US-Regierung plant Umstrukturierung der Cyber-Sicherheitspolitik

Das National Infrastructure Protection Center soll aufgelöst werden, der Kongress meldet Kritik an, aber die Lösung könnte sich als sinnvoll herausstellen

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Die amerikanische Regierung plant in Kürze eine größere Umstrukturierung ihrer Institutionen zur Abwehr von Cyberterrorismus und Angriffen auf kritische Infrastrukturen. Das National Infrastructure Protection Center (NIPC) soll offenbar aufgelöst und auf verschiedene FBI-Abteilungen und andere Ministerien verteilt werden. Trotz lautstarken Protestes, der unter anderem bereits aus dem Kongress zu vernehmen ist, könnte dieser Schnitt ein Befreiungsschlag für die seit seiner Gründung unter Clinton 1998 in der Kritik stehende Zwitterinstitution sein. Gleichzeitig wird ein neues Cybersecurity Information Coordination Center gegründet, das an den Y2K-Erfahrungen orientiert ist.

Seit Anfang des Jahres verdichten sich die Gerüchte, dass eine größere Reorganisation der verschiedenen Behörden der amerikanischen Cyber-Sicherheitspolitik bevorsteht. FBI-Direktor Robert Mueller lässt derzeit in Washington einen Plan kursieren, in dem die Einzelheiten genannt sind: Ein Teil des NIPC soll danach in Form einer "Cyber-Crime"-Abteilung dem neuen Executive Assistant Director for Criminal Investigations des FBI-, Bruce J. Gebhardt, unterstellt werden. Andere Teile sollen den bestehenden FBI-Abteilungen für Terrorismusbekämpfung und Spionageabwehr zugeordnet werden. Ob und in welcher Form die übrigen Abteilungen des NIPC, die vor allem für den Informationsaustausch mit der Privatwirtschaft und Warnungen für die Öffentlichkeit zuständig sind, nach diesem Plan weiterbestehen werden, sei noch unklar, so verlautete aus dem Büro des konservativen Senators Charles E. Grassley. Das NIPC war im Februar 1998 als interministerielle Behörde beim FBI gegründet und im Mai des gleichen Jahres mit der Presidential Decision Directive PDD-63 vom damaligen Präsidenten Bill Clinton zusammen mit verschiedenen anderen Einrichtungen zur Cyber-Sicherheit formalisiert worden.

Grassley hatte mit dem FBI diese Fragen diskutiert und ist ein entschiedener Gegner des Vorhabens. Er hatte vor kurzem in einem Brief an FBI-Direktor Mueller beklagt, dass die Auflösung des National Infrastructure Protection Center "das fragile Vertrauen zwischen dem FBI und dem privaten Sektor zerstören und das Amt faktisch blind gegenüber den Bedrohungen der kritischen Infrastrukturen machen würde". Auch aus der Wirtschaft kam Widerstand. Harris Miller, Vorsitzender der Information Technology Association of America (ITAA), sagte gegenüber AP: "Das ist keine besonders gute Idee. Wenn man es in eine Kriminal-Abteilung steckt, wird es eine Hilfe für die Strafverfolgung und kein Informationsaustausch." Die ITAA beteiligt sich an einem der Information Sharing and Analysis Centers (ISAC). Diese sollen in den Sektoren Informationstechnologie, Stromversorgung, Telekommunikation und Finanzdienstleistungen den Informationsaustausch über Sicherheitslücken und Bedrohungen innerhalb der Industrie organisieren und dazu auch mit dem NIPC zusammenarbeiten. Laut Senator Grassley haben bereits einige der an den ISACs beteiligten Firmen angekündigt, ihre Mitarbeit einzustellen, wenn das NIPC aufgelöst würde.

Vier Jahre Kritik und zähe Zusammenarbeit

Der Informationsaustausch mit der Privatwirtschaft, die immerhin fast alle kritischen Infrastrukturen betreibt, ist aber bislang ohnehin nur sehr schwerfällig angelaufen. Die ISAC-Informationszentralen waren bereits 1998 in Clintons PDD-63 vorgesehen gewesen und sollten von der Industrie in eigener Regie betrieben werden. Sie wurden aber erst nach mehrmaligem Drängen der US-Regierung eingerichtet - das IT-ISAC etwa nahm seine Arbeit erst im März 2001 auf, fast drei Jahre nach dem Beschluss von Clinton. Auch der in PDD-63 geplante National Infrastructure Assurance Council (NIAC), der die Industrie in die strategische Planung des Weißen Hauses einbinden sollte, wurde aufgrund des Zögerns der beteiligten Firmenvertreter erst am letzten Tag von Clintons Amtszeit berufen (Homeland Defense, virtuelle Raketenabwehr - und das schnöde Ende einer Medienhysterie).

