APUZ Dossier Bild
1|2|3|4|5|6 Auf einer Seite lesen

26.5.2002 | Von:
Reinhard Hutter

Angriffe auf Informationstechnik und Infrastrukturen

Realität oder Science Fiction?

Die IT-Sicherheit ist auch das Thema von Reinhard Hutter. Je wichtiger die elektronischen Netzwerke für alle Bereiche des Alltags werden, desto größer wird ihre Gefährdung.

Einleitung

'I Love You', 'Melissa', 'Morris Wurm' oder wie sie alle heißen: Computerviren und -attacken verursachen weltweit Milliardenschäden. 'Sie sind nur Vorboten eines massiven globalen Bedrohungspotenzials' - sagen die einen. 'Bloß ein begrenztes Sicherheitsrisiko, mit dem jede Hochtechnologie fertig werden muss' - beruhigen die anderen. Immerhin behauptet ein Insider: 'Mit zehn exzellenten Hackern und zehn Millionen Dollar kann man die USA in die Knie zwingen.' [1] Die Zahl der entdeckten Angriffe auf die Netzwerke des Pentagons stieg 1998/99 von 5 844 auf 22 144 - bei gleichzeitig verbessertem Schutz der Systeme. Experten malen bereits das Schreckgespenst eines 'Electronic Pearl Harbor' an die Wand [2] ; der frühere CIA-Chef John Deutch prognostiziert einen 'Cyber War'.


Was hat die globale Vernetzung wirklich verändert? Ihre Segnungen sind unbestritten und nicht mehr wegzudenken. Doch zugleich entstanden Bedrohungen, die ungeahnte und nicht kalkulierbare Schäden verursachen können. Die meisten z. T. lebenswichtigen Infrastrukturen - ob Bahn oder Sprach- und Datennetze, Energieversorgung oder Rettungsdienste, Banken oder Krankenhäuser - sind heute in hohem Maße von Informationstechnik und Vernetzung abhängig. Wegen ihrer diesbezüglichen Gefährdung bezeichnet man sie auch als 'Kritische Infrastrukturen'. Die damit verbundenen Risiken können sich - zumindest theoretisch - für Wirtschaftsunternehmen, die Politik oder ganze Bevölkerungsgruppen existenzbedrohend entwickeln. Sie müssen deshalb sowohl transparent als auch kalkulierbar gemacht werden.

Beides ist heute weitgehend nicht der Fall. Weder eine Dramatisierung noch Schönfärberei führen hier weiter. Was wir brauchen, ist eine nüchterne, objektive Bewertung und ein Zusammenwirken aller betroffenen Wirtschaftszweige, der Politik und der gesellschaftlichen Kräfte.

I. Ein Szenario

Freitag Nachmittag, 16.00 Uhr: Die Verkehrsleitzentrale ist voll besetzt, fast jeder hat noch ein Handy mitgebracht, das eigene oder eines bei Freunden oder Verwandten geliehen. Drei Wochen vorher, bei kleiner Besetzung, ging der plötzliche Ausfall aller Ampelanlagen einher mit einem Fehler der internen Telefonanlage (TK-Anlage), so dass eine koordinierte Reaktion kaum möglich war. Die in der folgenden Woche in einer Krisensitzung vereinbarten Verhaltensmaßnahmen helfen zwar bei der Wiederholung des Vorfalls eine Woche später - wieder ist der Grund nicht erkennbar, wieder ist nach zwei Stunden wie von Geisterhand alles im Normalzustand.

Fast alles. Obwohl nach Aussagen des Herstellers ein Abhören der TK-Anlage von außen aufgrund der gewählten Konfiguration und Sicherheitsmaßnahmen ausgeschlossen sein sollte, gab es Hinweise, dass jemand mithört. Außerdem gab es beim zweiten Mal zur gleichen Zeit weitere Vorfälle. Jeder für sich sah nach einem zufälligen Ereignis aus, und bei keinem fanden sich klare Ursachen. Letzte Woche passierte dann nichts mit den Ampeln. Aber der Stromausfall beim E-Werk hatte einen Makel: Es gab zwar ein Gewitter, und ein Forschungsinstitut der Meteorologen registrierte auch Blitze, nur keinen, der den festgestellten 'Blitzeinschlag' hätte verursachen können: kein Blitz im Umkreis von 3 km. Und den schrittweisen Ausfall aller Geldautomaten in der Innenstadt kurz danach konnte weder dieser Stromausfall noch sonst etwas 'Natürliches' erklären.

Mittwoch dieser Woche sickerte dann durch, dass ein Teil der Bankautomaten während dieser 'Abschaltung' manipuliert worden sein musste, da sich Beschwerden über nicht von den Kontoinhabern durchgeführte Bargeldabhebungen häuften. Die Presse stellte bald fest, dass dieses Problem auch in anderen Städten auftrat. Und dass es in diesen Städten während der letzten vier bis sechs Wochen gehäuft zu Ereignissen gekommen war, bei denen 'kritische Infrastrukturen' zeitweilig gestört oder manipuliert waren. Am Freitag fanden sich dann Spuren, dass ein Außenstehender sich Zugang zum zentralen Computer der Leitzentrale verschafft hatte - und Hinweise, dass für heute weitere Aktionen geplant sind. Nur was, wann und wo weiß niemand.

