George W. Bush und die Angst vor dem Cyberterrorismus
Die Berater machen sich bereit und legen neue Empfehlungen vor
Jahresende ist die Zeit der Besinnung, das gilt auch für die sicherheitspolitische Elite in den USA. Kurz vor Ende der Haushaltberatungen im Kongress und anlässlich des Regierungswechsels im Weißen Haus haben hochrangige Expertengruppen und Regierungseinrichtungen neue Studien zum Schutz der Nation vor Hacker-Attacken - gerne auch "Cyberterrorismus" genannt - vorgelegt. Ein interessanter Trend ist die geringe Bedeutung der Streitkräfte auch in den Augen Pentagon-naher Think Tanks, umstritten bleibt vor allem die organisatorische und legislative Ausgestaltung. Aus den Gemeinsamkeiten in diesen Berichten lässt sich auch ablesen, wie die neue Regierung unter George W. Bush wahrscheinlich mit dem Thema umgehen wird.
Clintons Abschiedsresümee
Auch der scheidende Präsident Bill Clinton hat Anfang Dezember in einer Ansprache an der Universität von Nebraska in Kearney die Gefahren aus den Datennetzen als bedeutende Herausforderung der Zukunft bezeichnet. Clinton nannte in der Rede, die als sein außenpolitisches Vermächtnis an die neue Regierung aufgenommen wurde, fünf Prinzipien, an denen sich die US-Politik künftig orientieren solle. Neben einer Stärkung der NATO, einer genauen Beobachtung der Entwicklungen in Russland und China, der Bekämpfung regionaler Konflikte wie in Lateinamerika oder Afrika und einem "menschlicheren Antlitz" des Welthandels betonte Clinton, dass die USA sich auf die "neuen sicherheitspolitischen Herausforderungen wie Cyberterrorismus oder AIDS" einstellen müssten. Kurz vorher hatte er den "Cyberterrorismus" bereits als "eine der größten Bedrohungen der Zukunft bezeichnet".
In den letzten Wochen im Amt arbeitet die Clinton-Regierung an zwei großen Berichten zum Stand der Computersicherheit und der kritischen Infrastrukturen. Ein Bericht wird vom National Security Council (NSC) herausgegeben werden, der andere vom Office for Management and Budget (OMB). Der NSC-Bericht wird unter Federführung von Richard Clarke erstellt, dem "nationalen Koordinator für Sicherheit, Terrorismusabwehr und Infrastrukturschutz". Er soll dem künftigen Präsidenten George W. Bush und seinem Übergangsteam überreicht werden und wird eine Art "Version 2.0" des vor einem Jahr vorgelegten "Nationalen Plans für Informationssystemsicherheit" darstellen.
Der andere Bericht wurde aufgrund des Kongressbeschlusses über das Streitkräftebudget für 2001 nötig und soll die Abgeordneten darüber informieren, wie weit die Regierung mit ihrem Plan vorangeschritten ist, bis zum Jahr 2003 beim Schutz kritischer Infrastrukturen die volle Operationsfähigkeit zu erlangen. Der Bericht soll dem Kongress am 15. Januar überreicht werden. An beiden Berichten ist das Critical Infrastructure Assurance Office (CIAO), die Koordinationsstelle für Planung und Strategieformulierung im Bereich der Informationssicherheit, beteiligt.
Der private Sektor ist unter Clinton stark in den Schutz der kritischen Infrastrukturen einbezogen worden, da die meisten Informationssysteme und sonstigen Versorgungseinrichtungen von Unternehmen betrieben werden. Eines der Ergebnisse war die Gründung der Initiative "Partnership for Critical Infrastructure Security" (PCIS im Dezember 1999, die seitdem mit fünf Arbeitsgruppen an Risikoabschätzungen, Informationsverteilung oder organisatorischen und rechtlichen Fragen gearbeitet hat. An der PCIS beteiligt sind Unternehmen aus mehr als einem halben Dutzend Infrastrukturbranchen, darunter Telekommunikation, Transport, Stromversorgung oder Finanzwesen. Auch diese Initiative hat der Regierung Anfang Dezember einen Bericht überreicht, der den Fortschritt des privaten Sektors in der Hacker-Abwehr dokumentieren soll.
