![[externer Link]](../../../../images/link.gif)
www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.Der Schutz vor terroristischen Angriffen gehört unausweichlich zu den Aufgaben, denen sich staatliche Stellen, aber auch jede Organisation und letztendlich jede Bürgerin und Bürger stellen müssen. Viele von uns werden sich noch daran erinnern, wie es in den 70er- und frühen 80er-Jahren des letzten Jahrhunderts war, in denen schon einmal verstärkt Angst vor Terroristen herrschte. Auch in dieser Zeit wurde die IT schon konkretes Ziel: Bomben gegen Rechenzentren zielten auf die Instrumente, mit denen die Mächtigen die Gesellschaft lenkten und steuerten.
Nach wie vor ist die IT ein möglicher – und aus vielen Gründen sehr attraktiver – Hebel, um Chaos innerhalb einer Gesellschaft zu verursachen. Es gilt gerade auch bei der IT der Grundsatz einer asymmetrischen Bedrohung: Mit dem Einsatz von wenigen, vergleichsweise einfachen Mitteln kann man erhebliche Schäden anrichten – und das ungeachtet aufwändiger Schutzmaßnahmen oder Sicherheitswerkzeuge. Das dies so ist, beweisen die vielen von der Presse ins Rampenlicht gerückten Fälle, wo ein simpler PC in den Händen der Täter genügte, ihre Ziele zu erreichen.
Die zunehmenden Risiken, aber auch der Ruf nach mehr Staatsmacht werfen vielfältige Fragen auf, für die wir als Gesellschaft noch keine Antworten haben. Doch genau die brauchen wir dringend – und zwar bevor durch immer neue Gesetze Fakten geschaffen werden! Betrachten wir einige Probleme in diesem Umfeld, die – auch, aber nicht nur – CERTs angehen.
Inzwischen gibt es vielfältige "Waffen" für den Cyber-War im Internet – Angriffsprogramme, ferngesteuerte PCs et cetera –, die auch schon koordiniert zum Einsatz gebracht werden. Angriffe können sich dabei unter anderem gegen kritische Infrastruktur richten, staatliche Einrichtungen in ihrer Kommunikation einschränken und zu einer allgemeinen Verunsicherung der Bevölkerung führen. Üblicherweise sind dies Punkte, wie sie auch für die Vorbereitung eines Angriffskrieges gewählt würden – allerdings nunmehr mit anderen Mitteln.
Aber wie sind flächendeckende oder zumindest weit reichende (IT-)Angriffe aus anderen Ländern einzuordnen, die allem Anschein nach koordiniert gegen die Gesellschaft einer Nation wirken? Was bedeuten Gerüchte, dass sich ein ausländischer Staat offen oder verdeckt Personen bedient, die technisch durchaus in der Lage sind, Bot-Netze im digitalen Untergrund anzuzapfen und für ihre Zwecke zu gebrauchen?
Die Bewertung von Handlungen, die durch Nicht-Kombattanten (also Personen, die nicht dem Militär zuzuordnen sind und sich klar als Kämpfer zu erkennen geben müssen) erfolgen, sind bei (potenziellen) militärischen Konflikten immer ein Problem. Oft hängt eine Bewertung vom Kontext ab, also im Allgemeinen von der politischen Lage.
In Bezug auf Angriffe aus dem Internet fehlen aber zum einen die Werkzeuge, ein nationales Lagebild sicher und flächendeckend zu gestalten. Zum anderen sind vordergründig offensichtliche Aussagen – der Angriff kommt aus Land XYZ – in ihrer Substanz sehr schwierig zu verifizieren. Nichts ist heute leichter, als ausgewählte Bot-Netze in einem Drittland für Angriffe zu verwenden – und dies ohne große Gefahr, dass die Hintermänner schnell genug identifiziert werden, um ein größeres Chaos zu vermeiden.
Das Recht auf informationelle Selbstbestimmung ist ein in der Öffentlichkeit zu wenig geschätzter Wert. Viele Menschen zeigen heute einen nahezu exhibitionistischen Hang, im Internet "alles" über sich zu veröffentlichen – und nutzen ihr Recht auf informationelle Selbstbestimmung in einer Art und Weise, die viele Gegner der Volkszählung in den 80er-Jahren wohl nicht für möglich gehalten hätten. Dabei ist als naiv einzuschätzen, wer glaubt, die globale Menge an Daten würde schon dafür sorgen, dass seine Informationen nicht ausgewertet werden.
Für neue Dienste wie Frühwarnung und Lagebild, für das nationale Ausmaß der Bedrohung durch IT-Angriffe und die Terrorismusbekämpfung ist offenkundig die Verfügbarkeit vieler Daten wichtig. Doch der Ruf nach mehr Daten und mehr Befugnissen für den Staat darf nicht nur als technisches Detail betrachtet werden, sondern ist vor allem den Bürgern mit allen seinen Chancen und Risiken umfassend zu vermitteln.
Dazu gehört ebenfalls, eine transparente Folgenabschätzung durchzuführen. Hierbei sind nicht zuletzt auch mögliche Missbrauchsszenarien zu berücksichtigen: vom Innentäter, der beispielsweise Daten ohne Wissen der Vorgesetzten für eigene Zwecke einsetzt, bis hin zu Angreifern, die womöglich erfolgreich Zugang zu den staatlich geforderten Vorratsspeichersystemen bei einem Provider erhalten. Undenkbar ist das alles nicht – es bleibt die Frage, wovor wir mehr Angst haben (sollten).
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
Terrorismus ist eine Bedrohung – keine Frage. Doch darf man darüber nicht andere Werte – wie die Wahrung der Privatsphäre – vergessen und nicht die Verhältnismäßigkeit aus dem Auge verlieren.
Wir leben – nicht nur hinsichtlich unser IT-Nutzung – in einer Risikogesellschaft. Doch im Allgemeinen nehmen wir bewusst Risiken in Kauf, ob im Straßenverkehr oder an der Börse, um Chancen zu nutzen. Absolute Sicherheit gibt es nicht und "zu viel" Sicherheit reduziert die sich bietenden Chancen – zu sehr!
Wie jede Frage, die an den Grundfesten der Gesellschaft rüttelt, braucht auch die Frage nach IT-Überwachung zur Terrorabwehr eine (fundierte) Diskussion mit allen Betroffenen – davon ist zurzeit wenig zu sehen. Gerade CERTs, die wissen, wo sich heute die wirklichen Schwachstellen der IT befinden, müssen sich hier verstärkt zu Wort melden und engagieren!
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#4, Seite 30
tag:kes.info,2007:art:2007-4-030
| 