Cytex 200x - die Bedrohung kommt aus dem Cyberspace
Gutachten zum "Planspiel Cyberterror" versucht Einblicke in die Achillesfersen des Internet zu liefern
Wir schreiben den 28. Januar 200x. Mit nördlicher Luftströmung hat sich im Großraum Berlin Kaltluft durchgesetzt und es beginnt ergiebig zu schneien. Um 4.30 Uhr dann beginnt das Chaos seinen Lauf zu nehmen. Zunächst entgleist der Nachtschnellzug Bern - Berlin kurz vor dem Passieren des Bahnhofs Potsdam an einer Weiche. Die erste Schreckensbilanz des Albtraums auf Schienen: 16 Tote und 100 Verletzte.
Um 7.00 Uhr stellen Fluglotsen an diesem stürmischen Wintertag, an dem die Bundesregierung in Berlin der Gastgeber einer Internationalen Konferenz sein soll, dann plötzlich auf ihren Schirmen eine unrealistische Flugdichte fest. Drei der fünf verfügbaren Radargeräte arbeiten nicht mehr korrekt und zaubern fiktive Jets zwischen die tatsächlich verkehrenden Maschinen. Sie können nicht mehr benutzt werden, sodass der Lotsenbetrieb stark behindert ist. Die Sicherheitsabstände zwischen den Flugzeugen müssen wesentlich erhöht werden, was die durch das schlechte Wetter verursachte Verspätungslage weiter verschärft.
Zur gleichen Zeit entdeckt aber auch das Personal der Fernverkehrs-Leitzentrale der Eisenbahn AG auf den Monitoren nicht identifizierbare Anzeigen hinsichtlich Streckenbelegung, Streckenführung und Signalgebung Um keine Menschenleben zu gefährden werden vorsorglich alle Signale auf Rot gestellt und die Zugfahrer zur Weiterfahrt "auf Sicht" angehalten. Natürlich geraten die Fahrpläne mitten im Pendlerverkehr im ganzen Berliner Raum völlig durcheinander. Zu allem Unglück sind natürlich auch die Leitzentralen der Feuerwehr und der Polizei nicht mehr erreichbar.
Eine Stunde später bricht im Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesinnenminister Otto Schily anno 2002 zum zentralen IT-Sicherheitsdienstleister der Regierung ausbauen ließ, das blanke Entsetzen aus: alle Telefonanschlüsse sind belegt. Berliner Banken rufen zur selben Zeit empört bei der Telekom an und verlangen die sofortige Behebung der Störungen bei der Abwicklung des Zahlungsverkehrs, da bislang nur 10 Prozent der normalen Aufträge abgewickelt werden konnten. Ungereimtheiten gibt es zu diesem Zeitpunkt auch bei einem thermischen Kraftwerk in der Hauptstadt. Es wird vom Netz genommen und abgeschaltet, was zu lokalen Stromausfällen führt und manchen Radiowecker zeitweilig außer Gefecht setzt.
Pünktlich um Neun spielt die Buchungssoftware der Zentralbank verrückt, da sie im Voraus manipuliert worden war. Es dauert allerdings aufgrund einer Störung des internen Controllings eine ganze Weile, bis der Fehler angesichts der Unmenge von Falschbuchungen bemerkt wird. Die Polizei beschäftigt derweil von 10.30 Uhr an eine Bombendrohung für den Flughafen Tegel. Der Flugplatz wird aufgrund der allgemeinen Lage geräumt. Die Internationale Konferenz kann sich der Bundeskanzler vorläufig an den Hut stecken, da wegen des Verkehrchaos nur ein Teil der Gäste eingetroffen ist.
Übung macht den Meister
Das beschriebene Kuddelmuddel umreißt nicht etwa die Handlung eines neuen Babelsberg-Streifens, sondern stammt aus dem Drehbuch des Planspiels Cytex 2001, das die Ottobrunner Firma IABG (Industrieanlagen-Betriebsgesellschaft) zusammen mit dem von ihr ins Leben gerufenen Arbeitskreis Schutz von Infrastrukturen (AKSIS) zwischen dem 12. und dem 14. November vergangenen Jahres bei sich "Zuhause" durchführte. Dem Verbund gehören neben mehreren Ministerien und den nachgeordneten Sicherheitsbehörden rund 80 Unternehmen und Lobbygruppen an, darunter sind Konzerne wie die Deutsche Bank, die Deutsche Telekom oder die Lufthansa.
