Die unabhängige AG KRITIS hat sich im Frühjahr 2018 erstmals zusammengefunden, um Ideen und Anregungen zur Erhöhung der Resilienz und Sicherheit kritischer Dienstleistungen im Sinne des Gemeinwohls zu entwickeln. Ziel ist, die Versorgungssicherheit der deutschen Bevölkerung zu erhöhen, indem die Bewältigungskapazitäten des Staates zur Bewältigung von Großschadenslagen, die durch Cyberangriffe hervorgerufen werden können, ergänzt und erweitert werden. Die Arbeitsgruppe agiert dabei unabhängig von Staat, Verwaltung oder wirtschaftlichen Interessen.

Die AG KRITIS besteht dabei aus mehr als 42 Fachfrauen und Fachmännern sowie Expertinnen und Experten^[1], die sich beruflich mit Kritischen Infrastrukturen in Deutschland ​(KRITIS) beschäftigen, z.B. durch Planung, Aufbau, Betrieb und Beratung, Forschung oder Prüfung der beteiligten Systeme und Anlagen. Ihr Engagement ist getrieben von der Motivation, in Kooperation mit allen Beteiligten eine nachhaltige Verbesserung der Sicherheit jener Anlagen herbeizuführen und damit die öffentliche Sicherheit zu verbessern. Die AG KRITIS ist kein Wirtschaftsverband oder Unternehmen und hat daher auch keine Sponsoren. Ihre Mitglieder eint, dass sie durch ihre Arbeit unabhängig voneinander zu dem Schluss gekommen sind, dass die Ressourcen der Bundesrepublik Deutschland zur Bewältigung von Großschadenslagen aufgrund von informations- und operationstechnischen Vorfällen im Bereich der KRITIS nicht ausreichen. In der Folge sind Krisen und Katastrophen nicht oder kaum zu bewältigen. Es sollen daher Wege gefunden werden, das Eintreten gravierender Folgen dieser Vorfälle durch schnelles und kompetentes Handeln zu verhindern oder abzuschwächen und eine Regelversorgung in kürzestmöglicher Zeit wieder sicherzustellen.

Das Cyber-Hilfswerk (CHW) als exportfähiges Konzept

Das von der AG KRITIS entwickelte Konzept des Cyber-Hilfswerks (nachfolgend CHW) lässt sich auch in anderen Ländern etablieren. Dieser Artikel soll daher als Anregung gesehen werden, vergleichbare Initiativen in weiteren Ländern zu etablieren, da Bedrohungen im Cyberraum ein weltweit zu adressierendes Thema sind.

Das CHW-Konzept wird von der AG KRITIS auf ihrer Website^[2] in deutscher Sprache bereitgestellt. Nachfolgend wird dieses Konzept umfassend erläutert, zur Diskussion gestellt und als Anregung für weitere Initiativen und Länder bereitgestellt.

Problemlage

Mit voranschreitender Digitalisierung und immer stärkerer Vernetzung vergrößert sich auch die Anzahl an das Internet angeschlossener und steuerbarer Systeme. Damit vergrößert sich die Angriffsfläche. Im Bereich der Produktions-Infrastruktur werden informationstechnische (IT) aber auch operative (OT – Operational Technology) Systeme installiert und betrieben, deren Lebensdauer teilweise für mehrere Jahrzehnte geplant und auch ausgelegt ist. Der technische Fortschritt hat sich jedoch so stark beschleunigt, dass Technologien, die vor einigen Jahren als sicher galten, inzwischen nicht mehr als ausreichend sicher betrachtet werden können und im Bereich der KRITIS nicht mehr betrieben werden sollten.

Dieses neue Paradigma, dass Technologie wahrscheinlich schneller obsolet werden wird als bei der Herstellung vorgesehen, ist die neue Normalität. Auch neue Anlagen werden wahrscheinlich in wenigen Jahren, früher als der KRITIS-Betreiber dies erhofft, aufgrund des technischen Fortschritts als unsicher angesehen werden müssen. Heutige Empfehlungen und Best Practices zeigen deutlich, dass für die wenigsten Verschlüsselungsalgorithmen eine offizielle Lebensdauer von mehr als fünf Jahren erwartet werden kann.

Diese vier Entwicklungen, die quantitative Zunahme von IT und OT, deren lange Betriebsdauer, die hohe Geschwindigkeit des technischen Fortschritts und die immer stärkere Vernetzung der Systeme vergrößern jeweils für sich die Eintrittswahrscheinlichkeit einer großflächigen oder sogar katastrophalen Störung der lebensnotwendigen und damit kritischen Infrastrukturen. Erschwerend kommt hinzu, dass bei einem Angriff auf eine Schwachstelle in einer weit verbreiteten Hardware- oder Software-Komponente sofort eine Vielzahl kritischer Dienstleistungen betroffen sein können. Die Folgen der Entwicklung der vernetzten Systeme im „Internet der Dinge“ (IoT) sind ebenfalls kaum abzuschätzen. Die natürliche Barriere der digitalisierten Welt ist nicht die räumliche Trennung physischer Systeme, sondern die Trennung von Produktlinien, also verschiedener Hardware- und Software-Implementationen.

Katastrophen-Szenarien, die aus populärer Belletristik wie z.B. „Blackout“ von Marc Elsberg oder „42 Grad“ von Wolf Harlander bekannt sind, sind inzwischen nicht nur möglich, die Eintrittswahrscheinlichkeit solcher Szenarien ist bereits substantiell und steigt sogar noch täglich.

