldungen der Kontaktstellen stellt die Leitstelle das Team der im konkreten Einsatzfall zu entsendenden Cyberwehr-Team-Mitglieder zusammen.

(5) Die Leitstelle koordiniert die An- und Abreise der Cyberwehr-Team-Mitglieder.

§ 9 Vorkommando

(1) Die Cyberwehr kann zur allgemeinen Klärung der Einsatzlage ein Vorkommando zu dem Betroffenen entsenden. Das Vorkommando besteht in der Regel nur aus Beschäftigten des BSI.

(2) Die Einsatzzeiten des Vorkommandos sind keine Einsatzzeiten i. S. d. § 18

§ 10 Cyberwehr-Team-Mitglieder

(1) Cyberwehr-Team-Mitglieder sind alle Beschäftigten des BSI und der Kooperationspartner, deren Arbeitskraft durch ihren jeweiligen Arbeitgeber für die Cyberwehr zur Verfügung gestellt wurde und deren fachliche Eignung durch die Geschäftsstelle der Cyberwehr festgestellt wurde.

§ 11 Pflichten der Cyberwehr-Team-Mitglieder

[ggf. ergänzen / Eine Verpflichtung der einzelnen Mitglieder setzt eine entsprechende Einwilligung voraus. Dies müsste vorab geklärt werden.]

§ 12 Incident Handler (Einsatzführer vor Ort)

(1) Der Incident Handler ist ein Cyberwehr-Team-Mitglied, dessen Eignung für die fachliche Führung von Einsätzen durch die Geschäftsstelle der Cyberwehr festgestellt wurde. Der Incident Handler soll ein Beschäftigter des BSI sein.

(2) Der Incident Handler der Cyberwehr koordiniert den fachlichen Einsatz der Cyberwehr vor Ort. Er ist gegenüber den anderen Cyberwehr-Team-Mitglieder im Einsatzfall weisungsbefugt und entscheidet über die Einsatzstrategie sowie über die Einsatzdauer.

§ 13 Incident Manager

(1) Der Incident Manager ist ein Cyberwehr-Team-Mitglied, dessen Eignung für die Leitung von Einsätzen durch die Geschäftsstelle der Cyberwehr festgestellt wurde. Er ist Teil der Leitstelle. Der Incident Manager kann nur ein Beschäftigter des BSI sein.

(2) Er ist dafür zuständig die BSI-internen Ressourcen freizugeben, den Ressourcenbedarf aus dem Abrufkontingent festzulegen und die Kommunikation und Koordinierung mit der Managementebene des Betroffenen zu übernehmen.

(3) Die Aufgaben des Incident Managers können auch durch den Incident Handler (Einsatzführer vor Ort) mit übernommen werden. Die Entscheidung über die Aufgabenwahrnehmung trifft die Geschäftsstelle.

§ 14 Status der Cyberwehr-Team-Mitglieder

(1) Einsätze, Übungen und Fortbildungen der Cyberwehr sind für die Cyberwehr-Team-Mitglieder reguläre Arbeitszeit bei ihrem jeweiligen Arbeitgeber/Dienstherren.

(2) Die Cyberwehr-Team-Mitglieder, deren Arbeitskraft durch die Kooperationspartner zur Verfügung gestellt wird, werden für das BSI bei dem Betroffenen tätig und durch das BSI als „Werkzeug“ eingesetzt, um seine gesetzlichen Beratungsaufgaben zur Förderung der Sicherheit in der Informationstechnik wahrzunehmen (§ 3 BSIG). Die Cyberwehr-Team-Mitglieder nehmen dementsprechend Aufgaben wahr, die unmittelbar aus dem behördlichen Pflichtenkreis des BSI stammen. Sie sind damit während der Dauer der Teilnahme an Einsätzen, Übungen und Fortbildungen der Cyberwehr Verwaltungshelfer des BSI und somit „Amtswalter“ i.S.d. § 839 Abs. 1 S. 1 BGB, Art. 34 S. 1 GG (beachte hierzu: § 26).

§ 15 Voraussetzungen für den Einsatz der Cyberwehr

(1) Der Einsatz der Cyberwehr erfolgt nach pflichtgemäßem Ermessen des BSI. Es besteht kein Anspruch eines Betroffenen auf Unterstützung.

(2) Die Cyberwehr kann nur bei einem Betroffenen tätig werden, wenn alle der folgenden Voraussetzungen erfüllt sind:

a) Der Betroffenen hat ausdrücklich um Unterstützung gebeten.
b) Der Betroffene gehört zu einer Zielgruppe der Cyberwehr. Zielgruppen der Cyberwehr sind:

  • Institutionen der Bundes- und Länderverwaltungen
  • Betreiber von Kritischen Infrastrukturen (gem. Rechtsverordnung KRITIS)
  • Institutionen im staatlichen Interesse (INSI)

c) Der dem Unterstützungsersuchen zugrunde liegende IT-Vorfall ist nicht unerheblich. Ein IT-Vorfall ist jedenfalls dann nicht unerheblich, wenn

  • der Unternehmensbestand durch den IT-Vorfall gefährdet ist,
  • die durch den IT-Vorfall verursachte Störung oder der IT-Angriff eine besondere Qualität aufweisen oder
  • aufgrund des IT-Vorfalls besondere Konsequenzen absehbar sind, was insbesondere dann der Fall ist, wenn der IT-Vorfall eine Kritikalität für die Gesamtwirtschaft oder das staatliche Gemeinwesen erkennen lässt oder Hinweise auf eine potentielle Breitenwirkung erkennbar sind und damit die Gefahr besteht, dass sich der IT-Vorfall kurzfristig bei einer großen Anzahl weiterer Institutionen wiederholt oder dass die Auswirkung dieses IT-Vorfalls eine große Anzahl weiterer Institutionen bzw. Bürger massiv beeinträchtigt.

d) Der Betroffene hat glaubhaft gemacht, dass er nicht in der Lage ist, den IT-Vorfall mit eigenen Mitteln einzudämmen.

(3) Auch wenn die Voraussetzungen des § 15(2) erfüllt sind, wird die Cyberwehr nicht tätig, wenn ein nachrichtendienstlicher Hintergrund zu vermuten ist.

(4) Wurde eine Strafanzeige gestellt, wird die Cyberwehr nur nach vorheriger Abstimmung mit der zuständigen Staatsanwaltschaft oder der zuständigen Polizeibehörde tätig.

§ 16 Einberufen der Cyberwehr

(1) Soweit die Voraussetzungen des § 15 erfüllt sind, entscheidet der Incident Manager nach eigenem Ermessen, welche fachlichen Kompetenzbereiche für die Unterstützung des Betroffenen im konkreten Einzelfall erforderlich sind.

