Cyber-Awareness betrifft alle - Bundeswehr beim ECSM 2020

Die Bundeswehr beteiligt sich auch dieses Jahr am European Cyber-Security-Month. Der Chief Information Security Officer der Bundeswehr (CISOBwChief Information Security Officer) Generalmajor Jürgen Setzer ist für die Regelung und Überwachung der Informationssicherheit in der gesamten Bundeswehr verantwortlich. Zum European Cyber-Security-Month spricht er in einem Namensartikel über die Cyber-Awareness aller Angehörigen der Bundeswehr.

Vergrößern

Cyber-Awareness betrifft alle

Einmal jährlich findet unter Führung der europäischen ITInformationstechnik-Sicherheitsbehörde ENISA der European Cyber-Security-Month (ECSM) statt. Das Bundesamt für Sicherheit in der Informationstechnik (BSIBundesamt für Sicherheit in der Informationstechnik) ist in Deutschland die zentrale Koordinierungsstelle für den ECSM. Mit Aktivitäten während dieses Aktionsmonats sollen europaweit Bürgerinnen und Bürger sowie Organisationen für den umsichtigen und verantwortungsbewussten Umgang im Cyber-Raum sensibilisiert werden. Das gilt natürlich auch für die Angehörigen der Bundeswehr. Deshalb nehmen wir als Bundeswehr am Aktionsmonat teil.

Die letzten Monate haben uns vor Augen geführt, wie flexibel Arbeitsprozesse auch in den digitalen Raum verlagert werden mussten. Dort gibt es Risiken, vor denen es sich am Arbeitsplatz und der privaten Umgebung im Homeoffice zu schützen gilt. Täglich entstehen für Cyber-Angreifer und Cyber-Kriminelle neue Möglichkeiten dem Staat, der Wirtschaft und jedem einzelnen von uns einen Schaden zuzufügen.

Cybersicherheit funktioniert dabei nur gesamtstaatlich und erfordert eine Zusammenarbeit über politische Ressortgrenzen hinweg. Ganz in diesem Sinne werden sich wieder viele Dienststellen der Bundeswehr mit Beiträgen und Sensibilisierungsmaßnahmen am europäischen Cybersicherheitsmonat im Oktober 2020 beteiligen, um die Risiken für die Gefahren in der Nutzung von Social Media, dem mobilen Arbeiten oder den Herausforderungen des sicheren Arbeitens im Homeoffice für unsere Mitarbeiterinnen und Mitarbeiter zu minimieren. Ziel der Beteiligung ist, die Awareness gegen potenzielle Gegner, die digitale Innovationen auch für Angriffe auf die Bundeswehr und ihre Verbündeten nutzen, zu stärken.

Cyber-Awareness schärfen

Vergrößern

Für mich als CISOBwChief Information Security Officer ist es besonders wichtig, alle Angehörige der Bundeswehr in der Cyber-Awareness zu schulen und sie hierzu an ihrem jeweiligen Arbeitsplatz abzuholen. Der ECSM als etabliertes europäisches Format bietet uns und allen anderen Organisationen die Möglichkeit ihre Mitarbeiterinnen und Mitarbeiter für die Gefahren in Cyber- und Informationsraum zu sensibilisieren. Cyber-Awareness muss zur eingeübten Alltags-Routine werden.

So selbstverständlich, wie den Sicherheitsgurt vor dem Autofahren anzulegen, müssen wir zum Beispiel in der Telefon- oder E-Mail- Kommunikation erlernen, Anzeichen von Social-Engineering-Angriffen zu erkennen.

Denn neben allen technischen Schutz-Möglichkeiten, wie zum Beispiel Malware-Erkennung oder Netztrennungen, welche die Bundeswehr nutzt um ihre eigenen Netze zu schützen, gilt es gerade das Angriffsziel Nummer 1, die eigenen Mitarbeiterinnen und Mitarbeiter, in Cyber-Awareness zu schulen. Menschliche Unachtsamkeit ist oftmals die Erklärung, warum Angreifer überhaupt in ein ITInformationstechnik-System eindringen konnten.

