Homeland Defense, virtuelle Raketenabwehr - und das schnöde Ende einer Medienhysterie

Die neue US-Regierung auf der Suche nach einer Cyber-Sicherheitspolitik - und die Medien auf der Suche nach einer Story

Der "Cyberwar" ist in den letzen Wochen wieder stark in die Aufmerksamkeit der Massenmedien geraten. Nachdem das Handelsblatt am 4. März mit der Meldung die Öffentlichkeit aufschreckte, die USA würden in den nächsten Jahren 50 Milliarden Dollar für ein "virtuelles NMD" als Cyber-Gegenstück zum umstrittenen militärischen Raketenabwehrsystem ausgeben, zog der Spiegel am 10. März in seiner Online-Ausgabe nach: Mit dem Horrorszenario eines fiktiven Cyberkrieges ("Beverly Hills in Schutt und Asche"), das von einer 3 Jahre alten Geschichte des Cyberwar-Gurus John Arquilla abgeschrieben schien (Das Cyberwar-Virus breitet sich aus), wurde dem Leser die Gefahr in plastischen Bildern geschildert. Die Schlussfolgerung: Auch Deutschland solle endlich die Bedrohung ernstnehmen und eine robuste Cyber-Sicherheitspolitik entwickeln. Wenige Tage später, am 14. März, folgte dann die ZEIT, die zwar die beeindruckenden Zahlen aus dem Handelsblatt hinterfragte, aber dafür Bill Clinton eben mal nebenbei als Freund des NMD hinstellte, der auch schon dessen virtuelle Variante befürwortet haben soll.

Keine dieser Meldungen basierten allerdings auf ausführlichen Recherchen, stattdessen wurden rechtslastige Berater wie James Adams von iDefense oder Uwe Nerlich von der bundeswehrnahen IABG zitiert. Was ist also wirklich dran an der Cyber-Sicherheitspolitik unter George Bush junior? Kurz gesagt: Wenig, da in der neuen Regierung in Washington noch niemand so richtig weiß, wie mit dem Thema umgegangen werden soll. Und die Geschichte um den 50 Milliarden Dollar teuren virtuellen Abwehrschirm entpuppt sich nach Telepolis-Recherchen in den USA als - genau: heiße Luft.

Clintons Erbe

Der derzeit wichtigste Einfluss auf die Pläne der neuen US-Regierung zum Schutz kritischer Infrastrukturen ist das, was die alte Regierung ihr hinterlassen hat. Unter Präsident Clinton war mit der Presidential Decision Directive 63 im Mai 1998 eine umfangreiche Struktur geschaffen worden, die vor allem auf zwei Beinen steht: Einer starken Kooperation mit der Privatwirtschaft sowie einer Grundsatzentscheidung, die Bedrohungsabwehr bei der Strafverfolgung und nicht beim nationalen Sicherheitsapparat anzusiedeln. Die dafür geschaffenen Gremien und Behörden, darunter das Critical Infrastructure Assurance Office (CIAO) oder das National Infrastructure Protection Center (NIPC) sind seit drei Jahren operativ tätig, pflegen Kontakte in die Industrie und ins Ausland, managen Programme wie die Ausbildungsförderung für IT-Sicherheitsexperten und haben ihre Netzwerke im politischen und publizistischen Washington gespannt. Damit sind sie heute nicht einfach per neuer Präsidentendirektive wieder wegzuwischen.

Unter den letzten Hinterlassenschaften von Clinton im Bereich der Cyber-Sicherheit befinden sich allerdings einige, die der Bush-Regierung bereits in den ersten Tagen nach dem Regierungswechsel besondere Kopfschmerzen bereitet haben.

Ernennungen in letzter Minute...

Am letzten vollen Tag seiner Amtszeit, am 19. Januar, ernannte Clinton die einundzwanzig Mitglieder des National Infrastructure Assurance Council (NIAC). Dieses Beratungsgremium, in dem Firmenchefs aus der Computerbranche und anderen wichtigen Infrastruktursektoren dem Präsidenten mit Rat und Tat beistehen sollen, war bereits in der Präsidentendirektive 63, also seit drei Jahren, vorgesehen gewesen, hatte aber bisher noch keine Form angenommen. Clintons Ernennung der NIAC-Mitglieder in letzter Minute stieß denn auch prompt auf harsche Kritik. Der Direktor des Critical Infrastructure Assurance Office, John Tritak, sagte gegenüber Newsbytes: "Viele dieser Ernennungen haben ein Thema unnötig politisiert, das überparteilich als bedeutend angesehen werden sollte." Tatsächlich sind neben wirklichen Schwergewichten wie Bill Gates von Microsoft oder Alfred R. Berkeley III, dem Präsidenten von Nasdaq Stock Market, Inc., auch relativ unbedeutende Persönlichkeiten wie der ehemalige Abgeordnete Lawrence P. LaRocco vertreten, der heute Chef einer Politikberatungsfirma im Dunstkreis Washingtons ist. Mehrere der Ernannten sind sogar als finanzielle Förderer der Demokratischen Partei von Bill Clinton bekannt, und Jack Quinn, der heute ebenfalls eine Beratungsfirma betreibt, war gar Stabschef des Vizepräsidenten Al Gore.

CIAO-Direktor Tritak bemängelte neben der zweifelhaften Qualifikation der Mitglieder auch den Zeitpunkt der NIAC-Gründung: "Diese Organisation hätte schon vor langer Zeit bestanden haben sollen." Diese Kritik ist allerdings mehr als scheinheilig, denn immerhin ist Tritaks eigene Behörde in den letzten drei Jahren dafür zuständig gewesen, die Kooperation mit der Privatwirtschaft anzukurbeln und Gespräche mit potentiellen Kandidaten zu führen.

