„IT-Angriff
kann Stadt lahm legen“
In der
Diskussion, wo und wie Terroristen zuschlagen könnten,
werden auch gezielte Angriffe auf Computernetze mit möglichen
katastrophalen Folgen nicht ausgeschlossen. Die zuständige
Expertin für IT-Sicherheit im Verteidigungsministerium,
Referatsleiterin Renate Buss, nimmt im Interview zu den Gefahren
durch Cyberterror Stellung.
politik-digital:
Vor einigen Wochen kam es zu einem massiven Angriff auf die
zentralen Server des Internet. Dabei wurde die Funktionsweise
von neun von 13 Root Servern erheblich eingeschränkt.
Der Nutzer merkte davon jedoch nichts. Sind also die Warnungen
vor Cyberterror nur ein Medienhype?>
Buss:
Ich glaube nicht, dass man Entwarnung geben kann. Es hat ja
schon andere Angriffe gegeben, bei denen die Netze über
längere Zeit ausgefallen sind. Auch in unseren Ressorts
wurden Netze bereits lahm gelegt. Der Schaden dabei ist recht
beachtlich.
politik-digital:
Betrifft der „Krieg gegen den Terror“ und gegen
al Qaeda, die sich nach dem Afghanistan-Krieg weltweit neu
formiert, auch die Arbeit Ihrer Stabsstelle?
Buss:
Wir müssen die IT-Sicherheit für die ganze Bundeswehr
gewährleisten. Wir legen die Policy fest und geben die
Vorschriften heraus. Mit al Qaeda direkt haben wir aber nicht
zu tun. Wir sind grundsätzlich zuständig für
die technische und organisatorische Abwehr von Angriffen,
egal woher sie kommen, ob Hacker oder Terrorist.
politik-digital:
Die Angriffsmöglichkeiten auf IT-Netze werden in den
Medien oft blumig beschrieben: Züge entgleisen, der Verkehr
bricht zusammen, Gasleitungen explodieren usw. Es gab auch
schon Übungen, die ein solches Szenario simuliert haben.
Halten Sie solche Folgen eines IT-Angriffs für realistisch?
Buss:
Ich sehe die Möglichkeit schon, dass eine Stadt durch
einen IT-Angriff lahm gelegt werden könnte. Manche Medien
machen die Risiken sicherlich sehr plastisch, aber man sollte
sie nicht unterbewerten. Je mehr die Vernetzung fortschreitet,
z.B. über das Internet, desto größer sind
auch die Möglichkeiten, Angriffe zu fahren. Das Sicherheitsbewusstsein
ist bei vielen nicht besonders ausgeprägt, bei Privatnutzern,
aber auch im Mittelstand.
politik-digital:
Inzwischen wird spekuliert, Terrororganisationen wie al Qaeda
bevorzugten eher spektakuläre Attentate, um in die TV-Nachrichten
zu kommen, als IT-Angriffe. Hat sich Ihre generelle Einschätzung
der IT-Sicherheitslage durch den 11. September verändert?
Buss: Wir haben
uns zwar danach Gedanken gemacht, ob das auf die IT-Sicherheit
der Bundeswehr Auswirkungen haben könnte, sind aber zu
dem Ergebnis gekommen, dass es keinen Einfluss hat. Wir haben
unsere Policy nach dem 11. September nicht verändert,
denn sie zielt darauf ab, generell zu verhindern, dass sich
jemand Zugang zu unseren Netzen verschafft. Dagegen haben
die Auslandseinsätze der Bundeswehr das IT-Sicherheitsbewusstsein
verändert. Die Bundeswehr war ja in der Vergangenheit,
salopp gesagt, eine Manöverarmee. Die Situation ist jetzt
eine andere. Die Bundeswehr ist im Einsatz und das Leben von
Soldaten ist bedroht. Wenn z.B. in Afghanistan ein Kryptogerät
ausfällt und Informationen an die Gegenseite gelangen,
dann kann das zu schweren Folgen führen. Indirekt hat
das also mit dem 11. September zu tun, aber nicht direkt.
