APUZ Dossier Bild

26.5.2002 | Von:
Reinhard Hutter

Angriffe auf Informationstechnik und Infrastrukturen

Realität oder Science Fiction?

II. Lage und Prognose

Das 'Jahr-2000-Problem' wurde dank guter Vorsorge zum Nicht-Ereignis, obwohl viele Sicherheitsexperten gehofft hatten, dass einige spektakuläre Vorfälle die Gesellschaft aufrütteln würden - vom Normalverbraucher bis hin zum Top-Management. Die Internet-Task-Force des Innenministeriums und die von ihr bisher veröffentlichten Vorschläge oder die gemeinsame Initiative von Innenministerium, Wirtschaftsministerium und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) 'Sicherheit im Internet' [3] sind Schritte in die richtige Richtung; sie sind erste Reaktionen auf Bedrohungen von außen, aber nicht die Lösung des Grundproblems.

Sicherheitsmaßnahmen wie Firewalls, Virenschutz, Virtual Private Networks (VPNs), digitale Signaturen und Verschlüsselung sind notwendig, aber nicht hinreichend, um mit einer Situation wie der oben geschilderten umgehen und sie richtig einschätzen zu können. Es ist erforderlich, Vorkehrungen zu treffen, damit die bestehenden Bedrohungen schnell entdeckt und so umfassend bekannt werden, dass auftretende Probleme auf diese Bedrohungen zurückgeführt werden können.

Die naheliegenden 'Bedrohungen im Informationszeitalter' - angefangen bei Viren bis hin zu Lücken in Betriebssystemen, Internet-Browsern oder Chips - werden von Sicherheitsexperten weltweit mit etwa ebensoviel Energie gesucht wie von Hackern, und zunehmend von kriminellen Kräften im Hinblick auf Wirtschaftsspionage oder Terrorismus. So verschieden wie die Täter und ihre Motivation, so unterschiedlich können ihre Ziele sein. Angreifer können Bedrohungen und Schwachstellen ausnutzen; die Gegenseite wird versuchen, sie zu identifizieren und zu verstehen, sie muss davor warnen und Gegenmaßnahmen entwickeln, diese anbieten und einsetzen.

Das Problem liegt weniger darin, dass es hier keine Erfolge gibt oder dass die Informationen über Vorfälle nicht schnell und offen verfügbar sind - das Internet bietet hier vielfältige Möglichkeiten -, als vielmehr darin, dass viele die Bedrohungen zwar sehen, sie aber nicht auch auf sich und ihre eigenen Systeme beziehen.

Die Gefährdung bedingt sich aber nicht allein dadurch, dass nicht alle bekannten Schwachstellen mit bekannten Maßnahmen geschlossen werden können, sondern vor allem dadurch, dass es grundsätzlich eine hundertprozentige technische Sicherheit nicht geben kann. Gleichzeitig stellen wir fest, dass lebenswichtige Infrastrukturen immer stärker von der Informationstechnik (IT) abhängen, bis hin zu selbststeuernden, ja sogar selbst entscheidenden IT-Systemen. Als Folge davon kumulieren in komplexen vernetzten Systemen die Risiken und werden immer schwerer vorhersehbar und kontrollierbar.

Tatsache ist, dass ständig neue Schwachstellen entdeckt werden, dass durch Einführen neuer Komponenten in Soft- und Hardware, selbst durch Änderungen der Dienste, die man nutzt, z. B. Telekommunikation, Internet-Provider, Web-Server, neue Schwachstellen entstehen. Gleichzeitig werden auf Seiten der Angreifer ständig neue Verfahren entwickelt und ausprobiert. Die zunehmende Komplexität der Systeme, hohe Innovationsraten, gegenseitige Abhängigkeiten und ihre Verzweigung in alle gesellschaftlichen, wirtschaftlichen und politischen Bereiche lassen diese neuen Risiken möglich werden, ja sie animieren geradezu, ständig neue Angriffsformen auszuprobieren.

Verschärft werden sich aber auch und vor allem die Abhängigkeiten von wenigen Hardware- und Software-Lieferanten auswirken, die sich über das Marktmonopol zu einem Machtmonopol entwickeln können. Die Abhängigkeit von der Versorgung, z. B. mit Speicherchips, ist die eher noch harmlose Seite der Medaille. Diffiziler wird die Sache, wenn man nicht mehr weiß, was eigentlich alles in die Hard- und Software 'eingebaut' ist. Aus diesem Grunde hat z. B. die EU eine eigene 'Kryptopolicy' gegenüber den USA formuliert.

Zusätzliche Schwächen entstehen durch die Vernetzung über die Grenzen hinweg, die sowohl die Lokalisierung und Identifizierung von Tätern wie auch die Strafverfolgung erschwert bis unmöglich macht. Diese Fakten müssen in das Bewusstsein aller Anwender eingeprägt werden wie das alltägliche Gefährdungsrisiko bei Teilnahme am Straßenverkehr. Erst dann wird es gelingen, geeignete Maßnahmen auf den Weg zu bringen, die über die klassischen und lokalen IT-Sicherheitsmaßnahmen hinausgehen. Um dieses Bewusstsein zu schaffen und uns rechtzeitig auf diese Entwicklungen einzustellen, sind eine Reihe von Maßnahmen notwendig. Was andere Länder hier schon tun und was bisher in Deutschland geschieht [4] , beschreiben die nächsten Kapitel. Der Artikel endet mit Vorschlägen, wie diese Arbeit in Deutschland fortgeführt und intensiviert werden sollte.

Fußnoten

3.
Vgl. www.bsi.bund.de und www.sicherheit-im-internet.de.
4.
Vgl. u. a. die Foren der Deutschen Gesellschaft für Wehrtechnik (DWT), Chancen und Risiken des Faktors Information - Auswirkungen auf Politik, Gesellschaft, Wirtschaft und Militär, November 1997, und Information Warfare oder Information Assurance? - Szenarien, Konzepte, Methoden und Werkzeuge, November 1998.