(2) Die Leitstelle informiert die für den konkreten Einzelfall benötigten Beschäftigten des BSI und stellt zugleich ein Einsatz-Beteiligungs-Ersuchen bei den jeweiligen Kontaktstellen der Kooperationspartner. Soweit möglich berücksichtigt die Leitstelle bei der Auswahl Wirtschaftszweig und Geschäftsfeld des Betroffenen, um eventuell konkurrierende Kooperationspartner nicht an dem Einsatz zu beteiligen (beachte auch Hinweisobliegenheit aus § 16(6)). In der Regel wird ein Einsatzteam aus einem Einsatzleiter und drei weiteren Cyberwehr-Team-Mitglieder bestehen.

(3) In dem Einsatz-Beteiligungsersuchen an den Kooperationspartner teilt die Leitstelle der Kontaktstelle mit, in welchem technischen Fachgebiet die Unterstützung benötigt wird. Zudem informiert die Leitstelle die Kontaktstelle in welcher Form eine Unterstützung erforderlich ist; d. h. ob, für die Dauer des Einsatzes, lediglich eine Erreichbarkeit der Cyberwehr-Team-Mitglieder an ihrem originären Arbeitsplatz benötigt wird oder ob eine vor-Ort-Unterstützung erforderlich ist. Soweit möglich informiert die Leitstelle auch über die zu erwartende Dauer des Einsatzes.

(4) Die Kontaktstelle des Kooperationspartners entscheidet unverzüglich über das Einsatz-Beteiligungsersuchen des BSI und gibt schnellstmöglich eine Rückmeldung.

(5) Basierend auf der Rückmeldung der Kontaktstelle, stellt die Leitstelle das Cyberwehr-Team zusammen und koordiniert die An- und Abreise.

(6) Der Betroffene wird durch die Leitstelle über die am Einsatz beteiligten Kooperationspartner informiert. Soweit der Betroffene Einwände gegen die Beteiligung eines Kooperationspartners erhebt, wird dieser von dem Einsatz ausgeschlossen.

§ 17 Einsatz der Cyberwehr

[ggf. generische Einsatzbeschreibung der Cyberwehr einfügen]

§ 18 Einsatzdauer

(1) Die maximale Einsatzdauer bei dem Betroffenen vor Ort, inklusive Übergabezeit (§ 19(3)) ist auf drei Tage beschränkt.

(2) Abhängig vom Einsatzort ist die Einsatzdauer für eine erforderliche An- und Abreise um jeweils einen weiteren Tag zu verlängern. Die maximale Ausfallzeit des Cyberwehr-Team-Mitgliedes beträgt damit fünf Tage.

§ 19 Auflösung des Einsatzteams und Übergabe

(1) Der Incident Manager beendet den Einsatz nach seinem pflichtgemäßen Ermessen.

(2) Der Einsatz soll spätestens nach Ablauf des dritten Einsatztages vor Ort (§ 18) durch den Einsatzleiter beendet werden.

(3) Die durch die Cyberwehr erlangten Erkenntnisse über den IT-Vorfall werden dem Betroffenen zur weiteren Verwendung (z.B. Weiterverwendung durch eigene Beschäftigte des Betroffenen oder nachfolgende Helfer) zur Verfügung gestellt, soweit dem keine sicherheitsrelevanten Gründe entgegenstehen.

(4) Ein Abzug der Cyberwehr-Team-Mitglieder vor Beendigung des Einsatzes durch den Incident Manager ist nur in begründeten Ausnahmefällen zulässig.

§ 20 Weiterverwendung von Informationen und Erkenntnissen

vgl. Regelung in § 27 – [ggf. ergänzen]

§ 21 Einsatzhäufigkeit

[ggf. ergänzen]

§ 22 Reisekosten und Übernachtung

Die Kosten der Cyberwehr-Team-Mitglieder für An- und Abreise sowie Übernachtung werden i. d. R. von dem Betroffenen getragen.

§ 23 Tagegeld/Verpflegungsmehraufwendungen

Die Cyberwehr-Team-Mitglieder haben für die Dauer des Einsatzes einen Anspruch auf Tagegeld analog dem Bundesreisekostengesetz.

§ 24 Übungen und Fortbildungen

Die Geschäftsstelle organisiert in regelmäßigen Abständen Übungen und Fortbildungen für die Cyberwehr.

§ 25 Abwerbeverbot

Ein Kooperationspartner oder das BSI darf keinem angestellten Mitarbeiter der anderen Kooperationspartner oder des BSI, die als Cyberwehr-Team-Mitglied eingesetzt werden, das Angebot machen, ihn während der Beteiligung an dieser Kooperationsvereinbarung oder ein Jahr nach Kündigung und Austritt aus dieser Kooperationsvereinbarung (§ 30; §34) einzustellen.

§ 26 Haftung

(1) Die Bundesrepublik Deutschland haftet im Wege der Amtshaftung (§ 839 Abs. 1 S. 1 BGB, Art. 34 S. 1 GG) für Schäden, die durch die Cyberwehr verursacht werden.

(2) Die Kooperationspartner haften der Bundesrepublik Deutschland im Innenverhältnis für für Schäden, die durch ihre Beschäftigten im Rahmen eines Cyberwehr-Einsatzes verursacht werden.

§ 27 Vertraulichkeit

(1) Die Kooperationspartner verpflichten sich, die Bestimmungen dieser Kooperationsvereinbarung, sowie alle ihnen im Rahmen dieser Kooperationsvereinbarung bekannt gewordenen Informationen auch nach Kündigung und Austritt aus dieser Kooperationsvereinbarung zeitlich unbegrenzt als vertraulich zu behandeln, sie Dritten nicht zugänglich zu machen und sie nicht für andere eigene Zwecke zu verwerten, die nicht dem Schutz der eignen IT dienen.

(2) Sofern die Informationen und Erkenntnisse, die im Rahmen der Unterstützung eines Betroffenen erlangt werden, keine Hinweise auf diesen Betroffenen enthalten, können die Kooperationspartner diese zur Prävention und Detektion von Cyber-Angriffen auf die eigene IT nutzen. Diese sogenannten Indicators of Compromise (IoC) umfassen insbesondere:

a) Samples des Schadprogramms oder dessen Komponenten
b) Angaben zum Verhalten des Schadprogramms / Angriffstools oder deren Komponenten, sowie deren Funktionalität
c) Angaben zum Kommunikationsverhalten zu sogenannten Command & Control (C&C) Servern, Nachlade-Servern oder Drop-Sites (Rückmeldekanäle, Zieladresse, Protokoll, etc.)
d) Dateinamen des Schadprogramms oder dessen Komponenten
e) Hashsummen des Schadprogramms oder dessen Komponenten
f) Angaben zum vermuteten Infektionsweg oder zur Vorgehensweise der Angreifer
g) Zeitraum des Vorfalls
h) Systemspezifische Information zum betroffenen System (Betriebssystem, Versionsstand)

(3) Falls die Weitergabe von Informationen ganz oder teilweise notwendig ist, bedarf dies jeweils der vorherigen schriftlichen Einwilligungserklärung des BSI. Gegenstände und Unterlagen mit Bezug zum Kooperationsgegenstand sind so zu verwahren, dass Kenntnisnahme und Missbrauch durch unbefugte Dritte ausgeschlossen wird. Diese Pflichten gelten insbesondere auch für Daten in elektronischer Form.

