Die Abteilung OC "Operative Cyber-Sicherheit" des BSI nimmt die Aufgabengebiete "Detektion", "Reaktion" und "Lage" sowie andere damit verbundene Tätigkeiten wahr. Ziel des Aufgabengebiets "Detektion" ist dabei, sicherheitsrelevante Ereignisse zeitnah und zuverlässig zu erkennen. Beispiele für solche sicherheitsrelevanten Ereignisse sind erkannte oder gemeldete Cyber-Angriffe, bekannt gewordene Schwachstellen in IT-Produkten oder sicherheitsrelevante Mängel in der Konfiguration von Webseiten. Falls notwendig, ergreift das BSI im Rahmen des Aufgabengebietes "Reaktion" geeignete Maßnahmen. Dazu gehört etwa die Warnung der von Cyber-Vorfällen betroffenen Personen und Organisationen sowie in besonderen Fällen auch die Unterstützung bei der Wiederherstellung des sicheren Betriebs. Erkenntnisse des BSI über Cyber-Gefahren, insbesondere über Bedrohungen, Schwachstellen und Vorfälle, werden im Aufgabengebiet "Lage" erfasst, analysiert und aufbereitet. Anwender und Betreiber können diese Erkenntnisse nutzen, um sich bestmöglich vor Cyber-Gefahren zu schützen.

Art und Umfang der BSI-Aktivitäten im Bereich der operativen Cyber-Sicherheit sind durch das BSI-Gesetz geregelt. Schwerpunkte sind der Schutz der Bundesverwaltung und der Kritischen Infrastrukturen sowie von Institutionen im besonderen öffentlichen Interesse. Auf diesen Gebieten arbeitet die Abteilung OC eng mit den Abteilungen BL "Beratung für Bund, Länder und Kommunen" sowie WG "Cyber-Sicherheit für Wirtschaft und Gesellschaft" zusammen.

Fachbereiche der Abteilung OC

Fachbereich OC 1 "Detektion"

Zum Schutz der Regierungsnetze und IT-Systeme des Bundes vor Cyber-Angriffen betreibt der Fachbereich OC 1 des BSI das "Bundes Security Operations Center" (BSOC). Dies umfasst unter anderem Dienstleistungen zur Erfassung und Auswertung von Protokollierungs- und Sensordaten sowie zur Erkennung und Abwehr von Schadsoftware in E-Mails und Webverkehr. Hierfür hat das BSI verschiedene Systeme entwickelt, die kontinuierlich an die Bedrohungslage angepasst werden. Auch die Erstellung und Fortschreibung der hierfür erforderlichen Signaturen, Detektoren und technischen Plattformen liegt in der Verantwortung von Fachbereich OC 1. Ziel hierbei ist es, durch eine größtmögliche Automatisierung unter Nutzung aktueller Produkte und KI-unterstützter Verfahren ausreichend Freiräume für die notwendigen manuellen Analysen zu schaffen, die unter Einhaltung enger rechtlicher Vorgaben erfolgen.

Schließlich ist die Sicherheit von Internet-Infrastrukturen und Internet-Diensten ein Schwerpunktthema des Fachbereichs OC 1. Dies umfasst insbesondere Verfahren zur Detektion, Analyse und Abwehr von Botnetzen sowie von Angriffen auf die Internet-Infrastruktur. Weitere Aktivitäten in diesem Bereich sind Sicherheitsuntersuchungen und Fachveröffentlichungen sowie die Zusammenarbeit mit Betreibern und Aufsichtsbehörden. Darüber hinaus arbeitet das BSI in den relevanten Gremien der Internet Engineering Task Force (IETF) und der Réseaux IP Européens (RIPE) mit, um das Sicherheitsniveau im Internet zu erhöhen.

Fachbereich OC 2 "CERT-Bund"

Der Fachbereich OC 2 CERT-Bund deckt die beiden eng verzahnten Aufgabengebiete Warn- und Informationsdienst vor Schwachstellen und Vorfallsbearbeitung ab. Der Warn- und Informationsdienst rund um Schwachstellen und deren Schließung nimmt einen wichtigen Teil des Fachbereichs ein. Hierzu gehört die Bereitstellung von Advisories für die Bundesverwaltung, Kurzinformationen für einen breiten Kreis und BürgerCERT-Meldungen für die Verbraucher. In besonderen Fällen werden Cyber-Sicherheitsinformationen und -Warnungen erstellt und in Zusammenarbeit mit dem Lagezentrum und auch über die Webseite des BSI verteilt. Das Thema Schwachstellenmanagement beziehungsweise Coordinated Vulnerability Disclosure (CVD) mit der Vermittlung zwischen Schwachstellenfinder und Hersteller ist eine zunehmend wichtigere Aufgabe.

