Berlin will Firmen vor Hackern schützen
USA forcieren "virtuellen Schutzschild"

Die Angst vor Hackern und Cyber-Terroristen wächst: Selbst Kriege im Netz sind denkbar. Um Datennetze vor Angriffen zu schützen, setzen die Vereinigten Staaten auf massive Abschreckung.

DÜSSELDORF. Die USA entwickeln nach Angaben eines Sicherheitsberaters der National Security Agency (NSA) unter Hochdruck einen virtuellen Schutzschild. Es soll Hacker, die in staatliche oder privatwirtschaftliche Datennetze des Landes eindringen, aufspüren, abwehren und die Rechnersysteme der Angreifer zerstören können. Gleichzeitig sollen auf staatlicher Ebene massive Gegenschläge möglich werden.

Die bestehenden Cyber-Pläne der US-Militärs und Behörden werden entscheidend forciert. "Das Projekt ist in seiner sicherheitsrelevanten und finanziellen Dimension mit dem National Missile Defense Programm der USA (NMD) zu vergleichen", sagte James Adams, Mitglied im offiziellen Beratergremium des Geheimdienstes National Security Agency (NSA) und früherer Pentagon-Berater, gegenüber Handelsblatt Netzwert. "Die Bush-Administration wird in der informationsgestützten Kriegsführung (information warfare) stark aufrüsten", kündigte Adams an.

Diese Einschätzung wird von politischen Beobachtern in Washington geteilt. Ohnehin gilt auch der neue US-Verteidigungsminister Donald Rumsfeld als ausgesprochener Fan der High-Tech-Kriegsführung. Satelliten will er besser schützen lassen, die Schwachstellen der Computernetze hat er beklagt. Bereits vergangenen Herbst nahm ein Cyber- Zentrum des Pentagons in Colorado Springs die Arbeit auf. Es soll technische Methoden und Taktiken für den digitalen Krieg entwickeln, wozu auch Gegenschläge zählen. sowie aktive Angriffe auf Datensysteme feindlicher Staaten.

Auch wenn eine klare Rechtsgrundlage für solche Attacken - insbesondere auf zivile und damit privatwirtschaftliche Ziele - derzeit nicht gegeben ist, nimmt die Diskussion über den "Cyberwar" damit neue Dimensionen an. Zwar läuft eine öffentliche Debatte darüber in den Vereinigten Staaten bereits seit 1996. Auch bestätigte das US-Militär nach einiger Verzögerung, während des Kosovo-Krieges erste Cyber-Attacken durchgeführt zu haben. Doch immer stärker werden einzelne Äußerungen und Absichten nun zu einer Strategie zusammengefügt, und immer offener wird diese von offiziellen Stellen bestätigt. Auch in Europa befassen sich inzwischen Gremien bei der Nato wie auch dem Bundesamt für Sicherheit in der Informationstechnik sowie der Bundeswehr mit der informationsgestützten Kriegsführung.

Tatsächlich wird das Problem immer drängender, da heute fast alle sicherheitssensiblen Netzwerke von Unternehmen oder Behörden mindestens mit den Systemen von Partnereinrichtungen verbunden sind, meist aber sogar mit dem World Wide Web selbst. Kein Geheimnis ist aber auch, dass die US-Geheimdienste und Militärs rivalisieren und lautstark vor den Risiken warnen, um sich angesichts der erwarteten hohen Cyber-Etats in eine gute Position zu manövrieren.

Federführend bei der aktuellen Strategie-Entwicklung ist das Washingtoner Critical Infrastructure Assurance Office (CIAO), das dem Nationalen Sicherheitsrat unterstellt ist. Nach eigenen Angaben koordiniert das CIAO die Interessen der Ministerien, Geheimdienste und des Militärs in Fragen der Netzwerkverteidigung und der nationalen Sicherheit. Außerdem regelt es die Zusammenarbeit mit der Privatwirtschaft. Das Mandat des CIAO ist bis zum Herbst dieses Jahres befristet. Danach soll eine andere Geheimdienststelle den konkreten Aufbau, die Leitung und den Betrieb des Cyber-Schutzes übernehmen. Anspruch darauf, die Entwicklung von Cyberwar-Techniken zu koordinieren, erheben allerdings auch Militärs um General Henry H. Shelton, berichtete die US-Nachrichtenagentur AP im Zusammenhang mit dem Pentagon-Zentrum in Colorado.

