Navigation und Service

Begriff und Auftrag.

Die Aufnahme zeigt den Ausschnitt eines Monitors, auf dem ein programmierter Code zu sehen ist

Die zunehmende Entwicklung technischer Möglichkeiten hat unsere Gesellschaft rasant verändert: Nicht nur Inhalte des Privatlebens werden zunehmend im Internet gespeichert oder geteilt, sondern auch branchenübergreifende Prozesse wie die Kommunikation oder Arbeitsabläufe im beruflichen Kontext unterliegen der digitalen Transformation. E-Mails und Cloud-Dienste sind längst Bestandteil des Informationsaustausches in Politik, Wirtschaft und Wissenschaft.

Unsere Gesellschaft ist dadurch vernetzter und dynamischer, aber auch verletzlicher geworden. Denn moderne Technologien bieten eine große Angriffsfläche und durch die Anonymisierungsmöglichkeiten des Internets können potenzielle Angreifer weitgehend im Verborgenen agieren.

Die Bundesrepublik Deutschland als offene und pluralistische Gesellschaft ist aufgrund ihrer geopolitischen Lage, ihrer Rolle in der Europäischen Union und NATO, ihrer ökonomischen Stabilität und nicht zuletzt durch ihre Führungsrolle in einigen Segmenten der Spitzentechnologie für fremde Nachrichtendienste ein äußerst attraktives Ziel (politisch und gesamtwirtschaftlich) - insbesondere im Cyberraum. Erfahren Sie mehr unter dem Themenfeld Akteure und Angriffsmethoden.

Aufgabe der Cyberabwehr

Die Aufnahme zeigt im Bildausschnitt einen Mann, der an einem Laptop arbeitet
Photo by Thomas Lefebvre on Unsplash

Die Cyberabwehr des Verfassungsschutzes beobachtet und analysiert kontinuierlich und präventiv die gegen Deutschland gerichteten Aktivitäten von fremden Staaten oder von ihnen gesteuerten sog. APT-Gruppierungen und unterstützt gefährdete Stellen und Opfer von Cyberangriffen. Sie wird ferner auch dann aktiv, wenn z. B. in Deutschland gehostete Infrastruktur von fremden Akteuren für Cyberangriffe gegen Ziele im Ausland genutzt wird.

Die Zuständigkeit des Bundesamtes für Verfassungsschutz findet hierbei ihren Niederschlag in § 3 Abs. 1 Nr. 2 BVerfSchG.

Konkret lassen sich für den Bereich der Cyberabwehr drei wesentliche Kernaufgaben im Zusammenhang mit der Aufklärung von Cyberangriffen mit nachrichtendienstlichem Hintergrund festhalten:

  1. Die Detektion von Cyberangriffen
  2. Die Attribution (Zuordnung) dieser Angriffe zu einem Staat, einer APT-Gruppierung oder die Benennung beteiligter Personen an einem konkreten Cyberangriff
  3. Die Prävention von Cyberangriffen

Diese Kernaufgaben sind nicht als einzelne, voneinander losgelöste Bereiche zu betrachten, sie stehen vielmehr im Zusammenhang und greifen ineinander.

In einem ersten Schritt geht es darum, Cyberangriffe frühzeitig zu erkennen. Diese Detektion wird nicht selten dadurch erschwert, dass viele der nachrichtendienstlichen Akteure auf einem hohen technischen Niveau operieren und teils äußerst verdeckt agieren. Ist ein Angriff erkannt, wird er auf Anhaltspunkte für seine Urheberschaft untersucht (Attribution). Erst aufgrund der gesammelten Erkenntnisse können dann in einem letzten Schritt Präventionsmaßnahmen wirkungsvoll vorangetrieben werden. Diese können beispielsweise die Zusammenstellung technischer Indikatoren eines Angriffs oder die Schärfung von Schadsoftwareerkennungssystemen umfassen.

Durch die Kombination aus unterschiedlichen Informationsquellen werden gefährdete deutsche Stellen in die Lage versetzt, eine eigene Betroffenheit festzustellen. Zudem können sie potenzielle Zugriffe von maliziösen IT-Infrastrukturen im Vorfeld sperren und erreichen so ein höheres Schutzniveau.

Abgrenzung zu Cybercrime

Wie eingangs erwähnt ist der Verfassungsschutz für die Abwehr von Cyberangriffen im Rahmen von nachrichtendienstlichen Aktivitäten fremder Staaten oder von ihnen gesteuerten Akteuren zuständig. Anders verhält es sich bei der Aufklärung von Cyberangriffen, die durch Kriminelle verübt werden. Die Bekämpfung von Cybercrime liegt im Verantwortungsbereich der Polizeibehörden.

Als prägnantes Beispiel für Cybercrime ist hier etwa der Einsatz von so genannter Ransomware (Kryptotrojaner) zu nennen, also jener Schadsoftware, die Daten verschlüsselt und im Zusammenhang mit Forderungen von Lösegeld für die Herausgabe eines Passwortes zur Entschlüsselung der Daten Bekanntheit erlangt hat. Potenzielle Täter verüben häufig derartige Angriffe gegen eine Vielzahl von Zielsystemen und handeln mit Bereicherungsabsicht.

Arbeitsweise

Um Cyberangriffe im Vorfeld abwehren zu können, sind Erkenntnisse über die jeweiligen Akteure von großer Bedeutung. Die Cyberabwehr analysiert hierfür die Angriffe und ordnet sie einem Profil zu, das sowohl die technischen Fähigkeiten als auch die soziopolitischen Interessen der staatlichen Angreifer (mit)einbezieht. Die Attribution eines Cyberangriffs ist ein elementarer Bestandteil von Ermittlungsverfahren und dient der Bundesregierung als Grundlage für politische Entscheidungen.

Die Cyberabwehr informiert über mögliche Angriffe und veröffentlicht technische Indikatoren (Indicators of Compromise), durch die gefährdete Stellen eine eigene Betroffenheit feststellen und entsprechende Schutzmaßnahmen einleiten können. Anlassbezogen werden durch die Cyberabwehr Warnhinweise, wie z. B. in Form des „Cyber-Briefs“, veröffentlicht. Weitere präventive Maßnahmen der Cyberabwehr bilden zudem Informationsveranstaltungen, Vorträge und Sensibilisierungsgespräche.

Zusammenarbeit

Die Cyberabwehr des Verfassungsschutzes auf Bundesebene arbeitet eng mit zahlreichen Behörden auf nationaler sowie internationaler Ebene zusammen.

Auf nationaler Ebene wurde 2011 das Nationale Cyber-Abwehrzentrum (Cyber-AZ) als zentrale Informations-, Kooperations- und Koordinationsplattform eingerichtet, um behördenübergreifend einen effektiveren Schutz der Gesellschaft, der Wirtschaft und des Staates vor Cyberangriffen zu gewährleisten.