Im Bereich der Reaktion auf Cyber-Angriffe arbeiten verschiedene Teams für unterschiedliche Aufgaben zur Bewältigung von Cyber-Sicherheitsvorfällen zusammen. Die Vorfallsunterstützung für Betroffene in den zahlreichen Zielgruppen des BSI erfolgt gemeinsam durch die Incident Handler, die Expertinnen und Experten für mobile Einsätze (MIRTs) und die fallabhängig passenden technischen Analysten aus verschiedenen Fachreferaten.

Hinzu kommt die nationale und internationale Vernetzung mit anderen CERTs in diversen formellen (z.B. VerwaltungsCERT-Verbund mit den Bundesländer-CERTs, EU CISRT-Netzwerk) und informellen Arbeitsgruppen (z.B. Deutscher CERT-Verbund), um sich über Hilfsmittel, Methoden, Verfahren und Vorfälle auszutauschen.

Weiterhin ist die Konzeption, Vorbereitung, umfassende Begleitung bzw. Durchführung nationaler und internationaler Krisenübungen, auch mit den anderen Bereichen des BSI, eine wichtige Aufgabe des Fachbereichs.

Der Fachbereich stellt die Verbindungsbeamtinnen und -beamten (VB) des BSI für das Cyber-Abwehrzentrum und bringt auch über diese die Erkenntnisse des BSI, vor allem aus dem Bereich "Lage" ein. Darüber hinaus arbeitet er bei Fällen mit den dort vertretenen VBs/Experten der anderen Behörden lage- und fallbezogen eng zusammen.

Fachbereich OC 3 "IT-Sicherheitslage"

Der Fachbereich OC 3 betreut die verschiedenen Aufgaben rund um die IT-Sicherheitslage. Im Bereich des Nationalen IT-Sicherheitslagebilds ist es vor allem das Nationale IT-Lagezentrum, das die aktuelle IT-Sicherheitslage – auch als Zentrale Meldestelle für Sicherheitsvorfälle – beobachtet, beurteilt und die Bewältigung von Sicherheitsvorfällen einleitet. Der Bereich erstellt mit weiterer Auswerte- und Bewertungskapazität das langfristige und strategische Nationale IT-Sicherheitslagebild und stellt es für verschiedene Zielgruppen bereit. Eine öffentliche Darstellung findet sich im BSI-Bericht "Die Lage der IT-Sicherheit in Deutschland". Ergänzt werden diese Lage-Informationen durch Warnungen des BSI vor aktuellen Cyber-Gefahren. Je nach Anlass verteilt das BSI diese Warnungen nicht nur an Stellen des Bundes und Betreiber Kritischer Infrastrukturen, sondern auch an viele andere Anwender und Betreiber.

In besonderen Lagen und IT-Krisen wächst das Nationale IT-Lagezentrum zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme zum Nationalen IT-Krisenreaktionszentrum auf. Dabei wird es vor Ort durch eine Vielzahl – je nach Krisenlage – unterschiedlicher Expertenteams aller Abteilungen verstärkt. Damit ist ein direkter Zugriff auf das gesamte Fachwissen und das operative Fähigkeitsprofil des BSI sowie eine Durchhaltefähigkeit auch für länger andauernde Krisensituationen gewährleistet.

Eine weitere Aufgabe des Fachbereichs OC 3 ist die Konzeption und Durchführung von Penetrationstests, IS-Revisionen und Webchecks im Bereich der Informationssicherheit des Bundes und der Länder. Diese Dienstleistungen dienen dazu, Schwachstellen, sicherheitsrelevante Fehlkonfigurationen und andere Sicherheitsmängel zu erkennen und dadurch der jeweiligen Behörde dabei zu helfen, ihr Sicherheitsniveau weiter zu verbessern. Darüber hinaus unterstützt der Fachbereich OC 3 die Abteilung SZ des BSI bei der Zertifizierung von Penetrationstestern und IT-Sicherheitsdienstleistern. Um das Bewusstsein für Cyber-Gefahren zu verbessern, werden flankierend IT-Sensibilisierungsveranstaltungen, beispielsweise Hacking-Demonstrationen, durchgeführt.

Außerdem führt der Fachbereich für exponierte Personen, vor allem hochrangige Politiker, spezielle Checks durch, um diese über sie persönlich betreffende Cyber-Gefährdungen und Sicherheitsmaßnahmen zu informieren.