Der plötzliche Ausfall des Stroms im Gebäude trifft uns nicht unerwartet. Unerwartet ist aber, dass das am Morgen überprüfte und mit zusätzlichen Tanks ausgestattete Notstromaggregat nicht anspringt. Und für die Handies, die eben noch bei allen Netzen guten Empfang anzeigten, ist nur noch ein Netz schwach verfügbar und schnell hoffnungslos überlastet.

Die Medien reagieren heftig auf die Kumulation der Ereignisse. Die Unruhe in der Bevölkerung wächst. Der Druck auf die Politik und der Ruf nach Sicherheit und Ordnung werden immer gewaltiger. Doch wer soll was tun? Welche Ziele, welche Akteure stecken dahinter, kommt die Bedrohung von innen oder von außen? Ist dies bald mögliche Realität oder noch reine Science Fiction?

II. Lage und Prognose

Das 'Jahr-2000-Problem' wurde dank guter Vorsorge zum Nicht-Ereignis, obwohl viele Sicherheitsexperten gehofft hatten, dass einige spektakuläre Vorfälle die Gesellschaft aufrütteln würden - vom Normalverbraucher bis hin zum Top-Management. Die Internet-Task-Force des Innenministeriums und die von ihr bisher veröffentlichten Vorschläge oder die gemeinsame Initiative von Innenministerium, Wirtschaftsministerium und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) 'Sicherheit im Internet' [3] sind Schritte in die richtige Richtung; sie sind erste Reaktionen auf Bedrohungen von außen, aber nicht die Lösung des Grundproblems.

Sicherheitsmaßnahmen wie Firewalls, Virenschutz, Virtual Private Networks (VPNs), digitale Signaturen und Verschlüsselung sind notwendig, aber nicht hinreichend, um mit einer Situation wie der oben geschilderten umgehen und sie richtig einschätzen zu können. Es ist erforderlich, Vorkehrungen zu treffen, damit die bestehenden Bedrohungen schnell entdeckt und so umfassend bekannt werden, dass auftretende Probleme auf diese Bedrohungen zurückgeführt werden können.

Die naheliegenden 'Bedrohungen im Informationszeitalter' - angefangen bei Viren bis hin zu Lücken in Betriebssystemen, Internet-Browsern oder Chips - werden von Sicherheitsexperten weltweit mit etwa ebensoviel Energie gesucht wie von Hackern, und zunehmend von kriminellen Kräften im Hinblick auf Wirtschaftsspionage oder Terrorismus. So verschieden wie die Täter und ihre Motivation, so unterschiedlich können ihre Ziele sein. Angreifer können Bedrohungen und Schwachstellen ausnutzen; die Gegenseite wird versuchen, sie zu identifizieren und zu verstehen, sie muss davor warnen und Gegenmaßnahmen entwickeln, diese anbieten und einsetzen.

Das Problem liegt weniger darin, dass es hier keine Erfolge gibt oder dass die Informationen über Vorfälle nicht schnell und offen verfügbar sind - das Internet bietet hier vielfältige Möglichkeiten -, als vielmehr darin, dass viele die Bedrohungen zwar sehen, sie aber nicht auch auf sich und ihre eigenen Systeme beziehen.

Die Gefährdung bedingt sich aber nicht allein dadurch, dass nicht alle bekannten Schwachstellen mit bekannten Maßnahmen geschlossen werden können, sondern vor allem dadurch, dass es grundsätzlich eine hundertprozentige technische Sicherheit nicht geben kann. Gleichzeitig stellen wir fest, dass lebenswichtige Infrastrukturen immer stärker von der Informationstechnik (IT) abhängen, bis hin zu selbststeuernden, ja sogar selbst entscheidenden IT-Systemen. Als Folge davon kumulieren in komplexen vernetzten Systemen die Risiken und werden immer schwerer vorhersehbar und kontrollierbar.

Tatsache ist, dass ständig neue Schwachstellen entdeckt werden, dass durch Einführen neuer Komponenten in Soft- und Hardware, selbst durch Änderungen der Dienste, die man nutzt, z. B. Telekommunikation, Internet-Provider, Web-Server, neue Schwachstellen entstehen. Gleichzeitig werden auf Seiten der Angreifer ständig neue Verfahren entwickelt und ausprobiert. Die zunehmende Komplexität der Systeme, hohe Innovationsraten, gegenseitige Abhängigkeiten und ihre Verzweigung in alle gesellschaftlichen, wirtschaftlichen und politischen Bereiche lassen diese neuen Risiken möglich werden, ja sie animieren geradezu, ständig neue Angriffsformen auszuprobieren.