Sein Stellvertreter Robert Miller beurteilte die Angelegenheit im Gespräch mit Telepolis auch etwas anders: "Mit den Leuten ist lange verhandelt worden. Daher wäre es dumm gewesen, wenn wir jetzt noch den Regierungswechsel abgewartet hätten - das hätte die Sache noch einmal monatelang verzögert, und das konnten wir uns nicht leisten." Immerhin sorgte die Geschichte für Schlagzeilen in Washington, und der Wirtschaftsausschuss des Repräsentantenhauses fragte beim zuständigen nationalen Antiterrorkoordinator Richard Clarke nach einer vollständigen Liste der Ernannten - mit Lebenslauf und weiteren biografischen Informationen über ihre Eignung für den NIAC.

Obwohl John Tritak öffentlich verkündete, dass Bush jederzeit neue NIAC-Mitglieder ernennen und alte abberufen könne, ist allerdings bis heute nichts weiter passiert. Steven Aftergood von der Federation of American Scientists (FAS) hat eine Erklärung parat: "Im wirklichen Leben haben diese Beratungsgremien einen vernachlässigbaren Einfluss. Ihre Empfehlungen sind nicht bindend, und den Bundesbehörden steht es frei, sie zu ignorieren."

...und ein Clinton-Bericht, der von Bush veröffentlicht wird

Eine andere Verwirrung stiftende Hinterlassenschaft der Clinton-Regierung war ein Bericht, der über den aktuellen Stand des Infrastrukturschutzes in den USA informieren sollte. Der National Defense Authorisation Act für 2001 hatte die Regierung verpflichtet, dem Kongress bis zum 15. Januar 2001 darzulegen, wie weit der Schutz vor Hacker-Angriffen bisher gediehen ist. Die Militärspezialisten im Kongress, die diese Aufgabe im Herbst in den umfangreichen Beschlüssen zum Streitkräftebudget der USA versteckt hatten, hatten das Office for Management and Budget beauftragt, das für solche Aufgaben weder vorgesehen noch kompetent ist. Die Aufgabe wurde also weitergereicht an das eigentlich zuständige Critical Infrastructure Assurance Office (CIAO), das seit Mai 1998 die verschiedenen Bemühungen der Regierung und der privaten Industrie zu koordinieren versucht. Leider vergaß man aber, dies dem CIAO auch mitzuteilen. Als dessen Mitarbeiter Anfang Dezember von ihrer Aufgabe erfuhren, schafften sie es wegen der Feiertage nicht mehr, den Bericht pünktlich fertigzustellen. Erst nachdem das Wall Street Journal am 22. Januar die Abgeordneten an ihre eigene Aufforderung erinnert hatte, landete ein Entwurf zwei Tage später im Weißen Haus.

W.J. Tauzin, der ebenfalls erst aus der Zeitung auf die ganze Sache aufmerksam gewordene Vorsitzende des Wirtschaftsausschusses im Repräsentantenhaus, schrieb am 25.1.2001 einen Brief an Richard Clarke, den Antiterror-Koordinator im nationalen Sicherheitsrat, und forderte ihn auf, den Bericht bis zum 31. Januar abzuliefern. Offenbar vergessen hatte man auf dem Kapitol aber, dass seit fünf Tagen ein neuer Präsident im Amt war. Dieser hatte in der ersten Woche seiner Amtszeit natürlich besseres zu tun, als einen Bericht seines ungeliebten Vorgängers einfach abzusegnen, der ihm am letzten Tag im Amt noch das Kuckucksei NIAC ins Nest gelegt hatte.

Der Bericht wurde dann am 22. Februar endlich veröffentlicht. Unklar ist, ob er von Bush oder Clinton überhaupt gelesen wurde, denn er trägt keine Unterschrift, was ungewöhnlich ist für derartige Berichte. Zudem hat die neue Regierung, wohl um alle Verantwortung von sich zu weisen, das Dokument offiziell auf Januar zurückdatiert. In dem Brief, mit dem der Bericht an die Abgeordneten ging, machte Bush klar, dass dies nicht das letzte Wort war: "Der Schutz der kritischen Infrastruktur (...) wird für meine Regierung Vorrang haben. Wir beabsichtigen, den beiliegenden Bericht und weitere entscheidende Materialien für unseren Überblick über die Leistungen der Bundesregierung zum Schutz der kritischen Infrastruktur zu prüfen."

IT-Industrie hat Informationsaustausch begonnen

Ein weiteres lange angekündigtes Vorhaben der Clinton-Regierung hat auch erst nach seinem Abschied aus dem Weißen Haus Gestalt angenommen: Das Information Sharing and Analysis Center (ISAC) für die Computerbranche hat diesen Monat seine Arbeit aufgenommen. Das Zentrum soll den IT-Unternehmen helfen, systematisch Informationen über Sicherheitsrisiken austauschen und wird in privater Verantwortung, aber mit Beteiligung der Regierung, betrieben. Angesiedelt ist es bei der Firma Internet Security Systems in Atlanta, und die beteiligten achtzehn großen Technologieunternehmen, darunter Cisco, Intel, AT&T, IBM, EDS, Microsoft und Oracle, zahlen für das erste Jahr 650.000 Dollar. Das Zentrum soll anonymisierte Informationen über Sicherheitslücken zwischen den Mitgliedern austauschen, allgemeine Informationen zur IT-Sicherheit sammeln und beratend für technische und organisatorische Fragen zur Verfügung stehen.

