APUZ Dossier Bild

26.5.2002 | Von:
Reinhard Hutter

Angriffe auf Informationstechnik und Infrastrukturen

Realität oder Science Fiction?

V. Ein Programm zum 'Schutz Kritischer Infrastrukturen'

Gehen wir von der leider nur theoretischen Annahme aus, dass jedes sicherheitsbewusste Unternehmen, jede öffentliche Behörde für sich IT-Sicherheitsprogramme und entsprechende Schutzvorkehrungen etabliert hat. So weit so gut. Allerdings haben weiträumige Vernetzung und die gegenseitigen Abhängigkeiten von Infrastrukturen ein Ausmaß erreicht, bei dem Einzelmaßnahmen oft nicht mehr ausreichen: Eine Bank funktioniert nur mit einem weltweit sicheren Datennetz und die Bahn nur mit einer entsprechenden Stromversorgung, ein Großflughafen ist nur mit hochkomplexen, vernetzten DV-Verfahren arbeitsfähig. Betriebe und ganze Branchen sind von Infrastrukturen abhängig, die andere bereitstellen, und fast alles hängt mit Informationstechnik - Rechnern, Software und Netzen - zusammen.

Es wird deshalb ein gemeinsames Schutzprogramm aller Beteiligten und potenziell Betroffenen - also Firmen, Branchen, Verbände, Sicherheitsdienste, öffentliche Verwaltung, Politik, Forschung und Medien - notwendig. In anderen Ländern ist diese Erkenntnis z. T. schon weiter fortgeschritten als in Deutschland. Die Initiative des damaligen Innenministers Kanther im Herbst 1997 war ein wichtiger erster Schritt auf Bundesebene. Viel hat sich seither in Deutschland allerdings nicht bewegt.

1. Eine Strategie



Eine konzertierte Aktion von Wirtschaft, Politik und Verwaltung wird immer dringlicher. Ein Grundkonsens muss unter den potenziell Beteiligten und Betroffenen herbeigeführt werden. Gemeinsam und rechtzeitig müssen wir Ziele definieren und uns auf das frühe Erkennen, die schnelle Abwehr und Schadensbegrenzung vorbereiten. In einer gemeinsamen, von einem sicherheitspolitischen Willen und Entschluss getriebenen Initiative müssen Wirtschaft und Politik, Öffentliche Verwaltung und Sicherheitsdienste, Verbände und gesellschaftliche Kräfte ein Aktionsprogramm definieren und etablieren, mit dem wir uns der veränderten Situation stellen (siehe Abbildung).

Die Bundeswehr hat sich schon seit den siebziger Jahren mit IT-Sicherheit und seit etwa fünf Jahren mit Informationskriegsführung und 'Informationsoperationen' intensiv befasst [12] . Die zivile Seite ist demgegenüber relativ unvorbereitet. Einem gezielten, weltweit organisierten massiven Angriff auf das Datennetz einer Großbank z. B. können wir heute weder institutionell noch technisch (ausreichend schnell) begegnen. Auch wissen wir nicht, ab welchem Eskalationsgrad eigentlich wer zuständig ist: Der betroffene Betrieb, die Polizei oder gar die Bundeswehr?

2. Information



Zunächst müssen wir also erst einmal in Erfahrung bringen, welche IT-Strukturen durch realistisch anzunehmende Attacken wie verwundbar sind. Verwundbarkeiten und Risiken müssen kontinuierlich bewertet, die Informationen unter den Betroffenen über ein vertrauliches und vertrauenswürdiges Sicherheitsnetzwerk entsprechend ausgetauscht werden. Das Wissen über die gegenseitigen Abhängigkeiten der Infrastrukturen ist zu verbessern. Gleiches gilt für die gegenseitige Information über konkrete Vorfälle, über deren Auswirkungen sowie über die Wirksamkeit von Gegenmaßnahmen.

Doch wer teilt schon gerne seine Probleme und Schwachstellen anderen mit? Eine erste vertrauensbildende Maßnahme könnte daher ein Informationssystem sein, in das alle Partner anonymisiert Vorfälle melden und alle wiederum auf diesem anonymisierten Weg von den Erfahrungen anderer profitieren können. Ebenso dient die Verwendung vergleichbarer Methoden und Standards bei der Bewertung von Sicherheitsrisiken und der Einführung eines geeigneten Risiko-Managements dem besseren gemeinsamen Problemverständnis, der Bildung eines Kosten-Nutzen-Bewusstseins zu Sicherheitsmaßnahmen, der Kooperation bzw. der Verfolgung abgestimmter Schutzkonzepte innerhalb einer gemeinsamen Strategie. Es ist als außerordentlich problematisch zu bezeichnen, dass im Jahr 2000 die Hälfte aller befragten Unternehmen keine (Sicherheits-)Audits durchführen. Diese im Rahmen einer umfangreichen Studie [13] gefundenen Schwachstellen im Sicherheitsbewusstsein und -handeln gilt es zu beseitigen.