Verschärft werden sich aber auch und vor allem die Abhängigkeiten von wenigen Hardware- und Software-Lieferanten auswirken, die sich über das Marktmonopol zu einem Machtmonopol entwickeln können. Die Abhängigkeit von der Versorgung, z. B. mit Speicherchips, ist die eher noch harmlose Seite der Medaille. Diffiziler wird die Sache, wenn man nicht mehr weiß, was eigentlich alles in die Hard- und Software 'eingebaut' ist. Aus diesem Grunde hat z. B. die EU eine eigene 'Kryptopolicy' gegenüber den USA formuliert.

Zusätzliche Schwächen entstehen durch die Vernetzung über die Grenzen hinweg, die sowohl die Lokalisierung und Identifizierung von Tätern wie auch die Strafverfolgung erschwert bis unmöglich macht. Diese Fakten müssen in das Bewusstsein aller Anwender eingeprägt werden wie das alltägliche Gefährdungsrisiko bei Teilnahme am Straßenverkehr. Erst dann wird es gelingen, geeignete Maßnahmen auf den Weg zu bringen, die über die klassischen und lokalen IT-Sicherheitsmaßnahmen hinausgehen. Um dieses Bewusstsein zu schaffen und uns rechtzeitig auf diese Entwicklungen einzustellen, sind eine Reihe von Maßnahmen notwendig. Was andere Länder hier schon tun und was bisher in Deutschland geschieht [4] , beschreiben die nächsten Kapitel. Der Artikel endet mit Vorschlägen, wie diese Arbeit in Deutschland fortgeführt und intensiviert werden sollte.

III. Sicherheitsmaßnahmen in anderen Ländern

1. Die Situation in den USA



Die USA sind 'extrem verwundbar durch elektronische Attacken' [5] . Der Grund für diese Verletzlichkeit liegt hauptsächlich in der Abhängigkeit der verschiedenen Infrastrukturen von Computernetzwerken. Am 13. 10. 1997 hat die Presidential Commission on Critical Infrastructure Protection (PCCIP) ihren Abschlussbericht 'Critical Foundations' vorgelegt, aus dem hervorgeht, wie wichtig es ist, die kritischen Infrastrukturen zu schützen [6] . Bewertet werden die Infrastruktur-'Branchen' Information und Kommunikation, Banken- und Finanzwesen, Elektrizität-, Gas- und Ölversorgung, Verkehr und Transport, Wasserversorgung, Notfalldienste sowie die Systeme der Regierung und Verwaltung. Es wird dringend empfohlen, dass all diese Bereiche bei der Entwicklung entsprechend signifikanter Schutzmaßnahmen zusammenwirken.

Die Veröffentlichung der Presidential Decision Directive (PDD) 63 am 22. 5. 1998 diente dazu, die durch den Abschlussbericht der PCCIP gewonnenen Resultate in die Tat umzusetzen. Bis Ende des Jahres 2000 soll die Bereitschaft, gegen Attacken entsprechende Gegenmaßnahmen einzuleiten, vorhanden sein; das wohl weitaus ehrgeizigere Ziel aber ist, bis Mai 2003 einen weitgehenden Schutz der kritischen Infrastrukturen zu erreichen. Der am 7. 1. 2000 vorgelegte Bericht 'National Plan for Information Systems Protection (Version 1.0)' beschreibt, wie ein umfassender Schutz dieser Bereiche innerhalb dieser Frist erreicht werden kann; er ist auch eine Aufforderung an alle betroffenen 'Branchen', sich an dem Programm zu beteiligen, und er bietet dazu den organisatorischen und finanziellen Rahmen auf Seiten der US-Regierung. Dieser Plan beinhaltet drei Ziele: 1. 'Vorbereiten und Verhindern' 2. 'Entdecken und Reagieren' sowie 3. 'Aufbau solider Grundlagen', ferner zehn Programme zur Erreichung dieser Ziele.

Hinsichtlich des ersten Ziels 'Vorbereiten und Verhindern' sind insbesondere Maßnahmen zu nennen, die darauf abzielen, die Interdependenzen der Infrastrukturen aufzuzeigen und die Schwachstellen in den Systemen zu beseitigen.

Zum zweiten Ziel 'Entdecken und Reagieren' zählen zum einen die Intrusion Detection Systems (IDS) - Systeme, die dazu dienen, Angriffe zu erkennen und unberechtigtes Eindringen aufzudecken. Diese IDS sollen auf Regierungsseite so vernetzt werden, dass ein sog. Federal Intrusion Detection Network (FIDNet) zur schnellen Entdeckung und leichteren Lokalisierung von Angriffen entsteht. Sobald eine Anomalie erkannt wird, werden entsprechende Maßnahmen eingeleitet und andere Behörden hiervon in Kenntnis gesetzt. Mechanismen sind zu entwickeln, um auf diese Angriffe mit entsprechenden Gegenmaßnahmen zu antworten, z. B. die Lokalisierung und Verfolgung von Angriffen. Beim dritten Ziel, dem 'Aufbau solider Grundlagen', handelt es sich zum einen um eine Gesetzgebung, die Gelder für die Umsetzung dieser Vorhaben bereitstellt: Im Jahr 2000 sind Ausgaben von 1,737 Mrd. US-Dollar vorgesehen. Zum anderen sollen Spezialisten für die IT-Sicherheit ausgebildet und eingestellt werden, womit auch den Bildungsstätten eine besondere Aufgabe zuteil wird.