Der Bevölkerungs- und Katastrophenschutz ist grundsätzlich für die „klassischen“ Szenarien allgemein gut ausgebaut und äußerst funktional. Für Szenarien, deren Ursache oder Auswirkung ein weitflächiger Ausfall von digitalen Systemen in Kritischer Infrastruktur ist, gibt es allerdings bisher nur äußerst wenige Vorkehrungen und noch weniger Erfahrungen. Das wesentliche Problem dabei ist, dass Konzepte für die Etablierung eines Notbetriebs, die Wiederherstellung des Normalbetriebs und die Identifizierung und Behebung von Ursachen des Ausfalls weder ausreichend erforscht oder entwickelt und noch weniger umgesetzt und erprobt sind. Notfallprogramme, wie sie für physische Komponenten und Prozesse existieren, fehlen für die digitalen Komponenten und automatisierten Steuerprozesse weitestgehend.

Während im klassischen Katastrophenfall die überwiegend ehrenamtlichen Helfer in Hilfsorganisationen und im Weiteren die behördlichen Einrichtungen für den Schutz der Bevölkerung zur Verfügung stehen und gewährleisten, dass auch in außergewöhnlichen Situationen ausreichende Hilfe zur Verfügung steht, existieren ehrenamtliche Strukturen für digitale Katastrophenfälle bislang nicht.

Vorhandene Kapazitäten zur Krisenbewältigung

Bisher wurden wir noch von flächendeckenden Ausfällen Kritischer Infrastrukturen auf Grund von Cybervorfällen verschont. Nur einzelne Betreiber benötigten staatliche Assistenz, die die begrenzten Kapazitäten von Behörden bisher nicht überforderten. Da großflächige Ausfälle aber mit fortschreitender Digitalisierung immer wahrscheinlicher werden, kann davon ausgegangen werden, dass die Kapazitäten der Behörden in so einem Fall absehbar nicht ausreichen, um mindestens alle folgenden notwendigen Maßnahmen in der Fläche zu bewältigen:

• die notwendige Identifikation der genauen IT-Ausfallursachen,
• eine ausreichend schnelle Auswahl angemessener digitaler Sofortmaßnahmen (wie evtl. Aktualisierungen von Software auf hunderten oder tausenden Systemen im Feld vor Ort, Abschaltungen oder kleinteilige Netztrennungen vor Ort),
• einen eventuell notwendigen Notbetrieb informationstechnischer und operativer Systeme in die Wege zu leiten und zu begleiten,
• eine präzise Analyse des tatsächlichen Schadensumfangs zur Entwicklung einer angepassten Strategie zur schnellstmöglichen Wiederherstellung des informationstechnischen und operativen Regelbetriebs und
• die koordinierte Begleitung der Umsetzung dieser Wiederherstellung, bei der unter Umständen tausende Systeme oder Benutzer parallel betreut werden müssen, z.B. das Verteilen neuer Passwörter oder das Zurückspielen von Backups.

Voraussetzung ist allerdings die Fähigkeit zur Umsetzung dieser Maßnahmen, um die IT‑technischen Grundlagen für die hiervon abhängigen Versorgungsleistungen für die Bevölkerung ausreichend schnell wiederherstellen zu können.

Katastrophenübungen

In den USA gibt es im Stromsektor die alle zwei Jahre stattfindende GridEx-Übung. Diese beinhaltete im Jahr 2019 konkrete digitale Vorfälle zur Übung. Teilnehmer waren neben diversen Industrieunternehmen auch Behörden und Lieferanten. Analog zur deutschen LÜKEX^[3]-Übung wird in den USA zudem alle zwei Jahre die CyberStorm-Übung durchgeführt. Auch hierbei handelt es sich allerdings lediglich um eine Stabsrahmenübungen mit Fokus auf Kommunikation und Kollaboration und weniger um die eigentliche Bewältigung und Wiederherstellung kritischer Versorgungsdienstleistungen.

Im europäischen Raum wird seit 2010 jährlich die Übung Locked Shields durch das NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) koordiniert. Diese Übung ist primär als Red Team (Angreifer) vs. Blue Team (Verteidiger) Übung ausgestaltet und fokussiert sich auf die technischen Schwachstellen und Angriffe auf bzw. Verteidigung von Anlagen. Die Bewältigung der Krisensituation aus Sicht der Betreiber Kritischer Infrastrukturen war bislang nicht im Fokus.

Durch die Agentur der Europäischen Union für Cybersicherheit (ENISA) wurde im Jahr 2018 mit „Cyber Europe 2018“ bereits die fünfte Übung dieser Art ausgerichtet. Hierbei handelt es sich um eine europaweite Übung mit unterschiedlichen Sektorschwerpunkten. 2018 war der Sektor „Aviation“ – also Luftverkehr – im Fokus, nicht jedoch die Bewältigungs- oder Wiederanlauffähigkeiten.

Derartige Übungen finden allerdings in der Regel individuell per Betreiber statt und simulieren lediglich eingeschränkt eine Großschadenslage mit Ausfall und nicht den Angriff wesentlicher kritischer Versorgungsdienstleistungen. Notfallpläne und zugehörige Übungen decken typischerweise Szenarien ab, deren Bewältigung in Eigenverantwortung geleistet werden kann.