Das IT-ISAC war ebenfalls bereits in der Direktive von Mai 1998 vorgesehen gewesen, aber im Gegensatz zu anderen Branchen wie Finanzwesen, Telekommunikation oder Stromversorgung taten sich die Computerfirmen schwer mit der Gründung einer neuen Organisation. Einerseits hatten sie Bedenken, Informationen über Sicherheitslücken mit der Konkurrenz auszutauschen - Microsoft und Oracle sind bekanntermaßen Erzfeinde -, andererseits gibt es gerade in dieser Branche bereits lange bestehende Einrichtungen, die ähnliche Aufgaben übernehmen, etwa das Computer Emergency Response Center (CERT) der Carnegie Mellon University oder Mailinglisten wie bugtraq. Viele Firmenchefs und CIOs werden sich darüber hinaus gefragt haben, ob die US-Regierung ihre eigenen Bemühungen im Bereich der Computersicherheit noch aufeinander abstimmt. Bereits im Dezember 1999 war nämlich von CIAO und der IT-Industrie die Initiative "Partnership for Critical Infrastructure Security" (PCIS) ins Leben gerufen worden, die ähnliche Aufgaben übernimmt.

Auch das FBI kooperiert mit der Industrie

Seit dem 5. Januar dieses Jahres besteht zudem ein USA-weites Programm des FBI, das haargenau die gleichen Aufgaben wie das IT-ISAC erfüllen soll. Die Initiative namens InfraGard dient ebenfalls dem Informationsaustausch zwischen der US-Regierung, regionalen und staatlichen Verwaltungen und privaten Unternehmen. Als Pilotprogramm in Zusammenarbeit mit der Universität von Cleveland/Ohio begonnen, hat InfraGard schon 518 Firmen als Mitglieder gewinnen können, darunter u.a. auch den Computergiganten IBM. Im August 2000 war bereits der erste Regionalverband gegründet worden. Inzwischen sind alle 56 Regionalbüros des FBI an dem Programm beteiligt, das nun überall in den USA durchgeführt wird.

Das InfraGard-Pilotprogramm hat in den letzten drei Jahren bereits zu einem massiven Anstieg der vom FBI bearbeiteten Fälle von Computereinbrüchen geführt - von 450 auf 1200. Wie bei den privat betriebenen ISACs sollen unter den Mitgliedern sensitive Informationen über Cyberattacken ausgetauscht werden. Dies geschieht in anonymisierter Form, damit die Unternehmen sich nicht gegenüber ihren Konkurrenten outen müssen. Durch ein verschlüsseltes Email-System sollen darüber hinaus aktuelle "Einbruchswarnungen" des FBI an die Mitglieder verteilt werden. Um Missbrauch vorzubeugen, müssen sich potenzielle Mitgliedsorganisationen und -unternehmen vom FBI einer Überprüfung auf ihre kriminelle Vorgeschichte unterziehen.

Genau diese Herangehensweise war aber wiederholt auf heftige Kritik gestoßen. Auch Michael Vatis, damals noch Chef des National Infrastructure Protection Centers (NIPC), das beim FBI diese Initiative durchführt, hat dies bei der InfraGard-Vorstellung Anfang Januar zugeben müssen. Eine der größten Herausforderungen für das FBI, so Vatis, besteht immer noch darin, Unternehmen vom Nutzen der Zusammenarbeit zu überzeugen.

Hacker-Abwehr als Heimatschutz?

Auf diesem Niveau bewegen sich die Probleme, die in Washington derzeit diskutiert werden. Es geht um Parteiengeplänkel, zwischenbehördliche Koordination und die Friktionen, die ein jeder Regierungswechsel mit sich bringt. Darüber hinaus streben bestehende Institutionen im politischen Washington generell danach, bei einem heißen Thema ihren Teil des Kuchens abzubekommen. So gab es zum Beispiel im letzten Jahr bereits den Vorschlag der konservativen Senatoren Robert Bennett und Trent Lott, den überflüssig gewordenen Kongressausschuss für Y2K-Angelegenheiten als Cybercrime-Arbeitsgruppe neu auferstehen zu lassen. Das dürfte den meisten der konservativen Sicherheitspolitiker allerdings nicht reichen. Sie wittern nach dem Wahlsieg von George W. Bush Morgenluft und suchen nach Chancen, mit der verhassten Reformpolitik von Clinton grundsätzlich aufzuräumen. Angesichts der kaum noch überschaubaren Vielzahl von Behörden, Ministerien, Initiativen, Arbeitsgruppen und Programmen, die unter Clinton mit dem Schutz kritischer Infrastrukturen betraut wurden, ist es nur natürlich, wenn nun konservative Think-Tanks oder Abgeordnete nach zentraler Steuerung rufen.

Die derzeit wichtigste Quelle für solcherlei Überlegungen hat ihre Ursprünge ebenfalls noch unter Clinton. Die U.S. Commission on National Security/21st Century) (auch als National Security Studies Group bekannt), legte am 31. Januar ihrem dritten und abschließenden Bericht vor. Die Gruppe war im Juli 1998 von Verteidigungsminister Cohen mit Unterstützung des Weißen Hauses und des Kongresses beauftragt worden, eine umfassende Analyse der Rahmenbedingungen und Möglichkeiten amerikanischer Sicherheitspolitik im 21. Jahrhundert zu erarbeiten. Der nach ihren Vorsitzenden, den Senatoren Gary Hart und Warren Rudman, benannten Kommission gehörten u.a. der Rechtsaußen im Abgeordnetenhaus Newt Gingrich und der ehemalige CIA-Direktor James Schlesinger an. Die Hauptaussage des Abschlussberichtes ist eine Fokussierung auf die Gefahren, die den USA nun angeblich auf dem eigenen Kontinent drohen. Neben der Angst vor dem "normalen" Terrorismus, die auch Jahre nach den Anschlägen in Oklahoma und auf das World Trade Center noch deutlich vorhanden ist und heute mit Spekulationen um chemischen Terrorismus gewürzt wird, geht es natürlich um Cyberterrorismus - was soll man in einem Bericht zum 21. Jahrhundert auch anderes erwarten?

