:quality(80)/p7i.vogel.de/wcms/c0/61/c061c4903f5939bdb57ac73db841a4ed/0115551488.jpeg "Bei der zehnten Auflage des Summits stellte OVHcloud gleich mehrere Neuerungen vor. Unter dem Motto „Innovation für Freiheit“ waren mehr als 1.500 Personen in Paris. (Bild: Canva/Lucas Schmidt)")
:quality(80)/p7i.vogel.de/wcms/fa/53/fa53ebbb46b8f04be229a6568ab2c999/0115573400.jpeg "Die Gründer und Geschäftsführer von ITgration Sven Budde (l.) und Patrick Menne mit Netgo CEO Oliver Mauss (r.) (Bild: Netgo Group)")
:quality(80)/p7i.vogel.de/wcms/50/42/5042f408384ea90217b6c01599c8c1e3/0115567231.jpeg "Proofpoint ernennt Sumit Dhawan zum CEO. (Bild: Proofpoint)")
:quality(80)/p7i.vogel.de/wcms/05/6f/056f59d4ad7cb0c59dd1895a3c448139/0115544426.jpeg "Es gibt viele Klischees rund um die Arbeitsmoral der unterschiedllichen Generationen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b3/b1/b3b1c545087e5544523b46969a2e83d6/0115187787.jpeg "Der Purple Knight Report 2023 zeigt Risiken auf, mit denen Unternehmen bei der Sicherung ihrer Identitätssysteme konfrontiert sind. (Bild: Semperis)")
:quality(80)/p7i.vogel.de/wcms/b2/fa/b2fab5c4c3b387c0e11070075e2674f7/0115483489.jpeg "Die Folgen von Cyberangriffen beschränken sich nicht nur auf das Finanzielle. Um es gar nicht so weit kommen zu lassen, sind gute Vorsorgemaßnahmen wie ein umfassender XDR-Ansatz hilfreich. (Bild: Oleksii - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b7/85b7756b3273ec37315304ac0469faa3/0115544446.jpeg "Canonical hat eine „Micro Cloud“ vorgestellt, eine Open-Source-Lösung, die einfach, weitgehend automatisiert und sicher betrieben werden könne. (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/92/64/9264a933a9cc168b2abb7e4914e8f97c/0115242686.jpeg "Orange Business und VMware möchten das Kundenerlebnis durch Digitalisierung und Automatisierung vereinfachen. (Bild: Gorodenkoff Productions OU)")
:quality(80)/p7i.vogel.de/wcms/20/53/205381c738a485ade3c153491bd5359d/0115141074.jpeg "Der LevelOne Hilbert GES-2216 ist ein mit 16 Gigabit-Ports ausgestatteter Switch für KMU-Umgebungen. (Bild: Digital Data Communications)")
:quality(80)/p7i.vogel.de/wcms/10/18/1018c366386451773ef4e41460d37b15/0115485172.jpeg "Die Nano-Brix-Fanless-Rechner von Aquado nutzen Mobile-Prozessoren von Intel und AMD. Deren Abwärme wird über das mit Kühlrippen versehene Gehäuse abgeleitet. Die Mini-PCs warten zudem mit vier Display-Ausgängen auf. (Bild: Aquado)")
:quality(80)/p7i.vogel.de/wcms/a9/a5/a9a5bbaee092f8db0ac0a41cf14db5f3/0115442133.jpeg "Minimalistisches Design: Das kabelgebundene, mechanische Business-Keyboard KC 200 MX von Cherry. Für Stabilität sorgt die eloxierte Metallplatte unter den lasergravierten Tastenkappen der MX2A-Schalter. (Bild: Cherry)")
:quality(80)/p7i.vogel.de/wcms/1c/29/1c2904b6e84ecdb64874189948288513/0115302904.jpeg "HP hat neue Team-zertifizierte Geräte und Apps der Poly-Reihe vorgestellt. Dazu gehört auch das Poly Voyager Surround 85 UC Headset, das ohne Mikrofonarm auskommt. (Bild: Poly)")
:quality(80)/p7i.vogel.de/wcms/60/15/6015f49dd52608f16119d5b550ba7ab5/0115584368.jpeg "Klimaneutral seit 2019 (Bild: Online USV Systeme)")
:quality(80)/p7i.vogel.de/wcms/d1/d1/d1d13863e0297efef3e470865fd13c3c/0115143731.jpeg "(Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/71/63/71634c3664fb1b5c20ce69064fc89f01/0115335107.jpeg "(Bild: Boston)")
Prävention, Detektion, Reaktion und Beantwortung von Cybervorfällen Wie Cybersicherheitsübungen die Cybersicherheitspolitik verbessern
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/56/6156c5a4f1c43/1280px-kodak-alaris-logo-svg.png "1280px-kodak-alaris-logo-svg (Kodak alaris)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
Cybersicherheitsübungen können dazu genutzt werden, die Prävention, Detektion, Reaktion und die Beantwortung von Cyberoperationen zu optimieren. Sie sollten daher unbedingt von der deutschen Bundesregierung in Erwägung gezogen werden, um die Cybersicherheitspolitik in Deutschland zu verbessern.