Für Krisen und Katastrophen als Folgen von Großschadenslagen außerhalb des eigenen Wirkbereichs liegen vornehmlich Krisenkommunikationskonzepte vor, die eine Rumpfhandlungsfähigkeit gewährleisten sollen, um dann der Lage entsprechend, eventuell auch unter externer Weisung führender staatlicher Stellen, notwendige Handlungen veranlassen zu können.

Betreiber Kritischer Infrastrukturen selbst haben in der Regel noch nie technisch orientierte Übungen durchgeführt, da eine fehlgeschlagene Übung an der realen Infrastruktur zu einem Ausfall führen kann. Die durch Fehler bei einer Übung verursachte Nuklearkatastrophe von Tschernobyl dient hier oft als Rechtfertigung. Geübt wird dann nur mittels Kommunikationsübungen, Alarmierungsübungen, Planbesprechungen und Stabsarbeitsübungen, sowie mit Simulationen.

Hybrid Warfare und Hackback

Natürlich sind Kritische Infrastrukturen auch zunehmend Gegenstand nachrichtendienstlicher und militärischer Interessen. Durch die vergleichsweise lückenhafte Absicherung ist im Rahmen eines sog. Hybrid Warfare ein Angriff mit Cyberwaffen (auch digitale Waffen genannt) auf die Kritische Infrastruktur eines Landes oder einzelne systemrelevante Betreiber entsprechend einfacher zu realisieren. Daraus folgt ein erhöhtes Risiko für die kritischen Versorgungsinfrastrukturen der Bevölkerungen sämtlicher Staaten.

Doch nicht nur durch aktive Angriffe, sondern auch durch eine Verteidigung im Sinne einer aktiven Cyberabwehr („Hackback“) gegenüber dem tatsächlichen oder vermeintlich korrekt identifizierten staatlichen Aggressor (Attribution erfolgt in der Regel auf Basis von Indizien) können Großschadenslagen entstehen. Deren Wirkung trifft hauptsächlich die Bevölkerung und gefährdet in der nächsten Eskalationsstufe wiederum die (eigene) Bevölkerung.

Steigende Eintrittswahrscheinlichkeit einer Großschadenslage

Die Eintrittswahrscheinlichkeit eines großflächigen Ausfalls von Kritischer Infrastruktur steigt an, je weiter die Digitalisierung und Vernetzung voranschreitet.

Sowohl die organisierte Kriminalität, die z.B. mit Verschlüsselungstrojanern ganze kommunale Verwaltungen für Wochen ausschaltet, als auch Kollateralschäden aus Cyber Network Operations und Hackbacks sind große Gefahren für die Versorgungssicherheit der Bevölkerung.

Vor dem Hintergrund der steigenden Eintrittswahrscheinlichkeit eines großflächigen Ausfalls und Katastrophenübungen, die eine Wiederherstellung der Versorgung der Bevölkerung bei einem Cyberangriff auf Kritische Infrastrukturen unzureichend trainieren, liegt nahe, dass die Bewältigungskapazitäten – konkret in Deutschland, aber auch in anderen Ländern – nicht ausreichen. Unter diesen Bedingungen kann das erste Ziel, den Staats- und Regierungsbetrieb aufrecht zu erhalten, nicht erreicht werden. Auch das zweite Ziel, die Sicherstellung der Versorgung der Bevölkerung mit kritischen Dienstleistungen und Infrastruktur bei einer Großschadenslage, liegt unter diesen Umständen in unerreichter Ferne.

Das CHW als Lösungsansatz

Um bei Schadenslagen, deren Größe und potentielle Auswirkungen die Kapazitäten der Behörden übersteigen, trotzdem schnelle Hilfe zur Wiederherstellung der kritischen Dienstleistungen bereitstellen zu können, müssen sich auch zivile Helfer organisieren und ihre Kräfte bündeln, analog zu den bereits existierenden Hilfsorganisationen auf anderen Gebieten.

Die AG KRITIS strebt dafür die Gründung des sogenannten Cyber-Hilfswerks (Arbeitstitel „CHW“) an.

Der Begriff Großschadenslage ist nachfolgend immer im Sinne einer Großschadenslage mit Auslöser/Ursache in der IT-Infrastruktur zu sehen, welcher zu einer gravierenden Beeinträchtigung einer oder mehrerer KRITIS-Sektoren führt.

Aufgaben des CHW

Hauptaufgabe ist die Bündelung ziviler Helfer und Spezialisten verschiedener Fachbereiche sowie die Bereitstellung von Verfahren und Rahmenbedingungen, um hauptamtliche Kräfte in Großschadenslagen zu unterstützen. Es soll sich um eine Organisation aus Freiwilligen und Ehrenamtlichen handeln, die bei einer Großschadenslage die bestehenden, derzeit aber zu geringen Bewältigungskapazitäten sinnvoll ergänzt und die Betriebsgrundlage für kritische Versorgungsdienstleistungen im KRITIS-Umfeld wiederherstellt.

Als schnelle Einsatzgruppe soll das CHW in der Lage sein, kurzfristig auf Großschadenslagen zu reagieren und vor Ort an relevanten IT- und OT-Systemen Hilfe zu leisten. Primäre Zielsetzung ist dabei stets der Schutz der Bevölkerung vor den Auswirkungen von Ausfällen oder Einschränkungen der KRITIS bzw. ihrer kritischen Versorgungsdienstleistungen.

