Die diesjährige Cyber Defence Conference 2023 der Deutschen Gesellschaft für Wehrtechnik (DWT) am 23. und 24. Oktober 2023 widmete sich ganz dem Thema Sicherheit in der Cloud. Vortragende und Teilnehmende aus Wirtschaft und Bundeswehr kamen in Bonn zusammen, um sich über neueste Entwicklungen im digitalen Raum zu informieren und auszutauschen.
In 24 Vorträgen, 11 Postersessions und 6 Diskussionsrunden bekamen die rund 250 Teilnehmenden der zweitägigen Veranstaltung viel Input geboten. Das Maritim Hotel im alten Bonner Regierungsviertel bot mit dem Beethovensaal eine geeignete Kulisse für die fachlich anspruchsvolle Konferenz. Nach der Begrüßung des Veranstalters – Geschäftsführer der DWT, Oberst a. D. Bernd Kögel – folgten drei Kurzvorträge, um sich auf das übergeordnete Thema einzustimmen. Generalmajor Dr. Michael Färber vom Kommando Cyber- und Informationsraum berichtete vom Aufbau einer Multi-Cloud der Bundeswehr, Dr. Gerhard Schabhüser, Vizepräsident des BSI, brachte die Sichtweise seiner Behörde zum Thema Sicherheit in der Cloud ein und BWI-CDO Dr. Christian Marwitz ging auf der Cyber Defence Conference 2023 der Frage nach, wie maximale Sicherheit und Resilienz realisiert werden könne.
„Die Cloud als sichere Plattform ist machbar.“
„Es gibt keine absolute Sicherheit“, stellte Dr. Marwitz in seiner Key Note auf der Cyber Defence Conference 2023 fest, „selbst wenn wir alle Dinge wieder auf Papier schreiben und einschließen würden.“ Schließlich könne auch von innen eine undichte Stelle im Sicherheitsgefüge entstehen – egal ob an der Tür zum Aktenschrank oder in der Cloud. Bei der Entwicklung der pCloudBw, für die das BWI derzeit zuständig ist, gehe es also darum, die Hürden so hoch wie möglich zu setzen. Neben Verschlüsselungstechnologien und strikt angewandter Zero-Trust-Architektur seien das im Falle der Bundeswehr beispielsweise verlegefähige Rechenzentren – auch im Ausland.
Gleichzeitig müsse die pCloudBw viel leisten können: Herausfordernd sei beispielsweise die Interoperabilität, denn die Bundeswehr solle eben auch mit anderen Cloud-Initiativen auf nationaler (z. B. BMI, BMWi) und internationaler Ebene (z. B. EU, NATO) zusammenarbeiten können.
Sabine Kammerhofer von der Unternehmensberatung CGI Deutschland betrachtete die Möglichkeiten der Cloud wiederum optimistischer. Sie meinte: „Die Cloud als sichere Plattform ist machbar.“ Dazu müssten jedoch die nötigen Schritte gegangen werden. In ihrem Vortrag nannte Kammerhofer eine ganze Reihe an Maßnahmen, die für eine sichere Cloud notwendig seien. Von der Datensicherung, über Verschlüsselungen beim Überqueren von Schnittstellen bis zum eingesetzten Personal, welches ebenfalls qualifiziert werden müsse.
Grundlage ist für alle Maßnahmen der vom BSI definierte IT-Grundschutz. Im Abschnitt OPS 2.2 finden sich die gesetzlich vorgegebenen Bestimmungen. Hier zeige sich jedoch der Nachteil einer fehlenden Geschwindigkeit, den Sabine Kammerhofer in der anschließenden Podiumsdiskussion offen ansprach: „Technologie und Gesetze müssen gleichzeitig vorangetrieben werden, nicht erst die Gesetze und dann die Technologie.“
Von der Grundgesetzänderung zum Postervortrag
Auch in anderen Vorträgen wurde – teils direkt, teils indirekt – der rechtliche Rahmen beanstandet. So erinnerte Ramon Mörl von der itWatch GmbH beispielsweise daran, dass sogenannte Hackbacks, bei denen während eines laufenden Cyberangriffs auf den angreifenden Server eingewirkt wird, um den Angriff abzuwehren, verfassungswidrig seien. Das stimmt nur bedingt, denn nach einer Einzelfallprüfung, bei der die Verhältnismäßigkeit in Bezug auf Art. 26 GG geprüft werden muss, sind sie theoretisch möglich. Eine solche Prüfung würde jedoch zu viel Zeit kosten. Somit ist der Wunsch nach eindeutiger Legalisierung von Hackbacks verständlich. Schließlich sollte „nicht nur auf Linie verteidigt werden“, so Mörl.
Die anderen Vorträge auf der Cyber Defence Conference 2023 der DWT konzentrierten sich wieder stärker auf das übergeordnete Thema Cloud. Es wurde beispielsweise die Frage diskutiert, ob eigene Software-Lösungen sinnvoller seien als die Benutzung von bereits bestehenden Angeboten der Hyperscaler.
Eine Besonderheit der Cyper Defence Conference 2023 waren die Postervorträge. An 11 Standorten über den gesamten Veranstaltungsort verteilt, konnten sich die Teilnehmenden über verschiedene Themen auf einem oder zwei Postern informieren. Thematisch reichten die Beiträge von den vergaberechtlichen Besonderheiten bei Cloud-Dienstleistungen, über den Konflikt User Experience vs. Informationssicherheit bis zu der Frage nach der Cyber Awareness bei der Bundeswehr. Die Stellwände mit den Postern konnten in den Pausen bereits begutachtet werden. Am Nachmittag des ersten Veranstaltungstages wurden sie dann in 15-minütigen Vorträgen vorgestellt. In vier Runden fanden die Präsentationen zeitgleich statt, sodass sich die Teilnehmenden je nach Interesse aufteilen konnten.
Abschluss mit Ausblick
Nach zwei intensiven Tagen ging die Veranstaltung in Bonn zu Ende. Ein Austausch der Teilnehmenden war nicht nur einseitig – von Vortragenden zum Publikum – gegeben, sondern dank der immer nach vier Vorträgen folgenden Podiumsdiskussionen und ausreichend langen Pausen auch rückgekoppelt. Die nächste Cyber Defence Conference der deutschen Gesellschaft für Wehrtechnik mbH soll im Winter 2025 stattfinden – Thema: offen.