Die Abteilung C "Operative Cybersicherheit – Lage und CERT" des BSI nimmt die Aufgabengebiete "Lage" und "Reaktion" sowie andere damit verbundene Tätigkeiten wahr. Erkenntnisse des BSI über Cyber-Gefahren, insbesondere über Bedrohungen, Schwachstellen und Vorfälle, werden im Aufgabengebiet "Lage" erfasst, analysiert und aufbereitet. Anwender und Betreiber können diese Erkenntnisse nutzen, um sich bestmöglich vor Cyber-Gefahren zu schützen. Falls notwendig, ergreift das BSI im Rahmen des Aufgabengebietes "Reaktion" geeignete Maßnahmen, um etwa Betroffene von Cyber-Vorfällen zu warnen und – in besonderen Fällen – bei der Wiederherstellung des sicheren Betriebs zu unterstützen.

Art und Umfang der BSI-Aktivitäten im Bereich der operativen Cybersicherheit sind durch das BSI-Gesetz geregelt. Schwerpunkte sind der Schutz der Bundesverwaltung und der Kritischen Infrastrukturen. Auf diesen Gebieten arbeitet die Abteilung C eng mit den Abteilungen I "Sichere Infrastrukturen der Verwaltung" sowie W "Cyber-Sicherheit in der Wirtschaft" zusammen.

 

Fachbereiche der Abteilung C

Fachbereich C 1 - "IT-Sicherheitslage"

Der Fachbereich C 1 betreut die verschiedenen Aufgaben rund um die IT-Sicherheitslage. Im Bereich des Nationalen IT-Sicherheitslagebilds ist es vor allem das Nationale IT-Lagezentrum, das die aktuelle IT-Sicherheitslage – auch als Zentrale Meldestelle für Sicherheitsvorfälle – beobachtet, beurteilt und die Bewältigung von Sicherheitsvorfällen einleitet. Es wird ein täglicher IT-Lagebericht vorbereitet und an diverse Zielgruppen versendet. Der Bereich beobachtet die IT-Sicherheitslage zudem mittel- und langfristig und erstellt mit weiterer Auswerte- und Bewertungskapazität entsprechende Lageprodukte, wie das langfristige und strategische Nationale IT-Sicherheitslagebild, und stellt diese für verschiedene Zielgruppen bereit. Eine öffentliche Darstellung findet sich im BSI-Bericht "Die Lage der IT-Sicherheit in Deutschland".

In besonderen Lagen und IT-Krisen wächst das Nationale IT-Lagezentrum zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme zum Nationalen IT-Krisenreaktionszentrum auf. Dabei wird es vor Ort durch eine Vielzahl – je nach Krisenlage – unterschiedlicher Expertenteams aller Abteilungen verstärkt. Damit ist ein direkter Zugriff auf das gesamte Fachwissen und das operative Fähigkeitsprofil des BSI sowie eine Durchhaltefähigkeit auch für länger andauernde Krisensituationen gewährleistet.

Der Bereich der technischen und strategischen Bedrohungslage (Threat Intelligence) beschäftigt sich mit der Integration, Auswertung, Generierung, Nutzung und dem Austausch von operativen, taktischen und strategischen Informationen zu gezielten und kriminellen Angriffen weltweit, mit Priorität auf die Bundesverwaltung, Deutschland sowie auf im CERT-Bund laufende Vorfälle.

Weiterhin ist die Konzeption, Vorbereitung, umfassende Begleitung bzw. Durchführung operativer, technischer und strategischer Übungen auf nationaler und internationaler Ebene, eine wichtige Aufgabe des Fachbereichs.

Fachbereich C2 - "CERT-Bund"

Schwerpunktmäßig befasst sich der Fachbereich C2 CERT-Bund mit den Themenblöcken Warn- und Informationsdienst zu Schwachstellen und deren Patches/Updates, Reaktion und Bewältigung von IT-Sicherheitsvorfällen (Vorfallsbearbeitung) sowie Sicherheit in Internetinfrastrukturen und -diensten. Darüber hinaus stellt der Fachbereich die Verbindungsbeamten und -beamtinnen (VB) des BSI für das Nationale Cyber-Abwehrzentrum (Cyber-AZ). 

Zum ersten Themenbereich zählen neben der Bereitstellung von Informationen zu Schwachstellen und Patches (in Form von technischen Advisories für die Bundesverwaltung, öffentlich zugänglichen Kurzinformationen und BürgerCERT-Meldungen für Verbraucher und Verbraucherinnen) in besonderen Fällen auch ausdrückliche Warnmeldungen mit Gegenmaßnahmen bis hin zu Warnungen vor dem Einsatz bestimmter Produkte. Die zentrale, vertrauensvolle Koordinierung von Erkenntnissen zu neu entdeckten, bis dato unbekannten Schwachstellen in IT-Produkten mit den zuständigen Herstellern (Coordinated Vulnerability Discloure (CVD) ist ebenfalls eine zentrale Aufgabe.

Im Bereich Vorfallsbearbeitung bietet der Fachbereich durch die enge Zusammenarbeit der Referate lageangepasste und bedarfsorientierte Vorfallsunterstützung in verschiedenen Ausprägungen für seine gesetzlich definierten Zielgruppen an. Dazu zählen z.B. die Übersendung von Empfehlungs- und Hilfsdokumenten, Beratungsgespräche, technische Analysen, Vor-Ort-Einsätze oder auch spezielle Maßnahmen, wie bei massiven Internetangriffen oder Angriffen auf Industrie- und Steuerungsanlagen. 

Hinzu kommt die nationale und internationale Vernetzung mit anderen CERTs und Sicherheitsbehörden in diversen formellen (z.B. VerwaltungsCERT-Verbund mit den Bundesländer-CERTs, EU CISRT-Netzwerk, Cyber-AZ) und informellen Arbeitsgruppen (z.B. Deutscher CERT-Verbund), um sich über Hilfsmittel, Methoden, Verfahren und Vorfälle auszutauschen.

Technische Grundlagen von Internetinfrastrukturen- und Diensten sowie die Durchführung entsprechender Sicherheitsuntersuchungen – z. B. von Netzen, Diensten und sicherheitsrelevanten Komponenten – stellen einen weiteren Schwerpunkt dar. CERT-Bund entwickelt und betreibt Lösungen zur Detektion von Angriffen auf die Internetinfrastruktur sowie zur Bekämpfung von Botnetzen. Zudem erstellen wir Sicherheitsempfehlungen für Internetdienste und führen entsprechende Sicherheitsbewertungen durch.