(4) Ausgenommen von der Vertraulichkeit sind solche Informationen, die nachweislich

a) im Zeitpunkt der Unterzeichnung dieser Kooperationsvereinbarung bereits offenkundig sind oder während der Laufzeit dieser Kooperationsvereinbarung ohne Zutun eines Kooperationspartner offenkundig werden.
b) im Zeitpunkt der Unterzeichnung dieser Kooperationsvereinbarung bereits bekannt waren oder von Dritten bekannt gemacht werden, soweit die Informationen nicht direkt oder indirekt vom BSI oder von Kooperationspartnern stammen. Die Ausnahmen gemäß § 27(4) a) und b) sind von dem Kooperationspartner zu beweisen, der sich auf diese Ausnahme beruft.

(5) Informationen, Unterlagen und Gegenstände die im Rahmen dieser Kooperationsvereinbarung erlangt wurden, dürfen von den Kooperationspartnern nur für Zwecke der Durchführung dieses Vertrages eingesetzt werden. Die Kooperationspartner dürfen Informationen, Unterlagen und Gegenstände nur an solche Beschäftige in ihrem Unternehmen weitergeben, die sie zur Durchführung dieser Kooperationsvereinbarung kennen müssen. Beschäftige von Kooperationspartnern sind schriftlich und unmittelbar zu Gunsten des BSI zur Vertraulichkeit nach diesen Regeln zu verpflichten. Die Kooperationspartner werden die Vertraulichkeitsvereinbarung mit seinen Beschäftige so ausgestalten, dass diese auch nach Kündigung und Austritt aus dieser Kooperationsvereinbarung zur Vertraulichkeit verpflichtet sind.

(6) Die Vertraulichkeitspflicht der Kooperationspartner bleibt auch nach Beendigung dieser Kooperationsvereinbarung auf Dauer in Kraft.

(7) Die Verpflichtung zur Vertraulichkeit gilt nicht, wenn eine Verpflichtung zur Offenlegung der vertraulichen Information durch Beschluss eines Gerichts, der Anordnung einer Behörde oder gesetzlich besteht.

§ 28 Datenschutz

[ggf. ergänzen]

§ 29 Öffentlichkeitsarbeit

(1) Die Kooperationspartner können in eigenen Publikationen, Werbung und Stellungnahmen veröffentlichen, dass sie Kooperationspartner der Cyberwehr sind. Sie sind berechtigt hierfür das Logo der Cyberwehr zu verwenden. Eine solche Veröffentlichung soll der Geschäftsstelle des BSI spätestens mit dem Zeitpunkt der Veröffentlichung angezeigt werden. Soweit sie einen Bezug zu einem anderen Kooperationspartner aufweist, darf sie nur mit dessen vorheriger Einwilligung veröffentlicht werden. Die Einwilligung bedarf zu ihrer Wirksamkeit jedenfalls der Textform.

(2) Die über die in § 29(1) hinausgehende Öffentlichkeitsarbeit für die Cyberwehr wird ausschließlich durch das BSI ausgeführt. Öffentliche Stellungnahmen der Kooperationspartner in Bezug auf oder im Zusammenhang mit der Cyberwehr, die über eine Stellungnahme i.S.v. § 29(1) hinausgeht sind vor Veröffentlichung mit der Geschäftsstelle der Cyberwehr abzustimmen und nur mit ihrer Einwilligung zulässig. Dies gilt insbesondere für Stellungnahmen mit dem Bezug zu Einsätzen der Cyberwehr. Die Einwilligung der Geschäftsstelle bedarf zu ihrer Wirksamkeit jedenfalls der Textform.

(3) Soweit eine geplante öffentliche Stellungnahme des BSI einen Bezug zu einem Kooperationspartner aufweist, wird die Geschäftsstelle der Cyberwehr diese Stellungnahme mit dem Kooperationspartner abstimmen. Wird bei dieser Abstimmung keine Einigung erzielt, entfernt die Geschäftsstelle vor Veröffentlichungen der Stellungnahme den Bezug zu dem jeweiligen Kooperationspartner.

§ 30 Beginn der Kooperationsvereinbarung

(1) Die Rechte und Pflichten aus dieser Kooperationsvereinbarung beginnen für den jeweiligen Kooperationspartner mit dem Datum der Aufnahme in die Cyberwehr durch die Geschäftsstelle (§ 7(2)h). Das Datum der Aufnahme wird dem Kooperationspartner von der Geschäftsstelle zusammen mit der Aufnahmebestätigung mitgeteilt.

§ 31 Mindestlaufzeit und ordentliche Kündigung der Kooperationsvereinbarung

(1) Die Mindestlaufzeit dieser Kooperationsvereinbarung beträgt 24 Monate ab dem Zeitpunkt der Aufnahme in die Cyberwehr.

(2) Nach Ablauf der 24 Monate kann die Beteiligung an der Cyberwehr jederzeit von jedem Kooperationspartner durch Kündigung der Kooperationsvereinbarung zum Quartalsende beendet werden.

(3) Eine Kündigung bedarf zu ihrer Wirksamkeit der Schriftform.

§ 32 Außerordentliche Kündigung der Kooperationsvereinbarung

(1) Die Vertragsparteien können diesen Vertrag jederzeit aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen.

(2) Ein wichtiger Grund ist gegeben, wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung dieses Vertrages bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Vertrages nicht zugemutet werden kann.

(3) Ein Wichtiger Grund liegt insbesondere dann vor, wenn


a) …
b) …
c) …
d) …

§ 33 Außerordentliche Kündigung der Kooperationsvereinbarung durch das BSI

Das BSI kann die Kooperationsvereinbarung jederzeit mit jedem Kooperationspartner kündigen. Die Kündigung bedarf zu ihrer Wirksamkeit der Schriftform.

§ 34 Rechtsfolgen eines Austritts aus der Kooperationsvereinbarung

[ggf. ergänzen]

§ 35 Anzuwendendes Recht und geltende Vorschriften

(1) Dieser Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland.

(2) Allgemeine Geschäftsbedingungen der Kooperationspartner finden im Verhältnis zum BSI oder anderen Kooperationspartnern keine Anwendung.

§ 36 Auslegung der Kooperationsvereinbarung

(1) Lücken oder Widersprüche der Kooperationsvereinbarung sind so auszulegen, dass die Durchführung der Kooperationsvereinbarung gewährleistet ist.

(2) Eine etwaige Ungültigkeit oder Undurchsetzbarkeit einzelner Bestimmungen berührt die Wirksamkeit im Übrigen nicht, wenn dadurch der Zweck der Kooperationsvereinbarung weiterhin erreicht werden kann. Insoweit wird eine unwirksame oder undurchsetzbare Bestimmung durch eine gesetzliche Regelung ersetzt.

