Cyber

Der „Cyber-Notfallplan” legt die Aktionen der Regierung im Falle von technischen Schwachstellen oder schwerwiegenden Angriffen auf die Informationssysteme des öffentlichen Sektors und/oder der Privatwirtschaft fest.

Der „Cyber-Notfallplan” verfolgt folgende Ziele:

• die Präventiv- und Schutzmaßnahmen festzulegen,
• die für die Krisenbewältigung zuständigen Organe zu bestimmen,
• die Notfallmaßnahmen, die entsprechenden Schritte sowie die jeweiligen Verantwortlichen und Akteure festzulegen,
• das Vorgehen bei der Alarmierung der Behörden und der Information der Öffentlichkeit zu regeln.

Ein Cyber-Notfall bezeichnet eine Situation, die sich aus einem Vorfall oder einem Angriff ergibt, die wesentliche Störungen bzw. die Nichtverfügbarkeit der Kommunikations- und Infomationsverarbeitungssysteme mit sich bringen können, welche eine Gefahr für die lebenswichtigen Interessen oder die wesentlichen Bedürfnisse eines Teils des Landes oder des ganzen Landes bzw. der Bevölkerung des Großherzogtums darstellen.

Unter Cyber-Sicherheitist die Gesamtheit aller Instrumente, Strategien, Sicherheitskonzepte, Sicherheitsmechanismen, Leitlinien, Risikomanagementverfahren, Maßnahmen, Schulungen, bewährten Praktiken, Garantien und Technologien zu verstehen, die eingesetzt werden können, um die digitale Umgebung sowie die Güter von Unternehmen und Nutzern zu schützen.

Die allgemeinen Ziele in Sachen Sicherheit sind:

• Verfügbarkeit ;
• Integrität (die Authentizität und Verbindlichkeit/Nichtabstreitbarkeit einschließen kann) ;
• Vertraulichkeit.

Für die Ausführung des Plans, der unter der Leitung des Hochkommissariats für nationale Sicherheit (Haut-commissariat à la protection nationale, HCPN) erarbeitet wurde, sind der Premier- und Staatsminister, der Minister für Kommunikation und Medien und der Minister für Wirtschaft zuständig.

Alle anderen Ministerien, Behörden und staatlichen Stellen müssen unter Einsatz aller verfügbaren Mittel im Hinblick auf die Umsetzung des Cyber-Notfallplans zusammenarbeiten.

Der „Cyber-Notfallplan” bestimmt in einer Notfallsituation die folgenden für die Krisenbewältigung zuständigen Organe:

• Krisenstab (Cellule de crise, CC) ;
• „operative“ Stelle (Cellule opérationnelle, CO) ;
• Stelle zur Einschätzung der Cyber-Bedrohung (Cellule d’évaluation du risque cyber, CERC) ;
• Stelle für Kommunikation/Information (Cellule communication/information, CCI).

Der Krisenstab (Cellule de crise, CC) wird vom Premier- und Staatsminister aktiviert, wenn eine Krise bevorsteht oder eintritt. Er verfügt, koordiniert und überwacht die Ausführung aller Maßnahmen zur Bewältigung der Krise und ihrer Auswirkungen bzw. zur Wiederherstellung des Normalzustandes. Er bereitet die anstehenden Entscheidungen vor und legt sie der Regierung zur Genehmigung vor. Im Falle eines Einsatzes vor Ort erweitert sich seine Aufgabe um die Koordination und Kontrolle der Ausführung dieses Einsatzes.

Im Rahmen einer Notsituation setzt sich der Krisenstab mindestens aus folgenden Personen zusammen:

• dem Hochkommissar für nationale Sicherheit ;
• dem Generaldirektor der Polizei ;
• dem Direktor des luxemburgischen Nachrichtendienstes ;
• dem Generalstabschef der Armee ;
• dem Direktor des Zentrums für Informationstechnologien des Staates (Centre des technologies de l'information de l'État, CTIE) ;
• dem Weisungsbefugten des Amts für Medien und Kommunikation (Service des médias et des communications) ;
• dem Weisungsbefugten des Zentrums für Kommunikationswesen der Regierung (Centre de communications du gouvernement) ;
• dem Direktor des CERT der Regierung (Computer Emergency Response Team) ;
• dem Direktor des CIRCL (Computer Incident Response Center Luxembourg) ;
• dem Direktor des Amtes für Krisenkommunikation.