Formuliert wird dies alles unter dem Titel "Homeland Defense", und damit steht der Bericht der Kommission in einer Reihe mit anderen Studien, die in letzter Zeit dazu erschienen sind. Bereits im Dezember hatte das einflussreiche Center for Strategic and International Studies (CSIS) umfangreiche Empfehlungen zu einer solchen Politik vorgelegt, die stark in der Tradition des konservativen Isolationismus stehen würde. Auch hier spielten Cyberattacken eine große Rolle (George W. Bush und die Angst vor dem Cyberterrorismus). Die Hart-Rudman-Kommission übernahm in ihren Empfehlungen die CSIS-Vorschläge einer zentraleren Steuerung der Cyber-Sicherheitspolitik.

"Es sollte eine zentrale, strategische Planung für die nationale Sicherheit geben", sagte Senator Gary Hart bei der Vorstellung des Berichtes. Zu diesem Zweck forderte die Kommission die Gründung einer "National Homeland Security Agency" (NHSA), die sämtliche bislang auf verschiedene Ministerien verteilte Aufgaben des Heimatschutzes übernehmen würde. An zentraler Stelle sollte die neue Behörde ein "National Crisis Action Center" bekommen, das im Notfall die Aktivitäten koordinieren würde. Ein zentraler Teil der NHSA sollte nach dem Willen der Kommission ein Direktorat für den Schutz der kritischen Infrastrukturen werden, das zwei Hauptaufgaben bekommen würde. Zum Einen wäre es für die Aufsicht über alle physischen Anlagen und elektronischen Netze bekommen, aus denen die kritischen Infrastrukturen bestehen. Zum Anderen würde es die Bemühungen von Regierung und Privatwirtschaft zur Abwehr von Cyberattacken koordinieren. Dies ist zwar alles nichts Neues, aber es würde eben nun zentral zusammengefasst werden.

Ähnlich wie in dem CSIS-Bericht soll nach dem Willen der Hart-Rudman-Kommission die Katastrophenschutzbehörde Federal Emergency Management Agency (FEMA) zur zentralen Behörde für Homeland-Defense gebaut werden. In die NHSA integriert würden sowohl Küstenwache, Zoll, Grenzschutz als auch diverse Abteilungen anderer Ministerien, und beim Verteidigungsministerium würde ein Staatssekretärsposten für den NHSA-Chef eingerichtet werden. Der Bericht wurde im Kongress und in den Medien mit großem Interesse aufgenommen, denn er galt als sicherheitspolitische Richtungsvorgabe für die neue US-Regierung. Mac Thornberry, republikanischer Abgeordneter im Repräsentantenhaus, kündigte noch am Tag der Vorlage des Abschlussberichtes an, einen Gesetzesentwurf zur Gründung der National Homeland Security Agency in den Kongress einzubringen.

Wie Thornberrys Büro auf Anfrage mitteilte, ist allerdings bisher, knapp zwei Monate später, noch nichts in dieser Richtung geschehen. Auch wenn das NHSA-Gesetz nun wie angekündigt in einigen Wochen vorliegen sollte, rechnen Experten dem Vorhaben wenig Chancen aus. Der Gesetzesvorschlag ist nicht mit der Regierung abgestimmt, sondern lediglich mit der Hart-Rudman-Kommission selber. Daher fehlt der nötige politische Druck für das Vorhaben. Ein hoher Regierungsbeamter, der nicht genannt werden wollte, sagte gegenüber Telepolis: "Das wird nicht funktionieren. Es gibt zuviel zu verlieren für die bestehenden Behörden wie die Nationalgarde und andere."

Auch Steven Aftergood, Sicherheitspolitik- und Geheimdienstexperte der Federation of American Scientists (FAS) rechnet dem Plan "weniger als 50 Prozent Chancen aus". Ein weiterer hoher Mitarbeiter der US-Regierung begründete dies damit, dass die NHSA das werden würde, was in anderen Staaten das Bundesinnenministerium oder "Home Office" ist - und vor solcherlei Apparaten stünde in den USA noch allemal die traditionelle Abneigung gegenüber starken Regierungen. "Es sind schon kleinere Vorhaben gescheitert", sagte er gegenüber Telepolis. Die Diskussion spiegelt allerdings, so erfolglos sie auch sein wird, reale Begehrlichkeiten wieder. So erzählen Insider hinter vorgehaltener Hand, dass das FBI bereits versucht habe, das beim Wirtschaftsministerium angesiedelte Critical Infrastructure Assurance Office zu übernehmen und in sein National Infrastructure Protection Center zu integrieren.

Abgesehen von dem mangelnden Konsens über eine grundlegende Reform der Sicherheitspolitik und den Widerständen des bestehenden Apparates gibt es auch inhaltlich gute Gründe gegen dieses Vorhaben. John Pescatore, Sicherheitsexperte der Gartner Group Inc., wies gegenüber der Computerworld darauf hin, dass "die lose gekoppelte, desorganisierte und dezentrale Informationsstruktur für Sicherheitsfragen, wie sie die private Industrie hat, wesentlich schneller auf die Viren 'I-love-you' und 'Melissa' reagiert hat als die bestehenden zentralisierten Computer Response Teams des Verteidigungsministeriums".

Darüber hinaus ist die FEMA bislang kaum in die Aktivitäten zum Schutz der Datennetze involviert. Sie koordiniert die Aktivitäten der Notfalldienste und zuständig für die Kontinuität der Regierungsarbeit. Das klingt recht bedeutend, heißt aber konkret, dass die FEMA-Mitarbeiter sich mit den Feuerwehrleuten über mögliche Verwundbarkeiten der Notfallmeldesysteme und der Einsatzzentralen unterhält und versucht, als zentrale Informationsstelle dafür zu arbeiten. Die viel bedeutendere Aufgabe der FEMA, nämlich die Kontinuität der gesamten Regierungsarbeit sicherzustellen, wird in dem 174 Seiten langen Sachstandsbericht des Präsidenten vom Januar gerade mal in 4 Zeilen abgehandelt. Dies ist auch kein Wunder, sorgt doch jedes Ministerium und jede Behörde selber für die eigene Sicherheit. Allein des Verteidigungsministerium listet auf 13 Seiten detailliert auf, welche Maßnahmen es unternommen hat, um sich vor Hackerangriffen zu schützen.