§ 37 Nebenabreden und Schriftform

(1) Außerhalb dieser Kooperationsvereinbarung und seiner Anlagen bestehen zum Zeitpunkt des Vertragsschlusses bezüglich des Kooperationsgegenstandes (§ 2) keine weiteren Abreden zwischen dem BSI und einem Kooperationspartner oder zwischen den Kooperationspartnern.

(2) Künftige Änderungen oder Ergänzungen dieser Kooperationsvereinbarung bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.

§ 38 Gerichtsstand

Ausschließlicher Gerichtsstand und Erfüllungsort dieser Kooperationsvereinbarung ist Bonn.

§ 39 Anlagen

[ggf. ergänzen]

Anlage 1: Liste der Kooperationspartner
Anlage 2: Liste der Kontaktstellen
Anlage 3: Liste der Ansprechpartner

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

84 Ergänzungen

    1. Die Analogie ist die der freiwilligen Feuerwehr, sicher nicht zufaellig.

      Der Gedanke ist erstmal gar nicht so schlecht, jedenfalls mehr als nur Haeme wert. Letztlich wird ja gerne vom „Netz als oeffentlichem Raum der Gesellschaft“ geredet, es ist Aufgabe des Staates sich dort auch um Sicherheit (im Sinne von Safety und Security) zu kuemmern, und Buerger haben dort neben Rechten auch Pflichten.

    1. Jo, ich stelle mir das auch witzig vor. So viele Spezial-Experten! :)

      Ich glaube ich hätte viel zu lachen…

  1. [Blockquote]Wäre ein fremden Geheimdienst hinter dem Angriff zu vermuten, würde das jetzt einen Einsatz der Cyberwehr ausschließen…[/Blockquote]

    Und allein mit diesem Kriterium erledigt sich das Vorhaben schon. Denn man muss ja zunächst am angegriffenen System analysieren, was geschehen ist, um zu dieser Feststellung gelangen zu können. Ein fremder Geheimdienst wird sicher nicht sein „Branding“ hinterlassen.

  2. Bei nicht-trivialen Unternehmen gibt es ja immer zwei IT-Bereiche – die interne Office-IT und die Produktions-IT.

    Man fragt sich natürlich, warum ein Unternehmen, daß sich selber die Office-IT so sehr kaputtspart, daß es auf Hilfe von außen angewiesen ist, von einer Cyberwehr (Versuche das mal zu sagen ohne komisch dabei zu Grinsen!) kostenlose Hilfe bekommen soll.

    In der Produktions-IT werden Externe natürlich erst mal primär nutzlos sein, jedenfalls, wenn die Produktions-ITs, die ich so in meiner Consulting-Karriere gesehen habe, irgendwie der Maßstab sind. Entweder sind es Probleme auf Komponenten, die überall gleich sind (Base Operating System und Network Equipment), und dann gilt das oben zum Office gesagte.

    Oder es sind Probleme auf Komponenten, die diesen Laden vom Mitbewerb differenzieren (Software, die Business Logik enthält oder realisiert). Auf diesen Komponenten will man nicht nur in der Regel keine Externen haben. Es ist auch so, daß man diese, wenn man sie denn drauf ließe, erst mal anlernen müßte. Denn wenn das, was „wir“ da machen einfach wäre, dann würden es „die“ ja auch machen.

      1. Zunächst mal nen Workshop „Einstieg ins digitale Ehrenamt für Profitorientierte“ konzipieren.

      2. Sinnvolle, offene und transparente Standards und Transparenzregelungen, die auf breiter Fachbasis erarbeitet und durch entsprechende Haftung durchgesetzt werden. Mit einem neutralen, transparenten und kontrollierbaren (zB staatlichen) Garanten.

        Vergleichbar Brandvermeidung und Brandbekaempfung. Ok, das Beispiel ist vielleicht zu gut 8-/

    1. Externe sind mE durchaus nuetzlich, denn sie sind ja nicht alleine, die internen sind dabei. Wenn die Internen keine ausreichende IT Security Expertise haben, liefern die Externen zumindest die richtigen Fragen, moegliche sinnvolle Vorgehensweisen, bekannte best practices und uU toolchain. Da geht es nicht nur um reine Technik.

      Das ist letztlich spezialisiertes Incident Mgmt. Man hat eine Menge Erfahrung damit, dass externe Spezialisten bei kritischen Incidents nuetzlich sein koennen, wenn es inhouse an Wissen fehlt. Und in weiten Teilen der Wirtschaft fehlt es mE an speziell diesem Wissen, und es duerfte sich auch nur begrenz lohnen, das ueberall intern aufzubauen und zu halten. Eine gewisse Standardisierung auf Prozessschnittstellen, Vorgehensweisen und Entscheidungsprozesse bekommt man vielleicht noch hin.

    2. Von wegen „da will man keine Externen drauf haben“: ja, klar, es hindert einen ja auch keiner daran, Interne dafuer zu haben und zu nutzen. Nur wenn man keine Internen hat, warum auch immer, sind Externe halt signifikant besser als niemand. Wichtig waere, die Teilnahmekriterien fuer so eine Veranstaltung transparent und offen fuer zu machen und eine moeglichst breite Teilnahme anzustreben. Glaube ich aber erst, wenn ich es sehe.

      Was weiterhin fehlt, ist eine verpflichtende Faehigkeit zur qualifizierten Behandlung entsprechender Vorfaelle, intern oder extern. Und die Verpflichtung zur Erfassung und Behandlung. Saubere Buchhaltung muss man schliesslich auch nachweisen. SOX hat da einen Schritt in die Richtung ausgeloest, aber leider auch nicht wirklich weiter.

      1. „ja, klar, es hindert einen ja auch keiner daran, Interne dafuer zu haben und zu nutzen. Nur wenn man keine Internen hat, warum auch immer, sind Externe halt signifikant besser als niemand.“
        Das Problem ist hier: Es *zwingt* einen auch niemand Interne dafür zu haben und zu nutzen. Also ruft man billig die Feuerwehr^W Cyberwehr nachdem man demselben Externen der dann kommt gesagt hat das man Security nicht kauft, ist ja zu teuer.
        Klingt total nach einem guten Plan: Freiwillige Feuerwehr ohne Brandschutzgesetze.

        1. Deswegen die Haftungsfrage. Es hat auch nicht jede Firma eine Werksfeuerwehr. Aber wer keine hat und die externe Feuerwehr im Brandfall nicht ruft, handelt mindestens grob fahrlaessig.

          Das koennte eine reine PR-Aktion mit Clownstruppe werden, klar. Das koennte aber auch interessante Auswirkungen haben.

          Generell keine Feuerwehr zu wollen, bevor es keine Brandschutzgesetze gibt, war uebrigens historisch anscheinend nicht wirklich erfolgreich. Alle haben bei Bedarf erstmal geloescht.

      2. Als Externer kann ich nur sagen dass ich für das Geld was die Internen bekommen nicht intern arbeiten wollen würde. Experten sind teuer.