Ein vom Bundeswirtschaftsministerium in Auftrag gegebenes Kurzgutachten mit den wichtigsten Ergebnissen der Übung des virtuellen Großangriffs auf die Achillesfersen der Netzgesellschaft liegt Telepolis nun vor. Demnach haperte es bei dem simulierten Ernstfall vor allem an der Krisenkommunikation zwischen allen Beteiligten.
Gerade Klein- und Mittelständische Unternehmen (KMUs) könnten bei einem großflächigen Angriff von Cyberterroristen "voll betroffen" sein und "mit ihren Dienstleistungen und Produkten ausfallen", warnt der Bericht der vom Bund ins Leben gerufenen IABG, die sich seit mehreren Jahren als eine Art Think Tank vergleichbar zur Pentagon-nahen RAND Corporation der USA zu positionieren versucht. Um Gefahren für die kritischen Infrastrukturen hierzulande abzuwehren, hält das nach wie vor eng mit der öffentlichen Hand zusammenarbeitende Unternehmen "die Aufstellung eines Regierungsprogramms zum Cyberterrorismus" für unabdingbar.
Grundhypothese: Zusammenbruch des öffentlichen Lebens
Vor ihre Empfehlungen und das Planspiel hatte die IABG allerdings bereits die klare Hypothese gestellt, dass das öffentliche Leben im Großraum Berlin durch die IT-Angriffe der zum Zuge kommenden militanten Aktionsgruppe "Interaktion" zeitweise zusammenbrechen werde. Diese Annahme selbst konnte durch die Übung, an der sich zwölf Beamte aus Ministerien und Behörden, neun Vertreter der Wirtschaft sowie zehn Mitarbeiter der IABG beteiligten, natürlich nicht bestätigen. Schließlich erfolgten keine echten Attacken auf essenzielle Rechnersysteme. Stattdessen konnten die Teilnehmer, die in einzelne Arbeitsstäbe aufgeteilt Tür an Tür in Ottobrunn vor ihren Computer saßen, "nur" auf die vom Drehbuch vorgegebenen Situationen reagieren. Für die Auswertung ausschlaggebend war dabei hauptsächlich, inwiefern und nach welchen Zeitperioden es den einzelnen Parteien gelang, sich ein möglichst umfassendes Bild der virtuellen Lage zu machen.
Um die Sache richtig spannend zu machen und potenzielle Kettenabläufe bei Cyberangriffen zu simulieren, sah der Spielablauf auch am späteren Vormittag des fiktiven Konferenztags zahlreiche Komplikationen vor. Den Höhepunkt erreichte das Chaos demnach zwischen 11:00 und 12:00 Uhr. Das Drehbuch zu diesem Zeitpunkt von einem kompletten "Stromausfall in den meisten Teilen Berlins" aus, da der Hauptangriff der Gruppe Interaktion gegen die Berliner Energieversorgungsgesellschaft richtete. Ziel der "von langer Hand vorbereiteten" Aktion ist es, die Bundesregierung zur Freilassung inhaftierter Mitglieder der Terroristenvereinigung zu zwingen.
So kommt dann eben der Telefonverkehr weit gehend zum Erliegen, die Ampeln fallen aus und der Verkehr bricht auf den Haupt- und Nebenstraßen größtenteils zusammen. Der U-Bahnverkehr kommt zum Stillstand, sodass sich die Menschenmengen nur mit Mühe und Not zu den Ausgängen vortasten können. Geldautomaten spucken nichts mehr aus, Aufzüge und Rolltreppen bleiben stehen. Der Regierende Bürgermeister ruft Mittags den Notstand aus und beruft einen Krisenstab ein. Die Bundesregierung kündigt schließlich eine Pressekonferenz für 14 Uhr an und gibt der Hoffnung Ausdruck, dass sich die Lage bis dahin zu normalisieren beginne.
Komplizierter Lageaufbau
Den Teilnehmern an der in Zeitlupe an drei Tagen einen eigentlich 12-stündigen Szenarioablauf durchexerzierenden Übung oblag es nun, Sinn in den sich ihnen durch Anrufe, Medienberichte und hauptsächlich E-Mail-Botschaften vorgegaukelten "Unsinn" zu bringen. Das Drehbuch hatten sie nicht zur Hand, sodass sie Feststellung der Lage sowie die Identifizierung und Einleitung von Maßnahmen ausschließlich anhand der sie erreichenden Hiobsbotschaften festmachen konnten. Dabei hatten vor allem die "Unternehmen" anfangs keine über die eigene Befindlichkeit hinausgehende, externen Informationen zur Hand.