Wayne Madsen vom Electronic Privacy Information Center (EPIC) vermutet noch anderes bei diesen Vorhaben: Hinter der CSIS-Studie und ähnlichen Überlegungen, so sagte er im Gespräch mit Telepolis, steckten die Geheimdienste, die in diesem Think Tank viele ihrer ehemaligen Mitarbeiter untergebracht haben. Vor allem der National Security Agency gehe es darum, erweiterte Befugnisse zu bekommen und auch innerhalb der USA abhören zu dürfen. So habe die NSA schon 1999 angeboten, das Financial Sector ISAC, also den Informationsmechanismus für die Banken und Finanzdienstleister, in eigener Regie zu betreiben. Der Vertrag ging dann an die Firma SAIC, die eng mit der NSA und dem Pentagon zusammenarbeitet.

Die generelle Idee einer "Homeland Defense" zur Bekämpfung von Terroristen und Crackern sei daher, so Madsen weiter, als Ausbau und Zentralisierung der Apparate der inneren und äußeren Sicherheit zu verstehen. Dennoch glaubt auch er nicht daran, dass dieses Vorhaben sich durchsetzen wird. "Allein der Name wird das Projekt zur Strecke bringen", so Madsen, denn die Amerikaner reden normalerweise gar nicht von "Heimat" (Homeland), genauso wie sie nicht von "Vaterland" reden. Die Geheimdienste müsse man dennoch im Auge behalten, warnt der Datenschützer, der selber einst für die NSA gearbeitet hat, denn sie haben einen starken Einfluss auf George W. Bush. "Er kann ihnen nichts abschlagen", sagt Madsen, "denn sie haben das CIA-Hauptquartier nach seinem Vater benannt."

US-Kongress: Noch mehr Studien

Der Kongress, aufgeschreckt durch die Hart-Rudman-Kommission und den Clinton-Bericht, beginnt sich langsam auch organisierter mit dem Thema zu befassen. Der Senats-Unterausschuss für entstehende Bedrohungen ("emerging threats") des Streitkräfteausschusses im Senat hat erst kürzlich die Cybersicherheit als wichtiges Thema entdeckt. Nach der Vorstellung des Hart-Rudman-Berichtes sagte der Vorsitzende, der Republikaner Pat Roberts, man werde auf die Gefahren für die Heimatverteidigung eingehen und sich in Expertenanhörungen davon ein genaueres Bild machen.

Gleichzeitig liegt im Repräsentantenhaus seit Februar ein Entwurf für eine Resolution vor, die den "Cyberterrorismus" offiziell zu einer heraufziehenden Bedrohung für die nationale Sicherheit der USA erklären würde. Die von den konservativen Abgeordneten James Saxton und Saxby Chambliss eingebrachte Resolution verlangt einen "überarbeiteten gesetzlichen Rahmen für die Strafverfolgung von Hackern und Cyberterroristen" und eine "Partnerschaft zwischen der Bundesregierung und der privaten Industrie bei der Bekämpfung der Cyber-Gefahr". Details zu diesen Forderungen werden allerdings nicht genannt, und damit fordert die Resolution im wesentlichen das, was ohnehin schon geschieht. Des weiteren soll eine neue Studie zur Abschätzung der Gefahr erstellt werden. Der Auftrag für diese Studie soll allerdings nach dem Resolutionsentwurf gemeinsam an das Wirtschaftsministerium, das Pentagon, die NSA, die CIA und das FBI gehen - ob man bei dieser Dominanz des nationalen Sicherheitsapparates etwas anderes erwarten kann als eine weitere Überzeichnung der Gefahr, muss stark bezweifelt werden.

Weltraumrüstung und Cyberkrieg

Seit dem Antritt der Bush-Regierung lässt sich in den USA eine stärkere Verknüpfung der Debatten um Cyber-Sicherheitspolitik und Weltraumrüstung beobachten. CIA-Chef George J. Tenet sagte in den Kongressanhörungen zur Lage der nationalen Sicherheit 2001 im Februar, dass die weltraumgestützten Systeme möglicherweise die nächsten Ziele für militärische Gegner sein könnten. Sie müssten daher ebenfalls als kritische Infrastrukturen angesehen und entsprechend geschützt werden. Bereits im Januar hatte die Kommission zur Zukunft der amerikanischen Sicherheitspolitik im Weltraum davor gewarnt, dass Terroristen wie Osama bin Laden "zunehmend leichter Zugriff auf die Kapazitäten von Satelliten erhalten" könnten.

Hier zeigt sich ein Argumentationsmuster, das im Detail den bisherigen Warnungen der Sicherheitsapparate vor Hacker-Angriffen folgt. Neben das Bild vom "elektronischen Pearl Harbor", das eine bedeutende Rolle in der Etablierung des Bedrohungsbildes in den USA gespielt hat (Infowar gegen die USA), stellte die Kommission das Szenario eines "Pearl Harbor im Weltraum". Die Kommission war von Donald Rumsfeld geleitet worden, der nun neuer Verteidigungsminister ist und als bekennender Fan des Weltraumkrieges gilt (Pearl Harbor im Weltraum). Wenige Tage nachdem er Chef des Pentagon wurde, führte die US-Luftwaffe ihre erste große Star-Wars-Simulation durch, in deren Rahmen auch Cyberattacken unternommen wurden (Kriegsspiele im Weltraum).

