die strategische dimension von cyber security 02, 2013 · keyspeaker. zwei drittel der ... –...
TRANSCRIPT
Die strategische Dimension von Cyber SecurityEin Überblick der nationalen und internationalen strategischen Ausrichtung
Roland LedingerWien, April 2013
2 |
Überblick & Navigation
Einordnung des Themas IKT Sicherheitsstrategie Österreichische Strategie zur Cyber Sicherheit EU Aktivitäten in Bezug auf Cyber Security
Security Forum 2013 - 17. April
Security Forum 2013 - 17. April
Themen, die eine digitale Welt dominieren!
Social Media
Green IT
Cyber Security
Smartphone
TabletApps
Cloud Computing
Shared Service
Facebook Twitter
Mobiles Breitband
Web 2.0
WikiCollaboration
Blogs
Semantic Web
Location based Services
Smart Grid Smart Meter
Public Cloud
IaaSPrivate Cloud SaaS
ParticipationPaaS
Standardisierung
StuxnetKritische Infrastruktur
CERTGovCERT
Botnetze
Virtualisierung Zentralisierung
HTML5
App Stores
VideoYoutube
Social Engineering
Open data Open Government
3 |
Security Forum 2013 - 17. April
In welchem Umfang findet das digitale Leben statt?
über 900 Mio Facebook User, davon 2,5 Mio in Ö 2 Mrd Internetuser 5 Mrd Handyverträge
– 146 % Mobiltelefon Penetration in Ö; 5,67 Mrd. min und 1,78 Mrd SMS im 4.Q 2010
– 7.167 TB im 4.Q 2010 mittels Mobiltelefone heruntergeladen– Prognose, jedes 3. verkaufte Handy ist ein Smartphone und hat
Internet immer dabei 200 Mrd eMails werden täglich verschickt 15 Petabyte täglicher Datenzuwachs =
1.125.899.906.842.624 Zeichen durchschnitt. 350.000, in Spitzenzeiten bis zu 700.000 Rechner in
D Teil eines Botnetzes (Stand 2010)
4 |
Geheimhaltung/Vertrauen
Integrität
Legalität
Authentizität/Echtheit
Verfügbarkeit
Schutz der Privatsphäre
Datensicherheit
Was sind die wesentlichen Elemente der Sicherheit in einer digitalen Welt?
Security Forum 2013 - 17. April
Eine
IKT-Sicherheits-strategie muss folgende Punkte adressieren
5 |
Internet-sicherheitInternet-sicherheit
Netzsicher-heit
Netzsicher-heit
Applikationssicherheit
Informationssicherheit
Schutz kritische Informationsinfrastruktur
IKT Sicherheitsstrategie
Cybe
r Crim
eC
yber
De
fen
se
Cyber Security Strategie
Security Forum 2013 - 17. April 6 |
Rechtlicher Rahmen von IKT Sicherheit
Informationssicherheit - Klassifizierung
Präventive IKT Sicherheitsmaßnahmen
Incidents- und Krisenmanagement
Koordination der IKT Sicherheits-/Cyber Security Strategie
International Cyber-Security Kontakte
Physischer Datensicherheit
IKT Strategie
E-Government
Datenschutz Kom.