Die zehn Programmpunkte umfassen u. a. die gemeinsame Nutzung von Informationen, den Aufbau von Fähigkeiten zur besseren Informationsgewinnung und Gegenreaktion, Forschungs-, Ausbildungs- und Öffentlichkeitsprogramme so-wie die notwendige Anpassung von Gesetzgebung und Strafverfolgung.

2. Die Situation in Europa



Bisher haben sich nur relativ wenige Staaten, unter ihnen in Ansätzen auch Deutschland, dazu veranlasst gesehen, Einrichtungen zu etablieren, die ihre Aufmerksamkeit dem Schutz der kritischen Infrastrukturen widmen. Die EU-Kommission hat begonnen, sich mit der Thematik zu befassen (vgl. unten Kap. V, 6).

Skandinavien



Sowohl Finnland als auch Norwegen sind im Begriff, sich mit dem Schutz der kritischen Infrastrukturen zu befassen, zumindest sind sie auf die Gefahren aufmerksam geworden. In Finnland hat z. B. das Finanzministerium auf Cyberkriminalität und Cyberbedrohungen hingewiesen und neue bzw. schärfere Gesetze in diesem Zusammenhang gefordert. Norwegen ist schon einen Schritt weiter. Das Parlament hat unter Vorsitz des ehemaligen Premierministers Kaare Willoch ein spezielles Komitee damit beauftragt, eine Analyse der Verletzlichkeiten und des Schutzes der kritischen Infrastrukturen durchzuführen. Schutz und Verteidigung der Infrastrukturen sind in Schweden stark militärisch geprägt. Die Gefahren sind offensichtlich erkannt; 1997/98 wurden zwei Berichte mit Empfehlungen zum Rundumschutz der schwedischen Infrastrukturen verfasst. An der Entwicklung entsprechender Maßnahmen ist das Schwedische National Defense College beteiligt.

Die Situation in Dänemark beschränkt sich hauptsächlich auf den Schutz der Netzwerke der Regierung. Hierfür ist das 1995 gegründete Danish Government IT Security Council im Ministerium für Forschung und IT zuständig. Meldungen über einen Bericht, der die Gefahren des Internets aufzeigen soll, sind ein Indiz dafür, dass auch Dänemark mit dem Schutz der kritischen Infrastrukturen ernst machen will.

Spanien



Über Spanien sind keine Bestrebungen bekannt, seine Infrastrukturen ausreichend zu schützen. Das dort vorhandene Rapid Alert Network dient nur der Überwachung der Systeme in der Regierung bzw. der öffentlichen Verwaltung. Die jeweiligen Netzwerke werden systematisch nach schädlichen Programmen (Viren, Trojanischen Pferden, Worms etc.) durchsucht.

Großbritannien



Hier ist das National Infrastructure Security Coordination Centre (NISCC) mit dem Schutz der Infrastrukturen beauftragt worden. Es soll die vorhandenen Bestrebungen in den verschiedenen Ministerien, Ämtern und im Privatsektor koordinieren. Die erhöhte Achtsamkeit gegenüber Informationsangriffen, Maßnahmen zum Schutz davor und die Einleitung entsprechender Gegenmaßnahmen sind weitere Ziele des NISCC. Das Forum Information Assurance Advisory Council (IAAC) wird von Infrastrukturbetreibern gesponsert; es arbeitet an Studien zum Infrastrukturschutz.

Italien/Frankreich



Obwohl Italien und Frankreich zu den weltweit führenden Wirtschaftsnationen zählen, ist man dort mit dem Schutz der Infrastrukturen nicht sehr intensiv beschäftigt. Zwar sind in den Geheimdiensten IT-Sicherheitsorganisationen vorhanden, jedoch mit dem Schutz der kritischen Infrastrukturen ist noch keine Stelle beauftragt worden. Auch hier begnügt man sich bisher mit dem Schutz der Systeme der Regierung bzw. der öffentlichen Verwaltung. Es handelt sich hierbei um die Autorità per l'Informatica nella Pubblica Amministrazione (AIPA) in Italien und das Service Central de la Securité des Systèmes Informatiques (SCSSI) in Frankreich. Erwähnenswert ist, dass in den Regierungssystemen nur Open-Source-Produkte benutzt werden: Software, deren Quellcode öffentlich zugänglich und damit transparent und gegen Sicherheitsfallen besser gewappnet ist.