Was die Bedrohung durch al Qaeda angeht, so ist meine persönliche
Meinung, dass es deren Ziel ist, möglichst viele Menschen
umzubringen und die Staaten in ihrem Nerv zu treffen. Von
daher glaube ich nicht, dass die al Qaeda einen Cyberangriff
gegen die Bundeswehr fahren will. Die Gefahr sehe ich eher
in den Auslandseinsätzen. Wenn es möglich wäre,
die Kühlanlage eines Atomkraftwerks durch einen Cyberangriff
auszuschalten, dann wäre das sicher anders, aber das
dürfte nicht so einfach sein.
politik-digital:
Gefahr droht also eher vom Cyberwar als vom Cyberterror?
Buss:
Ich weiß nicht, ob man das wirklich unterscheiden sollte.
politik-digital:
Ein Arbeitspapier eines interministeriellen IT-Planungsstabes
forderte unlängst den Einsatz unabhängiger Kryptoprogramme
und Open Source-Betriebssysteme, um sich gegen mögliche
versteckte Einfallstore in kommerzieller Software zu wappnen.
Sehen Sie da Probleme mit den Amerikanern, die ein wirtschaftliches
Interesse daran haben, die Software von US-Unternehmen weltweit
zu verbreiten?
Buss:
Microsoft ist nun einmal der Marktführer. Wir sind nicht
in der Lage, auch nur im Ansatz zu überprüfen, ob
da irgendwelche Bugs drinnen sind – selbst dann nicht,
wenn Microsoft den Source Code offen legen würde. Die
Abhängigkeit von einem einzigen Unternehmen ist natürlich
nie gut. Die Bundesregierung hat daher die Offensive gestartet,
mit Open Source wie Linux zu arbeiten. Aber auch da ist es
schwierig sicher zu stellen, dass keine Bugs drinnen sind.
Schwachstellen gibt es auch bei Linux.
politik-digital:
Eine wichtige Rolle beim Schutz kritischer Infrastrukturen
spielen die CERTs (Computer Emergency Response Team), die
es in manchen Großunternehmen schon länger gibt.
Die Bundeswehr hat nun ein eigenes CERT aufgebaut. Wie sieht
dessen Ausstattung aus?
Buss:
Das Kernteam besteht aus acht Mitarbeitern. Geplant ist ein
Ausbau auf 25 Mitarbeiter. Das Kernteam hat seine einjährige
Ausbildung vor kurzem abgeschlossen. Meine Stabsstelle hat
dieses CERT auf der Grundlage einer Studie von IBM initiiert.
Ziel ist es, die Netze der Bundeswehr zu überwachen,
um Angriffe rechtzeitig zu erkennen und möglichen Schäden
vorzubeugen oder entstandene Schäden zu beseitigen. Dieses
Team wird mit den anderen CERTs, vor allem dem CERT-Bund,
eng zusammenarbeiten.
politik-digital:
Im April wurde das Amt für Informationsmanagement und
IT der Bundeswehr eingerichtet. Ist das auch für die
Abwehr von Cyberterror und Cyberwar zuständig?
Buss:
Wir im Ministerium machen die Planung, Steuerung und Kontrolle.
Das Amt ist der nachgeordnete Bereich und das durchführende
Organ. Es besteht aus zwei großen Komplexen. Es gibt
einen Querschnittsbereich und einen Projektbereich. Im Querschnittsbereich
gibt es ein Element IT-Sicherheit, das mir nachgeordnet ist
und mir zuarbeitet. Dort erstellt man Vorschriften, führt
Inspektionen durch und befasst sich mit Informationsoperationen.
Wobei ich klar sage, dass es nicht unsere Aufgabe ist, sich
Gedanken zu machen, wie man aktiv Informationsoperationen
durchführen kann. Der aktive Anteil ist Sache der Streitkräfte,
wenn er überhaupt gemacht wird. Das ist momentan mit
zwanzig Fragezeichen zu versehen, weil es da eine ganze Menge
Probleme, vor allem rechtlicher Art, gibt. Wir unterstützen
den passiven Anteil.
politik-digital:
Was heißt aktiv und passiv?
Buss:
Passiv heißt Abwehr und aktiv heißt Attacke. Zur
Zeit plant die Bundeswehr aber keine aktiven Informationsoperationen.
politik-digital:
Die Amerikaner haben solche Operationen ja schon durchgeführt,
zum Beispiel im Kosovo-Krieg.
