Attacke ohne General

Die Bundesregierung tritt in den Cyberwar ein. Nachdem man die Gefahr
von Angriffen aus dem Netz noch vor einem Jahr als gering eingeschätzt hatte, scheint sich das Klima
in den letzten Wochen merklich verändert zu haben. In einem unveröffentlichten Bericht der Arbeitsgruppe Kritis
des Bundesamtes für Sicherheit (BSI) wird vor der "völlig neuartigen Bedrohung (….), die sich gegen die
Infrastruktur von Hochtechnologieländern" richtet, gesprochen.

Ausgelöst wurde die Sorge um die Sicherheit von infrastrukturell bedeutsamen Netzwerken durch den
Zusammenbruch verschiedener kommerzieller Web-Portale. Durch sogenannte denial of service-Attacken, mit
denen Hacker Anfang des Jahres durch eine simulierte Flut von Anfragen die Systeme von Yahoo, Amazon.com,
Buy.com und CNN lahmlegten, schwappte die Angst vorm digitalen Herzstillstand über den großen Teich in
deutsche Amtsstuben.

Nicht zuletzt trugen die Entwicklungen auf dem Balkan zu einer anwachsenden Besorgnis bei. Als eine serbische
Hackergruppe einen Schweizer Provider dazu zwingen konnte, die Veröffentlichung der "Stimme des Kosovo"
einzustellen, rückte die Gefahr eines Netzangriffs plötzlich in den Bereich des Vorstellbaren. Innenminister Otto
Schily ordnete sofort die Gründung einer Task-Force zum Thema Cyberwar an, um den Anschluß an die digitalen
Rüstmöglichkeiten nicht zu verpassen.

Bevor jedoch die Truppen mobilisiert werden können, ist offenbar zur Zeit noch ein zentrales Problem zu klären.
Wer soll der oberste General im Cyberwar sein? Welche Behörde, welches Ministerium, ist für die Prävention des
Cyberwars zuständig? Der Grund für diese Unsicherheit bei der Zuordnung der Kompetentzen liegt im Wesen des
Netzes selbst. Dezentral, anonym und übernational hebt es die angestammten Konfliktkategorien wie kriegerische
und kriminelle Handlungen, politische und geographische Grenzen, öffentliche und private Interessen aus den
Angeln. Es ist schließlich, so der Kritis-Bericht "kaum mehr möglich, zwischen innererstaatlichen und
ausländischen Bedrohungspotentialen, zwischen innerer und äußerer Sicherheit eines Staates oder
Bündnissystems zu unterscheiden." Ob also das Innenministerium, die Bundeswehr, das BSI oder gar das
Außenministerium zuständig sind, ist schwer zu klären. Zumindest spicht die momentan verwirrende Vielzahl an
Ausschüssen und Arbeitsgruppen, die zwischen diesen Institutionen angesiedelt sind, dafür, dass die
Kompetenzen noch nicht klar verteilt sind.

In den USA, wo die Gefahren des Cyberwar als ein "beispielloses nationales Risiko" eingestuft werden, ist der
Forschungsetat zur IT-Sicherung im letzten Jahr auf 500 Mio. Dollar verdoppelt werden. Bis 2004 soll der Etat
sogar auf 1 Milliarde US-Dollar anwachsen.

Von diesen Zahlen können deutsche Arbeitsgruppen nur träumen. Doch auch hier, so der Kritis-Bericht, sollen die
Bemühungen um Früherkennung und Abwehr von Angriffen aus dem Netz intensiviert werden. Problematisch ist
vor allem, dass die Eindringlinge in fremde Systeme ihre Spuren leicht verbergen oder verwischen können, so dass
sich die Analyse des Angriffs schwierig gestaltet. Risiken birgt vor allem der Einsatz von kommerzieller Software,
aber auch die Hardware kann mit Hilfe von Mikrowellenwaffen Ziel eines Angriffes werden. Die Möglichkeiten der
Verschlüsselung und Früherkennung, die bisher existieren, wären im Ernstfall völlig wirkungslos.

Die Anonymität der potentiellen Täter führt zu einem der Kernprobleme überhaupt: Nicht nur, dass ein Angriff von
beinahe jedem Ort aus erfolgen könnte, niemand weiss so recht, mit welchen potentiellen Angreifern zu rechnen ist.
Von "Feind erkannt-Feind gebannt" kann keine Rede sein. Im Bericht von "Kritis" ist lediglich vage von "kriminellen
Einzeltätern, Terroristen, kriminellen Organisationen oder feindlichen Staaten" die Rede. Zwar wird die Frage
aufgeworfen, "ob es einen über Netze mit Hilfe von Computern geführten Krieg geben kann". Solange jedoch nicht
klar ist, mit wem man rechnen muss, ist auch die Stossrichtung und der Ausgangspunkt einer möglichen
Netzattacke nicht kalkulierbar. Auf Grund dieser völlig neuartigen inhaltlichen Konstellation von Feind, Ziel und
Motiv ist es schwierig, eine konkrete Strategie der Abwehr zu entwickeln.

Die Vielzahl an offenen Fragen, unbekannten Problemen und unklaren Lösungsvorschlägen, die der Kritis-Bericht
aufwirft, übersteigt die Anzahl der konkreten Lösungsansätze bei weitem. Grundlegende Vorhaben, wie die
Intensivierung der Kontakte zur Privatwirtschaft und die prinzipielle Erkennung der Angriffe, außerdem das Erstellen
einer Liste der neuralgischen Punkte, lassen den Schluss zu, dass das Thema in deutschen Politikerköpfen erst
kürzlich online gegangen ist. Die offensichtlichen Schwierigkeiten bei der Zuschreibung von Kompetenzen
zwischen BSI und Innenministerium könnten jedoch die virtuelle Aufrüstung verzögern. Nicht zuletzt lässt die
Veröffentlichung des Kritis-Berichts, der deutlichere Maßnamen und Analysen enthalten soll, auf sich warten.
Bleibt nur zu hoffen, daß die tagenden Mitglieder nicht plötzlich den Cyberfeinden ins Auge blicken….

Kommentar verfassen