Schweiz



In der Schweiz findet man wohl die am weitesten organisierte Einrichtung in Europa, die ihre Aufmerksamkeit dem Schutz der kritischen Infrastrukturen widmet, nämlich die 'Stiftung InfoSurance' [7] . Sie wird von den Firmen gefördert, die die Infrastrukturen 'in ihren Händen' halten. Sie setzt sich aus Mitgliedern der Wirtschaft, Verwaltung und Wissenschaft zusammen. Sensibilisierung und Koordination zwischen den Verantwortlichen der IT-Sicherheit zählen derzeit zu den Hauptaufgaben. In den folgenden Jahren kommen die Erkennung von Schwachstellen und deren Schutz hinzu. Präventivmaßnahmen, Frühwarnsysteme und die Erstellung von Notfallplänen gehören zu den weiteren Zielen. Die Arbeiten der Stiftung werden über Beiträge der Mitglieder finanziert. Das Budget für einen Zeitraum von vier Jahren beträgt nur 4,5 Mio. SFr. Allerdings hat der 'Bereich für IuK' des Bundesamtes für wirtschaftliche Landesversorgung weitere Unterstützung in Aussicht gestellt.

IV. Deutschland

Obwohl Deutschland kein ganz so attraktives Ziel für kriminelle Organisationen oder Terroristen ist wie die USA es sind, kann es sich nicht leisten, den Schutz der Infrastrukturen weniger ernst zu nehmen. Bereits relativ früh wurde auf politischer Ebene durch eine 1995 beschlossene Enquete-Kommission auf IT-Sicherheitsrisiken hingewiesen [8] .

Unmittelbar nach der Veröffentlichung des PCCIP-Berichtes der USA hat der damalige Innenminister Manfred Kanther das Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt, eine ähnliche Analyse der kritischen Infrastrukturen durchzuführen. Die Federführung der Initiative 'Kritische Infrastrukturen' (KRITIS) liegt beim BMI. Die nachgeordnete Arbeitsgruppe des BSI [9] hat unter Mitwirkung aller möglicherweise betroffenen Bundesressorts schließlich dem BMI den Abschlussbericht vorgelegt. Er beinhaltet Vorschläge für Maßnahmen ähnlich denen der USA. Obwohl der Bericht immer noch nicht veröffentlicht wurde und mit der Veröffentlichung laut BMI auch noch nicht zu rechnen ist, sind einige Empfehlungen schon erkennbar, so die Einrichtung einer zentralen Virenmeldestelle.

Nachdem eine Reihe von namhaften Unternehmen wie Yahhoo.com, CNN.com, Ebay.com, ZDNet.com und Amazon.com Opfer von DDoS-Attacken [10] wurden, hat Innenminister Otto Schily im Frühjahr eine Internet-Task-Force ins Leben gerufen. An dieser Task-Force sind zwölf ständige Mitglieder aus verschiedenen Ministerien (Innen, Justiz, Wirtschaft), dem BSI und dem Bundeskriminalamt (BKA) beteiligt. Zu ihren Kernaufgaben zählt die Analyse der Schwachstellen in Deutschland. Ihr erstes Ergebnis war die Bereitstellung von Maßnahmenkatalogen zum Schutz von PCs bzw. von Systemen sowohl für den Privatanwender als auch für Systemadministratoren. Vorwiegend werden technische Maßnahmen empfohlen, die vor schädlichen Programmen bzw. vor Attacken bisher bekannt gewordener Art schützen.

Die dritte Einrichtung, die sich dem Schutz kritischer Infrastrukturen widmet, ist der Arbeitskreis 'Schutz kritischer Infrastrukturen' (AKSIS), gegründet auf Initiative der Firma IABG und des Verteidigungsministeriums [11] . In diesem Kreis sind Energieversorger, Telekommunikationsanbieter, Bahn- und Luftverkehr, Banken, kommunale Verwaltungen, interessierte Bundesländer und Bundesressorts, das BSI, Sicherheitsdienste, Forschungseinrichtungen u. v. m. vertreten. Was zunächst als freiwilliger Informations- und Erfahrungsaustausch begann, entwickelt sich mehr und mehr zu dem interdisziplinären Forum für kritische Infrastrukturen in Deutschland. Sobald eine politische Grundsatzentscheidung getroffen ist, steht dieser Kreis im Prinzip auch für die Erarbeitung und Umsetzung eines konkreten übergreifenden Programms zur Verfügung. Die Abstimmung mit KRITIS oder ggf. einer Nachfolgeorganisation ist gewährleistet.

V. Ein Programm zum 'Schutz Kritischer Infrastrukturen'

Gehen wir von der leider nur theoretischen Annahme aus, dass jedes sicherheitsbewusste Unternehmen, jede öffentliche Behörde für sich IT-Sicherheitsprogramme und entsprechende Schutzvorkehrungen etabliert hat. So weit so gut. Allerdings haben weiträumige Vernetzung und die gegenseitigen Abhängigkeiten von Infrastrukturen ein Ausmaß erreicht, bei dem Einzelmaßnahmen oft nicht mehr ausreichen: Eine Bank funktioniert nur mit einem weltweit sicheren Datennetz und die Bahn nur mit einer entsprechenden Stromversorgung, ein Großflughafen ist nur mit hochkomplexen, vernetzten DV-Verfahren arbeitsfähig. Betriebe und ganze Branchen sind von Infrastrukturen abhängig, die andere bereitstellen, und fast alles hängt mit Informationstechnik - Rechnern, Software und Netzen - zusammen.