      1. Nur für den Fall das du das als etwas besonderes einstufst: lmgtfy.com/?q=koehntopp+site%3Ablog.fefe.de

  3. Wieso werde ich das Gefühl nicht los, dass die beim BSI sich vorstellen, dass da jemand ein Loch in die Firewall hackt und die Daten langsam absickern? Dann ruft man die Cyberwehr, die schleppen Sandboxen und dämmen das Leak dann ein, damit nicht alle Daten verloren gehen.

    Nur im Kontext so einer analogen Sichtweise ist die Idee von „Soforthilfe“ während eines Zwischenfalls erklärbar. Und genau das ist es, was bei Bränden funktioniert, bei IT nicht.

    Natürlich kann man sowas vernünftig machen: Prävention vorher und Forensik nachher. Nur:
    a) Gibt das Beispiel und der Aufbau des Konzepts das nicht her, da steht was von „Soforthilfe“.
    b) Warum sollte das kostenlos sein? Wollen Regierungsstellen als Nutznießer hier kostenlos Dienstleistungen abgreifen?

    1. Kannst Du mal erlaeutern, warum „Soforthilfe“ in der IT nicht moeglich sein sollte?

      Es gibt eine ziemliche grosse Dienstleistungsbranche, die genau das liefert…

      1. Es gibt eine Dienstleistungsbranche die Soforthilfe gibt nachdem etwas passiert ist für das Problem das schon passiert ist?
        Imho gibts eher Dienstleister die das Problem analysieren und dann anschließend dafür sorgen das es sich nicht so einfach wiederholt.
        Ein Hack beispielsweise lässt sich ja nicht ungeschehen machen.

      2. Ich denke, wir benutzen den Begriff „Soforthilfe“ unterschiedlich. Ich wäre eher bei Sebastian M.s Interpretation gelandet, Du bei der typischen Quick-Response durch Experten, weil man das für den eigenen Betrieb verbaselt hat.

        Ist allerdings eventuell ein Sprachproblem. Üblicherweise benutzt man ja international die Begriffe Prevention, Detection und Response. Die „Cyberwehr“ kann erst bei Response greifen, sobald Detection funktioniert hat. Das passt zum Feuerwehr-Bild gar nicht mehr (Feuerlöscher-Verkauf für das neue Haus machen die nicht, die empfehlen das nur).

        Allerdings muss ich gestehen, dass auch wenn der Text selbst die Feuerwehr-Idee bewirbt, §1.2 des Vertrags ganz klar nach (Quick-)Response klingt. Das wiederum ist theoretisch sinnvoll und wirft nur einige praktische Fragen auf, die die anderen Threads schon diskutieren.

  4. Na solange dann ebenfalls eine Analogie zur Brandverhütung erfunden wird, nach der Unternehmen nicht mehr jeden Mist an das Internet anbinden dürfen, wegen der „Cybergefahr“.

    Dann fangt mal schön an, in eurem Cyberspace, und mappt Wassertexturen auf Feueranimationen ;) Vielleicht gibt es sogar so’n schickes Lightcycle als Einsatzfahrzeug.

  5. Ich freue mich schon inständig auf die Abhandlung des Themas bei Logbuch Netzpolitik. Den speziellen Tonfall von Linux habe ich schon im Ohr.

  6. Ganz wichtig wären Autos mit passender Bemalung und Blaulicht und die Wehr bräuchte phantastische Uniformen. So, wie man das in so manchen Trickfilmen mit richtigen Helden auf Gespensterjagd immer wieder geboten bekommt. :-) Soweit ich es überblicke, sind die Scada-Netze hornalt. Da funktioniert gar kein trivialer Kryptotrojaner. Dieses alberne Zeug wurde nur zum Erschrecken dümmlicher Windows – Nutzer erfunden. Das dümmlich ist ernst gemeint, wer einen mail – Anhang unkontrolliert (Firewall/Virenscanner) nur durchlässt und dann auch noch öffnet, müßte danach auch noch bestätigen, dass das script ausgeführt werden darf.

    Warum Verschlüsseln, auch im Cyber-Krieg geht es um Ausschalten, Vernichten der gegnerischen Systeme. Mein persönlicher Liebling wäre sowas wie 42.zip, die zip-Bombe. Modifiziert verbergen sich da als Cyberwaffe noch echte Potenziale. Das sollte man auf dem eigenen Rechner lieber nicht testen. :-)

    1. > Ganz wichtig wären Autos mit passender Bemalung und Blaulicht und die Wehr bräuchte phantastische Uniformen.

      Unbedingt! Digitale Drehleiter vom BND und Gulaschkanone vom Verfassungsschutz wollen standesgemäß bedient werden.

  7. Die Meldung könnte nur schöner sein, wenn in der Kooperationsvereinbarung geregelt wäre wer die Kosten für den Pieper übernimmt.. und die Einsatzwesten mit Klettbeschriftung auf dem Rücken.

    1. Mehr über den Cyberclown:

      Das Bundesministerium des Inneren erklärte 2011:

      „Anhand von prominenten Beispielen der jüngsten Vergangenheit – wie die Attacke durch die Schadsoftware „Stuxnet“, den Angriff auf die Infrastruktur eines Staates durch Botnetze und die öffentliche Verbreitung von Nutzerdaten eines sozialen Netzwerkes – verdeutlichte Friedrich dann, welche Dimension die Gefahr durch Kriminelle im Internet erlangen kann.“

      Kriminelle wie die Regierungen der USA und Israels in Komplizenschaft mit dem verbrecherischen Technologiekonzern Siemens:

      „Der Computerwurm Stuxnet ist nach einem Bericht der New York Times gemeinsam von Israel und den USA entwickelt worden, um das iranische Atomprogramm zu sabotieren. Wie die US-Zeitung am Samstag unter Berufung auf Geheimdienst- und Militärexperten berichtete, war an der Entwicklung des Wurms vermutlich unwissentlich auch der deutsche Siemens-Konzern beteiligt, dessen Systeme zur Steuerung von Industrieanlagen Stuxnet angreift. Das Unternehmen hatte demnach mit einer Forschungseinrichtung des US-Energieministeriums an einem Programm zum Schutz vor Cyberattacken zusammengearbeitet. Die dabei gefundenen Sicherheitslücken seien dann bei der Entwicklung des Wurms ausgenutzt worden.“ (Zeit Online)

      Die öffentliche Verbreitung von Nutzerdaten eines sozialen Netzwerkes ? Will das Ministerium verklausuliert behaupten, Facebook sei eine Verbrecherorganisation, obwohl selbst die Polizei auf Nutzerdaten des Netzwerks zurückgreift ? Friedrichs Analyse des netzbasierten Produktivitätsfortschrittes deckt sich jedenfalls mit der Aussage des langjährigen Beraters der Bundesregierung für strategische Sicherheitsfragen und Internetverbrechen, Arne Schönbohm (Sohn des CDU Politikers Jörg Schönbohm):