Darüber hinaus sorgt eine solche Organisation auch für exzellente Möglichkeiten der Nachwuchsförderung und -werbung und erhöht die Vernetzung von Experten untereinander. Einsatzlogistik und Team-Play beim Beheben von Störfällen in der IT- und OT-Security-Branche sind bisher wenig bis kaum erforscht oder formalisiert. Das CHW würde hier Grundlagenwissen schaffen, das über die ehrenamtlichen Helfer direkt in die Fachabteilungen der Arbeitgeber der Helfer zurückfließen kann.

Einsatzszenarien

Großschadenslagen können sowohl im Verteidigungsfall als auch aufgrund einer Katastrophe im Frieden auftreten. Die Friedensmäßigkeit zu betonen ist wichtig, da ein CHW genauso wie das Technische Hilfswerk (THW) keine kriegerischen Handlungen unterstützen darf und kann. Ein im Zivilschutz aufgestelltes CHW muss darauf beschränkt sein, durch friedensmäßige Handlungen die Zivilbevölkerung zu schützen und zu unterstützen. Somit wäre die Vorbereitung, Unterstützung oder Durchführung von Cyberangriffen inkl. Hackback-Szenarien ausgeschlossen.

Angriffe auf Krankenhausprotokolle als Großschadenslage dienen hier als Einsatzbeispiel:

In vielen Klinikverbünden wird das HL7^[4]-Protokoll eingesetzt, bspw. für den Datenaustausch zwischen untereinander vernetzten Einrichtungen im Rahmen des Krankenhausinformationssystems (KIS) oder Picture Archiving and Communication System (PACS, ein Bildablage- und Kommunikationssystem). Durch die Vernetzung ist ein überregionaler Ausfall realistisch. Ein möglicher Auslöser für eine Großschadenslage wäre die Ausnutzung eines fundamentalen Definitions- oder Implementierungsfehlers, z.B. in HL7-Nachrichtentypen. Diese kann zu weitreichenden Datenmanipulationen führen. In der Folge könnte die Patientenversorgung überregional nicht mehr aufrecht erhalten werden. Staatliche Ressourcen würden nicht ausreichen, um dem Vorfall zu begegnen.

Denkbar sind auch Großschadenslagen bedingt durch vernetzte Monokulturen, durch IoT-Bots auf Abruf oder durch IT-Ausfall wie im Falle von NotPetya oder Emotet. Der Fantasie von staatlichen Akteuren wie Nachrichtendiensten, dem Militär und auch der organisierten Kriminalität sind da leider kaum Grenzen gesetzt. Dennoch soll das CHW lediglich die Versorgung der Zivilbevölkerung sicher- bzw. wiederherstellen.

Je nach Großschadenslage und Szenario kann es notwendig sein, dass das CHW zur Wiederherstellung der Versorgung mit Dienstleistungen der Kritischen Infrastruktur auch Geräte und Systeme betreut, die selbst nicht unter die strikte Definition von KRITIS fallen. Z.B. dann, wenn von diesen Geräten die Störung ausgeht oder die Geräte benötigt werden, um die Kritische Infrastruktur wieder anzufahren. Das IoT dient daneben als mögliches Beispiel für Geräte, die kein KRITIS darstellen, von denen jedoch eine kritische Störung ausgehen kann. Auch kann es notwendig sein, in einer Behörde z.B. beim Zurückspielen von Backups auf Arbeitsplatzsysteme der Sachbearbeiter oder beim Verteilen neuer Passwörter zu assistieren – in beiden Fällen würde das CHW hier nicht direkt KRITIS anfassen, jedoch die Wiederherstellung derer Versorgung unterstützen. Konkret würden die hauptberuflichen Kräfte des Staates und der KRITIS-Betreiber wieder in einen arbeitsfähigen Zustand versetzt werden. Im Ergebnis würde die Versorgungssicherheit der Zivilbevölkerung sicher- bzw. wiederhergestellt.

Alarmierung

Jede staatliche Reaktionskapazität erzeugt potenziell auch ein Missbrauchsrisiko – insbesondere dort, wo Unternehmen und Betreiber die eigene IT-Sicherheit im Glauben an die Kapazitäten des Staates (oder des CHW) vernachlässigen. Dieses Risiko lässt sich dadurch effektiv reduzieren, dass die Alarmierung einer solchen Einsatzgruppe nicht durch Unternehmen selbst erfolgen kann, sondern nur durch Behörden und ausschließlich nachdem offiziell eine Notlage ausgerufen wurde. In diesem Sinne müssen klare Befugnisse geschaffen werden.

Darüber hinaus sollten das Militär, Rüstungsunternehmen sowie andere militärisch agierende Unternehmen das CHW nicht alarmieren können, da diese Organisationen bereits über ausreichende eigene Ressourcen verfügen und zudem den angestrebten Non-Kombattanten-Status des CHW gefährden würden. Nicht zuletzt dienen Organisationen dieser Art nicht der Sicherstellung der Versorgung der Bevölkerung.

Abgrenzung

Das CHW soll Bewältigungshilfe, nicht Einspar- oder Wiederaufbauhilfe sein:

Das CHW soll kein günstiger Incident-Response-Ersatz sein. Es soll KRITIS-Betreibern nicht zum Sparen am Computer Emergency Response Team (CERT) dienen. Am ehesten ist es vergleichbar mit der freiwilligen Feuerwehr, die der Berufsfeuerwehr oder sogar Werksfeuerwehr zur Hilfe kommt, wenn die Lage zu große Dimensionen erlangt. In einem solchen Szenario erst kann und soll ein CHW durch behördliche Alarmierung zur Hilfe gerufen werden, nicht vorher. Den Schaden, der nach einer Cybergroßschadenslage existiert, kann und soll das CHW nicht beheben, so wie auch ein THW oder eine Feuerwehr nicht das abgebrannte Lager neu aufbaut.