ISK
APCIP
ZAS
7 |
PlattformDigitalAustria
Security Forum 2013 - 17. April
GovCERT
CIIP-Coordination
Tätigkeitsfelder des öster.Bundeskanzleramts
7 |
Austrian
Trust Circle
Austrian
Trust Circle
Energy
Energy
Finance
Finance
Trans-portati
on
Trans-portati
on
Health
Health
Industry
Industry
……CERT.at
GovCERT
CIPCoordination
CIIPCoordination
SKKM
Nationaler Sicherheits
rat
Federal Govern-
ment
ISK
BKA
Platform Digital Austria
BKA/BM.I
BM.I
FüUZ
BMLVS
BKBVT
8 |
AbwAmt
Education
ResearchCI
Operators
CountriesCities
Communities
AwarenessInterest
Associations
Security Forum 2013 - 17. April
HNa
Stakeholder aus dem privatenund öffentlichen Sektor
KSÖ
8
Austrian
Trust Circle
Austrian
Trust Circle
Energy
Energy
Finance
Finance
Trans-portati
on
Trans-portati
on
Health
Health
Industry
Industry
……CERT.at
GovCERTGovCERT
CIPCoordination
CIPCoordination
CIIPCoordination
CIIPCoordination
SKKMSKKM
Nationaler Sicherheits
rat
Nationaler Sicherheits
rat
Federal Govern-
ment
Federal Govern-
ment
ISKISK
Platform Digital Austria
Platform Digital Austria
BKA/BM.I
FüUZFüUZBKBKBVTBVT
9 |
AbwAmtAbwAmt
Education
ResearchCI
Operators
CountriesCities
Communities
CountriesCities
Communities
AwarenessInterest
Associations
Security Forum 2013 - 17. April
HNaHNa
Stakeholder aus dem privatenund öffentlichen Sektor
KSÖ
9
10 |
Überblick & Navigation
Einordnung des Themas IKT Sicherheitsstrategie Österreichische Strategie zur Cyber Sicherheit EU Aktivitäten in Bezug auf Cyber Security
Security Forum 2013 - 17. April
Security Forum 2013 - 17. April
Gemeinsame Erarbeitung stand im FokusButtom-up Ansatz
Ziel war die Erstellung einer nationalen IKT Sicherheitsstrategie als Grundlage für die Cyber Security Strategie Österreichs
konkrete Maßnahmen und eine Roadmap Prozess sollte alle Aspekte betrachten und alle
Stakeholder einbinden (BMI, BMLVS, BMF, BMxx, GovCERT, CERT, CERT-VERBUND, ACT-Austrian Trust Circle, Länder, Städte- und Gemeindebund, KSÖ, div Institutionen, privaten Sektoren der kritischen Info-Infrastruktur, …)
WICHTIG: eine breite Basis finden, die für die Umsetzung der Roadmap notwendig ist
11 |
Security Forum 2013 - 17. April
Zeitlicher Ablauf
Ausarbeitung IKT Sicherheitsstrategie
Detailausarbeitung von MaßnahmenMonitoring des MaßnahmenkatalogesEvaluierung und Nachjustierung
Sofortmaßnahmen
Sofortmaßnahmen
Begleitende Koordination und Kommunikation
Maßnahmen
Maßnahmen
Maßnahmen
Ausgangssituation - Lagebild
Strategische Zielsetzung
StrukturenMaßnahmen
Katalog
12 |
13 |Security Forum 2013 - 17. April
Am 16. November Kickoff Veranstaltung Über 200 Teilnehmer aus den
verschiedenen Sektoren Präsident Hange vom BSI Deutschland war
Keyspeaker. Zwei Drittel der Teilnehmer haben sich
für Arbeitsgruppen nominiert. Daher eine der
größten IKT Sicherheits-Initiative über alle Sektorenhinweg.
Kickoff – für den Prozess
13 |
Security Forum 2013 - 17. April
Die Elemente der Strategie-Erarbeitung
AusgangssituationIKT in Österreich, Gefährdungslage, Rahmenbedingungen, politische Ziele, Basisprinzipien, Vision, Leitbild, abgeleitete Maßnahmen, …
Strategische ZielsetzungenAwareness, Schutz kritischer Informations-Infrastrukturen, IKT Sicherheit für BürgerInnen, IKT Sicherheit für die Wirtschaft, IKT Sicherheit in der öffentlichen Verwaltung, IKT Sicherheit im militärischen Bereich, IKT Research, IKT Diplomatie, IKT Governance, Gesetzgebung, abgeleitete Maßnahmen, …
StrukturenAlle existierenden und notwendigen Strukturen, deren Verantwortungen, Zielsetzungen und das nationale und internationale Zusammenwirken, abgeleitete Maßnahmen …
Nachhaltige Maßnahmen und MethodenBedrohungsanalysen, Risikoanalysen, Krisenmanagement, Erhöhung der Widerstandskraft von Info-Infrastr., Aufbau von vorbeugenden Maßnahmen, Einrichten von Cyber-Partnerschaften, Untersuchung und Verfolgen von Cyberattacken, Cyber Forschung und Ausbildung, abgeleitete Maßnahmen, …
14 |
Security Forum 2013 - 17. April
Arbeitsgruppen zur Strategie-Erarbeitung
Risikoeinschätzung/-management – Lagesituation, -monitoring und -folgerungen – Gefährdungslage
Kritische Infrastruktur Bildung und Forschung Stakeholder und Strukturen, nationale und
internationale Vernetzung Awareness
15 |
16 |Security Forum 2013 - 17. April
Am 2. März 2012 wurden erste Ergebnisse der Arbeitsgruppen im Bundeskanzleramt vorgestellt
Keyspeaker Mr. Servida von der EU-Kom (European Internet Strategy) Insgesamt 130 österr. Cyber Security Experten waren in die Erarbeitung
involviert Tolle Ergebnisse aller Arbeitsgruppen. Das gemeinsame Ziel wurde dabei von allen Arbeitsgruppen unterstrichen: make
the Internet safer in Austria.