Aus dem geheimen Dokument, das in den erwähnten "National Plan 2.0" einfließen wird, wurde bekannt, dass die Banken und die Energiewirtschaft bisher die meisten Fortschritte gemacht haben, während sich andere Branchen - etwa die Telekommunikationsindustrie - mit erschwerenden Faktoren wie starken Marktfluktuationen und Deregulierung herumschlagen müssen. In vielen Bereichen haben die Unternehmen allerdings immer noch kein großes Interesse an einer Zusammenarbeit mit der Regierung. Gary Gardner, IT-Chef der American Gas Association, verwies gegenüber der Computerworld etwa darauf, dass die FBI-Warnungen vor dem "I Love You"-Virus lediglich zwei Stunden vor dem Virus selber in seinem Büro eingetroffen seien.
Strategische Studien von RAND und CSIS: zivile und militärische Optionen
Bereits am 13. November hatte die RAND Corporation einen Bericht mit konkreten Empfehlungen für den nächsten US-Präsidenten veröffentlicht, wie er beim Amtsantritt und schon in der Zeit davor die sicherheitspolitischen Fragen angehen sollte. Gerade diese Denkfabrik, die das Thema "Cyberkrieg" Anfang der 1990er Jahre massiv in die Öffentlichkeit gebracht hatte , blieb allerdings in der Wortwahl bemerkenswert zurückhaltend. Zwar heißt es, die "Bedrohungen für Cyber-Netzwerke müssen unter den kritischsten Herausforderungen der strategischen Interessen Amerikas angesiedelt werden", aber Begriffe wie "Infowar" oder "Cyberterrorismus" tauchten in dem Bericht nicht auf. Stattdessen wurde mehr von ökonomischen Problemen gesprochen und sogar die "Selbstheilungsfähigkeit" der globalen Netze als möglicher Lösungsansatz genannt. Dennoch sollte der kommende Präsident hier eine "Führungsrolle" übernehmen.
Der wohl umfassendste und detaillierteste Bericht wurde am 8. Dezember vom Center for Strategic and International Studies (CSIS) vorgelegt. Im Rahmen eines umfangreichen Projektes zu Homeland Defense hatte dieser Washingtoner Think Tank in den vergangenen zwei Jahren mit den neuen Bedrohungen für das US-Territorium befasst. Neben dem Lieblingskind der Republikaner, dem Raketenabwehrsystem National Missile Defense (NMD), wurden vor allem neue Formen des Terrorismus untersucht. Außer dem "Bioterrorismus" mit Seuchenerregern und ähnlichen Waffen, der schon bei Clinton selber auf große Aufmerksamkeit gestoßen war, bildete der "Cyberterrorismus" dabei den dritten Schwerpunkt der Studien.
In vier Arbeitsgruppen mit jeweils mehr als 20 Teilnehmern wurden insgesamt 16 Teilstudien erstellt, die nun in einem Abschlußbericht zusammengefasst wurden. Interessant ist das CSIS-Projekt dabei aus zwei Gründen: Zum einen waren in den Arbeitsgruppen nicht nur die eigenen Leute der konservativen Denkfabrik beteiligt, sondern auch Verantwortliche aus der US-Regierung, den Administrationen der Bundesstaaten und aus privaten Unternehmen. Darüber hinaus gab es eine "Senior Advisory Group", durch die 20 Senatoren, Abgeordnete aus dem Repräsentantenhaus, Gouverneure sowie ehemalige hochrangige Offiziere und Regierungsbeamte in das Projekt eingebunden waren. Mit dieser sehr politiknahen Konstruktion des Projektes kann das CSIS sicher sein, gerade in der kommenden Regierung eine wichtige Beratungsrolle einzunehmen. Auch die Präsentation des Berichtes im US-Senat wurde von zwei konservativen Kongressabgeordneten eröffnet, darunter mit Curt Weldon der Vorsitzende des Streitkräfteausschusses im Repräsentantenhaus. Die Senior Advisory Group wird zusätzlich einen eigenen Bericht erstellen, der voraussichtlich im April erscheinen wird.
