Vernetzung auf nationaler Ebene

Austrian Trust Circle (ATC)

Der Austrian Trust Circle ist eine Initiative von CERT.at und dem österreichischen Bundeskanzleramt und besteht aus Security Information Exchanges in den einzelnen Bereichen der strategischen Informationsinfrastruktur (CIIP).

Im Rahmen des Austrian Trust Circles wird ein formeller Rahmen für praxisnahen Informationsaustausch und gemeinsame Projekte im Sicherheitsbereich geboten. Wichtige österreichische Unternehmen finden hier Hilfe zur Selbsthilfe im Bereich IKT-Sicherheit. Im Rahmen des ATC bekommt CERT.at Zugang zu operativen Kontakten und Information über die Behandlung von Sicherheitsvorfällen in den jeweiligen Organisationen.

Der Austrian Trust Circle ist ein wichtiges Netzwerk der österreichischen IKT-Sicherheit. Er schafft eine Vertrauensbasis, um im Ernstfall gemeinsam agieren zu können und sorgt für Vernetzung und Informationsaustausch in und zwischen den Sektoren der strategischen IKT-Infrastruktur.

Der ATC wurde 2011 gegründet. Als dann 7 Jahre später das NISG in Kraft trat, war es dadurch für viele Unternehmen, die nun Betreiber wesentlicher Dienste nach diesem Gesetz wurden, bereits Gang und Gebe, sich mit anderen über Probleme im IT-Sicherheitsbereich auszutauschen, weshalb das Gefühl, sich für einen Vorfall “schämen" zu müssen und ihn darum lieber nicht zu melden, gar nicht erst aufkommen konnte.

Ein Mitglied des ATC sind die Wiener Linien, deren IT-Sicherheitsbeauftragter den folgenden Gastbeitrag verfasst hat.

Gastbeitrag: Eine Lanze für den ATC (Autor: Anton Sepper)

Als ich, der Empfehlung eines Kollegen aus meinem erweiterten Arbeitsumfeld folgend, vor geraumer Zeit an einem Dezembervormittag im Wiener Café Schwarzenberg erstmals einem jungen Proponenten des ATC gegenüber saß, hatte ich noch keinen Begriff davon, von welchem Wert und von welcher Qualität die in diesem Gespräch angestoßenen Impulse für mich und damit für mein Arbeitsumfeld einmal sein würden.

Wir sprachen, weit ausholend, über Informationssicherheit generell und spezifisch über die Behandlung besonders schutzwürdiger Bereiche, über Kriterien zur Identifikation derselben und geeignete Maßnahmen zu deren besserem Schutz. Hier sei noch angemerkt, dass dieses Gespräch sehr lange vor dem Werden der nun geltenden, von der NIS-RL ausgelösten, gesetzlichen Regelungen stattfand. Wir stellten fest, dass in der Branche zu diesem Zeitpunkt bis auf einige freiwillig einzuhaltende Standards kein verbindliches Regelwerk zur Informationssicherheit existierte und es bereits ein guter Schritt wäre, wenn man sich allgemein auch ohne legistischen Druck wenigstens an klar definierten, standardisierten Mindestanforderungen orientieren und in diesem Zusammenhang “dieselbe Sprache sprechen" würde. Im Grunde ist das ja eine Sache des Hausverstands, wie wir aber wissen, wird diesem nicht zwangsläufig branchendeckend jener Platz eingeräumt, der ihm eigentlich zukäme.

Ich jedenfalls wollte gerne wissen, wie bestimmte Themen an anderen Stellen, in anderen Unternehmen behandelt würden, um daran allenfalls Maß für die eigenen Strukturen und Bemühungen nehmen zu können. Es war ein überaus konstruktives Gespräch, aus dem ich einige sehr brauchbare Gedanken mitnehmen konnte, deren Umsetzung ich auch bald danach in die Wege leitete. Am Ende des Treffens erhielt ich das Angebot, für mein Unternehmen dem ATC beizutreten.

Nach interner Klärung war es bald darauf so weit und ich durfte an der ersten Sitzung teilnehmen – als “Neuer" und doch von Anfang an vollkommen in die Gruppe aufgenommen. Die Runde diskutierte über aktuelle Entwicklungen zur Informationssicherheit im gemeinsamen Sektor, anschließend wurde eine Präsentation gezeigt, danach über diese gesprochen. Es war immer eine Dynamik vorherrschend, man hatte einander etwas zu sagen.

In der Folge besuchte ich weitere Treffen und allmählich erhielt ich ein konsistentes Bild von den Eckpunkten und Zusammenhängen im eigenen Sektor und weit darüber hinaus. Besonders hervorgehoben seien hier die überaus interessanten, aus ausgezeichneten Vorträgen und Arbeitsrunden zusammengestellten Jahrestreffen, die zudem eine stark fördernde Wirkung auf die Beziehungen innerhalb der Community haben und allen eine Vielzahl an Eindrücken aus der Branche bieten.