Einsatzrollen

Um Aufgaben bei Vorfällen oder Notsituationen bei KRITIS in angemessenem Zeitrahmen lösen zu können, sind verschiedene Rollen nötig. Diese wurden wie folgt identifiziert:

Technische Helfer: Die Rolle der technischen Helfer ist diejenige mit den niedrigsten Einstiegsqualifikationen. Sie ist jedoch auch die wichtigste Rolle, wenn es um die Ausführung diverser Aufgaben geht, bei denen Fachwissen eine eher untergeordnete Rolle spielt. Grundlegend sollten diese Helfer über eine technische Grundlagenausbildung verfügen sowie sensibilisiert sein für die Zusammenhänge in Notsituationen. Die Sensibilisierung dient dabei vorwiegend dem Selbstschutz, um Gefahrensituationen zu verhindern bevor diese entstehen. Je nach Problemgebiet ist zudem eine Grundfitness von Vorteil, um vor allem streckenintensive Aufgaben zügig und ohne Probleme erledigen zu können.

Spezialisten: Für die Koordination technischer Helfer und Lösung spezieller Probleme sind Spezialisten nötig. Diese Spezialisten können bereits durch Berufserfahrung qualifiziert sein. Die anfallenden Aufgaben können bis zu einem gewissen Grad auch Gefahreneinschätzungen umfassen. Mögliche technische Spezialisierungen wären hier die Elektrofachkraft für (Reparatur-)Arbeiten an elektrischen Schaltungen. Denkbar ist auch die Durchführung von Führungsfortbildungen, um vor allem bei umfangreichen Problemen das Agieren als Führungskraft zu ermöglichen. Die Berufserfahrung von Spezialisten hilft Anfangsfehler zu vermeiden.

Koordinatoren/Krisenstab: Die Koordinatorenrolle umfasst – ähnlich wie bei den Spezialisten – verschiedene Ausrichtungen und ist die erste zu besetzende Rolle in einem Krisenfall. Der Krisenstab besteht aus Logistik und Koordinations-Personal. Technisches Fachwissen ist hier nicht zwingend notwendig, jedoch ein gutes Verständnis des betroffenen Sektors hilfreich, um Prioritäten und Probleme bereits frühzeitig zu erkennen. Grundlegende Anforderungen an Koordinatoren sind insbesondere Stressresistenz und gute Planungsfähigkeit, um auch bei unerwarteten Ereignissen Entscheidungen treffen zu können. Neben der Koordination der Spezialisten und technischen Helfer kann auch die Interaktion mit Medien erforderlich sein. Selbstverständlich fällt es auch dieser Einsatzrolle zu, mit anderen Hilfsorganisationen wie z.B. dem THW, dem Deutschen Roten Kreuz (DRK) oder dem Betreiber einer Kritischen Infrastruktur zu kommunizieren und zu koordinieren.

Ausbildung

Die Ausbildung der Helfer des CHW stellt eine Herausforderung dar. Denn es gibt im Bereich der IT- und OT-Sicherheit so gut wie keine Standards und Zertifizierungen, die eine belastbare Qualifizierung für den Einsatz im IT- und OT-Krisenfall bieten.

Zudem ist die IT-Sicherheit einer sehr schnellen Entwicklung unterworfen, die eine quasi tägliche Aktualisierung der Fachkenntnisse erfordert. IT- und OT-Sicherheitsexpertise wird auch heutzutage nach wie vor zu einem großen Teil durch Praxiserfahrungen erworben. Deshalb sollte die Aus- und Fortbildung der CHW-Helfer überwiegend auf dem Sammeln von Erfahrungen beruhen, die durch Üben von Krisensituationen in den (im nächsten Abschnitt beschriebenen) Trainingszentren erlangt werden können. Im Vergleich zu anderen Hilfsorganisationen wie z.B. THW und Feuerwehr hat die Simulation von Einsätzen einen noch höheren Stellenwert, da Krisensituationen fast immer eine situationsspezifische Handlungsweise erfordern. Eine überwiegend theoretische Ausbildung wird die benötigten Spezialkenntnisse daher kaum ausreichend vermitteln können und zudem schnell veraltet sein.

Für die Helfer des CHW ist zum einen eine Grundausbildung sinnvoll, die allgemeine Kenntnisse für Krisenfälle bietet. Zum anderen sollte eine Fachausbildung angeboten werden, die Kenntnisse spezifischer Kritischer Infrastrukturen und Systeme vermittelt. Für die Grundausbildung werden folgende Themengebiete als notwendig angesehen:

• Ethische Grundsätze
• Kommunikation, Zusammenarbeit und (Team-)Management in Krisensituationen
• Krisenkommunikation
• Grundlagen in den Gemeinsamkeiten und Unterschieden von Informationstechnik (IT), Betriebstechnik (Operational Technology – OT) und industriellen Kontrollsystemen (ICS, SCADA und Prozessleitsysteme)
• Grundlagen der IT-, OT- und ICS-Sicherheit
• Richtige Lageeinschätzung zum Selbstschutz.