Erste Zwischenergebnisse
16 |
Arbeitsgruppen
Ist-Status erhoben Handlungsfelder definiert Kernelemente
identifiziert
Security Forum 2013 - 17. April 17 |
Abschlussveranstaltung
15. Juni 2012 im BKA erfolgt die Präsentation Keynote Dr. Steve Purser ENISA- Head of Technical
Competence Dpt AG Leiter stellen
das Ergebnis vor
Security Forum 2013 - 17. April 18 |
Security Forum 2013 - 17. April
Auszug der Inhalte der IKT Sicherheitsstrategie – Strukturen/Stakeholder
Optimieren der „Cyber Security Stakeholder und Strukturen“-Landschaft in Österreich
– Einrichten einer öffentlichen Cyber-Partnerschaft● ein öffentliches Cyber-Krisenmanagement ● eine Cyber Security-Steuerungsgruppe ● eine Informationsdrehscheibe für Cyber Security
– Einrichten eines Cyber-Lagezentrums– Strukturen schaffen für
Standards, Zertifizierungen, Qualitäts-Assessments
19 |
Security Forum 2013 - 17. April
Auszug der Inhalte der IKT Sicherheitsstrategie – kritische Infrastruktur
Cyber-Krisenmanagement – Aufbau einer Struktur zum nationalen Cyber-
Krisenmanagement– Cyber-Lagezentrums– Einrichten einer
tragfähigen Krisenkommunikation
Informationsaustausch von öffentlichen und privaten Akteuren
20 |
Security Forum 2013 - 17. April
Auszug der Inhalte der IKT Sicherheitsstrategie - kritische Infrastruktur
Risikomanagement und Informationssicherheit – Förderung des Risikomanagements innerhalb der
kritischen Infrastrukturbetreiber– Einrichten eines Cyber Competence Centers– Pflege des Informationssicherheitshandbuch als Basis
für den Grundschutz– Durchführen von Technologiefolgenabschätzungen– Freiwilliges Registrierungssystem von Experten, wie
dies in der Verwaltung schon erfolgt
21 |
Security Forum 2013 - 17. April
Auszug der Inhalte der IKT Sicherheitsstrategie - Risikomanagement
Identifizierung von Kernunternehmen in den Sektoren
Umfassendes Risiko- und Sicherheitsmanagement über Sektoren hinweg
– Verdichtung des Risikokatalogs – Definition von Mindeststandards für Risiko- und
Sicherheitsmanagement
Sicherstellung von Mindeststandards und Lenkung der Risikoakzeptanz in Kernunternehmen
22 |
Security Forum 2013 - 17. April
Auszug der Inhalte der IKT Sicherheitsstrategie – Bildung und Forschung Bildung
– Frühzeitige schulische Ausbildung in IKT, IKT-Sicherheit und Medienkompetenz
– Verpflichtende IKT-Ausbildung aller Studierenden der Pädagogik
– Verstärkte Ausbildung von IKT-SicherheitsspezialistInnen im tertiären Sektor
– IKT-Sicherheit als wichtiger Bestandteil in der Erwachsenenbildung / Weiterbildung
Forschung– Vermehrte Einbindung von IKT-Sicherheitsthemen in
angewandte IKT-Forschung– Aktive Themenführerschaft bei internationalen
Forschungsprogrammen23 |
Security Forum 2013 - 17. April
Auszug der Inhalte der IKT Sicherheitsstrategie Stärkung der IKT-Sicherheitskultur in Österreich Positive Positionierung der IKT-Sicherheit Abgestimmte und koordinierte Vorgehensweise
