In der Diskussion, wo und wie Terroristen zuschlagen könnten, werden auch gezielte Angriffe auf Computernetze mit möglichen katastrophalen Folgen nicht ausgeschlossen. Die zuständige Expertin für IT-Sicherheit im Verteidigungsministerium, Referatsleiterin Renate Buss, nimmt im Interview zu den Gefahren durch Cyberterror Stellung. Vor einigen Wochen kam es zu einem massiven Angriff auf die zentralen Server des Internet. Dabei wurde die Funktionsweise von neun von 13 Root Servern erheblich eingeschränkt. Der Nutzer merkte davon jedoch nichts. Sind also die Warnungen vor Cyberterror nur ein Medienhype?
Renate Buss: Ich glaube nicht, dass man Entwarnung geben kann. Es hat ja schon andere Angriffe gegeben, bei denen die Netze über längere Zeit ausgefallen sind. Auch in unseren Ressorts wurden Netze bereits lahm gelegt. Der Schaden dabei ist recht beachtlich.
Man sollte die Risiken nicht unterbewerten
Betrifft der "Krieg gegen den Terror" und gegen al-Qaida, die sich nach dem Afghanistan-Krieg weltweit neu formiert, auch die Arbeit Ihrer Stabsstelle?
Renate Buss: Wir müssen die IT-Sicherheit für die ganze Bundeswehr gewährleisten. Wir legen die Policy fest und geben die Vorschriften heraus. Mit al-Qaida direkt haben wir aber nicht zu tun. Wir sind grundsätzlich zuständig für die technische und organisatorische Abwehr von Angriffen, egal woher
Die Angriffsmöglichkeiten auf IT-Netze werden in den Medien oft blumig beschrieben: Züge entgleisen, der Verkehr bricht zusammen, Gasleitungen explodieren usw. Es gab auch schon Übungen, die ein solches Szenario simuliert haben. Halten Sie solche Folgen eines IT-Angriffs für realistisch?
Renate Buss: Ich sehe die Möglichkeit schon, dass eine Stadt durch einen IT-Angriff lahm gelegt werden könnte. Manche Medien machen die Risiken sicherlich sehr plastisch, aber man sollte sie nicht unterbewerten. Je mehr die Vernetzung fortschreitet, z.B. über das Internet, desto größer sind auch die Möglichkeiten, Angriffe zu fahren. Das Sicherheitsbewusstsein ist bei vielen nicht besonders ausgeprägt, bei Privatnutzern, aber auch im Mittelstand.
Inzwischen wird spekuliert, Terrororganisationen wie al-Qaida bevorzugten eher spektakuläre Attentate, um in die TV-Nachrichten zu kommen, als IT-Angriffe. Hat sich Ihre generelle Einschätzung der IT-Sicherheitslage durch den 11. September verändert?
Renate Buss: Wir haben uns zwar danach Gedanken gemacht, ob das auf die IT-Sicherheit der Bundeswehr Auswirkungen haben könnte, sind aber zu dem Ergebnis gekommen, dass es keinen Einfluss hat. Wir haben unsere Policy nach dem 11. September nicht verändert, denn sie zielt darauf ab, generell zu verhindern, dass sich jemand Zugang zu unseren Netzen verschafft.
Dagegen haben die Auslandseinsätze der Bundeswehr das IT-Sicherheitsbewusstsein verändert. Die Bundeswehr war ja in der Vergangenheit, salopp gesagt, eine Manöverarmee. Die Situation ist jetzt eine andere. Die Bundeswehr ist im Einsatz und das Leben von Soldaten ist bedroht. Wenn z.B. in Afghanistan ein Kryptogerät ausfällt und Informationen an die Gegenseite gelangen, dann kann das zu schweren Folgen führen. Indirekt hat das also mit dem 11. September zu tun, aber nicht direkt.