Buss:
Vorsicht, da muss man unterscheiden, was man macht. Zu den
aktiven Informationsoperationen gehört auch, was man
früher psychologische Kriegsführung genannt hat,
das heißt der Versuch einer Beeinflussung der Bevölkerung
und der Streitkräfte. Das ist die eine Komponente. Damit
haben wir überhaupt nichts zu tun. Die andere ist, einen
Angriff gegen ein IT-Netz zu fahren, zum Beispiel Webseiten
manipulieren. Ob die Amerikaner das machen, weiß ich
nicht. Ich gehe mal davon aus. Wir machen das nicht. Ich weiß
aber, dass es im Kosovo auch Angriffe auf unsere Webseiten
gegeben hat. Damit kommen Sie aber noch nicht in die Netze
herein. Eine weitere Möglichkeit wäre, in Netze
eindringen, um Informationen zu manipulieren und zu zerstören.
Das wird zurzeit nicht gemacht und zwar einfach deswegen,
weil Sie nicht in der Lage sind, das zu steuern. Wenn Sie
einen Virus einsetzen, haben Sie keinen Einfluss darauf, wohin
er sich überall verteilt. Wenn Sie zivile Netze mit denen
der Streitkräfte verbunden haben, kommen Sie in zivile
Netze herein und das ist ein Verstoß gegen das Völkerrecht.
Das ist rechtlich sehr problematisch und daher fahren die
Amerikaner das auf ganz kleiner Flamme.
politik-digital:
Es war aber zu lesen, dass serbische Computersysteme der Luftaufklärung
und der Abwehrgeschütze manipuliert wurden, so dass sie
nicht funktioniert haben.
Buss:
Solche Angriffe können Sie aber auch mit anderen Mitteln
machen, zum Beispiel durch elektronische Kampfführung.
Insofern weiß ich nicht, was da gelaufen ist. Ich bezweifle,
dass Viren eingesetzt wurden.
politik-digital:
Wie ist die Aufgabenverteilung vorgesehen zwischen dem IT-Amt
und der IT-Gesellschaft, die in Zukunft im Rahmen des Herkules-Projekts
gegründet werden soll?
Buss:
Die Frage kann ich Ihnen im Augenblick nicht beantworten.
Wir haben ein Ranking gemacht zwischen den beiden Konsortien,
die sich um der Herkules-Projekt beworben haben. Ein Ranking
ist noch keine endgültige Vergabeentscheidung. Momentan
sind wir in der Due-Diligence-Phase, das heißt wir besprechen
mit den Unternehmen die Details. Sicher ist, dass Planung,
Steuerung und Kontrolle der IT-Sicherheit im Ministerium verbleiben.
Wir behalten auch das CERT der Bundeswehr.
politik-digital:
Wie lösen Sie das Problem, dass das Netz prinzipiell
unsicherer wird, wenn es z.B. durch Outsourcing stärker
mit Netzen von Privatunternehmen verknüpft wird? Denn
es gibt dann ja mehr Schwachstellen und Einfallstore als in
einem geschlossenen Netz. Geht der Trend zur Privatisierung
in der Bundeswehr zu Lasten der IT-Sicherheit?
Buss:
Sicherlich schaffen Sie dadurch zusätzliche Risiken,
aber sie sind beherrschbar. Wichtig ist, dass man die Schnittstellen
nach außen kennt und diese entsprechend sichert. Es
kommt auf die Definition der Schnittstelle an.
politik-digital:
Zu dem Konsortium ISIC 21, das in der Ausschreibung für
das Herkules-Projekt auf Platz eins gerankt wurde, gehört
Mobilcom. Das Rendsburger Mobilfunk-Unternehmen kommt ja momentan
nicht aus den Negativ-Schlagzeilen. Sind Sie auf einen möglichen
Ausfall von Mobilcom vorbereitet?
Buss:
CSC Ploenzke hat versprochen, dass das keine Probleme verursachen
würde.
Das Gespräch
führte Ulrich Hottelet.
- Zurück zur Rubrik "Piraten & Terroristen"
- Zum Forum "Piraten & Terroristen"
|