Diese Inhalte sollen nicht nur theoretisch vermittelt werden, sondern auch die Anwendung dieses Wissens in regelmäßigen Übungen von möglichen Einsatzszenarien. Zudem sollen die ethischen Grundsätze als gemeinsame Grundlage der Aktivitäten von allen Helfern angenommen, etabliert und aktiv gelebt werden. Denn Einsätze des CHW erfordern ein hohes Maß an Vertrauen in jeden einzelnen Helfer.

Abgesehen von den ethischen Grundsätzen und praktischen Übungen soll die Grundausbildung aber nicht als verpflichtendes Trainingsprogramm verstanden werden, sondern als gemeinsamer Kenntnisstand der Helfer. Insbesondere Spezialisten wird so ohne formale Qualifikation ermöglicht, auf ihrem ggf. hohen individuellen Kenntnisstand mitzuwirken, ohne langwierige Qualifizierungsprogramme durchlaufen zu müssen. Das sollte Eintrittshürden mindern. Der individuelle Kenntnisstand und die noch notwendige Ausbildung können durch gemeinsame Übungen mit anderen Helfern recht einfach ermittelt werden.

Folgende Themen können, über die Grundausbildung hinaus, Gegenstand zusätzlicher CHW-Fachausbildungen sein:

• Elektrotechnik
• Grundlagen IT-Forensik
• Netzwerk- und Telekommunikationstechnik unter Einbeziehung aktueller und historischer Systeme
• Spezifische technische Kenntnisse der Operativen Technologien (OT) des jeweiligen Sektors (Wasser, Energie, Medizintechnik im Gesundheitswesen, u.a.).

Das CHW wird vermutlich nicht alle Fachausbildungen komplett selbstständig durchführen können. Daher erscheint es sinnvoll, hier eine Kooperation mit bereits existierenden Fachausbildungsträgern und KRITIS-Betreibern der verschiedenen KRITIS-Sektoren zu suchen.

Übungsräume und -anlagen

Für die Ausbildung sind zwei Arten von Einrichtungen denkbar – Kompetenzzentren und Trainingszentren:

Kompetenzzentren dienen dabei der Vermittlung von theoretischen Grundlagen. Da es beim Aufbau von Wissen v.a. um Geschwindigkeit geht, könnten in der Anfangsphase bestehende Schulungszentren anderer Aus- und Weiterbildungsträger als Kompetenzzentren verwendet werden. Erste Szenarien lassen sich nach dem Vorbild von Incident-Response-Übungen ohne technisches Gerät simulieren.

Trainingszentren ermöglichen das praktische Üben an realistischen Anlagenaufbauten im Sinne von „Spielwiesen“. Weil nicht alle Technologien eines Sektors abgebildet werden können und es lokale Unterschiede geben kann, sollten entsprechende technische Aufbauten mit Spezialisten geplant und mit gesammelten Erfahrungen erweitert werden. So können nach und nach Lücken geschlossen und die Umgebungen sowie die Ausbildungsgüte Schritt für Schritt verbessert werden.

Benötigte Anlagen sind hier neben klassischer IT-Hard- und Software auch typische Leitstandsaufbauten, Systeme für Prozessleittechnik (PLT) und Gebäudeleittechnik (GLT), Baugruppen oder ältere Hardware, aber auch Lizenzen zur Programmierung von Speicherprogrammierbaren Steuerungen (SPS). Gerade komplexere Steuer- und Leitstandstechnik ist oft ausschließlich im Produktionsbetrieb anzufinden. Ohne Übungsanlagen müssten Übungen zur Bewältigung von Katastrophen als theoretische Übungen angelegt werden, da eine echte Anlage für die Übung nicht außer Betrieb genommen oder dem Ausfallrisiko ausgesetzt werden kann.

Nach diesem Vorbild arbeitet auch das THW. Es hat bundesweit Übungszentren für Fachgruppen etabliert, bei denen hochspezifische Aufbauten zur Übung auf- und abgebaut werden können, wie z.B. Brücken oder Trinkwasseraufbereitungsanlagen. Auch die freiwilligen Feuerwehren betreiben praktische Trainingszentren, bspw. Anlagen, in denen der Umgang mit Atemschutzgeräten geübt werden kann.

Ein dediziertes Trainingszentrum des CHW böte hier die Chance, sowohl aktuelle als auch gebrauchte Leitstandstechnik für Katastrophenbewältigungsübungen, Penetrationstests, IT- und OT-Sicherheitsforschung zur Verfügung zu stellen, ohne produktive Infrastruktur beeinträchtigen zu müssen. Die Bereitstellung solcher Anlagen, die der technisch interessierte, hilfsbereite Bürger normalerweise nicht zu Gesicht bekommen würde, erhöht auch die Attraktivität des CHW für neu anzuwerbende Helfer.

Es erscheint sinnvoll, die in Kompetenz- oder Trainingszentren erlangten Kenntnisse zu zertifizieren und damit auch einen Mehrwert für die CHW-Helfer am Arbeitsmarkt zu schaffen. Umgekehrt sollte es auch möglich sein, bestehende Qualifikationen, z.B. Fachkraft für Elektrotechnik, in diesen Zentren anrechnen zu lassen.

Rechtsform der Organisation „CHW“

Die Frage der Rechtsform des CHW ist eine der schwierigeren Fragen und muss landesspezifisch beantwortet werden. Viele Faktoren wirken auf diese Frage ein und die Antwort wiederum hat ebenso viele direkte Auswirkungen.

