APUZ Dossier Bild

27.11.2003 | Von:
Christiane Schulzki-Haddouti

Sicherheit im Netz und digitale Bürgerrechte

Mehr IT-Sicherheit

Obgleich die Terroranschläge keineswegs gegen das Internet gerichtet waren, sensibilisierten sie dennoch Unternehmen und Behörden für das Thema IT-Sicherheit, indem sie die Verwundbarkeit der industriellen Infrastruktur drastisch vor Augen führten. In den USA nahmen Behörden deshalb nach dem 11. September potentiell kritische Informationen von ihren Websites. Terroristen sollen so wenig sicherheitsrelevante Daten wie möglich zur Verfügung stehen. Der amerikanische Präsident gab ein eigenes, vom Internet getrenntes Computernetz der Regierung und Behörden in Auftrag. Das so genannte Govnet soll auch vor Hacker- oder terroristischen Angriffen schützen. In Deutschland ist das Regierungsnetz IVBB (Informationsverbund Berlin-Bonn) ebenfalls ein rein internes Netz, das Daten nur verschlüsselt kommuniziert.

Hoffnungen der Industrie, das neue US-Ministerium für Heimatschutz würde zur Sicherung des Cyberspace Internet-Service-Provider zur Anwendung von Firewalls und Anti-Viren-Software verpflichten, wurden jedoch enttäuscht, denn die Einrichtung dieser Schutzmaßnahmen wurde nur empfohlen. Gleichwohl sorgten die Anschläge in den ersten Monaten für eine starke, allerdings vorübergehende Nachfrage bei den Anbietern von IT-Sicherheitsprodukten. Viele Unternehmen investierten eher ziellos in verschiedene Projekte. Im Zuge der sich verstärkenden Weltwirtschaftskrise brach die Nachfrage 2002 ein. Die Unternehmen begannen, Sicherheitsprodukte an ihrer Wirksamkeit und Kapitalrendite zu messen. Während Anbieter von Firewalls und Public-Key-Infrastrukturen kräftige Einbußen einstecken mussten, verzeichneten die Anbieter von Anti-Viren-Produkten und Intruder-Detection-Systemen einen kräftigen Aufwind. Dafür sorgten "Wurm"-Attacken wie Nimda, die zu ähnlich hohen Netzwerkausfällen wie die Terroranschläge führten.

Bereits vor dem 11. September warnten Konservative in Washington davor, dass zehn "Super-Hacker" binnen 48 Stunden mit einem Budget von zehn Millionen US-Dollar das Land in die Knie zwingen könnten. Die Experten verzeichneten eine Besorgnis erregende Entwicklung: So stellte Symantec, Hersteller von IT-Sicherheitsprodukten, fest, dass im Jahr 2002 80 Prozent mehr Schwachstellen in Betriebssystemen dokumentiert wurden als im Vorjahr. Im Januar 2003 verdoppelte sich beim Angriff des "Wurms" Slammer alle 8,5 Sekunden die Anzahl der betroffenen Computersysteme - innerhalb von zehn Minuten waren mehr als 90 Prozent aller angreifbaren Systeme infiziert. CodeRed, ebenfalls ein "Wurm", hatte 20 Monate zuvor noch 37 Minuten für die Verdoppelung der infizierten Systeme benötigt. In den USA verursachte Slammer den Ausfall von über 15 000 Geldautomaten. Dabei nutzte er eine Schwachstelle des Systems aus, für die bereits seit sechs Monaten eine Abhilfe verfügbar war.[2]