Nach Angaben des CIAO-Direktors John Tritak wird seine Dienststelle dem Präsidenten im Sommer einen neuen Nationalen Abwehrplan (NPISP 2.0) vorlegen. Kern ist der Schutz der Netzwerke in Kooperation mit der Wirtschaft. Gegenüber dem Handelsblatt sagte Tritak: "Wir brauchen einen Cyber-Schutzschild, das alle empfindlichen Einrichtungen der USA vor Hackerangriffen schützt. Damit meine ich Banken genauso wie das Militär."

Aus einer Direktive, in der Ex-Präsident Bill Clinton bereits 1998 die Cyber-Verteidigung zur Chefsache erklärt hatte, geht hervor, dass die USA bis spätestens 2003 den "vollständigen Schutz der kritischen Infrastruktur gegen internationale Bedrohungen" erreicht haben wollen. Diese Direktive bildet bis heute die Grundlage der Cyber-Strategie.

NPISP 2.0 ist die zweite Version des Nationalen Abwehrpanes und soll laut CIAO "ganz erheblich umfassender" ausfallen. Die erste wurde am 7. Januar 2000 unter Clinton verabschiedet und enthält das Schema eines so genannten Fidnet- Systems. Danach soll ein zentraler Rechner in Echtzeit Auffälligkeiten in US-Netzwerken bemerken und Alarm schlagen. Zudem sollen Eingreifgruppen entstehen, um Angriffe abzuwehren und weitere angeschlossene Netze zu schützen.

Rechtliche Unklarheiten, Skepsis und Ängste der eigenen Wirtschaftsverbände und die sich überschneidenden Zuständigkeiten der zahllosen beteiligten Stellen bei Geheimdiensten und Militär behinderten allerdings in der Vergangenheit eine einheitliche Strategie. Auch der US- Kongress verweigerte seine Zustimmung. Das aktuelle, forcierte Programm hat laut Adams und Tritak aber nun höchste Priorität im Weißen Haus. Ein wichtiger Grund dafür dürfte sein: "Ohne virtuellen Schutz funktioniert auch das NMD nicht", wie Tritak sagte.

Das Ziel der Sicherheitsbehörden ist laut NSA-Berater Adams, der auch Aufsichtsratschef des Internet Idefense Inc. -Sicherheitsunternehmens ist, eine Art "virtuelles NMD", dass eine ähnliche Abschreckungsstrategie verfolgt wie das Nuklearprogramm der vergangenen Jahre: "Wenn ein Staat unsere Wasserversorgung mit einer Cyberattacke unterbricht, müssen wir im Stande sein, seine Stromversorgung oder sein Bankensystem lahmzulegen." Da das Projekt finanziell mit NMD vergleichbar sein soll, ist mit Investitionen von rund 50 Mrd. $ zu rechnen. CIAO-Chef Tritak bestätigte, dass mit dem neuen Nationalen Plan die Ausgaben für Cyber-Aufrüstung erheblich steigen werden. Genaues wollte er nicht sagen, aber: "Die notwendigen Ausgaben von Wirtschaft und Staat liegen sicher bei weit mehr als 30 Mrd. $."

Europäische Staaten sollen - im Unterschied zum Raketenabwehrprogramm - nicht beteiligt werden. Adams: "Es handelt sich zu sehr um ein rein nationales Sicherheitsthema, um die Informationen mit anderen zu teilen." Laut Tritak lasse sich darüber "vielleicht in einem nächsten Schritt vorsichtig nachdenken". Die NSA selbst wollte das Thema nicht kommentieren: Sie nehme keine Stellung zu "laufenden Projekten". Der Dienst verwies aber auf seine Web-Seite: "Der Schutz der Informationssysteme und Netzwerke ist die Hauptaufgabe in Sachen Sicherheit in diesem Jahrzehnt", heißt es dort.