– Einrichten einesIKT-Sicherheitsportalswww.onlinesicherheit.at
– Awareness-Kampagnen– Beratungsprogramme– Standardisierung
24 |
25 |
Überblick & Navigation
Einordnung des Themas IKT Sicherheitsstrategie Österreichische Strategie zur Cyber Sicherheit EU Aktivitäten in Bezug auf Cyber Security
Security Forum 2013 - 17. April
Security Forum 2013 - 17. April
Die österr. Strategie zur Cyber Sicherheit
Intensive Zusammenarbeit zwischen BM.I, BMLVS und BKA – Koordination durch BKA
Basiert auf der Österreichischen Sicherheitsstrategie
– Verbindungspersonen zum NSR + CS Experten
Vorhandenen Aktivitäten und Erarbeitungen wurden eingebracht:
– IKT Sicherheitsstrategie– Cyber Crime und Cyber Defence Strategien– KSÖ-Aktivitäten (Risiko-Matrix etc.), usw.
Grundlage MR Beschluss vom 11. Mai 2012
26 |
Definition Cyber Sicherheitspolitik
Nationale, europäische und internationale Maßnahmen
zur positiven Mitgestaltung des Cyber Space im Interesse der
Bürger, Wirtschaft, Wissenschaft und des Staates,
zur Verhinderung des Entstehens /Wirksamwerdens von
Bedrohungen des / der Menschen im Cyber Space (Prävention),
zum Schutz des Rechtsgutes Cyber Sicherheit gegenüber
Bedrohungen bzw. zu deren Bewältigung.
Security Forum 2013 - 17. April 27 |
Breiter Ansatz / Chancen:
Der Cyber Space ist als
Informations- und Kommunikationsraum,
Sozialer Interaktionsraum,
Wirtschafts- und Handelsraum,
Politischer Partizipationsraum,
Steuerungsraum
bedeutend für Staat, Wirtschaft, Wissenschaft, Gesellschaft.
Security Forum 2013 - 17. April 28 |
Risiken und Bedrohungen
. Fehlbedienungen
. Cyber Kriminalität
. Identitätsmissbrauch
. Cyber Extremismus / Cyber Terrorismus
. Massive Angriffe staatlicher / nicht staatlicher Akteure
Security Forum 2013 - 17. April 29 |
Prinzipien
Allgemeine Prinzipien:. Umfassende, integrierte, proaktive,
solidarische Sicherheitspolitik
Spezielle Prinzipien:
. Rechtsstaatlichkeit
. Subsidiarität
. Selbstregulierung
. Verhältnismäßigkeit
Security Forum 2013 - 17. April 30 |
Strukturen und Prozesse
Einrichtung Cyber Sicherheits-Steuerungsgruppe
Schaffung Struktur zur Koordination auf operativer Ebene
Einrichtung übergreifendes Cyber Krisenmanagement
Stärkung bestehender Strukturen
Erstellung Code of Conduct (Info-Austausch, Meldeverpflichtung, usw.)
Festlegung von Mindestsicherheitsstandards
Erstellung jährlicher Bericht zur Cyber Sicherheit
Security Forum 2013 - 17. April 31 |
Kooperation Staat, Wirtschaft, Gesellschaft etc.
Einrichtung Cyber Sicherheits-Plattform (Nutzung ATC, KSÖ etc.)
Stärkung der Unterstützung für KMUs
Ausarbeitung Cyber Sicherheitskommunikationsstrategie
Schutz kritischer Infrastrukturen
Sensibilisierung und Ausbildung
Forschung und Entwicklung
Internationale Zusammenarbeit
Security Forum 2013 - 17. April 32 |
Österreichische Strategie für Cybersicherheit
wurde am 20. März 2013 von der Bundesregierung unter Einbringung von BMI, BMLVS, BMeiA und BKA beschlossen.
