Schwächen bei der Schwachstellenanalyse?
Die zur Aufdeckung von Gefährdungspotentialen im Bereich der "kritischen Infrastrukturen" einberufene Arbeitsgruppe legt erste Ergebnisse vor
Die Datenüberflutungen auf kommerzielle Websites Anfang Februar haben auch im Bundesministerium des Inneren die Alarmglocken schrillen lassen: Vergangene Woche setzte Minister Otto Schily wegen der angeblichen "Hacker-Angriffe auf das Internet", wie es missverständlicherweise in einer Pressemitteilung heißt, eine Task-Force (Schilys Cyberwar) ein. Mitarbeiter des Bundesinnenministeriums, des Bundesamts für die Sicherheit in der Informationstechnik (BSI) sowie des Bundeskriminalamtes (BKA) sollen darin gemeinsam prüfen, welche Bedrohungen für Deutschland bestehen und ob Gegenmaßnahmen erforderlich sind.
Ein ähnliches Mandat hat allerdings bereits die vom BSI koordinierte Arbeitsgruppe "Kritische Infrastrukturen" (Kritis), die seit 1997 ressortübergreifend nach offenen Flanken der Vernetzung sucht, hauptsächlich im Bereich der Bundesverwaltung und -ministerien. Die ersten Früchte des über zweijährigen Forschens stellte Joachim Weber vom BSI während der Grundrechte-Tagung in Berlin vor (Welche Grundrechte bleiben dem vernetzten Menschen?).
Um es gleich vorweg zu nehmen: Wer von dem sich noch in der Ressortabstimmung befindenden "Sensibilisierungsbericht" Gruselszenarien oder konkrete Hinweise auf die Angreifbarkeit der Kommunikationsinfrastrukturen des Atomkraftwerks XY erwartet, wird enttäuscht werden. Mehr als allgemeine Analyse von Schwachstellen der vernetzten Informationstechnik scheint zumindest der Kurzbericht nicht zu enthalten, der laut Weber inzwischen in zahlreichen Versionen, aber ohne konkretes Erscheinungsdatum vorliegt und durch eine detaillierte, der Öffentlichkeit nicht zugängliche Langfassung ergänzt werden soll. Ob der Bericht in der Verwaltung oder in Unternehmen mit diesen Ergebnissen allerdings irgendjemand tatsächlich "sensibilisieren" kann, wird sich nach der Veröffentlichung zeigen müssen.
|
|
Das Mandat der Arbeitsgruppe lautete, so Weber, Bedrohungsszenarien zu definieren, kritische Infrastrukturen zu definieren, Schwachstellen zu bezeichnen und zu prüfen, Vorschläge für die Abhilfe zu unterbreiten sowie ein Frühwarn- und Analysesystem zu skizzieren. Die Schwierigkeiten hätten dann bereits bei der Klärung des eigentlichen Arbeitsgegenstandes begonnen, da sich "tendenziell jede größere Behörde als kritische Infrastruktur" empfinde. Zehn "wirklich" wichtige Bereiche sind übrig geblieben, zu denen unter anderem die Energie- oder Wasserversorgung, die Telekommunikations- und Verkehrssysteme, der Bankensektor, sowie die Verwaltung einschließlich der Bundeswehr und des Justizapparates gehören. Kritis übernimmt bei der Auflistung die Ergebnisse ähnlicher Untersuchungen in den USA oder in der Schweiz. Abgrenzungsprobleme gebe es aber in fast allen ausgemachten Bereichen, erläutert Weber. So sei es etwa nicht gelungen, klar heraus zu arbeiten, inwieweit die Justiz wirklich betroffen sein könnte. So müsse man fragen, ob bei einem kurzzeitigen Versagen des Justizapparates wirklich Menschenleben betroffen seien oder Vermögensschäden drohten.
Bei den ausgemachten Gefährdungspotentialen unterscheidet der Bericht zwischen Einwirkungen von außen und von innen. Angreifer von außen, führt Weber aus, könnten es auf die Manipulation von Kommunikationsverbindungen abgesehen haben, könnten Software in Computersysteme einbringen und damit Schäden anrichten oder Applikationssoftware direkt ins Visier nehmen. Hardware könnte außerdem mit elektronischen Waffen geschädigt oder zerstört werden. Bombeneinschläge zählen nicht zu den von Kritis behandelten Angriffsformen.