Diese Verbindung von Informationskrieg und Weltraumkrieg hat bereits eine mehrjährige, weniger bekannte Vorgeschichte. Vor allem die US Air Force hat sich in den neunziger Jahren darum bemüht, mit "Space" und "Cyberspace" neue Einsatzgebiete zu erschließen. Das US Space Command in Colorado Springs hat 1999 die Verantwortung für den Schutz der gesamten Datennetze der amerikanischen Streitkräfte bekommen, und seit vergangenem Oktober ist es auch für die offensive Seite - "Computer Network Attacks" zuständig (Aufrüstung zum Cyberkrieg: Bits statt Bomben). Diese Aufgaben sollen im April als "Computer Network Operations" vereinheitlicht werden, wie Telepolis in Gesprächen mit Mitarbeitern des Space Command erfuhr. Darüber hinaus wurde die Air Intelligence Agency in San Antonia (Texas), wo die operativen Einheiten wie das Joint Information Operations Center angesiedelt sind, im Februar dem Air Combat Command unterstellt und ist so Teil der kämpfenden Truppe. Wie der Weltraum soll so auch der Cyberspace als "natürliches" Einsatzgebiet und weiterer Kriegsschauplatz in die Operationen der US-Streitkräfte integriert werden (Von der US-Freiheit im Weltraum).

Ein "virtueller Schutzschild"für 50 Milliarden Dollar?

Untrennbar verbunden sind für US-Verteidigungsminister Rumsfeld die Weltraumrüstung und das geplante Raketenabwehrsystem NMD (national Missile Defense). Vor allem dieses Projekt, das Bill Clinton lange gegen den Willen des konservativ dominierten Kongresses gebremst hatte, wird unter George W. Bush nun massiv vorangetrieben. Rumsfeld hatte dafür bereits 1998 die Grundlagen gelegt, als eine andere von ihm geleitete Kommission die Rechtfertigung zum Aufbau des Systems vorlegte (Pearl Harbor im Weltraum). Die Raketenabwehr soll zum Teil aus dem Weltraum heraus erfolgen und koordiniert werden.

Daher ist es nicht verwunderlich, wenn nun analog zur Weltraumrüstung auch die Raketenabwehr in eine Verbindung zur Cyber-Sicherheitspolitik gebracht wird. So schrieb die chinesische Nachrichtenagentur Xinhua schon im Januar, das IT-ISAC sei nach dem Modell des amerikanisch-kanadischen Raketen- und Luftverteidigungssystem NORAD geschaffen worden. Diese Behauptung, so unsinnig sie auch ist, hatte in den letzten Wochen einige Nachfolger. Das Handelsblatt schrieb am 4. März:

Diese Meldung wurde sogleich von anderen großen Medien aufgegriffen und zur Grundlage weiterer dramatischer reißerischer Berichte gemacht. Spiegel Online brachte die Nachricht am nächsten Tag (50 Milliarden Dollar für den Cyberwar?), und am 10. März wurde dort noch einmal nachgelegt (Aufrüsten gegen die @-Bombe). Eingeleitet wird der Text von einem gruseligen Horrorszenario, bei dem die üblichen "islamischen Terroristen" Infrastrukturen in ganze Amerika elektronisch lahmlegen, Züge zusammenstoßen und in Beverly Hills eine Gasleitung explodieren lassen. Natürlich wird ebenfalls das Bild vom "elektronischen Pearl Harbor" heraufbeschworen, das seit Anfang der neunziger Jahre in den USA die Runde macht, aber trotz mehrfacher Prognosen bisher nicht eingetreten ist. Natürlich wurde im Spiegel ebenfalls der Handelsblatt-Bericht vom "virtuellen NMD" übernommen. Auch die ZEIT fühlte sich daraufhin genötigt, am 14. März einen Artikel zur Cyberkriegs-Hysterie beizusteuern (Sternenkrieg ums Netz. Dieser war zwar wesentlich kritischer gegenüber der Handelsblatt-Meldung, aber dafür hieß es unter anderem:

Vor allem die Kosten des angeblich geplanten virtuellen Schutzschirmes waren es, die großes Aufsehen erregten. Laut einer anonymen Handelsblatt-Quelle soll das System 50 Milliarden Dollar kosten. Der Direktor des Critical Infrastructure Assurance Office (CIAO), John Tritak, wurde in einem weiteren Artikel in der gleichen Ausgabe mit "weit mehr als 30 Mrd. $" zitiert. Diese Zahlen stießen bereits schnell auf Widerspruch.

So hatte Telepolis bereits am 5. März die 50 Mrd. als "ziemlich unglaubwürdige Information" bezeichnet und den konkreten Zahlen aus dem US-Haushalt von 2001 gegenübergestellt (Ein virtuelles NMD?). Nach diesem sind insgesamt 2 Milliarden Dollar für den Schutz kritischer Infrastrukturen vorgesehen. Für die General Services Administration (GSA), die das Federal Intrusion Detection Network (FIDNet) betreiben sollte, waren allerdings ganze 15,4 Millionen Dollar eingeplant. Dies ist mehrere Größenordnungen entfernt von den Zahlen des Handelsblattes, und auch die von George W. Bush angekündigte 38%ige Haushaltserhöhung der GSA für diesen Bereich wird daran nichts ändern.

CIAO-Direktor Tritak hatte allerdings in seiner Schätzung die Ausgaben des privaten Sektors miteingerechnet. Dies stellte wiederum die ZEIT in Frage, indem sie auf Berechnungen der Federal Computer World verwies, die auf Kosten zwischen acht und zwölf Milliarden kam.