Die Fragen der Haftung, Versicherung, sowie der Entschädigung der Arbeitgeber sind finanzieller Natur. Da es sich hier um eine zivile Reserve für den Katastrophenfall handelt, sollte der Staat die entstehenden Kosten und Haftungsrisiken übernehmen. Auf welche Weise genau es am realistischsten und einfachsten ist, dies in die vorhandenen Strukturen und Prozesse in der staatlichen Verwaltung zu integrieren, ist für Außenstehende schwer ersichtlich. Insofern ist die folgende Beschreibung verschiedener Ideen eher als Diskussion der Vor- und Nachteile verschiedener Möglichkeiten zu verstehen, nicht jedoch als abschließende Beschreibung.

Die direkte Angliederung an eine Behörde, bei der die Einsatzkräfte einen ähnlichen Stand haben wie ein Verwaltungshelfer, bietet insbesondere bei den Themen Haftung, Versicherung und Entschädigung einige Vorteile.

Im Falle von bestimmten Behörden ist es jedoch nicht möglich, eine rein defensive Cybersicherheitsstrategie intern zu etablieren, da vielleicht doch die Durchführung einer offensiven, d.h. nicht-defensiven Aufgabe angeordnet werden kann. Im Fall des THW ist es dem Staat nicht möglich, einen offensiven Einsatz anzuordnen, da dies den Non-Kombattanten Status des THW und damit auch internationale Vereinbarungen verletzen würde. Der Non-Kombattanten Status schützt die ehrenamtlichen Helfer im (internationalen) Einsatz. Auch Hilfsorganisationen wie z.B. das International Committee of the Red Cross (ICRC) haben diesen Vorteil.

Das ICRC ist eine unabhängige Hilfsorganisation, die mit staatlichen Behörden trotzdem eng zusammenarbeitet und freiwillige Verpflichtungen mit Staaten eingegangen ist. Im Gegensatz zum THW sind die Vorhaltungen für den Katastrophenschutz und die Ausbildungen von Freiwilligen beim ICRC allerdings Teil des rein spendenfinanzierten ideellen Bereichs. In diesem Aspekt scheint das ICRC-Modell initial geringfügig nachteilig, da Vorhaltungen für den Katastrophenschutz und die Ausbildungen von Freiwilligen den Kern der Aktivitäten des CHW darstellen.

Der Arbeitstitel „CHW“ ist im Übrigen nicht zufällig gewählt. Das THW ist eine äußerst hoch angesehene deutsche Bundesanstalt mit langer Geschichte. In einigen Fachgebieten (Brückenbau, Elektroversorgung, Deichverteidigung, Trinkwasserversorgung, u.a.) ist das THW die einzige Instanz, welche die technischen Möglichkeiten hat, effektiv und zeitnah vor Ort Infrastruktur-Probleme zu lösen.

Es gibt die Möglichkeiten, ein dem THW vergleichbares CHW zu schaffen oder auch das CHW als Fachgruppe innerhalb des THW zu etablieren. THW-Fachgruppen sind dezentral organisiert und erreichen daher die Fläche des Landes einfacher. Auch eine Struktur ähnlich der Schnelle-Einsatz-Einheiten (SEE) ist denkbar, die sich ausschließlich um IT- und OT-Komponenten in KRITIS kümmert. Die zentrale Natur der SEEs scheint jedoch auf den ersten Blick nicht unbedingt sinnvoll.

Vorteilhaft wäre der Aufbau des CHW nach dem Modell einer THW-Fachgruppe, da das THW bereits in jedem Landkreis Ortsverbände hat und seit Anbeginn durch regelmäßige Übungen, aber auch durch Einsätze große Fachkenntnisse in Bezug auf Einsatzlogistik und Krisenabwicklung gewonnen hat. Diese sind im Kreis der IT- und OT-Experten, die für eine solche Einsatzgruppe als Fachkräfte infrage kämen, bislang wenig verbreitet.

Haftung

Eine Haftung der CHW-Helfer sollte, sofern sie von der Behörde als Verwaltungshelfer hinzugezogen werden, weitgehend ausgeschlossen sein. Im Fall des Falles soll, je nach Art der Lage und je nach Behörde, welche die Weisung erteilt, entweder das Land oder der Bund haften. Die Haftung richtet sich dann nach staatshaftungsrechtlichen Grundsätzen. Ein Rückgriff des Staates auf den Helfer käme nur bei grober Fahrlässigkeit und Vorsatz in Betracht.

Es gilt beim Aufbau der CHW-Strukturen eine praktikable und rechtssichere Lösung zu etablieren, die seitens der Trägerorganisation akzeptiert werden kann. In keinem Fall darf es zu einer zusätzlichen Belastung der CHW-Helfer kommen, da diese ehrenamtlich zivile Hilfe im Cyber-Krisenfall leisten.

Versicherung

Das Thema der Unfallversicherung für freiwillige Helfer ist, wie bei allen Hilfsorganisationen, auch bei einem zu schaffenden CHW zu diskutieren. Bei anderen Hilfsorganisationen wie z.B. der freiwilligen Feuerwehr oder dem THW ist hier der Staat in der Verantwortung. Je nach Ausgestaltung ist dies entweder ein Sachverhalt für die Unfallkasse Bund oder aber Sache des Bundeslandes, in dem die Hilfeleistung erbracht wird.