Die Gefährdungslage Deutschlands im Cyberraum ist seit Jahren hoch und wurde durch die Umstände der COVID 19-Pandemie, wie zum Beispiel durch den kurzfristigen Umstieg auf digitale Lernumgebungen noch verstärkt. Cybersicherheit zu gewährleisten, ist herausfordernd und beinhaltet die abgestimmte Zusammenarbeit unterschiedlicher Akteure, die zu einer erfolgreichen Prävention, Detektion, Reaktion und Beantwortung von Cybervorfällen beitragen. Um vor dem Hintergrund der Gefährdungslage dieser Herausforderung zu begegnen und die deutsche Cybersicherheitspolitik zu verbessern, muss die Bundesregierung neue Wege gehen.
Cybersicherheitsübungen zur Verbesserung der Zusammenarbeit
Cybersicherheitsübungen sind als interaktive Lernerfahrungen ein Weg, um Cybersicherheitspolitik als Ganzes zu verbessern. Sie können in allen Phasen der Politikarbeit eingesetzt werden - angefangen bei der Identifikation von vorhandenen Problemen und des anschließenden Agenda-Settings über die Formulierung einer Policy, um die zuvor identifizierten Probleme zu beheben, bis hin zur Einführung der Policy, ihrer Implementierung und Evaluierung. Die Zusammenarbeit zwischen verschiedenen Akteuren der deutschen Cybersicherheitsarchitektur , privatwirtschaftlichen und zivilen Akteuren kann durch Übungen erprobt werden. Es können dabei ganz konkret bestimmte Fähigkeiten, Prozesse, Techniken oder Kommunikationsabläufe geübt werden, bevor sie im Ernstfall benötigt werden.
Es gibt unterschiedliche Arten von Cybersicherheitsübungen, zum Beispiel Cyber Wargames, Workshops und Simulationen. Jeder dieser Übungstypen bietet unterschiedliche Vorteile und kann je nach Zielsetzung genutzt werden. Workshops zeichnen sich beispielsweise durch ihr offenes, spekulatives und kollaboratives Format aus. Dies macht ihren Einsatz sinnvoll, wenn zum Beispiel politische Handlungsoptionen besprochen werden sollen, die bisher noch nicht angewendet wurden. Im Gegensatz dazu erlauben Simulationen, Cybervorfälle so realitätsnah wie möglich abzubilden, da sowohl technische als auch nicht-technische Aspekte geübt werden können.
Eine bekannte Übungsveranstaltung ist beispielsweise die internationale Cyberverteidigungsübung Locked Shields. Locked Shields wird vom NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) organisiert. Dabei werden auf Basis eines realistischen Cybervorfall-Szenarios strategische, rechtliche und kommunikative Fragestellungen trainiert.
Cybersicherheitsübungen in der deutschen Politik
Trotz der vielfältigen Anwendungsmöglichkeiten werden Cybersicherheitsübungen in Deutschland aktuell noch recht wenig genutzt. Die Bundeswehr trainiert beispielsweise die Fähigkeiten der Soldat:innen in kleineren Übungsformaten und auch in großen internationalen Cyber-Abwehrübungen. Diese Veranstaltungen sind bisher jedoch hauptsächlich auf den militärischen Bereich begrenzt. Weiterhin bietet die Bundesakademie für Sicherheitspolitik im Rahmen des Fachseminars Digitalisierung Übungen für Teilnehmende aus unterschiedlichen Sektoren an.