Trotz der Größe des Projektes, das durchaus mit der PresidentŽs Commission on Critical Infrastructure Protection vergleichbar ist, zeigt eine genaue Durchsicht der CSIS-Studien allerdings, dass immer noch niemand eine "Grand Strategy" zum Schutz vor Hacker-Angriffen vorweisen kann. Dies liegt einerseits an der Vielzahl der beteiligten Akteure, die vom Pentagon über das FBI, die Geheimdienste, die Katastrophenschutzbehörden und lokalen Verwaltungen bis hin zum privaten Sektor und internationalen Organisationen wie G-8 und OECD reicht, so dass eine zentrale Steuerung so gut wie unmöglich ist.
Das in den letzten Jahren praktizierte "Durchwursteln" bleibt daher bis auf weiteres die einzige Option, und es hat zumindest dazu beigetragen, viele Akteure miteinander ins Gespräch zu bringen und gegenseitige Wahrnehmungsverzerrungen zu korrigieren. Zum anderen liegt es aber vor allem daran, dass die wirklich entscheidenden Lösungsansätze für eine bessere IT-Sicherheit - denn darauf läuft es letztlich hinaus - bei den überwiegend privaten Herstellern und Betreibern der Infrastrukturen und IT-Systeme, und dort wiederum bei den einzelnen Anwendern ansetzen müssen. Was nützt eine von den besten strategischen Denkern ausgearbeitete und international implementierte Strategie der Abschreckung im Cyberwar, wenn, wie jetzt bekannt wurde, siebenundneunzig Prozent der erfolgreichen Einbrüche in die Pentagon-Netze durch bessere Systemkonfigurationen hätten verhindert werden können?
Dies war auch insgesamt eines der bemerkenswertesten Ergebnisse des Projektes: Das Problem muss auch aus Sicht der militärnahen konservativen Elite zivil angegangen werden. Projektdirektor Joseph Collins gab bei der Vorstellung offen zu, dass er zu Beginn des Projektes vor zwei Jahren ein Ergebnis erwartet hatte, das etwa folgendermaßen aussehen würde: "Zum Teufel mit allem, was bisher unternommen wurde - gebt diese Aufgabe dem Pentagon, dann können wir alle besser schlafen." Inzwischen denkt er, "das Pentagon damit zu beauftragen, ist überhaupt keine gute Idee". Im Gegenteil:
"Während früher Infanteristen oder Kampfflugzeuge die erste Verteidigungslinie bildeten, sind es heute vielleicht Feuerwehrleute oder Informationstechniker".
Dennoch bleibt auch nach diesem Großprojekt offen, welche Rolle das Militär denn nun genau spielen soll. Immer wieder wurde in den letzten Jahren in der Diskussion um Terrorismusabwehr der Posse Comitatus Act von 1878 in Frage gestellt - jenes alte Bundesgesetz, das einen Einsatz der Streitkräfte im Innern verbietet. Das CSIS-Projekte hat diese Entwicklung weiter zugespitzt. Eine ganze Studie widmete sich der Frage, ob "der Posse [Comitatus] seinen Zweck überlebt hat" , und der Leiter der Cyberterror-Arbeitsgruppe, Frank Cilluffo, ging bei der Pressekonferenz ganz selbstverständlich davon aus, dass "es nicht Posse-Comitatus-Beschränkungen sind, die einen Einsatz der Streitkräfte verhindern, sondern eher praktische und technische Fragen."