Der Krisenstab (Cellule de crise, CC) ist während der gesamten Dauer der Krise bis zur Wiederherstellung des Normalzustands tätig: er verfügt, koordiniert und überwacht die Ausführung aller Maßnahmen zur Bewältigung der Krise und ihrer Auswirkungen bzw. zur Wiederherstellung des Normalzustandes.

Der Krisenstab (Cellule de crise, CC) kann eine „operative“ Stelle (Cellule opérationnelle, CO) u. a. mit der Ausführung, Umsetzung und Beaufsichtigung der angeordneten Maßnahmen und Handlungen beauftragen.

Wachsamkeit steht in Zusammenhang mit der Kenntnis von einer Cyber-Bedrohung und ihrer richtigen Einschätzung, um die Verhaltensweisen der Bürger und die Schutzmaßnahmen anpassen zu können.

In Sachen Bewältigung von Krisen ist es Aufgabe der Stelle zur Einschätzung der Cyber-Bedrohung (Cellule d’évaluation du risque cyber, CERC), die Entwicklung der Lage zu verfolgen und den Krisenstab darüber zu informieren. Die CERC setzt sich aus Experten zusammen und veranlasst eine Beurteilung der Lage und eine verstärkte Überwachung im Vorfeld einer etwaigen Aktivierung des Krisenstabs.

Die Stelle für Kommunikation/Information (Cellule communication/information, CCI) ist mit der Kommunikation und Information der Medien und Bürger beauftragt. Für die horizontale Koordinierung der Organisation der externen Kommunikation ist das Amt für Krisenkommunikation (Service de la communication de crise) zuständig.

Die Öffentlichkeit wird von der Regierung sowie über die Internetseite www.infocrise.lu über die Entwicklung der Lage informiert.

Der Notfallplan gibt den für seine Ausführung zuständigen Behörden und Personen die nötigen Instrumente an die Hand, um angemessen und flexibel auf die Ereignisse reagieren und die Bürger bzw. die betroffenen Sektoren, ihre lebenswichtigen Interessen und die nationalen wirtschaftlichen Interessen bestmöglich schützen zu können.

Im Cyber-Plan sind 7 Maßnahmen vorgesehen:

• Einschätzung;
• Verstärkte Überwachung ;
• Technische Analyse;
• Abtrennung;
• Update und Schutz von Systemen;
• Aktivierung der nationalen Cyber-Reserve;
• Wiederherstellung der Dienste.

Hierbei handelt es sich um die erste Maßnahme im Krisenmanagementzyklus. So werden der Grad der Dringlichkeit und die Auswirkungen des Vorfalls auf Luxemburg eingeschätzt.

Die Maßnahme „Verstärkte Überwachung” beinhaltet alle anlässlich einer Gefahrensituation umzusetzenden Verfahren. Dabei geht es vor allem darum,

• Lageberichte des Netzwerkverkehrs, des Zustands der Infektion der Netzwerke und der Effizienz der eingesetzten Gegenmaßnahmen zu erstellen ;
• alle verfügbaren Statistiken und Daten auszuwerten, um den Schweregrad der Situation zu bestimmen und gegebenenfalls unverzüglich reagieren zu können.

Die Maßnahme „Technische Analyse” beinhaltet alle erforderlichen Verfahren, um einen Angriff, ein Eindringen oder jeden sonstigen IT-Vorfall, der mit der Krisensituation zusammenhängt oder sie verursacht hat, genauestens zu analysieren. Dabei müssen auch alle direkt oder indirekt (Kollateralschäden) betroffenen Systeme ermittelt werden, um die Koordination und Zusammenarbeit der betroffenen Akteure und der internationalen CERT-Gemeinschaft zu organisieren.

Die Maßnahme „Abtrennung” wirkt sich auf den Netzwerkverkehr aus, um sog. Denial-of-Service-Angriffe (Dienstblockaden) (verteilt oder nicht), abzuwehren.  Sie kann auch angewandt werden, um bedrohte Systeme effizient zu isolieren, und so die Entwendung von Informationen zu verhindern.

Ziel der Maßnahme „Update und Schutz von Systemen” ist die Kontaktaufnahme mit potenziellen nach Angriffsart aufgelisteten Angriffszielen, um zu überprüfen, ob bestimmte Schwachstellen vorliegen, die von einer Bedrohung ausgenutzt werden könnten. Diese Liste betrifft ebenfalls die Systeme, die angegriffen werden könnten.

