View
216
Download
0
Category
Preview:
Citation preview
Sicherheit im Cyber Raum, von der Strategie bis zur Umsetzung Ein Überblick der nationalen und internationalen
strategischen Ausrichtung
Roland Ledinger
Wien, Juni 2013
2 |
Überblick & Navigation
Einordnung des Themas
IKT Sicherheitsstrategie
Österreichische Strategie zur Cyber Sicherheit
EU Aktivitäten in Bezug auf Cyber Security
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 3 |
Ko
mp
lex
itä
t s
teig
t
in d
er
dig
itale
n W
elt
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
In welchem Umfang findet das digitale Leben statt?
über 900 Mio Facebook User, davon 2,5 Mio in Ö
2 Mrd Internetuser
5 Mrd Handyverträge
– 146 % Mobiltelefon Penetration in Ö; 5,67 Mrd. min und 1,78 Mrd SMS im 4.Q 2010
– 7.167 TB im 4.Q 2010 mittels Mobiltelefone heruntergeladen
– Prognose, jedes 3. verkaufte Handy ist ein Smartphone und hat Internet immer dabei
200 Mrd eMails werden täglich verschickt
15 Petabyte täglicher Datenzuwachs = 1.125.899.906.842.624 Zeichen
durchschnitt. 350.000, in Spitzenzeiten bis zu 700.000 Rechner in D Teil eines Botnetzes (Stand 2010)
4 |
Was sind die wesentlichen Elemente der Sicherheit in
einer digitalen Welt?
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Geheimhaltung/Vertrauen
Integrität
Legalität
Authentizität/Echtheit
Verfügbarkeit
Schutz der Privatsphäre
Datensicherheit
Eine
IKT-Sicherheits-
strategie muss
folgende Punkte
adressieren
5 |
Internet-
sicherheit
Netzsicher-
heit
Applikationssicherheit
Informationssicherheit
Schutz kritische Informationsinfrastruktur
IKT Sicherheitsstrategie
Cyber C
rime C
yb
er
De
fen
se
Cyber Security Strategie
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 6 |
CERT.at
GovCERT
CIP Coordination
CIIP Coordination
SKKM
Nationaler
Sicherheits
rat
Federal
Govern-
ment
ISK
BKA
Platform
Digital
Austria
BKA/BM.I
BM.I
FüUZ
BMLVS
BK BVT
7 |
Austrian Trust Circle
Energy
Finance
Trans-portation
Health
Industry
…
AbwAmt
Education
Research CI
Operators
Countries
Cities
Communi
ties
Awareness Interest
Associations
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
HNa
Stakeholder aus dem privaten
und öffentlichen Sektor
KSÖ
7
8 |
Überblick & Navigation
Einordnung des Themas
IKT Sicherheitsstrategie
Österreichische Strategie zur Cyber Sicherheit
EU Aktivitäten in Bezug auf Cyber Security
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Gemeinsame Erarbeitung stand im Fokus Buttom-up Ansatz
Ziel war die Erstellung einer nationalen IKT
Sicherheitsstrategie als Grundlage für die Cyber
Security Strategie Österreichs
konkrete Maßnahmen und eine Roadmap
Prozess sollte alle Aspekte betrachten und alle
Stakeholder einbinden (BMI, BMLVS, BMF, BMxx, GovCERT,
CERT, CERT-VERBUND, ACT-Austrian Trust Circle, Länder,
Städte- und Gemeindebund, KSÖ, div Institutionen, privaten
Sektoren der kritischen Info-Infrastruktur, …)
WICHTIG: eine breite Basis finden, die für die
Umsetzung der Roadmap notwendig ist
9 |
10 | ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Am 16. November Kickoff Veranstaltung
Über 200 Teilnehmer aus den
verschiedenen Sektoren
Präsident Hange vom BSI Deutschland war
Keyspeaker.
Zwei Drittel der Teilnehmer haben sich
für Arbeitsgruppen nominiert.
Daher eine der
größten
IKT Sicherheits-
Initiative über
alle Sektoren
hinweg.
Kickoff – für den Prozess
10 |
11 | ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Am 2. März 2012 wurden erste Ergebnisse der
Arbeitsgruppen im Bundeskanzleramt vorgestellt
Keyspeaker Mr. Servida von der EU-Kom (European Internet Strategy)
Insgesamt 130 österr. Cyber Security Experten waren in die Erarbeitung
involviert
Tolle Ergebnisse aller Arbeitsgruppen.
Das gemeinsame Ziel wurde dabei von allen Arbeitsgruppen unterstrichen: make
the Internet safer in Austria.