Insgesamt beschränkt sich die Diskussion über militärische Optionen im Kontext der IT-Verwundbarkeiten aber eher auf große Cyberkriege mit den sogenannten "Schurkenstaaten". Hier kritisiert CSIS-Projektmitarbeiter Anthony Cordesman, der eine umfangreiche Studie zu "Information Warfare" beigesteuert hat, das eklatante Auseinanderklaffen von Anspruch und Wirklichkeit der jetzigen Regierungspolitik:
"Es gibt heute keine klare Verbindung zwischen den Versuchen der USA, für den offensiven Cyberkrieg zu planen, und den Bemühungen um Cyberverteidigung. Diejenigen, die direkt mit Cyberangriffen befasst sind, scheinen jedoch allgemein den Eindruck zu haben, dass es viel schwieriger ist, eine erfolgreiche großangelegte Cyberattacke durchzuführen, als wie sich das diejenigen außerhalb des nationalen Sicherheitsapparates vorstellen. Sie verharmlosen das Risiko von Cyberattacken nicht, aber sie haben den Eindruck, dass diese nur begrenzten Schaden anrichten werden und dass viele, wenn nicht sogar die meisten der kritischen Systeme isoliert und in konzertierten Angriffen schwierig zu identifizieren und zu knacken sind, und dass sie innerhalb vertretbarer Zeit- und Kostenrahmen wiederherzustellen sind. (...) Unabhängig von der Rhetorik der USA zum Informationskrieg konzentriert man sich in der Praxis auf Verteidigung."
Aus der Sicht vieler Militärstrategen in Washington folgt daraus aber die Forderung, die offensiven Fähigkeiten deutlicher auszubauen, klare Kriterien für ihren Einsatz in internationalen Konflikten zu formulieren und dann auch die rechtlichen Rahmenbedingungen dafür zu schaffen. Bemühungen für eine internationale Einhegung oder gar ein völkerrechtliches Verbot von Cyberkriegführung wird bislang eine deutliche Absage erteilt. Cordesman sagt dies in seiner CSIS-Studie in bemerkenswerter Offenheit:
"Die Notwendigkeit einer klaren Doktrin und einer rechtlichen Basis für aktive Verteidigung, Cyberkriegführung, Cyberabschreckung und Cybervergeltung hat kritische Bedeutung. Die USA sollten sich das Recht vorbehalten, unilateral auf Attacken auf ihre Infrastrukturen zu reagieren. (...) Sobald durch Cyberkriegführung oder Cyberterrorismus/-extremismus die nationalen Interessen ernsthaft bedroht sind, müssen die USA bereit sein so zu reagieren, als hätten sie es mit irgendeinem anderen kriegerischen Akt zu tun."
Ungeklärt ist bislang allerdings, wer im Falle größerer Cyberattacken überhaupt feststellen soll, ob man sich im "Krieg" befindet. Es wird vor allem von dem sensorischen Instrumentarium des NIPC und der privatwirtschaftlichen Bereitschaft zur Weitergabe von Informationen abhängen, ob eine größere Attacke auf möglicherweise ganz unterschiedliche Systeme überhaupt als solche erkannt wird. Damit wird die Entscheidung zwischen Krieg und Kriminalität plötzlich eine Frage, bei der das Militär quasi "blind" ist und sich auf das Urteil und die Meldebereitschaft von Strafverfolgungsbehörden oder sogar privaten Infrastrukturbetreibern verlassen muss.
Zentralisierung und Gefahr für die Bürgerrechte
Angesichts dieser komplexen Verschmelzung von innerer und äußerer Sicherheit, von Katastrophenschutz und Sicherheitspolitik, von staatlichen und privaten Kompetenzen werden vom CSIS die bisherigen Bemühungen der Clinton-Regierung insgesamt durchaus anerkannt, eine kohärente Politik im Bereich der Cyber-Sicherheit zu entwickeln. Aber natürlich fordert man dennoch, dass "diese Anstrengungen dramatisch verbessert werden müssen". Aus der Sicht eines konservativen Think-Tanks, der in Washington D.C. Politikberatung macht, heißt dies vor allem: Zentralisierung der Kompetenzen und Aufwertung des gesamten Themas.