      „Bei dem Thema der Sicherheit geht es um die Grundlage unseres Wohlstandes. Damit die Unternehmen überhaupt in der Lage sind, die Steuern zu zahlen, die wir für einen hohen Bildungsetat und andere Dinge haben wollen, müssen sie geschützt werden.“

      Vermutlich meint er damit den Schutz vor CD’s mit „geraubten“ Bankdaten aus Liechtenstein und der Schweiz. Schönbohm beschreibt die Bedrohung im Cyberraum auf seiner Internetseite http://www.deutschlands-sicherheit.de als fünftes militärisches Schlachtfeld. Die Materialbeschaffung für die Schlachtfelder der Gegenwart sind ihm aus seiner Zeit bei EADS und DaimlerChrysler Aerospace bestens vertraut. Eine Liste seiner Expertisen kann auf der Website der BSS BuCET Shared Services AG nachgelesen werden, deren Vorstand er angehört. Im Fokus orakelte Schönbohm beispielsweise:

      „Ich habe den Eindruck, dass wir es hier mit einer Cyber-Apo zu tun haben“, formuliert er in Anspielung auf die außerparlamentarische Opposition in den 70er-Jahren. „Früher stand man mit Blumen vor dem US-Munitionslager, heute haben wir Menschen, die sagen: Wir wollen die Informationshoheit des Staates brechen.“

      Schönbohm, Mitglied der Atlantikbrücke e.V und des Münchner Herrenclubs (Jahresprogramm 2009:Clubfahrt nach Uzbekistan – auf den Spuren der großen Seidenstraße), diskutierte erst kürzlich im Rahmen einer Konferenz der Hanss-Seidel Stifung mit Prof. Dr. Gabi Dreo Rodosek (Universität der Bundeswehr, München) und Dr. James A. Lewis (Center for Strategic & International Studies, Washington). Das Center for Strategic and International Studies ist jener Think Tank, der Karl Theodor Zu Guttenberg seit einigen Wochen politisches Asyl gewährt……

      https://machtelite.wordpress.com/2011/10/24/der-security-industrial-complex-tagt-handelsblatt-konferenz-sicherheitspolitik-und-verteidigungsindustrie-2011/

  8. Woher kommt eigentlich die unausrottbare Idee, ITler würden kostenlos arbeiten und arbeiten wollen? Was hindert die fiktive Firma EnergyPower daran, einen üblichen Stundensatz von 200 Euro zu zahlen?

    1. Hast Du gelesen, was Du kommentierst?

      Die ITler werden von ihrem AG bezahlt.

      Fuer ihren AG muss die Teilnahme an einer solchen Kooperation offensichtlich einen business case darstellen. Es ist nicht so schwer, das fuer moeglich zu halten, sowohl bei interner IT wie bei Dienstleistern. Um es letztlich herauszufinden, muss man halt miteinander ueber einen Vorschlag reden.

        1. Zum Beispiel weil man such damit eine gewisse Vertrauensstellung aufbauen kann und MA hat, die entsprechende Qualifikationen und Freigaben haben. Oder weil man selber so stark mit anderen Teilnehmern vernetzt ist, dass man ein Eigeninteresse hat. Oder weil man darueber in Kooperation mit dem BSI naeher an Standards arbeiten kann. Oder weil man die eigenen Leute besser auslasten und weiterbilden will.

          Der Moeglichkeiten sind viele. Firmen stellen auch Leute fuer Standardisierungsarbeiten ab, fuer Forschungsarbeiten, fuer non-profits, fuer industrielle und staatliche Kooperationsprojekte…

          Jedenfalls weiss es jede Firma fuer sich besser als Du.

          1. There aint no such thing as a free lunch. Wenn ich kostenlose Hilfe in einem Notfall erwarte bin ich die Ware, nicht der Kunde.

          2. @Schwarzmaler20
            h s redet ja auch nicht davon das es „gratis/kostenlos“ etc ist. Die Arbeitgeber die bei soetwas mitmachen erhoffen sich davon etwas (z.B. die Sachen die er aufgezählt hat).

        2. Weils billiger ist. Nehmen wir mal an, mein IT-Spezialist hat n Tagessatz von 1.000,- EUR. Dann macht das in 20 Tagen lächerliche 20.000,- € (und selbst wenns doppelt soviel ist, isses noch lange nicht 7-stellig), die ich im Zweifel irgendwo gegenrechne. Im Austausch beweist bspw. das BSI im nächsten Audit Phantasie bei der Interpretation gängiger Paragraphen bzgl. meiner Kunden-Kreditkarten-DV, was letztlich Millionen bei revisionssicherer, anonymisierter/pseudonymisierter Archivierung/Datenhaltung einspart. Da würden mir einige nationale Konzerne in D einfallen, die da was von haben. Und am Ende fragt doch sowie niemand, ob die entsandten Papiertiger-Experten wirklich wirksam sind. Wer wills denn auch prüfen? Expertiger als die entsandten Experten wird ja wohl kaum einer sein, oder? ;)

          1. Papiertigerexperten nur wenn er Glück hat. Dann verliert er nichts außer Zeit. Kostenloser IT Support ist auch ein Einfallstor für den Vertrieb. Wer in einer Notsituation ist, ist bereit, fast alles an Lösungen zu kaufen. Oder er zahlt mit mit seinen Daten, mit Details seiner Infrastruktur, gegebenenfalls, ohne es zu bemerken.

      1. „Die ITler werden von ihrem AG bezahlt.“

        Gut, dann beträgt der Stundensatz 400 Euro für EnergyPower und ist an den AG zu zahlen. Ist das „business case“ genug?

  9. Kann ja sein, das ich mich irre. Aber welcher nichtselbständige angestellte IT-Experte darf während der Arbeitszeit in der Public-Domain Szene mitentwickeln? Und mit welchen Know-How sollen dann Löcher gestopft werden?

    1. Quid pro quo Situation zwischen Arbeitgeber und dem BSI vermutlich. Komplett kostenlos wird sicher niemand da mitmachen. Es klingt nur für den Laien so schön. Nur weil es in dem Moment keine monetäre Gegenleistung gibt heißt es ja nicht das der Arbeitgeber nichts davon hat.

    2. Hast Du eine grobe Vorstellung davon, wieviele Leute fuer ihre Beitraege zu Open Source Projekten von ihrem AG bezahlt werden, weil ihr AG einen Nutzen davon hat, wenn das Projekt sich entsprechend entwickelt? Davon lebt ein ganzes Ecosystem, manche halten es fuer die aufkommende world domination…

      Sagt ja keiner, dass das BSI jedenfalls Koopertionspartner zu den dann definierten Konditionen finden wird. Aber total abwegig ist der Ansatz diesbezueglich nicht.