Dass Cyber-Aufrüstung dringend nötig ist, betonen US-Sicherheitskreise immer wieder mit Hinweisen auf den Terrorismus. So äußerte der NSA-Chef, General Mike Hayden, in einem aktuellen Interview des Senders CBS die Vermutung, dass der islamistische Terrorist Osama bin Laden technisch vermutlich besser ausgestattet sei als die NSA. High- Tech soll bin Laden auch geholfen haben, die Bomben in den US-Botschaften in Kenia und Tansania im Jahr 1998 zeitgleich explodieren zu lassen. Hayden sagte weiter, der Kongress habe die Gefahr erkannt und sei bereit, für den Schutz der Netze das nötige Geld auszugeben.

Auch in einem Ende Februar veröffentlichten Bericht des US-Präsidenten George W. Bush heißt es: "Kriminelle Personen und Vereinigungen und fremde Staaten bedrohen die Informationssysteme." Der Bericht betont außerdem: "Die Bedrohung der nationalen Sicherheit kann nur zusammen mit der Wirtschaft gelöst werden." Probleme dabei seien geklärt. Das Weiße Haus sagte zu, "dass die Entwicklung neuer IT-Systeme mit weit reichenden Sicherheitsmaßnahmen gefördert und finanziert wird". Eigene Cyber-Attacken auf fremde Staaten sind in dem Bericht nicht thematisiert.

Als Nutznießer eines Abschirm- und Vergeltungsprogrammes gelten im Silicon Valley vor allem Softwarehäuser, die sich mit Computerviren und der Abwehr von Hackern beschäftigen. Dies sind an der Westküste vor allem Symantec und Network Associates. Dazu kommt Computer Associates mit Sitz in Islandia im US-Bundesstaat New York.

Für eine sinnvolle Abwehr und raschen Gegenschlag müssten allerdings vor allem Unternehmen mit an Bord, die für die entscheidenden Schaltelemente der Kommunikationsinfrastruktur zuständig sind. Das sind auf US-Boden Cisco und Lucent, auch wenn Lucent zurzeit schwer angeschlagen ist und große Managementprobleme hat. Auch kleinere Firmen könnten mit Speziallösungen von Aufträgen profitieren, wenngleich zumindest das Pentagon nach einem Bericht der "New York Times" auch eigene Programme entwickeln lässt. Auch die NSA vertraut laut Adams lieber auf angestellte Experten.

STICHWORT: NATIONAL SECURITY AGENCY. ms - Die National Security Agency (NSA) gilt als eines der bestgehüteten Geheimnisse der USA. Die militärisch geführte Geheimdienst-Behörde ist beim US-amerikanischen Verteidigungsministerium angesiedelt und ist für Informationsübermittlung und-verschlüsselung zuständig. Vor allem aber gehört das Abhören und Analysieren aller Formen von Kommunikation zu ihren Kernaufgaben. Die NSA ist hermetisch von der Öffentlichkeit abgeriegelt: Da sie 1952 auf Anweisung des Präsidenten statt vom US-Kongress ins Leben gerufen wurde, ist sie auch weitgehend immun gegen jede parlamentarische Kontrolle. Die NSA betreibt unter anderem auch vom oberbayerischen Bad Aibling aus das umstrittene Lauschsystem "Echelon", das Kritikern zufolge auch zur Ausforschung der europäischen Wirtschaft eingesetzt werden soll.




Berlin will Firmen vor Hackern schützen

RALF NEUKIRCH HANDELSBLATT, 2.5.2001 BERLIN. Die Bundesregierung will ähnlich wie die US-Administration ein nationales Frühwarnsystem gegen Angriffe aus dem Internet installieren. Das erfuhr das Handelsblatt aus Regierungskreisen. Dieser Schutzschild soll nicht nur Bundesbehörden, sondern auch wichtige Industriekonzerne, Banken und Infrastrukturunternehmen umfassen. Anders als in den USA ist aber zunächst nur ein Informationsaustausch auf freiwilliger Basis, keine völlige Vernetzung der verschiedenen Abwehrsysteme geplant.

Die Staatssekretärin im Innenministerium, Brigitte Zypries, sagte dem Handelsblatt, die Bundesregierung wolle eine nationale Infrastruktur für die bestehenden "Computer Emergency Response Teams" (Cert) schaffen. "Bislang sind die Certs Inseln, die informell miteinander kommunizieren. Wir wollen dem Ganzen einen Rahmen geben."

Die Certs sind eine Art Internetfeuerwehr, die auf Angriffe auf Datensysteme reagieren. Das Cert für Bundesbehörden ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt. Große Konzerne wie etwa die Deutsche Telekom betreiben ihre eigenen Certs.