Auf der Grundlage der Überprüfung der Situation in Bezug auf die Schwachstellen empfiehlt die CERC dem Krisenstab,

• entweder vorbeugende Maßnahmen bei den potenziellen Angriffszielen umzusetzen
• oder Schutzmaßnahmen bei den Zielen vorzusehen
• oder aber die Verbindung mit einem Ziel teilweise oder ganz zu trennen.

Wenn die Trennung der Verbindung eines potenziellen Ziels sich als zweckdienlich erweist, wird die Maßnahme „Abtrennung” ausgelöst.

Ziel der Maßnahme „Aktivierung der nationalen Cyber-Reserve” ist die Hinzuziehung der Fachkräfte der öffentlichen Verwaltung im Bereich Sicherheit von Informations- und Kommunikationssystemen. Erforderlichenfalls und für bestimmte Bereiche kann die Reserve durch Fachkräfte aus der Privatwirtschaft oder internationalen Organisationen, in denen Luxemburg Mitglied ist, ergänzt werden.

Diese Maßnahme wird nur im Falle einer Krise mit bedeutendem Ausmaß und beträchtlichen Auswirkungen ausgelöst.

Im Allgemeinen verfolgt diese Strategie für Cyber-Sicherheit das Ziel, die öffentlichen und privaten Akteure vor Cyber-Bedohungen zu schützen, wobei gleichzeitig die wirtschaftliche und soziale Entwicklung im Datenraum gefördert werden soll.

Mit der Einführung von 7 Zielen, die durch Aktionspläne mit genau gestaffelten Zeitplänen und die Bestimmung der Verantwortlichen für die Umsetzung von etwa 40 Maßnahmen ergänzt werden, soll bis Ende 2017 die angemessene Umsetzung dieser neuen Nationalen Strategie für Cyber-Sicherheit ermöglicht werden.

• Ziel 1: Stärkung der Zusammenarbeit auf nationaler Ebene
• Ziel 2: Stärkung der Zusammenarbeit auf internationaler Ebene
• Ziel 3: Erhöhung der Widerstandsfähigkeit der digitalen Infrastruktur
• Ziel 4: Bekämpfung der Cyber-Kriminalität
• Ziel 5: Information, Schulung und Sensibilisierung in Bezug auf mögliche Risiken
• Ziel 6: Einführung von anforderungsbezogenen Normen, Standards, Zertifikaten, Labels und Bezugssystemen für den Staat und die kritischen Infrastrukturen
• Ziel 7: Stärkung der Zusammenarbeit mit akademischen und Forschungskreisen

Der Regierungsrat billigte am 27. März 2015die Aktualisierung der Nationalen Strategie in Sachen Cyber-Sicherheit II.

Als nationale Behörde für die Sicherheit von klassifizierten und nicht klassifizierten Informationssystemen, die vom Staat und den Betreibern kritischer Infrastrukturen für deren eigene Zwecke betrieben werden, soll die Nationale Agentur für die Sicherheit von Informationssystemen (Agence nationale de la sécurité ses systèmes d’information, ANSSI) die diesbezüglichen Strategien und Leitlinien festlegen, die Einführung der Maßnahmen zur Sicherheit von Informationssystemen überwachen, deren Anwendung gewährleisten und die Mittel zur Verarbeitung nicht klassifizierter Informationen (Systeme, Dienste, Infrastrukturen oder Räumlichkeiten, in denen sie sich befinden) zertifizieren.

Die ANSSI soll ferner als nationales (nationales Zentrum für die Bearbeitung von Computernotfällen) und staatliches (Zentrum der Regierung für die Bearbeitung von Computernotfällen) CERT fungieren.

Der Entwurf für einen entsprechenden großherzoglichen Erlass wurde am 21. Januar 2015 vom Regierungsrat angenommen.

Das CSB, das dem Minister für Kommunikation und Medien untersteht und sich aus Vertretern der betroffenen Ministerien zusammensetzt, hatte die Aufgabe, eine Strategie für die Sicherheit von Informationssystemen festzulegen und auszuarbeiten.

Der erste strategische Plan aus dem Jahr 2011 wurde angepasst und der Regierungsrat verabschiedete am 27. März 2015die Aktualisierung der Nationalen Strategie in Sachen Cyber-Sicherheit II.