Ich kann aus heutiger Perspektive sagen, dass mir die Ereignisse von damals den Startimpuls gaben, Informationssicherheit nicht nur als interne Angelegenheit, sondern als im Grunde notwendig vernetzten und unbegrenzten Komplex zu verstehen, zu dem von allen Beteiligten auch entsprechend beizutragen ist. Deshalb schätze ich die Arbeit des ATC hoch und trage gerne dazu bei. Sich in dieser Community zu engagieren ist eine win-win-Angelegenheit für alle Beteiligten ohne jeden Nachteil. Wir treten damit aus unseren Partikularperspektiven heraus und gewinnen oft eine gemeinsame Sichtweise auf zahlreiche Themenbereiche.

Die Zusammenarbeit beschränkt sich selbstverständlich nicht nur auf die geplanten Veranstaltungen, für auftauchende Probleme oder für eine Frage findet sich auch sonst immer ein kompetenter Ansprechpartner, der einem auf kurzem Wege weiterhelfen kann. Es geht bei alledem um sehr alte, im Alltag manchmal scheinbar etwas in den Hintergrund tretende Tugenden wie Vertrauen, Aufrichtigkeit und Mut, die richtigen Dinge anzusprechen – das muss wachsen, das kann man nicht erzwingen.

Abschließend möchte ich den Organisatoren des ATC und den daran teilhabenden Kolleginnen und Kollegen meinen Dank für ihr Engagement und für die sich dadurch eröffnenden Möglichkeiten aussprechen und mit dem olympischen Gedanken enden: Dabei sein ist alles!

CERT-Verbund

Im Mittelpunkt des Aufgabenbereichs des nationalen österreichischen CERT-Verbunds stehen die Verbesserung der Zusammenarbeit zwischen den österreichischen CERTs sowie die Förderung der CERT-Aktivitäten in Österreich. Ein flächendeckendes Netz an kooperierenden CERTs ist das wirksamste Mittel zur Absicherung der vernetzten Informations- und Kommunikationssysteme. Diese Sichtweise wird durch die in Österreich stetig wachsende Anzahl an CERTs bestätigt.

Der CERT-Verbund wurde 2011 als Kooperation aller damals existierenden österreichischen CERTs aus öffentlichem wie auch privatem Sektor gegründet. Die Intention dahinter war die Bündelung der verfügbaren Kräfte zur optimalen Nutzung des gemeinsamen Know-hows zur Gewährleistung bestmöglicher IKT-Sicherheit.

Die Teilnahme am CERT-Verbund ist freiwillig und kann jederzeit beendet werden. Alle Mitglieder verpflichten sich, folgende Ziele im Sinne eines gemeinschaftlich geführten und auf Kooperation basierenden CERT-Verbundes zu verfolgen:

  1. Regelmäßiger Informations- und Erfahrungsaustausch

  2. Identifikation und Bekanntmachung von Kernkompetenzen

  3. Förderung nationaler CERTs in allen Sektoren

Mit Stand Ende 2019 nehmen 14 Teams am österreichischen CERT-Verbund teil. Genauere Informationen finden Sie online.

IKDOK/OpKoord

Die >>Struktur zur Koordination auf der operativen Ebene<< (auch “Operative Koordinierungsstruktur" oder kurz “OpKoord" genannt) wurde gemäß der ÖSCS1 im Jahr 2016 geschaffen. Sie erstellt periodische und anlassbezogene operative Lagebilder zur staatlichen Cybersicherheit. Weiters ist sie für die Erarbeitung von Maßnahmen im Anlassfall sowie für die Unterstützung und Koordinierung gesamtstaatlicher Notfallmaßnahmen im Rahmen des Cyber Krisenmanagements (CKM) zuständig. Auch der “Innere Kreis der operativen Koordinationsstruktur" (IKDOK) nahm im Jahr 2016 seinen Betrieb auf.

Der IKDOK umfasst das Cyber Security Center des Bundesministeriums für Inneres und das Cyber Verteidigungszentrum des Bundesministeriums für Landesverteidigung sowie weitere staatliche Akteure und Einrichtungen. Im Konkreten zählen hierzu das Cyber Crime Competence Center (BMI), das Heeres-Nachrichtenamt (HNaA/BMLV), das Kommando Führungsunterstützung und Cyber Defence mit seinem MilCERT (KdoFüU&CD/BMLV), das GovCERT (BKA) sowie das BMEIA. Sowohl der IKDOK als die OpKoord haben mit Inkrafttreten des NIS-Gesetzes Ende 2018 einen klaren rechtlichen Rahmen bekommen.

Austrian Energy CERT – AEC

Nach der NIS-Richtlinie der europäischen Union sind alle Betreiber kritischer Infrastruktur verpflichtet, Hacking-Angriffe oder Softwareprobleme an eine Meldestelle zu berichten. In einem (bisher) einzigartigen Modell hat sich die gesamte Energiewirtschaft Österreichs (Strom, Gas und Vertreter der Ölwirtschaft) in Form der Arbeitsgemeinschaft E-CERT auf ein “Private Public Partnership“ verständigt, die das österreichische Austrian Energie Computer Emergency Response Team (AEC) aufgebaut hat. Mehr Informationen zu AEC finden Sie aus deren Webseite unter https://www.energy-cert.at/.

  1. Die “Österreichische Strategie für Cyber Sicherheit", siehe https://www.bmi.gv.at/504/start.aspx.


<< Vorige Nächste >>