BUNDESTAGSWAHL 2021 Mehr erfahren
APUZ Dossier Bild

22.5.2002 | Von:
Reinhard Hutter

"Cyber-Terror": Risiken im Informationszeitalter

VI. Schutz- und Abwehrmaßnahmen

Im internationalen Umfeld sind hier die USA mit ihren militärischen und zivilen Programmen am weitesten. [9] Tausende von Mitarbeitern mit Milliardenbeträgen sind damit beschäftigt, die Gefahren des "Cyber"-Terrorismus zu analysieren, zu bewerten und Maßnahmen vorzubereiten und umzusetzen. [10] Zahlreiche Organisationen entwickeln Formen der staatlich-privaten Kooperation mit unterschiedlichen Erfolgen. In Europa sind vor allem die Schweiz, Großbritannien, Schweden und die Niederlande relativ aktiv. Die EU-Kommission hat begonnen, sich damit auseinander zu setzen. Die NATO hat bisher lediglich Konzeptpapiere.

Allen Initiativen gemeinsam ist die Anlage eines Kooperationsprogramms, welches möglichst viele verantwortlich Zuständige und ggf. Betroffene zusammenführt - staatliche Organe und Sicherheitsdienste auf der einen sowie Infrastrukturbetreiber und -nutzer auf der anderen Seite. Naturgemäß ähneln sich diese Programme sehr. Sie beinhalten durchweg:

- Maßnahmen zum vertrauensvollen Austausch von Informationen;

- Kapazitäten und Methoden zur Analyse, Bewertung und Prognose von Entwicklungen;

- die Einrichtung gemeinsamer Lagezentren mit Aufgaben der Beobachtung, Lagebewertung, Frühwarnung, Alarmierung und Reaktion;

- Maßnahmen zur Schulung und Ausbildung, Zusammenarbeit mit der Forschung;

- Vorschläge zum Umgang mit Medien sowie zur Sensibilisierung der Öffentlichkeit und der Führung in Wirtschaft und Politik;

- Maßnahmen zur Überprüfung und Anpassung der Rechtsnormen und Abstimmung im internationalen Rahmen.

Die Inhalte eines solchen Programms wurden an anderer Stelle bereits beschrieben. [11] In Deutschland haben nun die Ereignisse des 11. September 2001 dazu geführt, dass im Rahmen des Anti-Terror-Pakets der Bundesregierung der Schutz von Kritischen Infrastrukturen einen höheren Stellenwert einnimmt.

Dagegen hat sich die Bundeswehr bereits seit Mitte der neunziger Jahre zumindest theoretisch mit den Gefahren des Information-Warfare und den Möglichkeiten von Informationsoperationen intensiv auseinandergesetzt. Eigenständige militärische Systeme für Führung, Nachrichtengewinnung und Aufklärung sowie für den Waffeneinsatz lassen sich vergleichsweise leichter schützen als die zivile IT-Infrastruktur, auf die auch die Bundeswehr zunehmend angewiesen ist. Grundsätzlich wird das Risiko der Bundeswehr in diesem Sektor verstärkt durch Pläne, weite Teile ihrer IT-Struktur - Weitverkehrsnetze, Liegenschaftsausstattung, Rechenzentren und Verwaltungsverfahren - in die privatwirtschaftliche Verantwortung zu übertragen.

Auch andere Infrastrukturbetreiber und -nutzer schaffen sich sukzessive eigene technische und organisatorische Sicherheitsmaßnahmen. Niemandem kann man Verantwortungslosigkeit unterstellen. Dennoch werden diese Einzelmaßnahmen nicht ausreichen, um gegen massive und konzertierte Cyber-Attacken mit kriegerischer bzw. terroristischer Absicht gewappnet zu sein. Ähnlich wie in den USA und beginnend auch in anderen Ländern müssen alle staatlichen, militärischen und zivilen Kräfte sowie die Privatwirtschaft in einer "Public Private Partnership" zusammengeführt werden. Am Anfang muss eine Sicherheitsbewertung des "Infrastruktursystems Deutschland" stehen. Die neuralgischen Punkte bzgl. Abhängigkeit und Verwundbarkeit sind zu ermitteln, zu bewerten und kontinuierlich fortzuschreiben. Der Einsatz von Computermodellen und Simulationswerkzeugen ist, auch unter Kosten-Effizienz-Kriterien, zu prüfen. [12] Die Zusammenarbeit kann und darf nicht durch staatliche Regularien dominiert oder gar erzwungen werden. Vielmehr muss die Motivation von der Einsicht aller getragen sein, dass hier eine Gemeinschaftsaufgabe ansteht, die nur in Kooperation und nicht von Einzelnen, auch nicht vom Staat alleine bewältigt werden kann. Auf die unterschiedlichen Interessenslagen und Aufgaben von staatlichen Organen im Vergleich zur Privatwirtschaft wird einzugehen sein. Erfolge werden nur zu erzielen sein, wenn eine "Win-Win"-Strategie gefunden wird, bei der einerseits die Aufgaben des Staates durch Mitwirkung der Privatwirtschaft optimiert werden sowie andererseits die Privatwirtschaft durch staatliche Anreize und Standortverbesserung von einem solchen Programm profitiert.

Schutz und Abwehr sind jedoch nur eine Seite der Medaille: Wir haben uns zu sehr daran gewöhnt, dass Verbreitung und Abhängigkeit von Informationstechnik selbstverständlich sind und sich weiter beschleunigen. Es muss möglich sein - und es wird notwendig werden -, sich zunehmend auch mit Rückfallpositionen und Minimallösungen für den Ernstfall auseinander zu setzen: Welche Infrastrukturen sind lebenswichtig, wie sind sie unter Sicherheitsaspekten auszurüsten und welche minimale Funktionsfähigkeit ist im Ernstfall aufrecht zu erhalten - notfalls auch ohne moderne Informationstechnik? So genannte "robuste Lösungen" bestehen aus sog. redundanten Systemen, alternativen Systemen oder unempfindlichen Strukturen, wie dies auch aus dem Militärischen bekannte Lösungsstrategien sind. Am anderen Ende der Bewertungsskala steht der Umgang mit Restrisiken, deren Beseitigung wirtschaftlich nicht mehr vertretbar ist, die aber transparent und im Einzelfall entweder bewusst hingenommen oder anderweitig - z. B. über Versicherungen oder über politische/diplomatische Handlungsoptionen - abgedeckt sein müssen.

Fußnoten

9.
Vgl. Critical Foundations - Protecting America"s Infrastructure, www.pccip.gov. Oct. 1977.
10.
Vgl. National Plan for Information Systems Protection, Version 1, The White House, Washington 2000.
11.
Vgl. Reinhard Hutter, Angriffe auf Informationstechnik und Infrastrukturen - Realität oder Science Fiction?, in: Aus Politik und Zeitgeschichte, B 41-42/2000, S. 31 ff., sowie ders. (Anm. 2).
12.
Vgl. Roger Smitt, Modelling and Simulation Adds Insight on Terrorism, in: Signal, Dezember 2001.