Erfahrungsgemäß werden auch eine strengere Überwachung und Strafandrohung Angriffe nicht generell verhindern können. Neben Frühwarnung, Verfolgung und Krisenreaktion sind daher auch auf der Infrastrukturseite Verbesserungen wie fehlertolerante oder schadensresistente Strukturen notwendig. Die Möglichkeiten des Missbrauchs sind bereits bei der Produktentwicklung zu erkennen und zu berücksichtigen.

Aus einer staatlich-privaten Informations- und Kooperationspartnerschaft können schließlich entsprechende gemeinsame Versuche und Experimentalprogramme entstehen.

3. Warnung und Krisenreaktion



In einer weiteren Ausbaustufe können sich aus Informationszentren Lagezentren entwickeln, welche zeitnah Angriffsindikatoren und konkrete Vorfälle dokumentieren und über entsprechende Möglichkeiten der Alarmierung und Reaktion verfügen. Über verbreitete Standards zur Angriffserkennung (Intrusion Detection, Identifizierung von bösartigen Programmcodes, Methoden zur Rückverfolgung von Tätern usw.) sowie über ein geregeltes Meldeverfahren beteiligen sich die Mitglieder aktiv an der Erstellung und der Fortschreibung der aktuellen Lage.

Zunächst könnte eine solche Institution beratend-empfehlende Aufgaben wahrnehmen, im Zuge der Weiterentwicklung der Vertrauensbasis könnte sie aber auch aktiv im Sinne eines Krisenstabs in das Geschehen eingreifen und nach vereinbarten Regeln Schutz- und Gegenmaßnahmen sowie gegenseitige Hilfe einleiten, z. B. durch enge Zusammenarbeit lokaler Sicherungsmannschaften sog. CERTs (Computer Emergency Response Teams). Bereitstellen und Aktivieren von Mitteln für die Wiederherstellung der geschädigten Infrastruktur gehören ebenso zu den Aufgaben von Krisenzentren wie die gezielte Rückverfolgung und Identifizierung von Tätern.

Spätestens hier stellen sich Fragen nach regionalen und überregionalen Organisationsformen, nach Kompetenzen und Zuständigkeiten auf staatlicher Seite, auf privatwirtschaftlicher Seite und ggf. in einer staatlich-privaten Partnerschaft.

4. Politik und Rechtslage



Grundsätzlich sind Maßnahmen, welche die Lebensgrundlagen der Bevölkerung gefährden, völkerrechtlich gesehen kriegerische Handlungen. Es sollte allerdings nicht erst zum Äußersten kommen, um festzustellen, dass die Zuständigkeiten von Behörden und Organisationen mit sicherheitsrelevanten Aufgaben (BOS) für den Fall von Informationsangriffen nicht geregelt sind. Auch ist nicht klar, ab welcher Bedrohung welche Gegenmaßnahmen eingeleitet werden und welches Eskalationsschema greift - ganz zu schweigen von ggf. notwendigen Konsultationsprozeduren im internationalen Umfeld z. B. zu Nachbarländern, innerhalb der EU oder der NATO. Noch verzwickter kann die Situation werden, wenn massive Angriffe offensichtlich oder anscheinend in einem befreundeten Land ihren Ursprung haben. Und welche Zuständigkeiten haben in komplexen bedrohlichen Fällen die diversen Bundesressorts - Inneres, Äußeres, Wirtschaft, Verkehr, Verteidigung, Umwelt, die Länder, die Kommunen? Nach welchen Regeln wird verfahren?

Die Sicherheit unserer Infrastrukturen ist zu einem wichtigen Aktionsfeld politischen Handelns geworden: Wir müssen unsere Fähigkeiten verbessern und institutionalisieren, um die Absichten zur Ausnutzung der Informationstechnik für feindliche oder demokratiegefährdende Aktionen zu erkennen, zu beurteilen, zu verhindern oder, wenn es sein muss, zu bekämpfen. Dem Abwandern der rechtsradikalen Szene auf US-amerikanische Web-Server beispielsweise steht die deutsche Politik und Strafverfolgung hilflos gegenüber. Die Strafgesetze und die Mittel der Exekutive sind anzupassen und zu stärken. Die internationale Kooperation ist zu verbessern. Gleichzeitig sind auch die Chancen der Informationstechnologie besser zu nutzen, insbesondere die des Internets vor allem zur präventiven Strafverfolgung. Schließlich sind nach entsprechendem Regierungsbeschluss die Ressort-Federführung festzulegen, die Aufgaben zu organisieren und zu verteilen sowie Haushaltsmittel für ein Programm 'Schutz Kritischer Infrastrukturen' einzuplanen.