Zur Analyse, Beratung und Diagnose konnten die einzelnen Branchen beziehungsweise Infrastrukturen wie die Energieversorgung, die Telekommunikation, der Öffentlichen Verkehr sowie die Banken und Versicherungsgesellschaften allerdings die Unterstützung von CERTs (Computer Emergency Response Teams) anfordern. Dass davon von den Übungsgruppen in "mehreren Fällen" Gebrauch gemacht wurde, wertet die IABG als "Indiz für nicht vorhandene Fähigkeiten in der Branche", selbst die Fehlerursachen im Netz- oder Datenverarbeitungsbereich ausfindig zu machen.
Am Zügigsten ging der "Lageaufbau" in den Arbeitsgruppen "Ministerien" und "Lokales Krisenmanagement" vonstatten. Beide Einheiten erhielten schließlich über die Polizei vor Ort funkgestützte Berichterstattung von verschiedenen Brennpunkten, die in den Lagezentren verarbeitet werden konnten. In den Unternehmens-Teams kam "der weitere Erkenntnisgewinn" über das eigene Umfeld hinaus dagegen "nur zögernd voran", da die erforderlichen Mittel zur Informationsbeschaffung mit dem sukzessiven Ausfall von Telekommunikation und Strom nur sehr eingeschränkt zur Verfügung standen.
Zur Einordnung der Ereignisse, so das Gutachten, trugen insbesondere die Medien in Form von Nachrichtensendungen bei. Dabei mussten die Teilnehmer aber davon ausgehen, "dass sowohl die zeitliche Staffelung der Nachrichten als auch deren Darstellung und Inhalte nicht immer dem tatsächlichen Gewicht und dem wahren Ablauf der Ereignisse entsprechen würden." Wobei zu ergänzen ist, dass die "Realität" in diesem Falle voll simuliert war.
Trotz dieser Schwierigkeiten war es während der Planspiels allen Übungsgruppen spätestens fünf Stunden nach Start beziehungsweise eine Stunde nach dem letzten vom Drehbuch vorgesehen Angriff auf die Berliner Energieversorgung gelungen, eine weit gehend mit dem erdachten Szenario übereinstimmende Einschützung der Gesamtlage abzugeben. Allen Teilnehmern "war zu diesem Zeitpunkt klar, dass der Raum Berlin Opfer eines konzertierten Angriffs durch Informationsoperationen geworden war und welche Rolle ihrem Unternehmen im Konzept der Angreifer zukam." Dabei geholfen hatten aber sicherlich auch die Umstände der als "Cyber Terror Exercise" bereits angekündigten Übung.
Empfehlungen: Mehr CERTs und ein bisschen Govnet
Auch die an den Tag gelegte Kooperationsbereitschaft zwischen staatlichen Stellen und der Wirtschaft könne sich in anderen Szenarien oder in der Realität ganz anders ausfallen, schränkt der Bericht selbst die Aussagekraft des Reaktionsverhaltens der Gruppen ein. Denn wenn der Schutz öffentlicher Belange mit den Interessen der Unternehmen kollidiere, könne es durchaus zu einem "konkurrierenden Führungsanspruch" des Staates und der Wirtschaft kommen. "Das betont umso mehr die Notwendigkeit", schlussfolgern die ihre Schulung am militärischen Denken nicht verheimlichenden Gutachter, "Vereinbarungen über Information, Kommunikation und Führung im Sinne eines Rahmenkonzeptes zwischen Staat und Wirtschaftsunternehmen" zu treffen.
Die weiteren Empfehlungen des Kurzgutachtens stellen vor allem auf den "Aufbau einer deutschen CERT-Organisation mit hinreichender Flächenwirkung ab", die gemeinsam von Staat und Wirtschaft getragen werden soll. Vor allem für die dem prognostizierten Cyberterror ziemlich schutzlos ausgelieferten KMUs gelte dabei, dass sie direkt über ihre Verbandsorganisationen in eine solche "Public Private Partnership" eingebunden werden müssten.
