APUZ Dossier Bild

26.5.2002 | Von:
Reinhard Hutter

Angriffe auf Informationstechnik und Infrastrukturen

Realität oder Science Fiction?

III. Sicherheitsmaßnahmen in anderen Ländern

1. Die Situation in den USA



Die USA sind 'extrem verwundbar durch elektronische Attacken' [5] . Der Grund für diese Verletzlichkeit liegt hauptsächlich in der Abhängigkeit der verschiedenen Infrastrukturen von Computernetzwerken. Am 13. 10. 1997 hat die Presidential Commission on Critical Infrastructure Protection (PCCIP) ihren Abschlussbericht 'Critical Foundations' vorgelegt, aus dem hervorgeht, wie wichtig es ist, die kritischen Infrastrukturen zu schützen [6] . Bewertet werden die Infrastruktur-'Branchen' Information und Kommunikation, Banken- und Finanzwesen, Elektrizität-, Gas- und Ölversorgung, Verkehr und Transport, Wasserversorgung, Notfalldienste sowie die Systeme der Regierung und Verwaltung. Es wird dringend empfohlen, dass all diese Bereiche bei der Entwicklung entsprechend signifikanter Schutzmaßnahmen zusammenwirken.

Die Veröffentlichung der Presidential Decision Directive (PDD) 63 am 22. 5. 1998 diente dazu, die durch den Abschlussbericht der PCCIP gewonnenen Resultate in die Tat umzusetzen. Bis Ende des Jahres 2000 soll die Bereitschaft, gegen Attacken entsprechende Gegenmaßnahmen einzuleiten, vorhanden sein; das wohl weitaus ehrgeizigere Ziel aber ist, bis Mai 2003 einen weitgehenden Schutz der kritischen Infrastrukturen zu erreichen. Der am 7. 1. 2000 vorgelegte Bericht 'National Plan for Information Systems Protection (Version 1.0)' beschreibt, wie ein umfassender Schutz dieser Bereiche innerhalb dieser Frist erreicht werden kann; er ist auch eine Aufforderung an alle betroffenen 'Branchen', sich an dem Programm zu beteiligen, und er bietet dazu den organisatorischen und finanziellen Rahmen auf Seiten der US-Regierung. Dieser Plan beinhaltet drei Ziele: 1. 'Vorbereiten und Verhindern' 2. 'Entdecken und Reagieren' sowie 3. 'Aufbau solider Grundlagen', ferner zehn Programme zur Erreichung dieser Ziele.

Hinsichtlich des ersten Ziels 'Vorbereiten und Verhindern' sind insbesondere Maßnahmen zu nennen, die darauf abzielen, die Interdependenzen der Infrastrukturen aufzuzeigen und die Schwachstellen in den Systemen zu beseitigen.

Zum zweiten Ziel 'Entdecken und Reagieren' zählen zum einen die Intrusion Detection Systems (IDS) - Systeme, die dazu dienen, Angriffe zu erkennen und unberechtigtes Eindringen aufzudecken. Diese IDS sollen auf Regierungsseite so vernetzt werden, dass ein sog. Federal Intrusion Detection Network (FIDNet) zur schnellen Entdeckung und leichteren Lokalisierung von Angriffen entsteht. Sobald eine Anomalie erkannt wird, werden entsprechende Maßnahmen eingeleitet und andere Behörden hiervon in Kenntnis gesetzt. Mechanismen sind zu entwickeln, um auf diese Angriffe mit entsprechenden Gegenmaßnahmen zu antworten, z. B. die Lokalisierung und Verfolgung von Angriffen. Beim dritten Ziel, dem 'Aufbau solider Grundlagen', handelt es sich zum einen um eine Gesetzgebung, die Gelder für die Umsetzung dieser Vorhaben bereitstellt: Im Jahr 2000 sind Ausgaben von 1,737 Mrd. US-Dollar vorgesehen. Zum anderen sollen Spezialisten für die IT-Sicherheit ausgebildet und eingestellt werden, womit auch den Bildungsstätten eine besondere Aufgabe zuteil wird.

Die zehn Programmpunkte umfassen u. a. die gemeinsame Nutzung von Informationen, den Aufbau von Fähigkeiten zur besseren Informationsgewinnung und Gegenreaktion, Forschungs-, Ausbildungs- und Öffentlichkeitsprogramme so-wie die notwendige Anpassung von Gesetzgebung und Strafverfolgung.

2. Die Situation in Europa



Bisher haben sich nur relativ wenige Staaten, unter ihnen in Ansätzen auch Deutschland, dazu veranlasst gesehen, Einrichtungen zu etablieren, die ihre Aufmerksamkeit dem Schutz der kritischen Infrastrukturen widmen. Die EU-Kommission hat begonnen, sich mit der Thematik zu befassen (vgl. unten Kap. V, 6).