Was die Bedrohung durch al-Qaida angeht, so ist meine persönliche Meinung, dass es deren Ziel ist, möglichst viele Menschen umzubringen und die Staaten in ihrem Nerv zu treffen. Von daher glaube ich nicht, dass die al-Qaida einen Cyberangriff gegen die Bundeswehr fahren will. Die Gefahr sehe ich eher in den Auslandseinsätzen. Wenn es möglich wäre, die Kühlanlage eines Atomkraftwerks durch einen Cyberangriff auszuschalten, dann wäre das sicher anders, aber das dürfte nicht so einfach sein.
Gefahr droht also eher vom Cyberwar als vom Cyberterror?
Renate Buss: Ich weiß nicht, ob man das wirklich unterscheiden sollte.
Eigenes CERT der Bundeswehr
Ein Arbeitspapier eines interministeriellen IT-Planungsstabes forderte unlängst den Einsatz unabhängiger Kryptoprogramme und Open Source-Betriebssysteme, um sich gegen mögliche versteckte Einfallstore in kommerzieller Software zu wappnen. Sehen Sie da Probleme mit den Amerikanern, die ein wirtschaftliches Interesse daran haben, die Software von US-Unternehmen weltweit zu verbreiten?
Renate Buss: Microsoft ist nun einmal der Marktführer. Wir sind nicht in der Lage, auch nur im Ansatz zu überprüfen, ob da irgendwelche Bugs drinnen sind - selbst dann nicht, wenn Microsoft den Source Code offen legen würde. Die Abhängigkeit von einem einzigen Unternehmen ist natürlich nie gut. Die Bundesregierung hat daher die Offensive gestartet, mit Open Source wie Linux zu arbeiten. Aber auch da ist es schwierig sicher zu stellen, dass keine Bugs drinnen sind.
Schwachstellen gibt es auch bei Linux.
Eine wichtige Rolle beim Schutz kritischer Infrastrukturen spielen die CERTs (Computer Emergency Response Team), die es in manchen Großunternehmen schon länger gibt. Die Bundeswehr hat nun ein eigenes CERT aufgebaut. Wie sieht dessen Ausstattung aus?
Renate Buss: Das Kernteam besteht aus acht Mitarbeitern. Geplant ist ein Ausbau auf 25 Mitarbeiter. Das Kernteam hat seine einjährige Ausbildung vor kurzem abgeschlossen. Meine Stabsstelle hat dieses CERT auf der Grundlage einer Studie von IBM initiiert. Ziel ist es, die Netze der Bundeswehr zu überwachen, um Angriffe rechtzeitig zu erkennen und möglichen Schäden vorzubeugen oder entstandene Schäden zu beseitigen. Dieses Team wird mit den anderen CERTs, vor allem dem CERT-Bund, eng zusammenarbeiten.
Noch plant die Bundeswehr keine aktiven Informationsoperationen
Im April wurde das Amt für Informationsmanagement und IT der Bundeswehr eingerichtet. Ist das auch für die Abwehr von Cyberterror und Cyberwar zuständig?
Renate Buss: Wir im Ministerium machen die Planung, Steuerung und Kontrolle. Das Amt ist der nachgeordnete Bereich und das durchführende Organ. Es besteht aus zwei großen Komplexen. Es gibt einen Querschnittsbereich und einen Projektbereich. Im Querschnittsbereich gibt es ein Element IT-Sicherheit, das mir nachgeordnet ist und mir zuarbeitet. Dort erstellt man Vorschriften, führt Inspektionen durch und befasst sich mit Informationsoperationen. Wobei ich klar sage, dass es nicht unsere Aufgabe ist, sich Gedanken zu machen, wie man aktiv Informationsoperationen durchführen kann. Der aktive Anteil ist Sache der Streitkräfte, wenn er überhaupt gemacht wird. Das ist momentan mit zwanzig Fragezeichen zu versehen, weil es da eine ganze Menge Probleme, vor allem rechtlicher Art, gibt. Wir unterstützen den passiven Anteil.
Was heißt aktiv und passiv?
Renate Buss: Passiv heißt Abwehr und aktiv heißt Attacke. Zur Zeit plant die Bundeswehr aber keine aktiven Informationsoperationen.
