Rüsten Cyber-Rambos zum Krieg?

Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.
Die Angst vor terroristischen Cyber-Attacken wächst. Behörden in den Vereinigten Staaten und Deutschland drängen Unternehmen, stärker auf die Sicherheit ihrer IT zu achten. Von einer koordinierten Strategie zwischen Staat und Wirtschaft kann allerdings keine Rede sein.

"Wir sind nicht in der Lage, eine Cyber-Attacke wirksam abzuwehren", erklärt Alan Paller, Direktor des Sans-Instituts (Sans = System Administration, Networking and Security). Zusammen mit dem National Infrastructure Protection Centre (NIPC), das dem FBI untersteht, sowie Sicherheitsexperten der Wirtschaft und von Universitäten hat es eine Liste mit den 20 verbreitetsten Sicherheitslücken erstellt. Paller warnt, dass die Viren und Würmer immer wieder über eine kleine Zahl von bekannten Schlupflöchern in die Systeme eindringen.

Doch dies allein reiche nicht, warnt Michael Vatis, Chef des Institute for Security Technology Studies. Er rechne damit, dass die Zahl der Cyber-Attacken während des Krieges in Afghanistan stark ansteigen werde. Bereits in früheren Konfliktsituationen wie zum Beispiel der Krise zwischen den USA und China im April dieses Jahres nach dem Abschuss eines US-Spionageflugzeugs habe es verstärkte Hacker-Aktivitäten von beiden Seiten gegeben.

Die Gefahr für die IT-Infrastrukturen werde generell eher unterschätzt, mahnt Michael Möhring, wissenschaftlicher Mitarbeiter am Institut für Wirtschafts- und Verwaltungsinformatik der Universität Koblenz-Landau. Dies lasse sich vor allem durch die immer wiederkehrenden Virenattacken belegen. Obwohl eigentlich jeder Administrator wissen müsste, was passieren könne, träten durch jeden neuen Wurm oder Virus wieder Millionenschäden ein.

Zwar gebe es auf der technischen und organisatorischen Seite eine ganze Menge von Hilfsmitteln, erklärt Möhring. Doch die kosten Geld. Deshalb setzten Firmen die Werkzeuge noch sehr zögerlich ein. Hier müsse vielerorts noch das Bewusstsein wachsen, dass sich die Aufwendungen lohnten. Diese Einsicht entstehe aber meist erst, wenn die Katastrophe schon eingetreten sei.

Die zweite Ebene sei die staatliche, doziert der Wissenschaftler. Angesichts der jüngsten Ereignisse fühlten sich die meisten Politiker bemüßigt, Aktivitäten zu zeigen. Es werde überlegt, wie Rechte eingeschränkt oder die Überwachung verbessert werden solle. Allerdings habe noch kein Politiker erklären können, ob und inwieweit die von ihm empfohlenen Maßnahmen auch zum Ziel führen würden.

Die Gefahren für die deutsche IT seien nur schwer einzuschätzen, erläutert Andreas Pfitzmann, Inhaber des Lehrstuhls für Datenschutz und Datensicherheit an der Technischen Universität (TU) Dresden. Die Strukturen seien größtenteils sehr komplex. Außerdem wisse man nicht, wie genau die Anlagen administriert werden. "Da stochern wir im Nebel herum."

Durch einen massierten Angriff ließen sich einige Störungen hervorrufen, vermutet Pfitzmann. So habe beispielsweise im Bundesinnenministerium nach dem Loveletter-Wurm eineinhalb Tage niemand mehr im Netz arbeiten können. Man müsse also damit rechnen, dass stunden- oder tageweise einige Dienste ausfallen könnten. "Wenn das Innenministerium einen Tag lang nicht arbeiten kann, kostet das nur Steuergelder. Wenn aber der elektronische Zahlungsverkehr ein oder zwei Tage lahm gelegt ist, kann das bürgerkriegsähnliche Zustände hervorrufen."

Die Politik, die Überwachungsmaßnahmen zu verschärfen, richte viel mehr Schaden an, als Nutzen zu stiften, kritisiert der Sicherheitsexperte. Intelligente Straftäter kennen Methoden der Kryptografie, der Steganografie und Anonymitätstechniken. Diesen Leuten komme man im Netz nicht auf die Schliche. Chancen, Terroristen zu schnappen, gebe es an den Endpunkten: Überall dort, wo ein Mensch in ein Mikrofon spricht oder auf einer Tastatur schreibt, gibt es Möglichkeiten, den Raum abzuhören und zu überwachen. "Lieber effektive Individualüberwachung als ineffektive Massenüberwachung."

Man könne nur darüber spekulieren, wie wahrscheinlich ein Angriff von Cyber-Terroristen sei, meint Pfitzmann. Allerdings bilde die Tatsache, dass sich nichts Genaues sagen lässt, schon einen Teil der Katastrophe.

Deutsche Behörden und Ministerien vermögen zurzeit diese Informationslücke nicht zu schließen. So erklärten sich beispielsweise Vertreter des Bundesnachrichtendienstes momentan nicht dazu bereit, über das Thema Cyber-War zu sprechen. Die Experten seien so in ihre Arbeit eingebunden, dass sie nicht in der Lage seien, Auskünfte zu geben, sagte ein Pressesprecher. Aus dem Bundesverteidigungsministerium ist zu vernehmen, man wisse gar nicht, ob dort überhaupt jemand für das Thema zuständig sei. Man solle die Anfragen per Mail schicken. Antwort bleibt jedoch aus.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) blockt alle Fragen zum Thema Cyber-Terrorismus ab. Man wolle die Bevölkerung nach den New Yorker Terrorattacken nicht zusätzlich verunsichern, erklärt Pressesprecher Michael Dickopf. Auf die Frage nach der Arbeit des BSI verweist Dickopf auf den Bericht der Arbeitsgruppe Kritische Infrastrukturen (AG Kritis), der seit knapp zwei Jahren in einer vorläufigen Fassung vorliege. Ein Abschlussbericht sei jedoch nicht in Sicht. Man solle beim Bundesinnenministerium nachfragen, um zu erfahren, was aus dem Kritis-Report geworden sei. Dort will man sich zu dem Bericht, der sich sehr kritisch mit den Maßnahmen zur Sicherung der deutschen IT-Landschaft auseinander setzt, jedoch nicht äußern. Oberregierungsrat Andre Reisen versucht abzuwiegeln. Zwar gebe es Verfahren, kritische Infrastrukturen anzugreifen. Konkrete Bedrohungen seien dem Ministerium aber nicht bekannt.

Die Antwort auf die Frage, wie einer aktuellen Attacke begegnet werden kann, bleibt der Beamte des Innenministeriums jedoch schuldig. Sein Kommentar: "Von Attacken gehe ich nicht aus." Nach Ansicht von Reinhard Hutter, Mitglied des Arbeitskreises Schutz von Infrastrukturen (Aksis), sind die Angriffsszenarien auf IT auch nicht unwahrscheinlicher als das jüngste Schreckensszenario in New York.