Die CSIS-Experten fordern mit Nachdruck, den Vizepräsidenten mit der gesamten Koordination der "Homeland Defense" zu betrauen. Dies scheint zu einem günstigen Zeitpunkt zu kommen, denn Dick Cheney, der Stellvertreter des neuen Präsidenten, ist ein alter Hase in der Sicherheitspolitik und hat auch schon starkes Interesse an diesem Thema bekundet. Ihm sollte laut CSIS der "Nationale Koordinator" direkt unterstellt werden, der gleichzeitig Chef des "Emergency Planning Staff" und damit auch oberster Koordinator des Katastrophenschutzes werden würde. Zusätzlich soll nach Meinung des CSIS ein nationaler "Cyber Commander" oder nationaler "Chief Information Officer" (CIO) berufen werden, der mit einem virtuellen "Cyber-110-Zentrum" für Warnungen und Notfallreaktionen sorgen sollte.
Abgesehen von der etwas sensationsheischenden Umbenennung ohnehin schon bestehender Mechanismen und Behörden ist dieser Vorschlag bemerkenswert, weil dahinter eine massive Kritik am bestehenden FBI-Ableger National Infrastructure Protection Center (NIPC) steckt. Das neue Zentrum sollte laut CSIS nämlich außerhalb der Strafverfolgungsbehörden angesiedelt werden. Der Grund: Die bislang damit betrauten FBI-Agenten hätten eine "zu sehr an nationaler Sicherheit orientierte Sprache" gebraucht, die bei den Kooperationspartnern in der Privatwirtschaft gar nicht gut angekommen sei. Zudem sei das NIPC "damit gescheitert, einen gleichberechtigten Informationsaustausch zu verwirklichen" - sprich: Es gab eine einseitige staatlichen Datensammelei.
Hier darf man gespannt sein, ob sich die Empfehlungen der CSIS-Leute durchsetzen können, denn trotz der Wirtschaftsnähe des neuen Präsidenten würde dies bedeuten, dass er eine Auseinandersetzung mit dem FBI suchen müsste. Zudem werden die beiden ausstehenden Regierungsberichte dem NIPC genügend Gelegenheit geben, seine Leistungen in den vergangenen drei Jahren in ein gutes Licht zu stellen.
Heikel sind an den Empfehlungen des CSIS zwei weitere Punkte, die die Grundlagen des politischen Systems der USA in Frage stellen. Zum einen wird eine nationale Standardisierung von Notfallplänen, Organisationsformen und Praktiken gefordert - ein klarer Eingriff in das föderale System der USA, in dem die Bundesstaaten traditionell viel größere Kompetenzen besitzen als etwa die deutschen Bundesländer. Dass es im Falle größerer Terroranschläge auf die Infrastrukturen oder die Bevölkerung in der Regel die Gouverneure der Bundesstaaten sind, die mit den Folgen zu kämpfen haben, wird in den Studien zwar anerkannt. Dennoch fordert das CSIS "eine Untersuchung von Bereichen, in denen neue rechtliche Befugnisse [der Bundesregierung] nötig sind."
Der zweite Punkt ist die Einschränkung von Bürgerrechten durch die Überwachung der Informationssphäre, die von Privacy-Rights-Gruppen in den USA schon lange massiv kritisiert und bekämpft wird. Obwohl die CSIS-Studien betonen, dass vor allem eine bessere IT-Sicherheit größere Probleme verhindern kann, weisen sie gleichzeitig darauf hin, dass "die Bekämpfung heutiger Bedrohungen eine extensive innerstaatliche Informationssammlung beinhalten kann" und damit möglicherweise in einen Konflikt mit den Grundrechten gerät. Anstatt aber die Grundrechte auf Datenschutz und Privatsphäre als das zu akzeptieren, was sie sind, nämlich verfassungsmäßige Grenzen staatlicher Überwachung, heißt es auch beim CSIS wie in so vielen sicherheitspolitischen Strategiepapieren, dass "der Schutz der Bürgerrechte mit der Notwendigkeit, die Gesellschaft unter schwierigen und potenziell einzigartigen Bedingungen zu schützen, ausbalanciert werden muss."