Es wird deshalb ein gemeinsames Schutzprogramm aller Beteiligten und potenziell Betroffenen - also Firmen, Branchen, Verbände, Sicherheitsdienste, öffentliche Verwaltung, Politik, Forschung und Medien - notwendig. In anderen Ländern ist diese Erkenntnis z. T. schon weiter fortgeschritten als in Deutschland. Die Initiative des damaligen Innenministers Kanther im Herbst 1997 war ein wichtiger erster Schritt auf Bundesebene. Viel hat sich seither in Deutschland allerdings nicht bewegt.

1. Eine Strategie



Eine konzertierte Aktion von Wirtschaft, Politik und Verwaltung wird immer dringlicher. Ein Grundkonsens muss unter den potenziell Beteiligten und Betroffenen herbeigeführt werden. Gemeinsam und rechtzeitig müssen wir Ziele definieren und uns auf das frühe Erkennen, die schnelle Abwehr und Schadensbegrenzung vorbereiten. In einer gemeinsamen, von einem sicherheitspolitischen Willen und Entschluss getriebenen Initiative müssen Wirtschaft und Politik, Öffentliche Verwaltung und Sicherheitsdienste, Verbände und gesellschaftliche Kräfte ein Aktionsprogramm definieren und etablieren, mit dem wir uns der veränderten Situation stellen (siehe Abbildung).

Die Bundeswehr hat sich schon seit den siebziger Jahren mit IT-Sicherheit und seit etwa fünf Jahren mit Informationskriegsführung und 'Informationsoperationen' intensiv befasst [12] . Die zivile Seite ist demgegenüber relativ unvorbereitet. Einem gezielten, weltweit organisierten massiven Angriff auf das Datennetz einer Großbank z. B. können wir heute weder institutionell noch technisch (ausreichend schnell) begegnen. Auch wissen wir nicht, ab welchem Eskalationsgrad eigentlich wer zuständig ist: Der betroffene Betrieb, die Polizei oder gar die Bundeswehr?

2. Information



Zunächst müssen wir also erst einmal in Erfahrung bringen, welche IT-Strukturen durch realistisch anzunehmende Attacken wie verwundbar sind. Verwundbarkeiten und Risiken müssen kontinuierlich bewertet, die Informationen unter den Betroffenen über ein vertrauliches und vertrauenswürdiges Sicherheitsnetzwerk entsprechend ausgetauscht werden. Das Wissen über die gegenseitigen Abhängigkeiten der Infrastrukturen ist zu verbessern. Gleiches gilt für die gegenseitige Information über konkrete Vorfälle, über deren Auswirkungen sowie über die Wirksamkeit von Gegenmaßnahmen.

Doch wer teilt schon gerne seine Probleme und Schwachstellen anderen mit? Eine erste vertrauensbildende Maßnahme könnte daher ein Informationssystem sein, in das alle Partner anonymisiert Vorfälle melden und alle wiederum auf diesem anonymisierten Weg von den Erfahrungen anderer profitieren können. Ebenso dient die Verwendung vergleichbarer Methoden und Standards bei der Bewertung von Sicherheitsrisiken und der Einführung eines geeigneten Risiko-Managements dem besseren gemeinsamen Problemverständnis, der Bildung eines Kosten-Nutzen-Bewusstseins zu Sicherheitsmaßnahmen, der Kooperation bzw. der Verfolgung abgestimmter Schutzkonzepte innerhalb einer gemeinsamen Strategie. Es ist als außerordentlich problematisch zu bezeichnen, dass im Jahr 2000 die Hälfte aller befragten Unternehmen keine (Sicherheits-)Audits durchführen. Diese im Rahmen einer umfangreichen Studie [13] gefundenen Schwachstellen im Sicherheitsbewusstsein und -handeln gilt es zu beseitigen.

Erfahrungsgemäß werden auch eine strengere Überwachung und Strafandrohung Angriffe nicht generell verhindern können. Neben Frühwarnung, Verfolgung und Krisenreaktion sind daher auch auf der Infrastrukturseite Verbesserungen wie fehlertolerante oder schadensresistente Strukturen notwendig. Die Möglichkeiten des Missbrauchs sind bereits bei der Produktentwicklung zu erkennen und zu berücksichtigen.

Aus einer staatlich-privaten Informations- und Kooperationspartnerschaft können schließlich entsprechende gemeinsame Versuche und Experimentalprogramme entstehen.