Anwendungsbeispiel: Wie Cybersicherheitsübungen für die deutsche Cybersicherheitspolitik genutzt werden können
Es gibt verschiedene Möglichkeiten, Übungen in der deutschen politischen Landschaft zielführend einzusetzen. Eine nützliche Anwendung für die Politik ist zum Beispiel, Übungen schon im Gesetzgebungsprozess zu nutzen. Hier bieten sie die Möglichkeit, Ideen für Gesetzesinhalte zu testen oder bestehende Gesetzesinhalte zu evaluieren. Das folgende Anwendungsbeispiel zum IT-Sicherheitsgesetz 2.0 soll den möglichen Nutzen von Übungen für die Gesetzgebung im Bereich der IT- und Cybersicherheitspolitik verdeutlichen.
Im Mai 2021 wurde das IT-Sicherheitsgesetz 2.0 vom Bundesrat gebilligt. Zuvor war es trotz teils drastischer Kritik, unter anderem in einer Sachverständigenanhörung im März 2021, vom Bundestag beschlossen worden. Die Sachverständigen kritisierten unter anderem eine Ausweitung der Befugnisse von Behörden und eine fehlende öffentliche und interdisziplinäre Evaluierung des ersten IT-Sicherheitsgesetzes. Nach Verabschiedung des ersten IT-Sicherheitsgesetzes 2015 und vor Erarbeitung des IT-Sicherheitsgesetzes 2.0 hätten Cybersicherheitsübungen die Möglichkeiten geboten, das zweite Gesetz deutlich zu verbessern. So hätten diskussionsbasierte Formate wie Tabletop Übungen dabei helfen können, die Verantwortlichkeiten von Behörden nachzuvollziehen und kritisch zu diskutieren, bevor die entsprechenden Befugnisse ausgeweitet wurden. Auch technische Übungstypen, wie beispielsweise Simulationen hätten eingesetzt werden können, um im ersten IT-Sicherheitsgesetz getroffene Maßnahmen und Richtwerte zu evaluieren. Verantwortliche Entscheidungsträger:innen hätten nach der Implementierung des ersten IT-Sicherheitsgesetzes so nachvollziehen können, welchen kumulierten Risiken sektorenübergreifende Betreiber kritischer Infrastrukturen (KRITIS) wie Strom- und Wasserwerksbetreiber im Fall einer Cyberoperation ausgesetzt sind. Dies hätte geholfen, zu evaluieren, ob Gefährdungen der Versorgungssicherheit verstanden und durch die im Gesetz getroffenen Maßnahmen adäquat adressiert wurden.
Potenziale von Cybersicherheitsübungen (besser) nutzen
Der Einsatz von Übungen für den Gesetzgebungsprozess bis hin zu Anwendungen für die Verbesserung von Kooperations- und Kommunikationsprozessen zwischen Organisationen und Behörden, die im Fall eines Cybervorfalls zusammenarbeiten müssen, kann für einen signifikanten Erkenntnisgewinn sorgen. Aufgrund dieses Potenzials von Cybersicherheitsübungen für die Verbesserung der Cybersicherheitspolitik sollte die im September gewählte Bundesregierung diese zukünftig zielgerichtet und strategisch einsetzen.
Über die Autorin: Rebecca Beigel ist Projektmanagerin für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung. Ihre Arbeitsschwerpunkte liegen auf der deutschen Cybersicherheitspolitik sowie auf cybersicherheitspolitischen Übungen im länderspezifischen Kontext.
(ID:47558573)
:quality(80)/p7i.vogel.de/wcms/09/03/090352ec882d0eed507ca3ffd7c87dac/0115274495.jpeg "Brandschutzübungen für den Ransomware-Ernstfall: Check Point gibt fünf Empfehlungen. (Bild: Canva / iz)")
:quality(80)/p7i.vogel.de/wcms/c8/36/c836fa52086a4b583258ae28718d9307/0110237760.jpeg "Die Cybersicherheit in Europa soll besser werden. Herzstück dieses Plans ist die NIS2-Richtlinie; aber für deutsche Unternehmen drängt die Zeit für die Umsetzung. (Bild: garrykillian - stock.adobe.com)")