Diese Art der Abwägung von Grundrechten mit angeblichen besonderen Gefahren ist ein Klassiker unter den rhetorischen Volten der inneren Sicherheit, denn es stellt eine aktuelle politische Forderung auf die gleiche Ebene wie einen Verfassungsgrundsatz und gibt letzteren damit zur Entwertung frei. Die Diskussion um Cyber-Bedrohungen wird somit auch genutzt, um dem traditionellen Begehen der Sicherheitsorgane nach erweiterten Kompetenzen Nachdruck zu verleihen. Zusätzlich stellen die Überwachungstechnologien, sobald sie einmal da sind, einen weiteren Anreiz dar. Das Pentagon etwa hat kürzlich eine einheitliche Datenbank fertiggestellt, mit der alle "Cyberereignisse" in den militärischen Netzen erfasst und ausgewertet werden können. Nun, da sie verfügbar ist, äußerte sich der Kommandeur der Joint Task Force-Computer Network Defense, Generalmajor James Bryan, Anfang Dezember auf der Weltkonferenz der Armed Forces Communications and Electronics Association (AFCEA) frustriert darüber, dass seine Truppe nicht auch Computereinbrüche auswerten darf, die nicht in .mil-Domains erfolgt sind.
Zivilisten an die Cyberfront?
Ein Problem, das in allen Studien genannt wird, ob sie nun von der Regierung, den Denkfabriken oder von Arbeitsgruppen aus Senatoren und pensionierten Offizieren erstellt werden, ist die dünne Personaldecke im Bereich der IT-Sicherheit. Präsident Clinton hat daher bereits Ende Oktober ein Stipendienprogramm angekündigt, das für Universitäten und Colleges finanzielle Förderungen vorsieht, wenn sie verstärkt im Bereich der IT-Sicherheit ausbilden. Stipendien in Höhe von 11 Millionen US-Dollar stehen für dieses "Federal Cyber Service Scholarship"-Programm im Jahr 2001 bereit. Das CSIS begrüßt in seinem Abschlußbericht diesen Beschluss, und auch George W. Bush wird wahrscheinlich daran festhalten. An diesem Bereich zeigt sich auch, wie militarisiert der Diskurs über Hackerangriffe in den USA zeitweise schon geführt wird. Obwohl es sich um eine recht zivile Form der staatlichen Ausbildungssteuerung handelt, wurde diese Initiative schnell als "Cyber Corps" bezeichnet und mit den Ausbildungseinheiten für Reserveoffiziere verglichen. Charlie Drum von der National Science Foundation, die dieses Programm managen wird, sagte, "es soll dazu dienen, das Personal [für die Sicherheit] zu liefern, die Soldaten, wenn man so will."
Anderswo wäre diese Wortwahl angemessener, denn ähnliche Vorhaben gibt es auch bei der militärischen Computerkriegsführung. Das Pentagon hat so große Probleme, gute IT-Leute zu bekommen oder diese bei besseren Angeboten aus der Privatwirtschaft zu behalten, dass jetzt Offiziere aus den Reservisten und aus der Nationalgarde dafür herangezogen werden. Sie sollen als Telearbeiter in der IT-Sicherheit, aber auch in der psychologischen Kriegführung oder bei Cyberattacken mithelfen. Bis 2007 sollen 5 virtuelle Teams mit insgesamt 600 Leuten aufgestellt werden, die ersten 182 von ihnen werden im kommenden Jahr einberufen. Je ein Team wird angesiedelt bei der Defense Information Systems Agency (DISA) und der Joint Task Force - Computer Network Defense in Arlington/Virginia, bei der National Security Agency (NSA) und dem Information Operations Technical Center in Fort Meade/Maryland und am Joint Information Operations Center auf dem Luftwaffenstützpunkt Kelly in San Antonio/Texas. In der normalen Truppe wurde allerdings bereits Unmut über diese Vorhaben geäußert, denn einige erinnern sich noch mit Grausen an das Reservistentraining der Panzereinheiten für den Golfkrieg 1991, als Reserveoffiziere nur mit Mühe davon abgehalten werden konnten, auf die Abgeordneten zu schießen, die als Beobachter anwesend waren.
