Bundesinnenminister will "Cyberabwehrfähigkeit" stärken

Bundesinnenminister Wolfgang Schäuble hat auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik in Bonn eine "Stärkung der Cyberabwehrfähigkeit" gefordert. Er verteidigte das BSI-Gesetz (PDF-Datei) als eine wichtige Voraussetzung, um das BSI in die Lage zu versetzen, Angriffe abwehren zu können. Schäuble begründete dies mit einer wachsenden Zahl von Attacken auf die Behördennetze: "Durchschnittlich wird jeden Tag ein Trojaner auf einem Computer der Bundesbehörden platziert." Ein einfacher Virenscanner richte nichts mehr aus. Man müsse deshalb in den Firewalls die Verbindungsdaten nach Angreifern durchsuchen dürfen, um sie zurückverfolgen zu können. Bislang sei dies aus rechtlichen Gründen nicht möglich; in einer Anhörung im Bundestagsinnenausschuss kündigten Vertreter der großen Koalition aber bereits an, die im BSI-Gesetz bislang vorgesehenen Überwachungsbefungnisse der Behörde würden zurechtgestutzt.

Beim BSI-Gesetz gehe es um den Selbstschutz des Staates, nicht aber um Strafverfolgung, betonte Schäuble. Sachgerechte Maßnahmen dürften nicht durch eine "hysterische Debatte" gefährdet werden. Das Gesetz versetze das BSI in die Lage, für öffentliche Einrichtungen zentral IT-Sicherheitsprodukte bereitzustellen und vor Lücken in IT-Produkten warnen zu können. Schäuble erklärte, dass die dynamische Entwicklung der Informationstechnologien weitere Schritte nötig machten und verwies dabei auf die USA. Dort sei ein Milliardenbudget für Cybersecurity geplant. Außerdem erwägten die USA, einen "Internetnotstand" ausrufen zu können. Auch Deutschland müsse mehr tun. In Zeiten der Wirtschaftskrise steige die Bereitschaft von Staaten wie auch ausländischen Unternehmen, Wissen in deutschen Unternehmen abzuschöpfen. Namentlich nannte Schäuble Russland und China. Diese Cyberspionage verursache Milliardenschäden, warnte der Innenminister.

Das BSI-Gesetz sei daher nur ein erster Schritt, kündigte Schäuble an: "Zur Abwehr ist es nötig, über dieselbe fachliche Kompetenz und die technischen Möglichkeiten wie die Angreifer zu verfügen." Er forderte außerdem Internet-Provider auf, die Kunden vor Botnetzen und anderen Gefahren zu warnen und bei der Beseitigung von Schadprogrammen zu helfen. Noch geschehe zu wenig. Künftig müsse es auch für einen Internet-Provider möglich sein, forderte Schäuble, die betroffenen Rechner "zur Not vom Netz zu nehmen", bis der Schaden behoben sei. Entsprechende Überlegungen würden bereits in Australien und Japan angestellt.

Zur Abwehr von Botnetzen forderte Schäuble außerdem eine verstärkte internationale Zusammenarbeit. Botnetze seien ein "Mittel der asymmetrischen Kriegsführung". Schäuble bezeichnete in diesem Zusammenhang die Distributed-Denial-of-Service-Attacken, die 2007 über mehrere Wochen die IT-Infrastruktur Estlands weitgehend lahmgelegt hatten, als den "vermutlich ersten Cyberkrieg" der Geschichte. Georgien habe erst vor wenige Monaten ähnliche Erfahrungen machen müssen. Schäuble warnte: "Ein Angriff auf Rechenzentren kann noch höhere volkswirtschaftliche Schäden entfalten als die Terroranschläge vom 11. September 2001." Es sei jedoch schwer, die Täter zu identifizieren. Schützen könne man sich nur "wenn man weiß, wie man die anderen angreifen kann".

Rudolf Strohmeier, Kabinettchef der EU-Kommissarin Viviane Reding, verwies auf eine Mitteilung der EU-Kommission. In dieser schätzt die EU-Behörde die Wahrscheinlichkeit, dass sich in den kommenden zehn Jahren ein größerer Ausfall der Telekommunikationsnetze ereignen wird, auf 10 bis 20 Prozent. Den wirtschaftlichen Schaden beziffert die Kommission in solch einem Fall auf rund 193 Milliarden Euro. Strohmeier sagte, die Koordination zwischen staatlichen und privaten Stellen zum Schutz kritischer Infrastrukturen ließe noch "zu wünschen übrig". Es genüge nicht, wenn allein Deutschland seine Hausaufgaben mache. Alle Mitgliedsstaaten sollten daher "unverzüglich" nationale Notfallpläne aufstellen und regelmäßig Übungen durchführen. Eine erste europäische Übung soll bereits bis zum kommenden Jahr durchgeführt werden.

Siehe dazu auch:

• Überwachungsbefugnisse im BSI-Gesetz sollen entschärft werden
• EU-Kommission will kritische Infrastrukturen besser schützen
• Innenministerium: Mehr Biss für die IT-Sicherheit des Bundes

• EU-Kommission schlägt Informationsnetz über kritische Infrastrukturen vor
• Frühwarnsystem für Angriffe auf kritische Infrastrukturen in Planung
• Leitfaden zum Schutz kritischer Infrastrukturen

(Christiane Schulzki-Haddouti) / (Christiane Schulzki-Haddouti) / (jk/c't)