Begriff und Auftrag.

Die fortschreitende Entwicklung technischer Möglichkeiten hat unsere Gesellschaft rasant verändert: Nicht nur Inhalte des Privatlebens werden zunehmend im Internet gespeichert oder geteilt, sondern auch die Kommunikation und Arbeitsabläufe im beruflichen Kontext unterliegen branchenübergreifend der digitalen Transformation. E-Mails und Cloud-Dienste sind längst Bestandteil des Informationsaustausches in Politik, Wirtschaft, Wissenschaft und Gesellschaft. Wir sind dadurch vernetzter und dynamischer, aber auch verletzlicher geworden. Denn moderne Technologien bieten eine breite Angriffsfläche und durch die Anonymisierungsmöglichkeiten des Internets können potenzielle Angreifer weitgehend im Verborgenen agieren.

Deutschland ist ein attraktives Ziel für staatlich gesteuerte Cyberangriffe. Die zentrale geografische Lage in Europa sowie seine politische Rolle in der EU und der NATO rücken Deutschland in den Fokus von Aufklärungsaktivitäten fremder Staaten.

Aber auch als führende Industrienation weckt der Wirtschaftsstandort Deutschland mit zahlreichen Spitzentechnologieunternehmen, dem Know-how des Mittelstandes und seiner Innovationsfähigkeit in Wissenschaft und Forschung das Interesse für Wirtschafts- und Wissenschaftsspionage.

Erfahren Sie mehr unter dem Themenfeld Akteure und Angriffsmethoden.

Aufgabe der Cyberabwehr

Die Cyberabwehr des Verfassungsschutzes beobachtet und analysiert kontinuierlich und präventiv die gegen Deutschland gerichteten Aktivitäten fremder Staaten oder von ihnen gesteuerter APT-Gruppierungen und unterstützt Opfer sowie gefährdete Stellen von Cyberangriffen. Sie wird auch dann aktiv, wenn zum Beispiel in Deutschland gehostete Infrastruktur von fremden Akteuren für Cyberangriffe gegen Ziele im Ausland genutzt wird.

Die Zuständigkeit des Bundesamtes für Verfassungsschutz ist in § 3 Abs. 1 Nr. 2 BVerfSchG geregelt.

Drei wesentliche Kernaufgaben der Cyber- und Spionageabwehr bei der Aufklärung von Cyberangriffen mit nachrichtendienstlichem Hintergrund sind:

• Die Detektion von Cyberangriffen,
• die Attribution (Zuordnung) dieser Angriffe zu einem Staat, einer APT-Gruppierung oder die Benennung beteiligter Personen an einem konkreten Cyberangriff,
• die Prävention von Cyberangriffen.

Diese Kernaufgaben sind nicht als einzelne, voneinander losgelöste Bereiche zu betrachten, sie stehen vielmehr im Zusammenhang und greifen ineinander.

In einem ersten Schritt geht es darum, Cyberangriffe frühzeitig zu erkennen. Diese Detektion wird nicht selten dadurch erschwert, dass viele der nachrichtendienstlichen Akteure auf einem hohen technischen Niveau operieren und teils äußerst geschickt verdeckt agieren. Ist ein Angriff erkannt, wird er auf Anhaltspunkte für seine Urheberschaft untersucht (Attribution). Aufgrund der gesammelten Erkenntnisse können dann Präventionsmaßnahmen wirkungsvoll vorangetrieben werden. Diese können beispielsweise die Zusammenstellung technischer Indikatoren eines Angriffs oder die Schärfung von Schadsoftwareerkennungssystemen umfassen.

Begleitend zielen auch allgemeine Präventionsangebote des BfV darauf ab, Bedrohungsszenarien durch Cyberspionage bekannt und verständlich zu machen und so die Sicherheit für Verwaltung, Wirtschaft und Wissenschaft in Deutschland zu erhöhen.

Durch die Kombination aus unterschiedlichen Informationsquellen werden gefährdete deutsche Stellen in die Lage versetzt, eine etwaige eigene Betroffenheit festzustellen. Zudem können sie potenzielle Zugriffe von maliziösen IT-Infrastrukturen im Vorfeld sperren und erreichen so ein höheres Schutzniveau.

Abgrenzung zu Cybercrime

Der Verfassungsschutz ist für die Abwehr von Cyberangriffen im Rahmen von nachrichtendienstlichen Aktivitäten fremder Staaten oder von ihnen gesteuerten Akteuren zuständig. Anders verhält es sich bei der Aufklärung von Cyberangriffen, die durch Kriminelle verübt werden. Die Bekämpfung von Cybercrime liegt zuvorderst im Verantwortungsbereich der Polizeibehörden.

Als prägnantes Beispiel für Cybercrime ist etwa der Einsatz von so genannter Ransomware, also jener Schadsoftware, die Daten verschlüsselt und die im Zusammenhang mit Forderungen von Lösegeld für die Herausgabe eines Passwortes zur Entschlüsselung der Daten bekannt ist. Derartige Angriffe richten sich häufig gegen eine Vielzahl von Zielsystemen und erfolgen mit Bereicherungsabsicht.

Arbeitsweise

Um Cyberangriffe im Vorfeld abwehren zu können, sind Erkenntnisse über die jeweiligen Akteure von großer Bedeutung. Die Cyberabwehr analysiert hierfür die Angriffe und ordnet sie einem Profil zu, das sowohl die technischen Fähigkeiten als auch die soziopolitischen Interessen der staatlichen Angreifer (mit)einbezieht. Die Attribution eines Cyberangriffs ist ein elementarer Bestandteil von Ermittlungsverfahren und dient der Bundesregierung als Grundlage für politische Entscheidungen.

Die Cyber- und Spionageabwehr des BfV informiert über mögliche Angriffe und veröffentlicht technische Indikatoren (Indicators of Compromise), durch die gefährdeten Stellen eine eigene Betroffenheit feststellen und entsprechende Schutzmaßnahmen einleiten können. Anlassbezogen werden Warnhinweise, wie der „BfV Cyber-Brief" oder gemeinsame Sicherheitshinweise mit nationalen und internationalen Partnern veröffentlicht. Weitere präventive Maßnahmen bilden zudem Informationsveranstaltungen, Vorträge und Sensibilisierungsgespräche.

Zusammenarbeit

Die Cyberabwehr des Verfassungsschutzes auf Bundesebene arbeitet eng mit zahlreichen Behörden auf nationaler sowie internationaler Ebene zusammen.

Auf nationaler Ebene wurde 2011 das Nationale Cyber-Abwehrzentrum (Cyber-AZ) als zentrale Informations-, Kooperations- und Koordinationsplattform eingerichtet, um behördenübergreifend einen effektiveren Schutz der Gesellschaft, der Wirtschaft und des Staates vor Cyberangriffen zu gewährleisten.