Schilys Cyberwar
Task-Force für Internetkriminalität ist politische Absichtserklärung, zuständige Abteilungen wissen von nichts.
Bundesinnenminister Otto Schily will jetzt eine Task-Force zur Bekämpfung von Internetkriminalität einsetzen. Anlass: Die jüngsten Denial-of-Service-Angriffe auf große kommerzielle Websites in den USA. Die Arbeitsgruppe soll herausfinden, wie groß eine solche Bedrohung in Deutschland ist. Auch soll sie darüber nachdenken, welche Maßnahmen ergriffen werden können, um solche Attacken besser bekämpfen zu können. Schließlich soll sie diese Maßnahmen koordinieren. Otto Schily: „Bei derartigen Angriffen handele es sich keineswegs um technische Spielereien, sondern um Taten, die mit allen Mitteln verhindert werden müssen." Dabei verwies er auf "die erheblichen zivilrechtlichen Konsequenzen, wie etwa die Leistung von Schadenersatz an die Geschädigten", die sich aus solchen Attacken ergeben können.
Mitarbeiter des Bundesinnenministeriums (BMI), des Bundesamt für die Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) sollen gemeinsam in der neuen Arbeitsgruppe zusammen arbeiten. Bis zur entsprechenden Pressemitteilung des Bundesinnenministeriums wusste man jedoch in den einschlägigen Referaten nicht Bescheid. Auf fachlicher Ebene hatte es zu diesem Thema keine Beratungen gegeben. "Das ist eine politische Entscheidung des Ministers", kommentierte ein Beamter Schilys Entschluss. Auch ein BKA-Sprecher konnte in der Ankündigung keine wesentlich neuen Aktivitäten erkennen. Denn schon jetzt werden in verschiedenen Arbeitsgruppen Themen wie "kritische Infrastrukturen", "Internetkriminalität" und "Kryptographie" behandelt.
Auffallend ist, dass ausgerechnet das Bundeswirtschaftsministerium (BMWi), das die gemeinsame Aufklärungskampagne "Sicherheit im Internet" von BMI, BSI und BMWi koordiniert, nicht in die neue Task Force eingebunden wurde. Das BMWi ist auch federführend zuständig für die deutsche Kryptopolitik. Sie schränkt bislang die Nutzung von Verschlüsselungsprogrammen nicht ein, sondern fördert sie sogar. Diese liberale Politik wurde jedoch erst gegen den jahrelangen Widerstand seitens des BMI, der Strafverrfolgungsbehörden und der Geheimdienste durchgesetzt. Zentrale Frage ist daher: Über welche Kompetenzen wird die neue Arbeitsgruppe verfügen? Welche Vorschläge wird sie erarbeiten?
Nach dem Muster der US-Regierung
Ein Blick über den großen Teich zeigt, welche Ideen unter dem Stichwort "Cyberwar" in den USA entwickelt wurden. Dort geht Hardliner Arnaud de Borchgrave seit Jahren mit der Überzeugung hausieren, dass "binnen 48 Stunden zehn Superhacker mit einem Budget von zehn Millionen Dollar die USA ruinieren" können. Borchgrave ist Herausgeber einer Studie des "Center for Strategic and International Studies" (CSIS) in Washington D.C.. Beteiligt an ihr waren Mitarbeiter des Verteidigungsministeriums, des U.S. Secret Service, der US-Navy und diverse Rüstungsfirmen. Neben einem Regierungsbericht sorgte sie dafür, dass bereits 1998 500 Millionen US-Dollar zur Sicherung der IT-Infrastrukturen ausgegeben wurden. Erst vor wenigen Wochen erhöhte Präsident Bill Clinton das Budget für das kommende Jahr auf zwei Milliarden US-Dollar für den Kampf gegen den Cyberterrorismus.
Von einschlägigen Haushaltsrückstellungen will hierzulande noch niemand etwas wissen. Doch Schilys Task Force könnte der Vorläufer eines deutschen "National Infrastructure Protection Center" sein. Das FBI richtete das Zentrum aufgrund der Direktive von Clinton 1998 ein. Es entwickelt Bedrohungsszenarien für alle möglichen Arten von Angriffen - vom Eindringen in die Produktionssysteme einer Autofirma bis zum Angriff auf Stromversorgungssysteme oder Mailsysteme von US-Botschaften.
In einer Datenbank werden Bedrohungen, Taktiken und Aktivitäten gesammelt und ausgewertet. Ziel ist es, ein Frühwarnsystem für das Verteidigungsministerium aufzubauen. Die Datenbank enthält alle relevanten Informationen aus zivilen und militärischen Regierungsbehörden sowie dem privaten Sektor. Zu den Quellen gehören auch die CIA, die NSA, die Defense Intelligence Agency sowie alle Strafverfolgungsbehörden, die insgesamt rund 40 Experten in das NIPC entsenden. Sie sollen Informationen über die Verwundbar- und Abwehrfähigkeit ihrer eigenen Organisation austauschen. Das NIPC wertet die Informationen aus und leitet sie zielgerichtet weiter. Es soll Trends erkennen, Bedrohungen und Angriffsfähigkeiten unter potentiellen Gegnern feststellen.
Es darf aber nicht nur über ein deutsches NIPC, sondern auch über ein deutsches Fidnet spekuliert werden. Beim US-amerikanischen FIDNet (Federal Intrusion Detection Network) handelt es sich um ein Warnsystem, das verdächtige Aktionen in Computersystemen von US-Bundesregierungsstellen frühzeitig erkennen soll. Ein wesentlicher Anteil des Zwei-Milliarden-Dollar-Budgets wird in den Aufbau des Systems fliessen. Bereits im Oktober soll es in Betrieb gehen. Es soll nicht nur militärische und zivile Verwaltungseinrichtungen, sondern auch Betriebe des Privatsektors wie Kraftwerke und Finanzunternehmen vor Angriffen schützen.
Thomas Rössler, Sprecher des Fördervereins Informationstechnik und Gesellschaft (FITUG), plädiert jedoch dafür, für's erste kleine Brötchen zu backen. Seiner Ansicht nach könnte es bereits "geringfügige Abhilfe" bringen, wenn Hackingangriffe einer kompetenten Strafverfolgung zugeführt werden könnten. Das sei aber "bei einem Beamten pro Großstadt, der mit einem T-Online-Anschluß am Netz hängt" kaum möglich. Rössler: "Anstatt also Expertengruppen auf hoher Ebene zu bilden, wäre eine breite Schulung im Bereich der Strafverfolgungsbehörden deutlich sinnvoller." Sinnvoll hält er auch eine bessere Öffentlichkeitsarbeit "im Netz, die insbesondere dazu führt, dass etwa vorhandene kompetente Beamte auch auf angemessenem Wege, beispielsweise per Netz und PGP-verschlüsselter E-Mail, erreichbar sind."