Ferner fordert die IABG die Entwicklung eines Konzepts "zur Förderung und Systematisierung von Information, Frühwarnung, Alarmisierung, Kommunikation und Führung bei IT-Angriffen und insbesondere bei Ausfall von Telekommunikation und Energieversorgung." Dabei müsse vor allem an eine bessere Erreichbarkeit von Polizei und Krisenstäben durch Wirtschaftsunternehmen gedacht werden. Infrage käme dazu etwa "die Verpflichtung der Betreiber der Telekommunikation für eine flächendeckende Notstromversorgung für eine bestimmte Mindestzeit bei Ausfall" der Stromversorgung oder der "Aufbau eines lokalen, netzunabhängigen, durch Notstrom und geeignete Systeme abgesicherten Mobilfunknetzes."
Ergänzend schlägt die sonst eher mit dem Verteidigungs- als mit dem Wirtschaftsministerium kooperierende Firma im Stile des diskutierten amerikanischen "Govnet" die Einrichtung eines von der normalen Energieversorgung unabhängigen "lokalen Intranetzes" in den für Krisenreaktionen zuständigen Behörden vor, in dem die Datenpakete über Satellitenverbindungen ausgetauscht werden.
Dem 11. September sei dank: Kaum gefordert, schon erfüllt
Normalerweise würden derlei Forderungen unerhört in den Schubladen deutscher Ministerien verschwinden. Doch nach dem 11. September und der von den Terroranschlägen angeheizten Sicherheitshysterie (Schily wandelt auf den Spuren des Fürsten Metternich) wird in Berlin nicht mehr lange gefackelt. "Auch wenn Katastrophenszenarien von 'Cyber War' völlig überzeichnet sind," befand Bundesinnenminister Otto Schily Mitte Januar, "müssen sich Staat, Gesellschaft und Wirtschaft doch gegen Anschläge auf ihre Datennetze wappnen."
Sprachs und rief gemäß den Vorstellungen der IABG eine langfristig angelegte Sicherheitspartnerschaft mit dem ehemaligen Staatsmonopolisten Deutsche Telekom aus, in der das beim BSI angesiedelte CERT und die Computerexperten des Unternehmens gemeinsam gegen Angreifer aus dem Cyberspace kämpfen sollen. Katastrophenwarnungen sollen zudem künftig auch über das Internet und SMS übermittelt werden.
Mitte vergangener Woche kündigten Bundeswirtschafts- und Bundesinnenministerium dann gemeinsam mit der Initiative D21 und dem Branchenverband BITKOM an, eine CERT-Struktur für KMUs aufzubauen.
Szenario-Planspiel nicht unumstritten
Die IABG sieht mit der Cytex-Übung und dem Gutachten nun die "methodische und kosteneffiziente Eignung" des Szenario-Planspiels nachgewiesen. Nicht ganz uneigennützig dringt das staatstragende Unternehmen daher auch darauf, die Weiterentwicklung des Konzepts "über gezielte Aufträge" zu gewährleisten. Unausgesprochen bleibt dabei, dass zumindest die von langer Hand vorbereitete Cyber Terror Exercise 2001 von einigen umstrittenen Grundannahmen ausgeht.
So gilt es unter Experten keineswegs als ausgemacht, dass kritische Infrastrukturen wirklich derart einfach Opfer von Cyberterroristen werden können. Der Chaos Computer Club etwa weist seit Jahren darauf hin, dass die wichtigen Rechner von Atomkraftwerken oder Energieversorgern erst gar nicht mit dem öffentlichen Netz verknüpft und daher nicht direkt anfällig sind beziehungsweise sein sollten.
Zumindest den al-Qaida-Terrorfliegern schien es zudem nicht mal eine Überlegung wert zu sein, das Internet nicht nur als Kommunikations- oder Flugbuchungsmittel, sondern auch als Angriffsmedium einzusetzen. Sind doch die Bilder einstürzender Wolkenkratzer medial deutlich aufmerksamkeitsstärker als das zumindest anfangs unsichtbare und schlecht dosierbare Wirken von PC-Schädlingen.
Doch vielleicht lassen sich die zukünftigen Cyberterroristen ja von Szenarien wie dem Drehbuch der IABG inspirieren. Schließlich war die Chefetage der al-Qaida - folgt man den Dokumenten auf einem der Terroristenvereinigung zugeordneten Laptop (Computerstudien) - auch auf die leichten Einsatzmöglichkeiten von Massenvernichtungswaffen erst durch die ständigen Beschwörungen dieser Gefahr durch "den Feind" aufmerksam geworden.