Die Kritik vieler Unternehmen an der Cyber-Sicherheitspolitik basierte in der Vergangenheit auf mehreren Vorbehalten. Zum einen ist im privaten Sektor niemand sehr davon begeistert, sich mit dem FBI auseinanderzusetzen, dessen Agenten in Begriffen wie "nationale Sicherheit" oder "Terrorismus" denken und reden, während es den Unternehmern um "Kosten" oder "Risikomanagement" geht. Erschwert wurde der Informationsaustausch zusätzlich, weil viele Firmen Angst haben, ihre Angaben über Computereinbrüche könnten an die Konkurrenz gelangen, wenn sie sie der Regierung mitteilen. Aus diesem Grund liegen im Kongress seit einiger Zeit Vorschläge vor, den Freedom of Information Act (FOIA) und damit die Pflicht der Regierung zur Auskunftserteilung einzuschränken.

Die sehr einseitige Informationspolitik des FBI trägt auch zum schlechten Ruf des NIPC bei: Man drängte die Firmen, Vorfälle und Verwundbarkeiten zu melden, tat sich aber sehr schwer damit, auch umgekehrt schnelle, präzise und umfassende Warnungen zu veröffentlichen. So bestand etwa eine NIPC-Warnung vor einem Trojaner-Virus im September 2000 nur aus dem einzigen Satz "It has been reported that a new virus has spread in the Philippines." Die IT-Sicherheitsexperten nutzen daher bis heute überwiegend die privaten Strukturen und Kommunikationskanäle wie Bugtraq oder die Warnungen des Computer Emergency Response Teams Coordination Center (CERT/CC.

Zu all diesen hausgemachten Problemen des NIPC kam die Obstruktionspolitik der bestehenden Behörden. Ein 108-seitiger Bericht des US-Rechnungshofes hatte dies bereits im April 2001 ausführlich dargelegt. Die Geheimdienste ließen sich nicht auf Prozeduren zum Informationsaustausch festlegen, das Justizministerium machte der Behörde Schwierigkeiten bei der Kommunikation mit dem Weißen Haus, das Critical Infrastructure Assurance Office gab keine Daten weiter, und alle am NIPC beteiligten Ministerien stritten sich um den Einfluss auf Personal- und Haushaltsplanung.

Spezialisierung sinnvoller?

Die Kritik, die Senator Gressley und andere jetzt aufgrund der bevorstehenden Auflösung der Behörde in der amerikanischen Presse lanciert haben, geht daher nicht an den Kern des Problems. Grassley selber drohte in seinem Brief an das FBI, er werde ein Gesetz vorlegen, mit dem das NIPC aus dem FBI herausgelöst und als Ganzes erhalten bleiben würde. Diese Lösung könnte zwar die Vorbehalte der Privatwirtschaft gegenüber der Bundespolizei erledigen, würde aber zu neuen bürokratischen Problemen bei der Verfolgung von Computerkriminalität führen.

Hinter all den Schwierigkeiten steckt eher die Überforderung einer Behörde, die verschiedene, zum Teil widersprüchliche Aufgaben gleichzeitig lösen sollte. Die Aufspaltung des NIPC in einzelne Funktionsbereiche und deren Verteilung auf unterschiedliche Ministerien und Behörden könnte daher der bessere Weg sein. Dem FBI blieben die klassischen Aufgaben der Strafverfolgung und Spionageabwehr, die es dann weiterhin auch im Cyberspace ausüben kann, während die Informationsverteilung und strategische Politikentwicklung mit anderen dafür bereits bestehenden Einrichtungen zusammengeführt werden könnten. In diese Richtung gehen offenbar auch die Pläne der US-Regierung.

Bereits Im Februar hatte der Cybersicherheits-Berater des Präsidenten, Richard Clarke, bei einer Kongressanhörung angekündigt, dass eine zentrale Stelle der US-Regierung geschaffen werden soll, die für Frühwarnung und Zusammenarbeit mit der Industrie zuständig sein wird. Das als Cybersecurity Information Coordination Center angekündigte neue Büro soll aus drei Teilen zusammengefügt werden: Dem größten Teil des am Wirtschaftsministerium angesiedelten Critical Infrastructure Assurance Office (CIAO), der Abteilung für Analysen und Warnungen des NIPC sowie Clarkes Büro für Cyberspace-Sicherheit. Diese Abteilungen ziehen derzeit bereits um in gemeinsame Räumlichkeiten in der Nähe des Weißen Hauses. Die Arbeitsweise dieses neuen Zentrums soll nach dem Modell des Year 2000 Information Coordination Center (ICC) strukturiert werden, mit dem die US-Regierung die Computerprobleme Jahrtausendwechsel bearbeitet und beobachtet hatte. Das neue Zentrum kann im Bedarfsfall personell aufgestockt werden.

Clarke nannte bei seiner Ankündigung die Y2K-Erfahrung einen "leuchtenden Moment", in dem Organisationen der gesamten Regierung und der Industrie sich zusammengesetzt hätten, um ein gemeinsames Problem anzugehen. Ob die Motivation zur Zusammenarbeit, wie sie in einer Ausnahmesituation wie dem Jahrtausendwechsel bestanden hat, sich allerdings im Alltagsgeschäft der Washingtoner Grabenkämpfe durchhalten lässt, muss sich erst zeigen.