Budget ohne Balance
Die größte Gefahr für die Sicherheit der nationalen Infrastrukturen sind ohnehin nicht Hacker, sondern der Kongress, denn der muss jedes Jahr die Gelder für die geplanten Maßnahmen bewilligen. Besonders George W. Bush kann sich auf harte Auseinandersetzungen einstellen, denn er wird mit seiner geplanten billiardenschweren Steuersenkung harte Ausgabenkürzungen durchsetzen müssen - und da hat noch jeder Senator und jeder Abgeordnete sein Steckenpferd zu verteidigen.
Schon zwischen der Clinton-Regierung und dem Kongress hatte es im Sommer wegen der Finanzierung der Cyber-Sicherheitspolitik Krach gegeben. Das Repräsentantenhaus hatte von den sechs Millionen Dollar, die Clinton für das Critical Infrastructure Accurance Office beantragt hatte, zunächst nur zwei Millionen bewilligt, die Senatsausschüsse ebenfalls nur drei Millionen. Clinton drohte mit einem Veto, und Richard Clarke, der nationale Koordinator für Infrastruktursicherheit, sagte: "Die größte Herausforderung ist zu wissen, mit wieviel Geld der Kongress bereit ist, die Cyberverteidigung zu unterstützen." Insgesamt hatte die Regierung 90 Millionen Dollar für Intrusion Detection Systeme, IT-Sicherheitsforschung, Ausbildung und Risikoabschätzungen eingeplant, "und der Kongress", so schnaubte Clintons Stabschef John Podesta im Nationalen Presseclub, "weigert sich immer noch, uns auch nur einen Dime freizugeben, um diese Initiativen zu starten"
Auch die unklaren Kompetenzverteilungen zwischen verschiedenen Ministerien und Behörden machen den Cyber-Streitern das Leben schwer. Das kann man einer neuen Initiative des Rates der staatlichen Chief Information Officers (CIOs) entnehmen. Der Ratsausschuss für Sicherheit, Datenschutz und kritische Infrastrukturen will den mit Infrastruktursicherheit befassten Behörden helfen, mit den komplizierten Antrags- und Abrechnungsmodalitäten bei interministeriellen Projekten klarzukommen. Laut dem Ausschussvorsitzenden John Gilligan, CIO der US-Luftwaffe, arbeitet der Unterausschuss für kritische Infrastrukturen zur Zeit an Orientierungshilfen zur Beantragung von Haushaltsgeldern und zur "Bearbeitung" dieser Anträge im Office of Management and Budget und in den Kongressausschüssen.
Ein Blick auf die Verteilung der gesamten Gelder, die im Bereich des Infrastrukturschutzes ausgegeben werden, zeigt sich trotz all der zivilen Rhetorik eines: Die Nationale Sicherheitsapparate und damit auch die Streitkräfte haben immer noch eine bessere Lobby als zivile Initiativen und Behörden. Von den insgesamt 2,01 Milliarden Dollar, die von Clinton für 2001 in diesem Bereich vorgesehen sind, gehen gerade einmal 1,47 Millionen an den Katastrophenschutz. Das Justizministerium, das im FBI auch das NIPC und die Abteilungen für Computerforensik und Cyber-Kriminalität beherbergt, soll dagegen 45,51 Millionen Dollar bekommen, interessanterweise immer noch weniger als die NASA, für die 61 Millionen vorgesehen sind. Die General Services Adminstration, die nun das Federal Intrusion Detection Network (FIDNet) betreiben wird, startet von null in diesem Jahr nun gleich bei 15,40 Millionen Dollar. Den größten Batzen aber erhält der Bereich "Nationale Sicherheit", in dem die Streitkräfte und die Geheimdienste zusammengefasst sind: Ganze 1,47 Milliarden Dollar, also fast drei Viertel aller Gelder, sollen hier fließen. Man kann davon ausgehen, dass sich dieses Missverhältnis unter Präsident Bush II nicht ändern wird.
Ralf Bendrath, derzeit Visiting Fellow am Center for International Science and Technology Policy der George Washington University, ist Mitbegründer der Forschungsgruppe Informationsgesellschaft und Sicherheitspolitik (FoG:IS) und betreibt die Mailingliste Infowar.de.