  10. … tü-de-lüüü … das hört sich für mich an, wie Cyberwehrpflicht by Proxy (Arbeitgeber) und Arbeitsmarktregulierung für „Cyberwarsecurity Spezialexperten“ (no offense) ;P wegen des §25 Abwerbeverbots – wurdest Du einmal durch deinen Arbeitgeber zum „Emergency Cybern“ verdonnert, wird es schwieriger ihn zu verlassen, und damit wird wohl perspektivisch dein erreichbarer Marktpreis (Gehalt) sinken … damit dürften alle Kooperationspartner als Arbeitgeber immer unattraktiver werden … hat die Bundeswehr nicht gerade ein Recruitingproblem für ihre neuen Cyberkrieger? Zufälle gibt’s :D

  11. Hier wird sehr oft davon gesprochen, dass die Unternehmen ihre Mitarbeiter entsenden, und überhaupt nicht darauf eingegangen, ob und wie das überhaupt funktioniert, wenn der Mitarbeiter kein Interesse daran hat. Der Arbeitsvertrag muss das ja auch hergeben, dass man da schnell mal durch halb Deutschland „entsendet“ wird. Und was ist mit Versicherungen? Ist der Weg zum Einsatz ein „Arbeitsweg“? Unfälle während dieses Einsatzes Arbeitsunfälle? Wer haftet für Schäden, die durch Fehler der Team-Mitglieder entstehen? Und am Ende kann man nocht drangekriegt werden, wenn man der Ehefrau was falsches erzählt.
    Alles in allem viel zu viele Risikien und offene Fragen, um als vernünftiger IT-ler da mitzumachen.

    1. Arbeitsverträge werden halt entsprechend gestrickt und Reisen sind Dienstreisen da gelten die üblichen Regeln, die sonst auch immer gelten. Bei Fehlern auch: das selbe wie immer.

      Von allen >9000 Gründen gegen so eine Initiative sind das mal tatsächlich keine wirklichen Probleme.

      1. Also mal eben ein paar Arbeitsverträge ändern. Okay …
        Aber Dienstreise? Das hieße ja man wäre im Dienst des eigenen AG tätig – aber das BSI ist ja auch irgendwie involviert. Und man leistet die „Arbeit“ für ein anderes Unternehmen, also doch eher Leiharbeit/Mitarbeiterüberlassung?
        Und bei Fehlern das selbe wie immer? Vielleicht nochmal alles durchlesen, aber was bei mir hängen blieb ist das hier
        „Sie sind damit während der Dauer der Teilnahme an Einsätzen, Übungen und Fortbildungen der Cyberwehr Verwaltungshelfer des BSI und somit „Amtswalter“ i.S.d. § 839 Abs. 1 S. 1 BGB, Art. 34 S. 1 GG“
        Damit kann man dann wegen „§ 839 Haftung bei Amtspflichtverletzung“ drangekriegt werden. Super.

        Das ist auch toll:
        „(2) Die Kooperationspartner haften der Bundesrepublik Deutschland im Innenverhältnis für für Schäden, die durch ihre Beschäftigten im Rahmen eines Cyberwehr-Einsatzes verursacht werden.“
        Warum genau sollte man da also mitmachen? Man kann sich nur jede Menge Ärger einhandeln.

  12. Schön, dann kann man bequem Uboote einschleusen, ist doch besser als eigene Firmenexperten in Sicherheitsfragen ranzulassen und zu bezahlen oder? Am besten mit US- Firmen direkt Experten austauschen. Die NSA hat ne Menge Personal :D

  13. Großes Kino. Das ist auf allen Ebenen Quatsch. Wo Cyber oder Smart dransteht, ist was grundsätzlich faul.
    Also:

    – wenn Geheimdienste hinter dem Angriff stecken, ist die „Cyberwehr“ (ich krieg Pickel beim Hinschreiben) nicht zuständig, sondern der (ich krieg nen Lachanfall – Verfassungsschutz). Das weiß man also schon vorher, wer’s war. Und NSA gilt zwar als Geheimdienst, wurde aber zur Wirtschaftsspionage gegründet, unwahrscheinlich, dass sich an dem Auftrag was geändert hat. Gut zu wissen, dass die also keine Gefahr darstellen.

    – wenn überall im ganzen Land, bei allen Firmen und Behörden, unsichere Hardware und Software in Kauf genommen wird oder noch häufiger, kein Interesse oder keine Ahnung besteht, sich damit zu befassen, dann ist das kein Fall für die Feuerwehr, sondern fürn Psychiater. Ihr wisst doch, Snowden war ein russischer Spion. Fahren wir einfach alle mit Autos ohne Bremsen und ohne Licht, wenn man an der Ampel aufpasst, geht das halbwegs. Und wieso sind Cisco-Router in Deutschland überhaupt zugelassen, um nur einen Hersteller zu nennen? Wieso dürfen die Amis an Daten hier raustragen, was sie wollen? Da sind Zugangsdaten dabei, habt ihr euch das mal überlegt beim BSI?

    – Das BSI ist gescheitert, die Unterstützung aus der Politik ist auch nicht gerade prall. Das hier ist seine Bankrotterklärung, und jetzt wird wie so oft die Verantwortung weggeschoben, aber simuliert, dass man weiterhin alles im Griff hat. Die Verluste werden sozialisiert, so eine Art Bankenrettung im IT-Sektor.

    – Auch bei der freiwilligen Feuerwehr gibt es das nicht so seltene Phänomen, dass Feuerwehrleute selber den Brand legen. Das wäre bei diesem Schwachsinnsprojekt meistens gar nicht zu erkennen, geschweige denn zu verhindern. Der Kommentar: „darf man eigene Schädlinge mitbringen“ gibt einen Vorgeschmack. Das wollt ihr nicht, lasst es lieber.

    – Es ist ein Ablenkungsmanöver. Dass „befreundete“ Geheimdienste hier raustragen dürfen, was sie wollen und dabei noch tatkräftig unterstützt werden, ist ein Problem. Dass die großen Internetkonzerne hier genauso unbehelligt schalten und walten können, ein weiteres. *Das* sind die rechtsfreien Räume, *da* sind die allermeisten schutzlos. Hier fehlt es auf allen Ebenen erbärmlich. G10, Enercon, WhatsApp, Clouds, der ganze Rotz. Dagegen ist euer DDos gegen die Kirchturmuhr doch Käse.

    – Angenommen, man wollte eine Firma wirklich schützen. Im Normalfall würde das heißen, erstmal alle Router raus und durch etwas ersetzt, was nachgewiesen/nachprüfbar keine Backdoor enthält, das gleiche dann mit sämtlichen Systemen, die nach Hause telefonieren und zu Autoupdate in der Lage sind, oder dazu, Mikro und Kamera anzuschalten oder Funktionen einfach abzuknipsen. Da bleibt nur der Toaster in der Kantine übrig. Keinerlei Koordination von Abläufen mehr über „Smart“-Phones, keine Clouds außer selber gehosteten, kein Skype, kein Teamviewer, keine Drucker, die Dokumente kennzeichnen usw, nichts, wo man die Strecke nicht kontrollieren kann.

