Das Herz der operativen Cyber-Abwehr für Deutschland

Seit Februar 2024 ist das Nationale IT-Lagezentrum des BSI in seinen neuen Räumlichkeiten in Betrieb. Die Arbeitsplätze im Lagezentrum wurden verdoppelt und die neueste Medientechnik verbaut, um im 24/7 Informationsdauerdienst die Cybersicherheitslage Deutschlands zu jeder Tages- und Nachtzeit bewerten zu können. Ein multifunktionales Raumkonzept unterstützt die Expertinnen und Experten bei der gesamten Bandbreite der anfallenden Aufgaben – vom Tagesbetrieb bis zur IT-Krise.

Betrieb rund um die Uhr

Die Cybersicherheitslage stets im Blick: Im 24/7-Betrieb werden im Nationalen IT-Lagezentrum im BSI aktuelle Beobachtungen und Vorkommnisse der Cybersicherheitslage aufgenommen und bewertet. Es verfügt jederzeit über ein verlässliches Bild der aktuellen IT-Sicherheitslage in Deutschland, um den Handlungsbedarf und die Handlungsoptionen bei IT-Sicherheitsvorfällen sowohl auf staatlicher Ebene als auch in der Wirtschaft schnell und kompetent einschätzen zu können. Die Cybersicherheitsbehörde des Bundes hat dadurch jederzeit ein umfassendes Bild über die Cybersicherheitslage in Deutschland. Dank des gut aufgestellten IT-Lagezentrums können die BSI-Expertinnen und -Experten bedrohliche Lagen wie Angriffswellen mit Schadcode frühzeitig feststellen und zeitnah sowie abgestimmt darauf reagieren.

Im Rahmen der Bürozeiten wird das Nationale IT-Lagezentrum durch BSI-Expertinnen und -Experten für die Kritischen Infrastrukturen (KRITIS) und des Computer Emergency Response Teams des Bundes (CERT-Bund) sowie durch Informationssicherheitsoffiziere des Kommandos Cyber und Informationsraum (KdoCIR) unterstützt. Außerhalb der Bürozeiten gehen CERT-Bund und KRITIS in Rufbereitschaft und die Zusammenarbeit mit dem KdoCIR erfolgt über die etablierten Schnittstellen zwischen beiden Behörden. Im Nationalen IT-Lagezentrum, als zentrale Meldestelle des BSI, laufen zudem diverse gesetzlich festgeschriebene, aber auch freiwillige Meldestellen zusammen, so dass Betroffenheiten in den Zielgruppen schnell identifiziert und auch Gemeinsamkeiten sowie ähnlich gelagerte Bedrohungen erkannt und bearbeitet werden können. Die Meldestellen werden durch eine aktive Lagebeobachtung (Medienbeobachtung, Recherche in ca. 400 öffentlichen Quellen und eigene Sensorik, etc.) ergänzt.

Zur Reaktion auf besondere IT-Lagen (schwere Cyber-Sicherheitsvorfälle) und IT-Krisen geht das Nationale IT-Krisenreaktionszentrum als Besondere Aufbauorganisation (BAO) aus dem Nationalen IT-Lagezentrum  und CERT-Bund hervor.

---

Ist das ein Angriff?

Spannender Alltag in der Schaltzentrale des BSI: Eine Meldung einer neuen Schadsoftware trifft ein, zeitgleich schlagen Analysesysteme an. Erste Betroffene melden Unregelmäßigkeiten. Was ist das Ziel der Software? Welche Schäden sind zu erwarten? Wer kann damit zum Opfer eines Cyberangriffs werden? Im IT-Lagezentrum wird die breite Expertise des BSI gebündelt, von hier aus wird die Reaktion der Cybersicherheitsbehörde des Bundes koordiniert: IT-Spezialisten aus den unterschiedlichsten Fachrichtungen analysieren gemeinsam die Bedrohungen und entwickeln Gegenmaßnahmen. Cyberbedrohungen enden nicht an Landesgrenzen: Aktuelle Informationen und Bewertungen werden in etablierten Prozessen auch gemeinsam mit nationalen und internationalen Partnern (u.a. NATO-Partner) ausgetauscht.

Lage erkannt – angemessen reagieren

Während die Erkenntnisse unmittelbar in den Schutz der Regierungsnetze einfließen, werden zugleich passende Handlungsempfehlungen für unterschiedliche Zielgruppen vorbereitet. Durch geeignete Verteilmechanismen können diese zeitnah und zielgerichtet versendet werden. Parallel werden öffentliche Warnungen ausgesprochen und die breite Öffentlichkeit informiert. Neben IT-Profis in Kritischen Infrastrukturen oder der Bundesverwaltung müssen auch kleinere Unternehmen sowie Verbraucherinnen und Verbraucher mit geeigneten Informationen beim Schutz ihrer Systeme unterstützt werden. Je nach Bedrohungslage und Betroffenheit können weitere Akteure wie das Mobile Incident Response Team (MIRT) oder das Nationale Cyber-Abwehrzentrum eingebunden werden.

In besonders schweren Fällen wächst das Lagezentrum zum Nationalen IT-Krisenreaktionszentrum auf. Dort arbeiten Spezialisten verschiedener Fachgebiete eng zusammen, um in einer Krisensituation zügig wieder den Normalzustand herbeiführen zu können.

Aus dem IT-Lagezentrum in die Fachabteilungen

Ist die Erstreaktion vollzogen, fließen die neuen Erkenntnisse in die langfristige Arbeit des BSI ein: Können die Ergebnisse in IT-Grundschutz-Empfehlungen aufgenommen werden? Müssen Technische Richtlinien und Zertifizierungsverfahren angepasst werden? An welcher Stelle müssen Beratungsprozesse ergänzt werden? Das Nationale IT-Lagezentrum liefert mit seinen kontinuierlichen Erkenntnissen aus der Lagebeobachtung einen wichtigen Beitrag, damit das BSI seine gestaltende Rolle für die Cybersicherheit Deutschlands wahrnehmen kann.