Nur heiße Luft

Was ist also dran an der ganzen Geschichte? Zu den einfacher zu wiederlegenden Falschmeldungen gehört die Behauptung der ZEIT, dass schon Clinton NMD und Cyber-Sicherheit im Zusammenhang gesehen habe. Clinton hat sich zwar persönlich stark um die Sicherheit der Infrastrukturen gekümmert und mit der Direktive 63 im Mai 1998 auch die institutionellen und strategischen Grundlagen dafür geschaffen, aber er hat dies nie hauptsächlich als militärisches Problem gesehen. Seine Cyber-Sicherheitspolitik basierte vor allem auf enger Zusammenarbeit mit dem privaten Sektor. Dem Raketenabwehrsystem NMD dagegen hat er vor allem auf Druck des konservativen Kongresses zugestimmt. Die Haushaltsentwürfe für NMD und den Schutz kritischer Infrastrukturen waren allerdings immer strikt getrennt, und die beiden Projekte hatten auch sonst nichts miteinander zu tun - außer der banalen Tatsache, dass natürlich auch die NMD-Steuercomputer gegen Einbrecher geschützt sein müssten.

Bleibt die Behauptung, dass das geplante Federal Intrusion Detection Network (FIDNet) zu einem virtuellen Schutzschild ausgebaut werden soll, das ganz Amerika vor Hacker-Angriffen durch Schurkenstaaten oder internationale Terrorgruppen schützt. Die Idee erscheint gerade für eine Regierung, die einen realen Raketenabwehrschirm aufbauen will, sehr attraktiv, aber Fachleute winken ab. "Es ist nicht möglich und auch nicht nötig, einen solchen Schutzschild zu bauen", sagte James Dempsey vom Center for Democracy and Technology (CDT) gegenüber Telepolis. "Was wir wirklich brauchen, sind nicht Intrusion-Detection-Systeme, sondern Administratoren, die bei bekannten Sicherheitslücken die Patches auf ihre Systeme spielen." Auch Wayne Madsen von EPIC hält die Idee für "bizarr". "China hat versucht, eine elektronische Version der chinesischen Mauer um das Land herum zu bauen - den sogenannten 'Great Chinese Firewall' - , und sie sind damit gescheitert", sagte er im Gespräch mit Telepolis.

Das bereits im Sommer 1999 vom Nationalen Sicherheitsrat vorgeschlagene FIDNet hatte ursprünglich alle Intrusion-Detection-Systeme der amerikanischen Datennetze zusammenführen und zentral auswerten sollen (US-Regierung plant ein umfassendes Überwachungssystem). Dieser Plan stieß allerdings auf scharfe Kritik der Datenschützer und scheiterte kurz darauf im Kongress (Aus für FIDNet?). Auch der geplante Datenaustausch des FIDNet mit entsprechenden Stellen des Verteidigungsministeriums und der NSA wurde von verschiedenen Seiten scharf kritisiert. Um diese Bedenken zu zerstreuen, sollte das Projekt statt am FBI-Ableger NIPC bei der General Services Administration betrieben werden, und zwar von der dort angesiedelten neuen Federal Computer Intrusion Response Capability (FedCIRC). In dieser Version war allerdings nur noch vorgesehen, dass FIDNet die regierungseigenen Netze, die nicht zum nationalen Sicherheitsapparat gehören, auf Einbrüche überwachen sollte. Die weitaus größeren privaten Datennetze und ihre elektronischen Alarmanlagen sind nirgendwo zentral vernetzt, ihre Betreiber tauschen lediglich über die bereits erwähnten ISACs freiwillig Informationen aus. Von einem virtuellen "Schutzschild" oder "Abwehrschirm" über ganz Amerika, das gar mit dem NMD vergleichbar ist, konnte daher schon seit mehr als einem Jahr keine Rede mehr sein.

Inzwischen ist allerdings auch das FIDNet-Projekt gestorben. David Jarrell, der Leiter der FedCIRC, sagte gegenüber Telepolis, dass man von einem automatischen zentralen System Abstand genommen habe. Stattdessen betreiben nur noch die Behörden und Ministerien jeweils unabhängige Intrusion-Detection-Systeme in ihren eigenen Netzen. Sie versorgen die FedCIRC auf freiwilliger Basis mit Informationen und arbeitet daher genauso wie die ISACs im privaten Sektor. Dieses neue System, das laut Jarrell "Managed Security Services" heißt, tauscht auch Informationen mit vergleichbaren Stellen der Streitkräfte und der Geheimdienste aus - "aber ohne Preisgabe der Quellen", sagte Jarrell. Derzeit funktioniert die Informationsverteilung noch rein manuell, aber die angeschlossenen Behörden könnten theoretisch automatisiert ihre Daten weiterleiten. Laut Jarrell ist dies von einigen Behörden auch geplant. Eine automatische zentrale Überwachung sei allerdings per Gesetz verboten.

Diese Überwachung, auch wenn sie nun dezentral verlaufen sollte, ist allerdings immer noch die Hauptsorge von Kritikern wie James Dempsey. "Meine Hauptsorge ist, dass die Regierung stärker den Verkehr auf ihren Webseiten überwachen wird", sagte er gegenüber Telepolis. Auch Wayne Madsen von EPIC fürchtet, dass die ganze Diskussion um den "virtuellen Schutzschild" den Geheimdiensten mehr Kompetenzen verschaffen wird. In der Tat verfügt die NSA selber über eine National Security Incident Response Capability (NSIRC). "Die NSIRC hat genau die Abteilungen, die man für FIDNet gebraucht hätte", sagte Madsen. "Ich fürchte, dass die das jetzt machen, und dann kann es keiner kontrollieren."