Innentätern, so Weber weiter, sei es möglich, Programme mit Schadensfunktionen einzubringen, Systemressourcen zu missbrauchen oder Geräten beziehungsweise Software zu manipulieren. Zu den "sonstigen" Gefährdungsarten zählt der Bericht das Outsorcing, das immer mit einem Kontrollentzug sowie einer Abhängigkeit von einem Dienstleister verbunden sei sowie die steigende Komplexität und Integrationsdichte von Hard- und Softwarebereichen. Y2K sei dafür ein gutes Beispiel gewesen, erläutert Weber, auch wenn es nicht zum großen Knall gekommen sei. Auch kleinste Überspannungen reichten heutzutage aber aus, um sofort die Elektronik lahm zu legen.
Handlungsbedarf sieht Weber vor allem beim Aufbau von Kommunikationssträngen zwischen den einzelnen Infrastrukturbereichen. "Die reden ja nicht miteinander", beklagt sich der Techniker. Zudem sei das Expertenwissen zu erweitern, eine ausführlichere Risikoanalyse sowie die "Gründung von Initiativen" voran zu treiben. Beim Entwickeln von Schutzmaßnahmen dürfe die internationale Koordination nicht vergessen werden.
Insgesamt stellt sich Weber die Frage, inwieweit der Schutz kritischer Infrastrukturen aber überhaupt eine Staatsaufgabe sein könne oder müsse. Die Telekom etwa, das alle Bereiche verbindende Standbein, sei ja privatisiert, die restlichen Telekommunikationsanbieter ebenfalls privatwirtschaftliche Unternehmen. Unmöglich sei es der Arbeitsgruppe auch, für den "Verkehrsverbund Schleswig-Nord" zu sprechen. Der Dialog mit der Wirtschaft fange aber erst langsam an und müsse noch deutlich intensiver betrieben werden.
Dass die vorab gewährten Einblicke in den Bericht im Vergleich zu ähnlichen Studien in den USA wenig Aufsehen erregend sind, kann mehrere Gründe haben: Zum einen wäre es möglich, dass in Deutschland die Infrastrukturen "sicherer" sind als jenseits des Atlantiks. Dank der strengeren Datenschutzbestimmungen hier zu Lande, die auch Vorschriften zur IT-Sicherheit enthielten, seien die Netzinfrastrukturen in Deutschland allgemein mit relativ großem Fingerspitzengefühl aufgebaut worden, glauben Ute Bernhard und Ingo Ruhmann vom Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF). Die USA hätten "die Internetanbindung von Behörden dagegen vielfach voran getrieben, ohne auf Risiken zu achten."
Man könnte allerdings auch vermuten, dass der politische Wille zum Aufdecken von Schwachstellen in Deutschland wenig ausgeprägt ist. Mit zweieinhalb bewilligten Planstellen sei die Arbeitsgruppe Kritis für die Aufklärung von Cyber-Risiken sehr dürftig ausgestattet, kritisiert Frank Rieger vom Chaos Computer Club (CCC). Als die President's Commission on Critical Infrastructure Protection (PCCIP) Bill Clinton 1997 ihren ausführlichen und unter Beteiligung von zeitweise über 200 Mitarbeitern erstellten Bericht über Schwachstellen vorlegte, vertrat die damalige Bundesregierung zuerst sogar die Auffassung, das eine vergleichbare Gruppe "nicht erforderlich" sei. Wenige Wochen später erging die Weisung des ehemaligen Innenministers Manfred Kanther zur Gründung von Kritis allerdings doch ans BSI. Ob und wann die Arbeitsgruppe ihre Arbeit jemals abschließen wird, steht angesichts der Empfindlichkeiten in einzelnen Ressorts aber nach wie vor in den Sternen.
Darstellungsbreite ändern
Da bei großen Monitoren im Fullscreen-Modus die Zeilen teils unleserlich lang werden, können Sie hier die Breite auf das Minimum zurücksetzen. Die einmal gewählte Einstellung wird durch ein Cookie fortgesetzt, sofern Sie dieses akzeptieren.
Aktive und passive Alien-Artefakte im Sonnensystem
SETA - Spurensuche nach dem extrasolaren Monolithen - Teil 2