Bei aller Notwendigkeit zur Überwachung, Meldung, ggf. von Eingriffen in geschützten Sphären ist darauf zu achten, dass die Rechte aus dem Datenschutz und sonstige bürgerliche Freiheitsrechte, das 'Recht auf informationelle Selbstbestimmung' so wenig wie möglich eingeschränkt werden.

5. Öffentlichkeitsarbeit und Sensibilisierung



Sicherheit kostet Geld [14] . Sicherheit ist nur in den seltensten Fällen ein Kriterium, das sich direkt in Umsatz, Gewinn oder sonstige positive Erfolgsfaktoren umsetzen lässt. Sicherheit macht in der Regel Negativschlagzeilen - kurzum, das Thema ist allgemein unbeliebt. Beim richtigen Umgang damit können Sicherheit und Schutz aber sehr wohl auch als Erfolg dargestellt werden. Es wird daher dringend empfohlen, das Thema 'Schutz Kritischer Infrastrukturen' sowohl auf politischer wie wirtschaftlicher Ebene zur Chefsache zu machen. Notwendig ist auch eine stärkere Ausrichtung von Forschung und Ausbildung auf diese Thematik, unterstützt durch gezielte Forschungsaufträge zu Schlüsselthemen wie Intrusion Detection oder Code-Analyse.

Die Energie von Hackern kann in solchen Programmen durchaus positiv genutzt werden [15] , wie beispielsweise die Personalrekrutierung des CIA zeigt; schließlich müssen auch die Medien wesentlich intensiver als bisher für die Aufklärung und einen Bewusstseinsprozess in der Bevölkerung mobilisiert werden. IT-Sicherheit muss Bestandteil des Alltagsverhaltens bei der Nutzung von Datensystemen werden.

6. Internationale Kooperation



Großkonzerne arbeiten grenzüberschreitend. Gleiches gilt heute für alle größeren Infrastrukturen. Parallel zu einem nationalen Programm sind daher die Entwicklungen in den wichtigsten EU-Ländern, in der EU selbst (im Rat und in der Kommission), in den USA und in der NATO aufmerksam zu verfolgen, ggf. mitzugestalten. Zur Zeit entstehen z. B. im IST-Programm (Information Societies Technologies) und dem 'Europe2002 Action Plan' der EU [16] erste Projekte zum Thema 'Critical Infrastructure Dependability and Protection'. Die NATO hat ihre Information Warfare-Strategie formuliert.

Sowohl seitens der Wirtschaft als auch der Politik wird darauf zu achten sein, dass nationale Aktivitäten und Programme zum Schutz kritischer Infrastrukturen möglichst widerspruchs- und konfliktfrei insbesondere zu europäischen Initiativen bleiben. Dies gilt sowohl für Fragen der IT-Standards, für die Gesetzgebung als auch für Formen des Informationsaustauschs und der Kooperation. Als positives Beispiel sei hier der Beschluss der Regierungschefs der G8-Staaten hervorgehoben, sich mit der Thematik aus rechtlicher und technischer Sicht auseinander zu setzen [17] , ein Startpunkt für entsprechende internationale Vereinbarungen über Strafverfolgung und Rechtshilfe.

Fußnoten

12.
Vgl. Anm. 4 sowie Bernt Dunker/Wolfgang Haas, Battle for Information Superiority, AFCEA EUROPE, 20. April 1999.
13.
Vgl. META Group, Enterprise Security in Deutschland, München 1999; Reinhard Hutter, Critical Infrastructures - What is new and what needs to be done, in: Armed Forces Communication and Electronic Association (AFCEA), München 1999.
14.
Vgl. Wirtschaftlichkeit der IT-Sicherheit, Studie des BSI, Bonn 1999.
15.
Böse Buben von einst wandeln sich zu Sicherheitsexperten, in: Computerwoche, Nr. 32 vom 11. 8. 2000.
16.
eEurope2002, An Information Society for All, Draft Action Plan, Commission of the European Communities, 24. 5. 2000, COM (2000) 330 final.
17.
Vgl. G8-Conference, A government/Industry dialogue on safety and confidence in cyberspace; Vorbereitung BMJ, GeschZ. 9520/9-69-6 vom 22. 3. 2000; Press Release G8-Conference, 15.-17. Mai 2000, Paris.