Erste Zwischenergebnisse
11 |
Abschlussveranstaltung
15. Juni 2012 im BKA erfolgt die Präsentation
Keynote Dr. Steve Purser ENISA- Head of Technical
Competence Dpt
AG Leiter stellen
das Ergebnis vor
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 12 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Auszug der Inhalte der IKT
Sicherheitsstrategie – Strukturen/Stakeholder
Optimieren der „Cyber Security Stakeholder und
Strukturen“-Landschaft in Österreich
– Einrichten einer öffentlichen Cyber-Partnerschaft
• ein öffentliches Cyber-Krisenmanagement
• eine Cyber Security-Steuerungsgruppe
• eine Informationsdrehscheibe für Cyber Security
– Einrichten eines Cyber-Lagezentrums
– Strukturen schaffen für
Standards, Zertifizierungen,
Qualitäts-Assessments
13 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Auszug der Inhalte der IKT
Sicherheitsstrategie – kritische Infrastruktur
Cyber-Krisenmanagement
– Aufbau einer Struktur zum nationalen Cyber-
Krisenmanagement
– Cyber-Lagezentrums
– Einrichten einer
tragfähigen
Krisenkommunikation
Informationsaustausch von öffentlichen und
privaten Akteuren
14 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Auszug der Inhalte der IKT
Sicherheitsstrategie - kritische Infrastruktur
Risikomanagement und Informationssicherheit
– Förderung des Risikomanagements innerhalb der
kritischen Infrastrukturbetreiber
– Einrichten eines Cyber Competence Centers
– Pflege des Informationssicherheitshandbuch als Basis für
den Grundschutz
– Durchführen von Technologiefolgenabschätzungen
– Freiwilliges Registrierungssystem von Experten, wie dies
in der Verwaltung schon erfolgt
15 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Auszug der Inhalte der IKT
Sicherheitsstrategie - Risikomanagement
Identifizierung von Kernunternehmen in den
Sektoren
Umfassendes Risiko- und Sicherheitsmanagement
über Sektoren hinweg
– Verdichtung des Risikokatalogs
– Definition von Mindeststandards für Risiko- und
Sicherheitsmanagement
Sicherstellung von Mindeststandards und Lenkung
der Risikoakzeptanz in Kernunternehmen
16 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Auszug der Inhalte der IKT
Sicherheitsstrategie – Bildung und Forschung
Bildung
– Frühzeitige schulische Ausbildung in IKT, IKT-Sicherheit
und Medienkompetenz
– Verpflichtende IKT-Ausbildung aller Studierenden der
Pädagogik
– Verstärkte Ausbildung von IKT-SicherheitsspezialistInnen
im tertiären Sektor
– IKT-Sicherheit als wichtiger Bestandteil in der
Erwachsenenbildung / Weiterbildung
Forschung
– Vermehrte Einbindung von IKT-Sicherheitsthemen in
angewandte IKT-Forschung
– Aktive Themenführerschaft bei internationalen
Forschungsprogrammen 17 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Auszug der Inhalte der IKT
Sicherheitsstrategie
Stärkung der IKT-Sicherheitskultur in Österreich
Positive Positionierung der IKT-Sicherheit
Abgestimmte und koordinierte Vorgehensweise
– Einrichten eines
IKT-Sicherheitsportals
www.onlinesicherheit.at
– Awareness-Kampagnen
– Beratungsprogramme
– Standardisierung
18 |
19 |
Überblick & Navigation
Einordnung des Themas
IKT Sicherheitsstrategie
Österreichische Strategie zur Cyber Sicherheit
EU Aktivitäten in Bezug auf Cyber Security
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Erarbeitung ÖSCS
Grundlage: Ministerratsbeschluss vom 11. Mai 2012
Intensive Zusammenarbeit zwischen BM.I, BMLVS und
BKA – strategische Koordination durch BKA
Grundlage: Österreichische Sicherheitsstrategie (ÖSS)
Verhandler: Verbindungspersonen zum NSR + CS
Experten
Vorhandenen Aktivitäten und Erarbeitungen wurden
eingebracht:
– IKT-Sicherheitsstrategie
– Cyber Crime und Cyber Defence Strategien
– KSÖ-Aktivitäten (Risiko-Matrix etc.), usw.
Beschluss ÖSCS im MR am 20. März 2013
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 20 |
Definition Cyber Sicherheitspolitik
Nationale, europäische und internationale Maßnahmen
zur positiven Mitgestaltung des Cyber Space im Interesse der
Bürger, Wirtschaft, Wissenschaft und des Staates,
zur Verhinderung des Entstehens /Wirksamwerdens von
Bedrohungen des / der Menschen im Cyber Space (Prävention),
zum Schutz des Rechtsgutes Cyber Sicherheit gegenüber
Bedrohungen bzw. zu deren Bewältigung.
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 21 |
Breiter Ansatz / Chancen:
Der Cyber Space ist als
Informations- und Kommunikationsraum,
Sozialer Interaktionsraum,
Wirtschafts- und Handelsraum,
Politischer Partizipationsraum,
Steuerungsraum
bedeutend für Staat, Wirtschaft, Wissenschaft, Gesellschaft.