    Tja BSI, das wäre eigentlich alles EUER Job gewesen. Dafür zu sorgen, dass wir Technik nutzen können, ohne auf einen ganzen Katalog unserer Grundrechte zu verzichten. Solche Technik wäre dann auch sicher, jedenfalls erheblich sicherer als der Mist, der überall im Einsatz ist.

    1. Zitat:“Wo Cyber oder Smart dransteht, ist was grundsätzlich faul.“

      … Geld stinkt nicht … das Produkt „Sicherheit“ muss ja an den Bürger verkauft werden!
      … die vielen Breiten Schultern (Steuerzahler) zahlen alles … Terrorismus und Sicherheit aus einer Hand … eine politisch geregelte Asychronität!
      Der Internationale Terror eilt dem Produkt „Sicherheit“ immer etwas hinterher, damit die Jagt stets weiter gehen kann und das Geld für das Produkt ständig fließen kann …

      1. Upsi … statt „Der Internationale Terror eilt dem Produkt „Sicherheit“ immer etwas hinterher,“ muss es heißen „Der Internationale Terror eilt dem Produkt „Sicherheit“ immer etwas voraus,“

        1. … einen Teil der IT hat man mit dem „Landesverratvorwurf“ mit staatlichen Stellen in Kontakt gebracht, das hat wohl Vertrauen aufgebaut? Warum man jetzt über die AG auf unbekannte Wissensgebiete zugreifen wollte, bleibt im Haushaltsentwurf eine ungenannte Variable?

          … Subsidiarität™ oder Kohlhaas?

  14. „Sie müssen kostenlos Arbeitskraft zur Verfügung stellen, als Gegenleistung erhalten sie Informationen über Angriffe, an deren Abwehr sie beteiligt waren und die sie eventuell zum eigenen Schutz verwenden können. “

    Sollten diese Informationen nicht für jeden zu Verfügung stehen, um zukünftige Angriffe zu verhindern?

      1. Derartiges waere mE die originaere Aufgabe einer fuer die Gesellschaft arbeitenden IT Sicherheitsbehoerde, analog der Bundesdatenschutzbehoerde.

        Das BSI selber war ein Kandidat, duerfte dazu in der derzeitigen politischen Situation, Fuehrung und teilweise kontraeren Aufgabenstellungen aber nachhaltig verbrannt sein.

  15. Da fragt man sich doch in was für einer Blase die Leute die diesen Schwachsinn ausarbeiten leben. Ich habe bis jetzt noch niemanden in der IT getroffen der beim Wort „Cyber“ nicht sofort die Augen verdreht. Da gehen sogar evtl. gute Vorschläge doch direkt unter.

  16. Ich habe das gestern im Kollegenkreis mal diskutiert, ich kennen keinen aus der Branche der sich für solche Aktionen hergeben würde. Gesetzt des Falles das Firmen überhaupt mitmachen,
    ein Arbeitgeber wird keinen Arbeitnehmer ohne seine Einwilligung abkommandieren können. Wo soll der Profit für die Mitglieder der Cyberwehr sein ?

    1. Das gleiche Problem haben auch DLRG, THW, FFW etc. und trotzdem finden sich Leute, die das ehrenamtlich machen und durch ihre Arbeitgeber für die Ausfallzeiten quersubventioniert werden.

      Beim THW stehen 1.000 Hautamtlichen etwa 80.000 Ehrenamtliche gegenüber.

    2. Nachtrag: erst die schiere Masse macht es möglich, dass der Einzelne über das Rotationsprinzip tatsächlich nur an wenigen Tagen zur Verfügung stehen muss.

  17. Warum ruft bei mir der Wortbestandteil „Wehr“ im Zusammenhang mit der staatlichen Mobilisierung in Deutschland immer nur so negative Assoziationen hervor?

  18. Hm man muss also direkt großflächig verschiedenste schlafende implants installieren sobald man in einem Netz ist. z.B. auf IP-Kameras, Steueranlagen und Routern.. Kurzum alles was nicht so ohne weiters neu aufsetzbar ist / nicht wirklich scanbar ist.

    Mal ganz ehrlich, falls wirklich ein großes Unternehmensnetzwerk infiziert ist mit 1000den an unterschiedlichen Netzwerkgeräten und der Angreifer ein Interesse hat einen langfristigen Zugang zu haben, ist es doch praktisch unmöglich ohne tauschen sämtlicher Hardware Herr der Lage zu werden.
    Und dann müsste man ja wirklich alles tauschen bis auf den letzten kack switch mit management interface den irgend ein Mitarbeiter mitgebracht hat und unter dem Tisch gelegt hat, da der Lanport seines Kollegen nicht funktionierte..
    Auf den meisten blackbox Netzwerkgeräten läuft Linux mit bussybox und die updates sind einfach nur ein script als .tar gepackt oder ein 1:1 image des dateisystems. Man kann dort ohne weiteres ein Tor Hidden service mit VPN gateway dahinter drauf aufsetzen, welcher nach tagen erst per cron gestartet wird.

    Auch: Ein Angreifer der wirklich Schaden erzeugen möchte, erlangt Zugriff ohne dass das erkannt wird und leaked daten oder modifiziert sie über längere Zeiträume, so dass später nicht mehr erkennbar ist, was korrupte Daten sind und was echte.
    Nur fun hacker gehen in ein Netz um sämtliche services zu defacen, alle Zugriffe zu sperren und schlicht Chaos zu veranstalten.

    Die ganze Idee mit einer „Cyberwehr“ ist doch eine farce.. weil man irgendwas machen möchte..

    1. Jupp, den Fall („… wirklich alles tauschen bis auf den letzten kack switch mit management interface den irgend ein Mitarbeiter mitgebracht …“) hatten wir mal!
      … ’n gehackerter Netgear, der User hat die MAC seines Dienstrechners im WAN Interface eingetragen und dann seine Mühle dran gehängt!
      Warum?
      Nun, er hatte noch ein WLAN fähiges Smartphone und ein Tablet, diese beiden wollte dieser Mitarbeiter für Testzwecke ins Netz bringen … Smartphone und Tablet waren OK, das Image des Routers war hingegen infiziert!
      -> http://www.ceilers-news.de/serendipity/712-Router-Schwachstellen-aktuell-Ein-Router-Wurm-und-Angriffe-auf-Netgear-Router.html

  19. *Kommt jetzt die Cyberwehrpflicht für Nerds ab 12?*

    Überschrift von der Titelseite der Papierversion des Postillion, Ausgabe 41/2016, ab Seite 42.
    Siehe: http://www.der-postillon.com/2016/10/PamS-4116.html

    Dieses zufällige(?) Zusammentreffen fand ich amüsant. Manchmal ist der Postillion seiner Zeit nur um Tage oder Wochen voraus. Deshalb finde ich ihn auch so gut. Er ist nicht nur lustig, sondern auch sehr politisch und ganz hart an der Realität.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.