Zypries sagte, die Grundphilosophie hinter dem deutschen und dem amerikanischen Ansatz sei durchaus ähnlich. Die Umsetzung müsse in einem föderalen Land wie der Bundesrepublik aber unterschiedlich sein. Im Übrigen kleide die US-amerikanische Regierung ihr Anliegen in eine militärische Terminologie.

Die Amerikaner hatten angekündigt, analog zur Raketenabwehr NMD ein virtuellen Internetschutzschild zu errichten, mit dem wichtige Behörden und private Einrichtungen wie Stromversorger vor Attacken über das Internet geschützt werden sollen. Die in Frage kommenden Rechner sollen an ein übergreifendes Kontrollsystem, das so genannte Fidnet, angeschlossen werden. Die Kosten sollen zwischen 30 Mrd. $ und 50 Mrd $ betragen.

Im Gegensatz dazu will die Bundesregierung einen Cert-Verbund schaffen, in dem auf der obersten Ebene die Internet-Lagezentren des BSI, des deutschen Forschungsnetzes, eines Wirtschaftsunternehmens und eines Unternehmens aus der Kreditwirtschaft zusammengeschlossen sind. Diese vier Certs würden ihrerseits mit weiteren Lagezentren auf einer anderen Ebene kommunizieren. So soll sicher gestellt werden, dass nicht jeder Hackerangriff auf eine Bank oder auf ein Unternehmen direkt auch dem Staat bekannt wird. Groß angelegte Attacken würden dagegen auf oberster Ebene kommuniziert.

Eine direkte Vernetzung aller Certs, wie die USA sie anstreben, ist nicht geplant. "Bislang ist technisch noch nicht einmal sicher, ob die auf dem Markt erhältlichen Systeme für einen solchen Verbund überhaupt geeignet sind", sagte Zypries. "Im Übrigen muss der tatsächliche Nutzen eines solchen Systems erst noch bewertet werden." Es sei zudem auch fraglich, ob ein solches System in der Wirtschaft akzeptiert würde.

Im Rahmen des Informationsaustausches soll auch die Sicherheit kleinerer und mittlerer Unternehmen verbessert werden. In der von Wirtschaft und Politik getragenen Initiative D 21 gibt es daher Bemühungen, vor allem die Sicherheit bei diesen Betrieben zu erhöhen. Eine Arbeitsgruppe beschäftigt sich mit dem Aufbau eines so genannten Cert.de, das wesentlich mehr Firmen als bisher an ein solches Lagezentrums anzubinden soll.

Wie diese "Selbsthilfestruktur für den Mittelstand" aussehen könnte, ist allerdings noch unklar. Einer der Projektleiter, Thomas Leitert von der Berliner Internet-Plattform Konsort, sagte, bis Mitte Mai solle zunächst geklärt werden, wo die Schwachstellen liegen, welche Dienstleistungen ein Cert für Unternehmen anbieten könnte und welche Zielgruppen man erreichen wolle. Dann solle bis zur Sommerpause ein konkreter Vorschlag erarbeitet werden.

In der Bundesregierung weist man darauf hin, dass nach dem Auftreten des "I-Love-you"-Virus vor zwei Jahren in Deutschland wesentlich weniger Schäden aufgetreten seien als in den USA. Dies sei nicht zuletzt ein Erfolg der damals von Bundesinnenminister Otto Schily (SPD) ins Leben gerufenen Task Force "Sicheres Internet". Dieses Instrument bietet Unternehmen unter anderem Hilfestellung für einen besseren Schutz gegen Angriffe aus dem Internet.

Das Bundesinnenministerium will darüber hinaus in diesem Jahr ein so genanntes Tiger Team aufstellen, das Schwachpunkte in den Schutzprogrammen von Bundesbehörden aufspüren soll. Das Team wird sich aus Computerspezialisten des BSI rekrutieren, die versuchen, sich in die Computer verschiedener deutscher Behörden zu hacken. In diesem Jahr sind zwei "Penetrationstests" geplant - unter realen Bedingungen, wie man im Bundesinnenministerium betont. Ob das Tiger Team später auch Landesbehörden oder gar Wirtschaftsunternehmen testet, hängt jedoch nicht zuletzt von den Kosten ab.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%