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 22 |
Risiken und Bedrohungen
Fehlbedienungen
Cyber Kriminalität
Identitätsmissbrauch
Cyber Extremismus / Cyber Terrorismus
Massive Angriffe staatlicher / nicht staatlicher Akteure
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 23 |
Prinzipien
Allgemeine Prinzipien:
Umfassende, integrierte, proaktive,
solidarische Sicherheitspolitik
Spezielle Prinzipien:
Rechtsstaatlichkeit
Subsidiarität
Selbstregulierung
Verhältnismäßigkeit
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 24 |
Strukturen und Prozesse
Einrichtung Cyber Sicherheits-Steuerungsgruppe
Schaffung Struktur zur Koordination auf operativer Ebene
Einrichtung übergreifendes Cyber Krisenmanagement
Stärkung bestehender Strukturen
Erstellung Code of Conduct (Info-Austausch, Meldeverpflichtung, usw.)
Festlegung von Mindestsicherheitsstandards
Erstellung jährlicher Bericht zur Cyber Sicherheit
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 25 |
Kooperation Staat, Wirtschaft, Gesellschaft etc.
Einrichtung Cyber Sicherheits-Plattform (Nutzung ATC, KSÖ
etc.)
Stärkung der Unterstützung für KMUs
Ausarbeitung Cyber Sicherheitskommunikationsstrategie
Schutz kritischer Infrastrukturen
Sensibilisierung und Ausbildung
Forschung und Entwicklung
Internationale Zusammenarbeit
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013 26 |
Österreichische Strategie für Cybersicherheit
wurde am 20. März 2013 von
der Bundesregierung unter
Einbringung von BMI, BMLVS,
BMeiA und BKA beschlossen.
Download unter
www.digitales.oesterreich.gv.at
27 | ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Cyber Security – Struktur
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
Nationaler Sicherheitsrat
Verbindungspersonen zum
nationalen Sicherheitsrat
Cyber
Experten
Cyber Security Steuerungsgruppe Vorsitz: BKA
Mitglieder: BMI, BMLVS, BMeiA, BMJ
und im Bedarfsfall weitere (BM, Länder, usw.)
Operative Koordination
Krisenmanagement
SKKM
Cyber Security Plattform
Einbindung der Wirtschaft
28 |
29 |
Überblick & Navigation
Einordnung des Themas
IKT Sicherheitsstrategie
Österreichische Strategie zur Cyber Sicherheit
EU Aktivitäten in Bezug auf Cyber Security
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
EU Aktivitäten
Europäische Cybersicherheit Strategie
– Vorstellung Entwurf EK am 07.02.2013
– Behandlung in 15 Rat-Arbeitsgruppen und in der
FOP on Cyber Issues
– Bis E03/2013 werden Anmerkungen gesammelt
– Geplant: Ende April/Anfang Mai finale Behandlung
im kommenden FOP Meeting
– Verabschiedung noch durch irische Präsidentschaft
30 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
EU Aktivitäten
Europäische Cybersicherheit Strategie
– Kernpunkte (5 strategische Prioritäten)
• Widerstandsfähigkeit erhöhen
• Eindämmung der Cyberkriminalität
• Ausbau der Cyberverteidigung
• Entwicklung von industriellen Cyber-Ressourcen
• Einheitliche Cyberraumstrategie auf int. Ebene
– Viele Maßnahmen dazu
– Trennung der Aufgaben in
Netz- und Informations-
sicherheit, Strafverfolgung
und Verteidigung
– Begleitende NIS - Richtlinie
31 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
EU Aktivitäten
Ein wesentlicher Eckpfeiler in der Umsetzung ist
die NIS-Richtlinie
Ziel ist das Setzen von minimalen Sicherheitsstandards
Säulen der Richtlinie: – Nationale Fähigkeiten
– Kooperation auf EU-Ebene
– Sektorübergreifende Zusammenarbeit (PPP)
32 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
EU Aktivitäten
Begleitende NIS Richtlinie
– Kernpunkte
• Jeder Staat hat eine NIS Strategie und einen nationalen NIS
Kooperationsplan
• Es gibt eine für NIS zuständige Behörde
• Jeder MS hat ein CERT mit einem def. Mindestumfang
• Ein Kooperationsnetz für die europ. Komm. wird aufgebaut
• Ein Frühwarnsystem und Koordinierte Reaktion
• Übergreifender NIS Kooperationsplan auf europ. Ebene
• Verpflichtende Meldung von Sicherheitsvorfällen
• Förderung von Normen
• Befugnisse für verbindliche Anweisungen und Sanktionen
bei Verstößen durch die nat. NIS Behörde
33 |
ADV E-Government Konferenz - Cyber Security 11./12. Juni 2013
EU Aktivitäten – NIS Richtlinie
Einordnung der NIS-Behörde in die Struktur
34 |
Der Cyberraum kennt keine Grenzen, wohl in jeglicher Hinsicht! für Ihre Aufmerksamkeit!
Die Österreichische Strategie zur Cyber Sicherheit
sowie die IKT-Sicherheitsstrategie finden sie zum
Download auf www.digitales.oesterreich.gv.at
Roland Ledinger
roland.ledniger@bka.gv.at
Recommended