Download unter www.digitales.oesterreich.gv.at
33 |Security Forum 2013 - 17. April
34 |
Überblick & Navigation
Einordnung des Themas IKT Sicherheitsstrategie Österreichische Strategie zur Cyber Sicherheit EU Aktivitäten in Bezug auf Cyber Security
Security Forum 2013 - 17. April
Security Forum 2013 - 17. April
EU Aktivitäten
Europäische Cybersicherheit Strategie – Vorstellung Entwurf EK am 07.02.2013– Behandlung in 15 Rat-Arbeitsgruppen und in der
FOP on Cyber Issues– Bis E03/2013 werden Anmerkungen gesammelt– Geplant: Ende April/Anfang Mai finale Behandlung
im kommenden FOP Meeting– Verabschiedung noch durch irische Präsidentschaft
35 |
Security Forum 2013 - 17. April
EU Aktivitäten
Europäische Cybersicherheit Strategie – Kernpunkte (5 strategische Prioritäten)
● Widerstandsfähigkeit erhöhen● Eindämmung der Cyberkriminalität● Ausbau der Cyberverteidigung● Entwicklung von industriellen Cyber-Ressourcen● Einheitliche Cyberraumstrategie auf int. Ebene
– Viele Maßnahmen dazu– Trennung der Aufgaben in
Netz- und Informations-sicherheit, Strafverfolgung und Verteidigung
– Begleitende NIS - Richtlinie
36 |
Security Forum 2013 - 17. April
EU Aktivitäten
Ein wesentlicher Eckpfeiler in der Umsetzung ist die NIS-Richtlinie
Ziel ist das Setzen von minimalen Sicherheitsstandards
Säulen der Richtlinie:– Nationale Fähigkeiten– Kooperation auf EU-Ebene– Sektorübergreifende Zusammenarbeit (PPP)
37 |
Security Forum 2013 - 17. April
EU Aktivitäten
Begleitende NIS Richtlinie– Wird in der RAG Telekom behandelt– Behandlung der NIS Richtlinie entkoppelt von der
Strategie– 5 Kapitel und 22 Artikel
● Allgemein● Nationaler Rahmen für NIS ● Zusammenarbeit der Behörden● Sicherheit der Netze und Informationssysteme● Schlussbemerkungen
38 |
Security Forum 2013 - 17. April
EU Aktivitäten
Begleitende NIS Richtlinie– Kernpunkte
● Jeder Staat hat eine NIS Strategie und einen nationalen NIS Kooperationsplan
● Es gibt eine für NIS zuständige Behörde● Jeder MS hat ein CERT mit einem def. Mindestumfang● Ein Kooperationsnetz für die europ. Komm. wird aufgebaut● Ein Frühwarnsystem und Koordinierte Reaktion● Übergreifender NIS Kooperationsplan auf europ. Ebene● Verpflichtende Meldung von Sicherheitsvorfällen● Förderung von Normen● Befugnisse für verbindliche Anweisungen und Sanktionen
bei Verstößen durch die nat. NIS Behörde
39 |
Security Forum 2013 - 17. April
EU Aktivitäten – NIS Richtlinie
Sicherheitsanforderungen für Unternehmen
Hohe internationale Verflechtung von Unternehmendaher EU-weite Maßnahmen zum Schutz notwendig
Erweiterung der Telekom-RL Art 13.a
Risikomanagement
Meldeverpflichtung bei Vorfällen
40 |
Security Forum 2013 - 17. April
EU Aktivitäten – NIS Richtlinie
Einordnung der NIS-Behörde in die Struktur
41 |
Der Cyberraum kennt keine Grenzen, wohl in jeglicher Hinsicht!für Ihre Aufmerksamkeit!
Die Österreichische Strategie zur Cyber Sicherheit sowie die IKT-Sicherheitsstrategie finden sie zum Download auf www.digitales.oesterreich.gv.at
Roland [email protected]