Ende 2001 testeten in Deutschland Mitglieder des Arbeitskreises Schutz von Infrastrukturen (AKSIS), eine Interessenvertretung von 80 Unternehmen, in einem Planspiel erstmals den Ernstfall. Zu AKSIS gehören Unternehmen und Verbände wie Siemens, Lufthansa, Deutsche Telekom, Deutsche Bank, Deutsche Bahn und die Deutsche Flugsicherung. Unter der Leitung der Firma IABG in Ottobrunn simulierten sie gezielte IT-Angriffe auf den Großraum Berlin. Planspielleiter Reinhard Hutter ging von einem hohen terroristischen Organisationsgrad aus: "Eine IT-Bedrohung besteht eben nicht nur aus singulären Ereignissen." Ziel der Angriffe war es, die Infrastruktur der Beteiligten massiv zu beeinträchtigen. Die Angriffsmethoden waren breit gestreut: Hacker-Angriffe über das Internet, eingeschleuste Viren und Innentäter, die den Strom abschalteten und Geräte zerstörten. Zuvor eingebaute Softwarebomben platzten und legten Computer lahm. Ziel war es, herauszufinden, wie gut die Zusammenarbeit der betroffenen Branchen funktioniert. Das Ergebnis war ernüchternd: Im Ernstfall funktioniert fast nichts mehr. Hutter resümierte diplomatisch, dass danach "ein wesentlich höheres Bedürfnis bestand, miteinander zu kooperieren"[3]. Wenn der Ernstfall eintritt, müssen Informationen fließen, um die Maßnahmen gemeinsam abstimmen zu können. Aber das Gros der deutschen Wirtschaft litt hinsichtlich der IT-Sicherheit unter erheblichen Defiziten und verfügte über keine Notfallpläne.

Je komplexer die Informations- und Kommunikationssysteme werden, desto größer sind auch die Risiken. Wenn es brennt, brauchen nicht nur Unternehmen, sondern auch Behörden und Universitäten dringend Hilfe. Deshalb will die Bundesregierung zentrale Anlaufstellen, so genannte CERTs (Computer Emergency Response Teams), flächendeckend ausbauen. CERTs leisten nicht nur Hilfe, wenn es nötig ist, sie arbeiten auch vorbeugend, indem sie vor Schwachstellen in Produkten warnen und über aktuelle Viren informieren. Wie die Feuerwehr proben sie in Penetrationstests den Ernstfall.

Die Bundesregierung betreibt im Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen rund um die Uhr ein Lagezentrum im so genannten CERT-Bund sowie einen Warn- und Informationsdienst. Außerdem gibt es eine CERT-Kooperation mit der Deutschen Telekom. Die Universitäten profitieren schon seit Jahren vom CERT des Deutschen Forschungsnetzes (DFN-CERT). Der Mittelstand gilt als IT-Sicherheitssorgenkind: Laut Bundesinnenministerium nutzen zwar rund 80 Prozent der kleinen und mittelständischen Unternehmen Computer und IT-Netzwerke, sorgen aber meist nicht für ausreichenden Schutz. Seit wenigen Monaten kümmert sich das CERT des IT-Verbands Bitkom, das so genannte Mcert, um den Mittelstand. Finanziert wird es nicht nur von einer Reihe von Unternehmen wie Datev, Deutsche Telekom, Gieseke & Devrient, Microsoft, PSINet, SAP und Symantec, sondern auch mit einem sechsstelligen Betrag der Bundesregierung.

Derzeit gibt es rund 15 CERTs in Wirtschaft, Forschung und Verwaltung. "So wie böswillige Hacker untereinander Informationen austauschen, so müssen in Zukunft auch Sicherheitsspezialisten enger zusammenarbeiten", mahnt Bernd Grobauer vom Siemens-CERT. Um den Informationsaustausch zu verbessern, gründeten im August 2002 sechs CERTs einen nationalen CERT-Verbund. In diesem Jahr hat der Verbund weitere CERTs aufgenommen. Eine europäische Infrastruktur ist in der Entstehung. Auf der Ebene internationaler Konzerne gibt es bereits einige europäische CERTs, etwa das von Siemens. Das europäische Projekt EISPP (European Information Security Promotion Programme) versorgt seit dem Frühjahr in einem halbjährigen Pilotversuch kleine und mittelständische Unternehmen mit Sicherheitsratgebern, so genannten Security Advisories.[4]


Fußnoten

2.
Vgl. Günther Ennen, Vermeiden Sie das Chaos im Chaos, in: Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), IT-Sicherheit im verteilten Chaos. Tagungsband 8. Deutscher IT-Sicherheitskongress des BSI, Berlin 2003.
3.
Im Interview mit der Autorin.
4.
Vgl. Bernd Grobauer, EISPP - Anfänge eines Europäischen Warnungs- und Informations-Systems, in: Bundesamt (Anm.2.).