Grundvoraussetzung für die Anwendung der bereits vorhandenen Normen ist, dass Helfer des CHW als sogenannte Verwaltungshelfer eingestuft werden und dass die durch den Helfer durchgeführten Arbeiten weitestgehend von der öffentlichen Hand beeinflusst sind. In diesem Rahmen würde ein CHW-Helfer als reines „Werkzeug“ bzw. „Erfüllungsgehilfe“ des Hoheitsträgers agieren.

Freistellung und Kostenerstattung für Arbeitgeber

Obwohl Einsatzfälle hoffentlich sehr selten bleiben, muss natürlich evaluiert werden, welche Möglichkeiten es gibt, Arbeitgeber für die entgangene Leistung ihrer mitarbeitenden Helfer entschädigen zu können.

Innerhalb des THW gibt es aufgrund des THW-Gesetzes Prozeduren und Strukturen, um Arbeitgeber der Helfer zu entschädigen. Dies gilt für angeordnete Einsätze, Übungen, Lehrgänge und sonstige Ausbildungsveranstaltungen. Selbständige erhalten ggf. Verdienstausfall nach der THW-Entschädigungsrichtlinie erstattet. Eine entsprechende Regelung und Umsetzung bietet sich auch für das CHW an.

Die Arbeitgeber der Einsatzkräfte sind absehbar mehrheitlich in der IT-Security-Branche aktiv. Im Fall einer Großschadenslage, die einen Einsatz des CHW notwendig macht, kann man davon ausgehen, dass die Arbeitgeber der Einsatzkräfte die notwendige Freistellung freiwillig erteilen werden. Nichtsdestotrotz kann es sinnvoll sein, in der Konzeptionsphase in Gespräche mit den zuständigen Behörden zu treten, um eine angeordnete Freistellung für besondere Großlagen zu ermöglichen.

Community-Bedingungen zur Umsetzung

Die IT- und OT-Security-affine Community in Deutschland stellt einen großen Pool an potenziellen ehrenamtlich tätigen CHW-Helfern dar, die bei Cyber-Großschadenslagen andere Menschen durch ihr IT- und OT-Knowhow retten können. Um diese für das Vorhaben zu gewinnen, ist es maßgeblich, deren Forderungen und Erwartungshaltungen zu berücksichtigen. Mit der potentiellen Zielgruppe steht und fällt das Vorhaben.

Es darf daher unter keinen Umständen passieren, dass das CHW für Angriffszwecke oder Hackbacks herangezogen wird. Das CHW soll ausschließlich defensiv wirken. Das Ziel des CHW ist es, eine unterbrochene wesentliche Versorgung für Bürger wiederherzustellen. Auch Einsätze, bei denen das CHW bei der Durchführung hoheitlicher Aufgaben assistiert, die eigentlich den Sicherheitsbehörden vorbehalten sind, werden kategorisch abgelehnt. Diese würden das Neutralitätsgebot einer jeden Hilfsorganisation unterwandern. Darüber hinaus ist wichtig, dass das CHW nicht als Personalpool für die Sicherheitsbehörden verstanden wird. Diese und weitere Abgrenzungen, auch in Bezug auf hoheitliche Aufgaben, sollen in einem detaillierten Manifest weiter konkretisiert werden.

Die Werkzeuge, welche im Rahmen der Vorbereitungen und Einsätze des CHW entwickelt werden oder von Mitgliedern und Helfern selbst entwickelt wurden, dürfen aufgrund des immer anzunehmenden Dual-Use-Charakters (d.h. mögliche Nutzung auch für offensive Tätigkeiten) nicht an Sicherheitsbehörden weitergeben werden.

Dies gilt auch für Informationen mit Dual-Use-Charakter, wie z.B. Informationen über Sicherheitslücken, die im Rahmen der Behebung des Vorfalls ermittelt oder gewonnen werden. Hierfür ist ein Prozess zu entwickeln, vorzugeben und einzuhalten mit dem Ziel der Behebung und Veröffentlichung im Rahmen einer sog. Responsible Disclosure.

Damit wird explizit die Teilnahme an einem sog. Vulnerabilities Equities Process (VEP) ausgeschlossen. Ein VEP bezeichnet den Prozess, bei welchem Sicherheitslücken durch den Staat zurückgehalten werden, damit die Sicherheitsbehörden eine etwaige Geheimhaltung zwecks späterer Ausnutzung prüfen können. Gefundene Sicherheitslücken müssen geschlossen werden, nicht jedoch geheim- oder zurückgehalten.

Bei Einhaltung dieses Rahmens können ehrenamtliche Helfer in großer Zahl in der Community angeworben, für die Cyberhilfe gewonnen und auch dauerhaft aktiviert werden, da ein CHW-Einsatz für die Mitglieder auch nachhaltig ethisch vertretbar sein wird. Dies dürfte entsprechend für die Communities anderer Länder gelten.

* Manuel Atug ist Mitgründer und Sprecher der AG KRITIS. Dieser Artikel beinhaltet umfassende Auszüge des CHW-Konzepts der AG KRITIS. Für Fragen zum CHW steht er jederzeit sehr gerne zur Verfügung.

^[1] Im Folgenden werden geschlechtsneutrale bzw. geschlechtsneutral gemeinte Personenbezeichnungen verwendet.

^[2]  https://ag.kritis.info/chw-konzept/.

^[3]  LÜKEX steht für Länder- und Ressortübergreifende Krisenmanagementübung (EXercise).

^[4]  Health Level 7 (HL7) ist eine Gruppe internationaler Standards für den Austausch von Daten zwischen Organisationen im Gesundheitswesen und deren Computersystemen.