Um die Cyber-Awareness jedes einzelnen realitätsnah zu überprüfen, nutzen wir in der Bundeswehr auch das Red Teaming. Dabei werden zum Beispiel Mitarbeiterinnen und Mitarbeiter mit realistisch gestalteten Phishing-E-Mails herausgefordert, diese zu erkennen und die richtigen Maßnahmen zu treffen. So können wir durch Übung unsere Awareness zum Erkennen eines möglichen Cyber-Angriffs erhöhen.

Der Mensch als wesentlicher Sensor

Vergrößern

Die von uns eingesetzte Technik zum Schutz unserer eigenen ITInformationstechnik-Systeme kann vieles leisten, einen hundertprozentigen Schutz bietet sie jedoch nicht. Denn der Faktor Mensch wird häufig unterschätzt. Oft haben Cyber-Angriffe den ITInformationstechnik-Nutzer im Visier, so zum Beispiel mittels Phishing-Versuchen beim Social-Engineering. Unentdeckt durch die technischen Schutzmaßnahmen erreichen sie den ITInformationstechnik-Nutzer. Welchen Schaden ein unachtsamer Klick anrichten kann, zeigten die vor kurzem erfolgten Angriffe mittels Emotet auf Krankenhäuser, Gerichte und Universitäten.

So muss jeder einzelne in der Bundeswehr seinen Beitrag zum Schutz der ITInformationstechnik der Bundeswehr leisten.

Der Schutz unserer ITInformationstechnik-Systeme verlangt dieses erfolgreiche Zusammenspiel von Mensch und Technik.

Mit dem Bewusstsein für die Gefahren im Cyber- und Informationsraum, dem aufmerksamen und sicheren Verhalten bei der Nutzung der eigenen ITInformationstechnik sowie dem schnellen Melden von ITInformationstechnik-Vorfällen, zum Beispiel verdächtiger Mails, trägt jede Nutzerin und jeder Nutzer entscheidend zur Cyber-Sicherheit in der Bundeswehr bei.

Der ECSM als Möglichkeit der Weiterbildung

Vergrößern

Das Risikobewusstsein bei der Informationssicherheit hat in den letzten Jahren auf allen Ebenen zugenommen. Informationssicherheit wird inzwischen als eine Führungsaufgabe in der Bundeswehr wahrgenommen. Das ist bereits ein großer Schritt. Ausschlaggebend für eine erfolgreiche Sicherheitskultur ist aber das Zusammenspiel aller im System Bundeswehr – von der Führungsebene bis hin zum einzelnen Mitarbeiter. Der ECSM bietet, neben den durchgehend ablaufenden Schulungen in der Cyber-Awareness, nochmals eine gute Möglichkeit alle unsere Mitarbeiterinnen und Mitarbeiter, gezielt zu sensibilisieren.

Denn ITInformationstechnik – ob Smartphone oder Fitnesstracker, ob im Dienst oder privat – ist für uns heute selbstverständlich. Genauso selbstverständlich muss unsere Awareness für die damit verbundenen Gefahren sein!

Abschließend mein Tipp:  Der 3-Sekunden-Sicherheits-Check für E-Mails.

1. Ist mir der Absender bekannt?
2. Ist der Betreff sinnvoll?
3. Soll ich einen Anhang anklicken?

Ergibt die Überprüfung der drei Checkpunkte Absender, Betreff, Anhang insgesamt kein stimmiges Bild, rät das BSIBundesamt für Sicherheit in der Informationstechnik E-Mails noch vor dem Öffnen zu löschen. Im Zweifelsfall sollten Sie vor dem Öffnen persönlich beim Absender nachfragen, ob er eine E-Mail geschickt hat.