BUNDESTAGSWAHL 2021 Mehr erfahren
APUZ Dossier Bild

22.5.2002 | Von:
Reinhard Hutter

"Cyber-Terror": Risiken im Informationszeitalter

II. Die zehn Risikofaktoren der Informationstechnologie

Warum wird die Informationstechnik zunehmend zu einem ernsten Risikoelement von sicherheitspolitischer Bedeutung? [2]

1. Durch die weltweite IT-Vernetzung können Angriffe mit u. U. verheerenden Folgen weitgehend unerkannt aus jedem Winkel der Erde gestartet werden. Die Urheber spektakulärer Angriffe befanden sich z. B. auf den Philippinen oder in Petersburg und verursachten Schäden im zweistelligen Milliardenbereich. Die buchstäblich grenzenlose Vernetzung macht eine Lokalisierung, Identifizierung, Rückverfolgung und Haftbarmachung von Tätern weitgehend unmöglich. Vernetzte Strukturen für Telearbeit oder Fernwartung stellen weitere Risikoquellen dar.

2. Die "Nervenstränge und Gehirne" - also die Netze und datenverarbeitenden Einrichtungen von Industriegesellschaften - sind heute fast sträflich abhängig von wenigen Großlieferanten, sowohl bezüglich wichtiger Bauelemente wie Prozessoren und Speicherchips als auch hinsichtlich der Betriebssysteme, der Standardsoftwaresysteme und der dahinter stehenden Dienste. Daraus folgt nicht nur eine Abhängigkeit bezüglich Versorgung und Verfügbarkeit von Hard- und Software-Komponenten. Es ist ein offenes Geheimnis, dass es enge Verbindungen zwischen der IT-Großindustrie und den nationalen Sicherheitsbehörden, z. B. in den USA, gibt. Es bedarf keiner besonderen Phantasie, dass hier ein Macht- und Einflusspotenzial existiert, welches aufgrund der Komplexität der Systeme nicht mehr transparent ist und das sowohl für Wettbewerbsvorteile der Wirtschaft als auch im Falle von Spannungen oder gar Krisen massiv genutzt werden kann. [3] Heute ist weitgehend nicht mehr nachvollziehbar, was alles in ein Softwaresystem "eingebaut" ist oder eingebaut werden kann. Grundsätzlich ist eine Monokultur leichter angreifbar und birgt ein höheres Schadenspotenzial als eine heterogene Vielfalt. Outsourcing bzw. Privatisierung von kompletten IT-Großsystemen und deren Diensten reduzieren darüber hinaus die Möglichkeit der Kontrolle und Überwachung durch den Staat.

3. Ein stetes Dilemma schaffen die extrem schnellen Innovationszyklen der IT-Systeme. Sie wirklich sicher zu machen, dauert häufig länger als die Entwicklung der IT-Nachfolgegeneration selbst, sodass der erstrebte Sicherheitsstandard nie erreicht wird. Wir müssen uns auch schon jetzt auf weitere, völlig neue Formen des Eindringens der IT in unsere Gesellschaft vorbereiten: Intelligente Roboter im Alltag, direkte Schnittstellen zwischen Elektronik und Nervensystemen, Leistungen der künstlichen Intelligenz, welche die des menschlichen Gehirns zumindest in Teilbereichen weit übersteigen. Wenn sich die Visionen von Zukunftsforschern auch nur zu Bruchteilen bewahrheiten, werden IT und Elektronik zum integralen Bestandteil aller Belange des täglichen Lebens und des Menschen selbst.

4. Die Komplexität der Systeme hat zu einem hohen Grad der Unüberschaubarkeit und Nicht-Beherrschbarkeit in Störfällen geführt. Sie nimmt weiter zu. Jeder von uns wundert sich schon über die Unmöglichkeit, bestimmte Abläufe bei der Handhabung eines Systems wie Windows zu verstehen oder gar zu reproduzieren. Komplexe Systeme wie Betriebssysteme oder Netzsteuerungen führen zunehmend ein "Eigenleben", das immer schwerer zu beherrschen ist.

5. IT ist allgemein verbreitet und verfügbar, IT-Systeme sind üblicherweise leicht zugänglich, sowohl IT-technisch als auch physisch. Jeder "Angreifer" kann heute schon über einen enormen Fundus verfügen: von der Kabelzange bis hin zur Bauanleitung von schädlichen Codes im Internet. Eine eigene Art der "Proliferation" hat bei der IT bereits stattgefunden und wird sich weiter fortsetzen. Digitale Waffen lassen sich ohne Aufwand beliebig vermehren und transportieren.