Skandinavien



Sowohl Finnland als auch Norwegen sind im Begriff, sich mit dem Schutz der kritischen Infrastrukturen zu befassen, zumindest sind sie auf die Gefahren aufmerksam geworden. In Finnland hat z. B. das Finanzministerium auf Cyberkriminalität und Cyberbedrohungen hingewiesen und neue bzw. schärfere Gesetze in diesem Zusammenhang gefordert. Norwegen ist schon einen Schritt weiter. Das Parlament hat unter Vorsitz des ehemaligen Premierministers Kaare Willoch ein spezielles Komitee damit beauftragt, eine Analyse der Verletzlichkeiten und des Schutzes der kritischen Infrastrukturen durchzuführen. Schutz und Verteidigung der Infrastrukturen sind in Schweden stark militärisch geprägt. Die Gefahren sind offensichtlich erkannt; 1997/98 wurden zwei Berichte mit Empfehlungen zum Rundumschutz der schwedischen Infrastrukturen verfasst. An der Entwicklung entsprechender Maßnahmen ist das Schwedische National Defense College beteiligt.

Die Situation in Dänemark beschränkt sich hauptsächlich auf den Schutz der Netzwerke der Regierung. Hierfür ist das 1995 gegründete Danish Government IT Security Council im Ministerium für Forschung und IT zuständig. Meldungen über einen Bericht, der die Gefahren des Internets aufzeigen soll, sind ein Indiz dafür, dass auch Dänemark mit dem Schutz der kritischen Infrastrukturen ernst machen will.

Spanien



Über Spanien sind keine Bestrebungen bekannt, seine Infrastrukturen ausreichend zu schützen. Das dort vorhandene Rapid Alert Network dient nur der Überwachung der Systeme in der Regierung bzw. der öffentlichen Verwaltung. Die jeweiligen Netzwerke werden systematisch nach schädlichen Programmen (Viren, Trojanischen Pferden, Worms etc.) durchsucht.

Großbritannien



Hier ist das National Infrastructure Security Coordination Centre (NISCC) mit dem Schutz der Infrastrukturen beauftragt worden. Es soll die vorhandenen Bestrebungen in den verschiedenen Ministerien, Ämtern und im Privatsektor koordinieren. Die erhöhte Achtsamkeit gegenüber Informationsangriffen, Maßnahmen zum Schutz davor und die Einleitung entsprechender Gegenmaßnahmen sind weitere Ziele des NISCC. Das Forum Information Assurance Advisory Council (IAAC) wird von Infrastrukturbetreibern gesponsert; es arbeitet an Studien zum Infrastrukturschutz.

Italien/Frankreich



Obwohl Italien und Frankreich zu den weltweit führenden Wirtschaftsnationen zählen, ist man dort mit dem Schutz der Infrastrukturen nicht sehr intensiv beschäftigt. Zwar sind in den Geheimdiensten IT-Sicherheitsorganisationen vorhanden, jedoch mit dem Schutz der kritischen Infrastrukturen ist noch keine Stelle beauftragt worden. Auch hier begnügt man sich bisher mit dem Schutz der Systeme der Regierung bzw. der öffentlichen Verwaltung. Es handelt sich hierbei um die Autorità per l'Informatica nella Pubblica Amministrazione (AIPA) in Italien und das Service Central de la Securité des Systèmes Informatiques (SCSSI) in Frankreich. Erwähnenswert ist, dass in den Regierungssystemen nur Open-Source-Produkte benutzt werden: Software, deren Quellcode öffentlich zugänglich und damit transparent und gegen Sicherheitsfallen besser gewappnet ist.

Schweiz



In der Schweiz findet man wohl die am weitesten organisierte Einrichtung in Europa, die ihre Aufmerksamkeit dem Schutz der kritischen Infrastrukturen widmet, nämlich die 'Stiftung InfoSurance' [7] . Sie wird von den Firmen gefördert, die die Infrastrukturen 'in ihren Händen' halten. Sie setzt sich aus Mitgliedern der Wirtschaft, Verwaltung und Wissenschaft zusammen. Sensibilisierung und Koordination zwischen den Verantwortlichen der IT-Sicherheit zählen derzeit zu den Hauptaufgaben. In den folgenden Jahren kommen die Erkennung von Schwachstellen und deren Schutz hinzu. Präventivmaßnahmen, Frühwarnsysteme und die Erstellung von Notfallplänen gehören zu den weiteren Zielen. Die Arbeiten der Stiftung werden über Beiträge der Mitglieder finanziert. Das Budget für einen Zeitraum von vier Jahren beträgt nur 4,5 Mio. SFr. Allerdings hat der 'Bereich für IuK' des Bundesamtes für wirtschaftliche Landesversorgung weitere Unterstützung in Aussicht gestellt.

Fußnoten

5.
National Plan (Anm. 2).
6.
Vgl. Critical Foundations - Protecting America's Infrastructure, www.pccip.gov.
7.
Vgl. www.infosurance.ch.