3. Warnung und Krisenreaktion



In einer weiteren Ausbaustufe können sich aus Informationszentren Lagezentren entwickeln, welche zeitnah Angriffsindikatoren und konkrete Vorfälle dokumentieren und über entsprechende Möglichkeiten der Alarmierung und Reaktion verfügen. Über verbreitete Standards zur Angriffserkennung (Intrusion Detection, Identifizierung von bösartigen Programmcodes, Methoden zur Rückverfolgung von Tätern usw.) sowie über ein geregeltes Meldeverfahren beteiligen sich die Mitglieder aktiv an der Erstellung und der Fortschreibung der aktuellen Lage.

Zunächst könnte eine solche Institution beratend-empfehlende Aufgaben wahrnehmen, im Zuge der Weiterentwicklung der Vertrauensbasis könnte sie aber auch aktiv im Sinne eines Krisenstabs in das Geschehen eingreifen und nach vereinbarten Regeln Schutz- und Gegenmaßnahmen sowie gegenseitige Hilfe einleiten, z. B. durch enge Zusammenarbeit lokaler Sicherungsmannschaften sog. CERTs (Computer Emergency Response Teams). Bereitstellen und Aktivieren von Mitteln für die Wiederherstellung der geschädigten Infrastruktur gehören ebenso zu den Aufgaben von Krisenzentren wie die gezielte Rückverfolgung und Identifizierung von Tätern.

Spätestens hier stellen sich Fragen nach regionalen und überregionalen Organisationsformen, nach Kompetenzen und Zuständigkeiten auf staatlicher Seite, auf privatwirtschaftlicher Seite und ggf. in einer staatlich-privaten Partnerschaft.

4. Politik und Rechtslage



Grundsätzlich sind Maßnahmen, welche die Lebensgrundlagen der Bevölkerung gefährden, völkerrechtlich gesehen kriegerische Handlungen. Es sollte allerdings nicht erst zum Äußersten kommen, um festzustellen, dass die Zuständigkeiten von Behörden und Organisationen mit sicherheitsrelevanten Aufgaben (BOS) für den Fall von Informationsangriffen nicht geregelt sind. Auch ist nicht klar, ab welcher Bedrohung welche Gegenmaßnahmen eingeleitet werden und welches Eskalationsschema greift - ganz zu schweigen von ggf. notwendigen Konsultationsprozeduren im internationalen Umfeld z. B. zu Nachbarländern, innerhalb der EU oder der NATO. Noch verzwickter kann die Situation werden, wenn massive Angriffe offensichtlich oder anscheinend in einem befreundeten Land ihren Ursprung haben. Und welche Zuständigkeiten haben in komplexen bedrohlichen Fällen die diversen Bundesressorts - Inneres, Äußeres, Wirtschaft, Verkehr, Verteidigung, Umwelt, die Länder, die Kommunen? Nach welchen Regeln wird verfahren?

Die Sicherheit unserer Infrastrukturen ist zu einem wichtigen Aktionsfeld politischen Handelns geworden: Wir müssen unsere Fähigkeiten verbessern und institutionalisieren, um die Absichten zur Ausnutzung der Informationstechnik für feindliche oder demokratiegefährdende Aktionen zu erkennen, zu beurteilen, zu verhindern oder, wenn es sein muss, zu bekämpfen. Dem Abwandern der rechtsradikalen Szene auf US-amerikanische Web-Server beispielsweise steht die deutsche Politik und Strafverfolgung hilflos gegenüber. Die Strafgesetze und die Mittel der Exekutive sind anzupassen und zu stärken. Die internationale Kooperation ist zu verbessern. Gleichzeitig sind auch die Chancen der Informationstechnologie besser zu nutzen, insbesondere die des Internets vor allem zur präventiven Strafverfolgung. Schließlich sind nach entsprechendem Regierungsbeschluss die Ressort-Federführung festzulegen, die Aufgaben zu organisieren und zu verteilen sowie Haushaltsmittel für ein Programm 'Schutz Kritischer Infrastrukturen' einzuplanen.

Bei aller Notwendigkeit zur Überwachung, Meldung, ggf. von Eingriffen in geschützten Sphären ist darauf zu achten, dass die Rechte aus dem Datenschutz und sonstige bürgerliche Freiheitsrechte, das 'Recht auf informationelle Selbstbestimmung' so wenig wie möglich eingeschränkt werden.

5. Öffentlichkeitsarbeit und Sensibilisierung



Sicherheit kostet Geld [14] . Sicherheit ist nur in den seltensten Fällen ein Kriterium, das sich direkt in Umsatz, Gewinn oder sonstige positive Erfolgsfaktoren umsetzen lässt. Sicherheit macht in der Regel Negativschlagzeilen - kurzum, das Thema ist allgemein unbeliebt. Beim richtigen Umgang damit können Sicherheit und Schutz aber sehr wohl auch als Erfolg dargestellt werden. Es wird daher dringend empfohlen, das Thema 'Schutz Kritischer Infrastrukturen' sowohl auf politischer wie wirtschaftlicher Ebene zur Chefsache zu machen. Notwendig ist auch eine stärkere Ausrichtung von Forschung und Ausbildung auf diese Thematik, unterstützt durch gezielte Forschungsaufträge zu Schlüsselthemen wie Intrusion Detection oder Code-Analyse.