Bisher sieht es aber so aus, als wenn die Cyber-Sicherheitspolitik weiterhin wenig zentralisiert, sondern eher noch dezentraler betrieben wird. Die Diskussion in militärischen Metaphern macht vielleicht Sinn, wenn man die Gefahr dramatisieren will. Der vom Handelsblatt interviewte James Adams hat mit iDefense immerhin eine eigene Firma, die für Streitkräfte und Geheimdienste arbeitet und auf weitere Aufträge hofft. Doch selbst wenn sie es wollten, könnten die USA kein militärisches Programm aufbauen, das den gesamten Kontinent vor Cyberattacken schützen würde. Im Gegenteil: die Streitkräfte selber wollen diese Aufgabe nicht übernehmen. Das bestätigte Oberstleutnant John Pericas, Chef der Computernetzwerkverteidigung beim US Space Command in Colorado Springs, im Gespräch mit Telepolis:

Auch Robert Anderson, Computerwissenschaftler und Experte für Cyber-Sicherheitspolitik bei der RAND Corporation in Santa Monica, der selber Studien für das Pentagon verfasst hat, kann die ganze Aufregung nicht verstehen. Er hielt gegenüber Telepolis die Gefahr für deutlich überschätzt:

Das Szenario des "großen Cyberkrieges von 2002", das sein Kollege John Arquilla (Das Cyberwar-Virus breitet sich aus) einst für Wired geschrieben hatte und das nun dem Spiegel offenbar als Vorlage gedient hat, bezeichnete Anderson als pure Fiktion. "Nur ein klein wenig besser als Tom Clancy", so sein Kommentar.

Und die Kosten?

Woher stammen dann also die beeindruckenden Zahlen für die Kosten des angeblichen Cyber-Schirm, die vom Handelsblatt zwischen 30 und 50 Milliarden Dollar angegeben waren? John Tritak, Direktor des Critical Infrastructure Protection Office, dem die 30 Mrd. zugeschrieben wurden, war für eine Stellungnahme nicht zu erreichen. Sein Büro teilte aber auf Anfrage mit, er sei falsch zitiert worden.

Auch David Jarrell von der FedCIRC konnte mit den Zahlen nichts anfangen. "Das ist ganz weit entfernt von der Wahrheit. Ich arbeite mit John eng zusammen und treffe ihn jeden Tag, das hätte er nie gesagt. Vielleicht hat er 30 Millionen genannt", sagte er gegenüber Telepolis. Die beiden Handelsblatt-Journalisten, die die Geschichte in die Welt gesetzt hatten, versicherten allerdings auf Nachfrage, sie hätten die Zahlen gehört und natürlich das Gespräch auf Band aufgezeichnet.

Offenbar gab es also diese Zahlen - aber es gab sie nur solange, bis ein hoher Regierungsmitarbeiter merkte, dass er da eine leichtfertige Schätzung aus dem Bauch heraus vorgenommen hatte. Offiziell verfügt niemand in der US-Regierung über Berechnungen, wieviel der umfassende Schutz der amerikanischen Infrastrukturen kosten wird. John Dempsey vom CDT kann auch sagen warum: "Es ist unmöglich, das zu quantifizieren. Was sind denn die Infrastrukturen? Wenn jemand einen Zaun um ein Kraftwerk baut, ist das auch Schutz kritischer Infrastrukturen."

Achtung, Hype!

Was bleibt also von den aufgeregten Meldungen der letzten Wochen? Die Lehre, dass derzeit alles, was nach "Cyberkrieg" aussieht, von den Massenmedien begierig aufgegriffen wird. Wenn man es dann in den Kontext aktueller militärischer Pläne der USA stellt, die zudem politisch umstritten sind, funktioniert die Aufmerksamkeitsmaschinerie noch besser. Dass all dies dazu beiträgt, auch in Deutschland unwissende Sicherheitspolitiker, die sich mit NATO und OSZE auskennen, zu Cyberkriegern zu machen, haben die Kollegen besonders von Handelsblatt und Spiegel leider übersehen.

Gerade in einer Zeit, in der sich in Washington die Falken wieder durchsetzen, in der Rüstungskontrollverträge nicht mehr das Papier wert sind, auf dem sie geschrieben wurden, und in der auch die Bundeswehr an einer eigenen Doktrin für den Informationskrieg arbeitet (Die Bundeswehr auf dem Weg ins digitale Schlachtfeld), sollte verantwortlicher Journalismus eher darin bestehen, einen gefährlichen Hype zu entkräften und zwielichtigen Geheimdienstberatern die Lufthoheit über den "Experten"-Debatten zu nehmen.

Den besten Beitrag zur Diskussion um den Schutz der amerikanischer Infrastrukturen brachte in diesem Sinne übrigens die Frankfurter Rundschau. Dort erschien am 12. März ein Artikel mit der Überschrift "In Kansas City lernen die Kinder auf dem ehemaligen Jungen-Klo". Es ging um eine umfangreiche Studie der Ingenieursgesellschaft ASCE, die den realen Zustand der amerikanischen Infrastrukturen untersucht hatte. Ihr Ergebnis: Die USA müssten allein für dringend notwendige Reparaturen in den nächsten fünf Jahren 2,8 Milliarden Mark ausgeben. Die FR zitierte ASCE-Präsident Robert Bein mit der Warnung: "Wenn in Kalifornien dauernd die Lichter ausgehen, in Milwaukee die Brücken bröckeln und in Kansas City Kinder ihren Unterricht in ehemaligen Jungen-Toiletten abhalten müssen, läuft irgendetwas falsch." Diese Meldung hat meines Wissens nicht zu weiteren reißerischen Artikeln in anderen Blättern geführt - aber hier ist ja auch nirgendwo ein Osama bin Laden in Sicht, dem man die Sache anhängen kann.

Ralf Bendrath, derzeit Visiting Fellow am Center for International Science and Technology Policy der George Washington University, ist Mitbegründer der Forschungsgruppe Informationsgesellschaft und Sicherheitspolitik (FoG:IS) und betreibt die Mailingliste Infowar.de.