Die Amerikaner haben solche Operationen ja schon durchgeführt, zum Beispiel im Kosovo-Krieg.
Renate Buss: Vorsicht, da muss man unterscheiden, was man macht. Zu den aktiven Informationsoperationen gehört auch, was man früher psychologische Kriegsführung genannt hat, das heißt der Versuch einer Beeinflussung der Bevölkerung und der Streitkräfte. Das ist die eine Komponente. Damit haben wir überhaupt nichts zu tun. Die andere ist, einen Angriff gegen ein IT-Netz zu fahren, zum Beispiel Webseiten manipulieren. Ob die Amerikaner das machen, weiß ich nicht. Ich gehe mal davon aus. Wir machen das nicht. Ich weiß aber, dass es im Kosovo auch Angriffe auf unsere Webseiten gegeben hat. Damit kommen Sie aber noch nicht in die Netze herein. Eine weitere Möglichkeit wäre, in Netze eindringen, um Informationen zu manipulieren und zu zerstören. Das wird zurzeit nicht gemacht und zwar einfach deswegen, weil Sie nicht in der Lage sind, das zu steuern. Wenn Sie einen Virus einsetzen, haben Sie keinen Einfluss darauf, wohin er sich überall verteilt. Wenn Sie zivile Netze mit denen der Streitkräfte verbunden haben, kommen Sie in zivile Netze herein und das ist ein Verstoß gegen das Völkerrecht. Das ist rechtlich sehr problematisch und daher fahren die Amerikaner das auf ganz kleiner Flamme.
Es war aber zu lesen, dass serbische Computersysteme der Luftaufklärung und der Abwehrgeschütze manipuliert wurden, so dass sie nicht funktioniert haben.
Renate Buss: Solche Angriffe können Sie aber auch mit anderen Mitteln machen, zum Beispiel durch elektronische Kampfführung. Insofern weiß ich nicht, was da gelaufen ist. Ich bezweifle, dass Viren eingesetzt wurden.
Privatisierung und Sicherheit
Wie ist die Aufgabenverteilung vorgesehen zwischen dem IT-Amt und der IT-Gesellschaft, die in Zukunft im Rahmen des Herkules-Projekts gegründet werden soll?
Renate Buss: Die Frage kann ich Ihnen im Augenblick nicht beantworten. Wir haben ein Ranking gemacht zwischen den beiden Konsortien, die sich um der Herkules-Projekt beworben haben. Ein Ranking ist noch keine endgültige Vergabeentscheidung. Momentan sind wir in der Due-Diligence-Phase, das heißt wir besprechen mit den Unternehmen die Details. Sicher ist, dass Planung, Steuerung und Kontrolle der IT-Sicherheit im Ministerium verbleiben. Wir behalten auch das CERT der Bundeswehr.
Wie lösen Sie das Problem, dass das Netz prinzipiell unsicherer wird, wenn es z.B. durch Outsourcing stärker mit Netzen von Privatunternehmen verknüpft wird? Denn es gibt dann ja mehr Schwachstellen und Einfallstore als in einem geschlossenen Netz. Geht der Trend zur Privatisierung in der Bundeswehr zu Lasten der IT-Sicherheit?
Renate Buss: Sicherlich schaffen Sie dadurch zusätzliche Risiken, aber sie sind beherrschbar. Wichtig ist, dass man die Schnittstellen nach außen kennt und diese entsprechend sichert. Es kommt auf die Definition der Schnittstelle an.
Zu dem Konsortium ISIC 21, das in der Ausschreibung für das Herkules-Projekt auf Platz eins gerankt wurde, gehört Mobilcom. Das Rendsburger Mobilfunk-Unternehmen kommt ja momentan nicht aus den Negativ-Schlagzeilen. Sind Sie auf einen möglichen Ausfall von Mobilcom vorbereitet?
Renate Buss: CSC Ploenzke hat versprochen, dass das keine Probleme verursachen würde.
Autor: Ulrich Hottelet
Quelle: Telepolis, 16.01.2003