Die Energie von Hackern kann in solchen Programmen durchaus positiv genutzt werden [15] , wie beispielsweise die Personalrekrutierung des CIA zeigt; schließlich müssen auch die Medien wesentlich intensiver als bisher für die Aufklärung und einen Bewusstseinsprozess in der Bevölkerung mobilisiert werden. IT-Sicherheit muss Bestandteil des Alltagsverhaltens bei der Nutzung von Datensystemen werden.

6. Internationale Kooperation



Großkonzerne arbeiten grenzüberschreitend. Gleiches gilt heute für alle größeren Infrastrukturen. Parallel zu einem nationalen Programm sind daher die Entwicklungen in den wichtigsten EU-Ländern, in der EU selbst (im Rat und in der Kommission), in den USA und in der NATO aufmerksam zu verfolgen, ggf. mitzugestalten. Zur Zeit entstehen z. B. im IST-Programm (Information Societies Technologies) und dem 'Europe2002 Action Plan' der EU [16] erste Projekte zum Thema 'Critical Infrastructure Dependability and Protection'. Die NATO hat ihre Information Warfare-Strategie formuliert.

Sowohl seitens der Wirtschaft als auch der Politik wird darauf zu achten sein, dass nationale Aktivitäten und Programme zum Schutz kritischer Infrastrukturen möglichst widerspruchs- und konfliktfrei insbesondere zu europäischen Initiativen bleiben. Dies gilt sowohl für Fragen der IT-Standards, für die Gesetzgebung als auch für Formen des Informationsaustauschs und der Kooperation. Als positives Beispiel sei hier der Beschluss der Regierungschefs der G8-Staaten hervorgehoben, sich mit der Thematik aus rechtlicher und technischer Sicht auseinander zu setzen [17] , ein Startpunkt für entsprechende internationale Vereinbarungen über Strafverfolgung und Rechtshilfe.
1|2|3|4|5|6 Auf einer Seite lesen

Fußnoten

1.
Arnaud de Borchgrave, Centre for Strategic and International Studies (CSIS).
2.
National Plan for Information Systems Protection Version 1, The White House, Washington 2000.
3.
Vgl. www.bsi.bund.de und www.sicherheit-im-internet.de.
4.
Vgl. u. a. die Foren der Deutschen Gesellschaft für Wehrtechnik (DWT), Chancen und Risiken des Faktors Information - Auswirkungen auf Politik, Gesellschaft, Wirtschaft und Militär, November 1997, und Information Warfare oder Information Assurance? - Szenarien, Konzepte, Methoden und Werkzeuge, November 1998.
5.
National Plan (Anm. 2).
6.
Vgl. Critical Foundations - Protecting America's Infrastructure, www.pccip.gov.
7.
Vgl. www.infosurance.ch.
8.
Vgl. Enquete-Kommission Zukunft der Medien und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft, vierter Zwischenbericht zum Thema Sicherheit und Schutz im Netz vom 22. Juni 1998.
9.
Vgl. Anm. 3.
10.
Distributed Denial of Service-Attacken werden auf mehreren Rechnern gestartet. Der Sinn und Zweck dieser Attacken besteht darin, das Opfer (Server) mit vielen gleichzeitigen Internet-Anfragen zum Absturz zu bringen.
11.
AKSIS: Arbeitskreis Schutz von Infrastrukturen; Kontakt: Reinhard Hutter, IABG mbH/IK, Einsteinstr. 20, 85521 Ottobrunn, Tel. 089/60 88-25 24; Fax 089/60 88-24 60; E-Mail: hutter@iabg.de, Dr. Uwe Nerlich, IABG mbH/Zentrum für Europäische Strategieforschung, Einsteinstr. 20, 85521 Ottobrunn, Tel. 089/60 88-39 00; Fax: 089/60 88-22 07, E-Mail: nerlich@iabg.de.
12.
Vgl. Anm. 4 sowie Bernt Dunker/Wolfgang Haas, Battle for Information Superiority, AFCEA EUROPE, 20. April 1999.
13.
Vgl. META Group, Enterprise Security in Deutschland, München 1999; Reinhard Hutter, Critical Infrastructures - What is new and what needs to be done, in: Armed Forces Communication and Electronic Association (AFCEA), München 1999.
14.
Vgl. Wirtschaftlichkeit der IT-Sicherheit, Studie des BSI, Bonn 1999.
15.
Böse Buben von einst wandeln sich zu Sicherheitsexperten, in: Computerwoche, Nr. 32 vom 11. 8. 2000.
16.
eEurope2002, An Information Society for All, Draft Action Plan, Commission of the European Communities, 24. 5. 2000, COM (2000) 330 final.
17.
Vgl. G8-Conference, A government/Industry dialogue on safety and confidence in cyberspace; Vorbereitung BMJ, GeschZ. 9520/9-69-6 vom 22. 3. 2000; Press Release G8-Conference, 15.-17. Mai 2000, Paris.