6. Gleichzeitig hat diese Verbreitung dazu geführt, dass die meisten unserer so genannten "Kritischen Infrastrukturen" elementar von der Verfügbarkeit und Funktionsfähigkeit der Informationstechnik abhängen. Mit geringem Aufwand können daher extrem hohe Schäden verursacht werden. Ein Hochleistungs-Waffensystem kostet einen zwei- bis dreistelligen Millionenbetrag pro Einheit (Systempreis), und es kann im Einsatz Schäden in vergleichbarer Größenordnung verursachen. Dagegen können heute Milliardenschäden durch einen einzelnen Hacker oder Virus produziert werden, wie der "I Love You-" oder andere Viren gezeigt haben. Dieses zunehmende Ungleichgewicht zwischen Mittel und Wirkung zählt zu dem so genannten asymmetrischen Verhalten in künftigen Konflikten, welches vor allem typisch ist für substaatliche Organisationen und Terrorgruppen.

7. Das Spektrum der Verwundbarkeit der IT ist sehr groß und im ständigen, schnellen Wechsel begriffen. Hackerangriffe gehören heute bereits zum Alltag. Was kaum Beachtung findet, ist die Tatsache, dass auch täglich neue Angriffswerkzeuge entstehen und neue Lücken in Betriebssystemen, Browsern oder Chips identifiziert werden. Am "Lebensgang" eines IT-Systems sind bis zu 50 verschiedene "Parteien" beteiligt: Das reicht von der Forschung über Entwicklung, Fertigung, über Handel, Betrieb und Nutzung bis hin zur Wartung. Jede dieser Parteien ist ein potenzieller Risikofaktor.

8. Das Spektrum der Angreifer, ihrer Motive und Angriffsoptionen ist somit weit gespannt und reicht vom verärgerten Mitarbeiter als Innentäter über den Fanatiker, Terroreinheiten, Industriespionage, organisiertes Verbrechen bis hin zu feindlichen Staaten. Das Spektrum der Angriffsoptionen reicht vom heute schon fast "normalen" Hackerangriff bis zur gezielten Störung oder Zerstörung eines zivilen oder militärischen Lagezentrums durch eine EMP-Bombe oder HERF-Sender (EMP = Elektro-Magnetic-Pulse; HERF = High Energy Radio Frequency).

9. Die Rechts- und Gesetzeslage sowie darauf basierende Gegen- bzw. Abschreckungsmittel stehen noch auf juristisch wie organisatorisch sehr unsicherem Boden, wenn es sich um "Cyber-Vergehen" handelt. So hat z. B. das Verbot rechtsradikaler Darstellungen im Internet dazu geführt, dass die deutsche Szene einfach auf ausländische Provider ausweicht. Die Legislative und Exekutive sind weitgehend machtlos bzw. auf freiwillige Vereinbarung mit Providern angewiesen. Die internationale Abstimmung von Rechtsnormen steckt ebenfalls noch in den Kinderschuhen, das gilt auch für die Kooperationsverfahren bei Ermittlung und Strafverfolgung von "Informationstätern".

10. Die Verantwortlichkeiten und Zuständigkeiten für den Schutz unserer Infrastrukturen insbesondere gegen terroristische Angriffe auf Netze und Computer sind ebenfalls unklar. Bundeswehr und NATO haben begonnen, die Aufgabe "Informationsoperationen" konzeptionell zu gestalten. [4] Konkrete Umsetzungsmaßnahmen sind vor allem in den USA erkennbar. [5] Doch welche Aufgaben hat z. B. die Polizei, wie wird sie ausgerüstet und wie arbeitet sie mit Wirtschaftsunternehmen und weiteren Sicherheitsdiensten, insbesondere mit Behörden und Organisationen mit Sicherheitsaufgaben (BOS), etwa Feuerwehr, Polizei, Rettungs- und Hilfsdienste, zusammen, wenn diese massiven Informationsangriffen ausgesetzt sind? Wo sind die Notfallpläne für einen IT-Angriff? Wo ist die Grenze zwischen innerer und äußerer Sicherheit; muss sie neu definiert werden oder löst sie sich auf? Brauchen wir eine IT-Aufsicht? Wird sich ein neuer Regulierungsbedarf entwickeln? Wird es einen "Cyber War" geben - wie ist er definiert, wer wird ihn austragen? Die Diskussion über neue Aufgaben der Bundeswehr wird bei stärkerer Bewusstwerdung von Szenarien mit Informationsoperationen fortgeführt werden müssen.

Fußnoten

2.
Zum Folgenden vgl. Reinhard Hutter, Risiken im Informationszeitalter, in: ebd., S. 483 ff.
3.
Vgl. Assessment of the Technologies of Political Control, STOA Report, European Parliament, Straßburg 1998, sowie zahlreiche Veröffentlichungen zu ECHELON, insbesondere im Internet (Stichwortsuche empfohlen).
4.
Vgl. Reinhard Hutter, Critical Infrastructures - What is new and what needs to be done, in: Armed Forces Communication and Electronic Association (AFCEA), München 1999; NATO-RTO Meeting, Proceedings 27: "Protecting NATO Information Systems in the 21st Century", publ. May 2000.
5.
Vgl. Clarence A. Robinson, Jr., Information Operations Sweep Across Milieu of Peace and War, in: Signal, September 1999.