GOVCERT.LU agiert sowohl auf nationaler als auch auf internationaler Ebene zum Schutz des Großherzogtums Luxemburg vor den wesentlichen Cyber-Bedrohungen, wobei das Ziel verfolgt wird, für die luxemburgischen Unternehmen ein benutzerfreundliches, sicheres und zuverlässiges Umfeld zu schaffen und die Privatsphäre sowie die Grundrechte der Bürger Luxemburgs zu schützen.

Die Plattform zur nationalen Förderung der Cyber-Sicherheit SECURITYMADEIN.lu, die am 8. Juni 2015 online geschaltet wurde, ist eine Initiative der wirtschaftlichen Interessenvereinigung „Security made in Lëtzebuerg“ (SMILE), die im Jahre 2010 vom Ministerium für Wirtschaft damit beauftragt wurde, die Informationssicherheit in Luxemburg zu fördern und zu stärken.

SECURITYMADEIN.lu verfolgt die vier folgenden Ziele:

• Koordinierung der Initiativen der Regierung wie BEE SECURE (Sensibilisierung der breiten Öffentlichkeit), CASES (Förderung der Informationssicherheit in den Unternehmen) und CIRCL (Dienste für Koordinierung und Maßnahmen nach Zwischenfällen) ;
• Unterstützung und Erhöhung des Bekanntheitsgrads der Sensibilisierungs- und Hilfsmaßnahmen dieser verschiedenen Initiativen bei den jeweiligen Zielgruppen ;
• Unterstützung der gesamten Gemeinschaft der Informationssicherheit ;
• Entwicklung eines Ökosystems für Cyber-Sicherheit, das den Bekanntheitsgrad der luxemburgischen Akteure und Dienste im Bereich Informationssicherheit erhöhen soll.

BEE SECURE wurde am 8. November 2010 ins Leben gerufen und ist eine gemeinsame Initiative des Ministeriums für Wirtschaft, des Ministeriums für Familie, Integration und die Großregion und des Ministeriums für Bildung, Kinder und Jugend. Sie umfasst Sensibilisierungsmaßnahmen im Hinblick auf eine sicherere Nutzung der neuen Informations- und Kommunikationstechnologien.

Ziel des Programms Safer Internet Plus der Europäischen Kommission ist es, die Bürger Europas zu ermutigen, die neuen Informations- und Kommunikationstechnologien sicher und vertrauensvoll zu nutzen.

Im Einklang mit dieser Politik sind die wesentlichen strategischen Pfeiler des Programms Safer Internet Plus sowie des Projekts BEE SECURE als Teil dieses Programms:

• die Förderung einer sichereren Nutzung des Internet und der derzeitigen Kommunikationstechnologien, besonders bei jungen Nutzern,
• dieSchulung der Nutzer in diesem Bereich, und vor allem von Kindern, Jugendlichen, Eltern, Lehrern und Erziehern,
• die Bekämpfung illegaler Inhalte und gefährlicher Verhaltensweisen im Netz.

CASES.lu, Cyberworld Awareness & Security Enhancement Services, ist das Portal für Informationssicherheit für KMU, Bürger und Verwaltungen des Großherzogtums Luxemburg.

Ziel des Projekts CASES ist die Sensibilisierung der Internetnutzer für Probleme im Zusammenhang mit der Sicherheit von Informations- und Kommunikationssystemen und -netzen. Die Internetseite bietet einen dreifachen Ansatz:

• SOS – Hilfe im Notfall
• Selbstschutz
• Sicherheitsmanagement

Beim Computer Incident Response Center Luxembourg (CIRCL) handelt es sich um eine Initiativender Regierung für die Privatwirtschaft, die Gemeinden und die nichtstaatlichen Einrichtungen, die als Zentrum für die systematische Reaktion auf Bedrohungen und Zwischenfälle im Zusammenhang mit der Datensicherheit dienen soll.

Ziel des CIRCL ist es, optimalen Schutz für Informations- und Kommunikationssysteme zu bieten, wobei gleichzeitig ein Alarm- und Warnsystem für die Nutzer in Luxemburg gewährleistet wird.

Da jede Cyber-Krise von internationalem Umfang sein kann, ist eine internationale Zusammenarbeit garantiert und internationale Unterstützung ist sowohl auf Ebene der CERT als auch im Rahmen der internationalen Organisationen, in denen Luxemburg Mitglied ist (Europäische Union, Benelux, NATO, UNO, OSZE), möglich.