Gefährdete IT

bedingtabwehr.jpgDie zunehmende Abhängigkeit moderner Gesellschaften von Informationstechnik (IT) stellt eine große Herausforderung für private und staatliche Akteure dar. Tillmann Schulze, Consultant im Bereich des Schutzes kritischer Infrastrukturen, zeigt die potenziell weitreichenden Folgen von Störungen der IT für die Funktionsfähigkeit komplexer Gemeinwesen auf. Von Christoph Rohde

Die Kenntnis von IT-Sicherheitsfragen ist für den Laien meist auf die Tatsache beschränkt, dass man ein Anti-Viren-Programm auf seinem PC installiert haben sollte, um nicht das Opfer konventioneller Viren zu werden. Weiterhin fragen wir uns bei Internet-Geldtransaktionen, ob unsere Daten geheim bleiben. Dazu ärgert uns die Tatsache, dass Geldautomaten meist dann nicht funktionieren, wenn wir dringend Bargeld benötigen. Die von Tillmann Schulze in seinem Buch behandelten kritischen Infrastrukturen stellen hingegen den Zusammenhang von IT-Technologie und nationalen Sicherheitsfragen her.

Was ist IT-Sicherheit?

Schulze weist darauf hin, dass das Thema Sicherheit erst lange nach der Einführung von IT-Technologien ins Rampenlicht rückte. Dies ist die Folge der Tatsache, dass IT-Ingenieure zunächst gar nicht mit einer massenhaften Verbreitung dieser Technologieform rechneten. Die wesentlichen Pfeiler der IT-Sicherheit sind die Verfügbarkeit von Informationen, das heißt der jederzeit mögliche Zugriff auf gewünschte Informationen, die Integrität von IT, welche die richtige Funktionsweise von Systemen und Programmen und damit die unverfälschte Datenübertragung gewährleistet sowie die Vertraulichkeit von IT, die gewährleistet, dass nur ausgewählte Teilnehmer Zugang zu spezifizierten Infos haben.

Schutzziele können aber in ein Spannungsverhältnis zu den Prämissen der User-Freundlichkeit, Schnelligkeit oder Wirtschaftlichkeit geraten. Die Frage der IT-Sicherheit ist damit auch eine Kostenfrage.

Formen von Angriffen auf IT-Systeme

Interessant sind die aussagekräftigen Tabellen über die unterschiedlichen Gefahrenquellen für IT-Systeme. Dabei ist die Tatsache überraschend, dass der unsachgemäße Umgang des Menschen mit sensitiven Daten noch immer die Hauptquelle von Schadensfällen in diesem Bereich ausmachen. Doch auf Dauer werden Viren, Würmer und Trojanische Pferde die Hauptgefahrenquelle darstellen.

Sehr populär als Angriffsstrategie auf IT-Systeme sind Denial-of-Service-Angriffe. Dabei wird der Server eines Unternehmens oder einer Institution durch eine Flut von eingehenden Mails gezielt und mit Hilfe automatisierter Verfahren überlastet. Da der Angriff von verschiedenen Rechnern stattfindet, kann der Verursacher schlecht lokalisiert und ausgeschaltet werden.

Besonders anfällig für Angriffe sind auch wireless-Hotspots, da diese oft nicht verschlüsselt sind. Dadurch können Angriffe quasi aus anonymen Räumen heraus stattfinden.

Sicherheit ist nicht gut vermarktbar

Viele Unternehmen und selbst staatliche Institutionen kritischer Infrastruktur greifen auf billige Standardlösungen zurück, obwohl die Komplexität ihrer Netzwerke individuelle Sicherheitslösungen dringend erforderlich machte. Im Bereich der IT, so der Verfasser, würde im Gegensatz zu anderen logistischen Systemen das Sicherheitsproblem schwerer vermittelbar sein.

Verstärkt werden die grundsätzlichen Bedrohungen für die Sicherheit der Systeme durch zwei weitere Faktoren: erstens die zunehmende Komplexität von Programmen (während die Microsoft Windows Version 95 noch 15 Millionen Programmzeilen hatte, so sind es bei Windows XP schon 45 Millionen – die Tendenz ist zunehmend), die diese immer verletzlicher macht und zweitens die Existenz von IT-Monokulturen. Diese sind Programme, die einen riesigen Marktanteil haben und die aufgrund der Kompatibilität zu anderen System kaum verzichtbar sind. Sollte ein Schadensfall auftreten, sind die Folgen deshalb großflächiger Natur.

Definition „Kritische Infrastrukturen“

Kritische Infrastrukturen sind staatliche und private Einrichtungen, die für das Gemeinwesen grundlegende und notwendige Dienstleistungen erbringen. Stehen Leistungen dieser Einrichtungen gar nicht oder nur eingeschränkt zur Verfügung, entsteht ein großer gesamtgesellschaftlicher Schaden. Dazu gehören Versorgungsdienstleistungen im Bereich der Ernährung, Energie, Gesundheit, Sicherheit, der Ökonomie mit ihren Finanzdienstleistungen und viele weitere mehr.

In diesem Zusammenhang ist die Tatsache bedeutsam, dass die vorstehend genannten physischen Infrastrukturen in zunehmendem Maße IT-abhängig werden. Da viele dieser Dienstleistungen von staatlichen und privaten Akteuren gesichert werden, gewinnen Public Private Partnerships als Medien zur Herstellung von IT-Sicherheit an Bedeutung.

Konkrete Strategien zur Sicherung des Cyberspace

Wie Schulze deutlich belegt, sind die USA Vorreiter bei der Entwicklung von Strategien zur Gewährleistung der IT-Sicherheit. Bereits vor dem 11. September 2001 haben sie dezidierte Maßnahmen in diesem Bereich ergriffen. Nach den Anschlägen von New York City und Washington D.C. ist die Frage der IT-Sicherheit jedoch in den Kontext des Heimatschutzes und der nationalen Sicherheit eingebettet worden. Die National Strategy to Secure Cyberspace ist der Nationalen Sicherheitsstrategie der USA untergeordnet. Sie beinhaltet Maßnahmen zur schnellen Diagnose und effektiven Maßnahmen im Falle von Angriffen aus dem Cyberspace.

In Deutschland wurde Ende der neunziger Jahre die Arbeitsgruppe Kritische Infrastrukturen gebildet. Doch erst nach dem 11. September 2001 wurden theoretische Vorstellungen konkretisiert. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik federführend beim Schutz kritischer Infrastrukturen in der IT. Das Amt arbeitet im Verbund mit dem Bundeskriminalamt, dem Innenministerium und anderen Behörden zusammen.

Differenzierte Darstellung eines Praktikers

Schulzes Buch hat in gewisser Weise lexikalischen Charakter. Seine Analysen sind stark faktengebunden. Deshalb gelingt es ihm, spektakuläre Horrorszenarien zu vermeiden und Bedrohungen realistisch einzuschätzen. So weist er darauf hin, dass erst wenige Fälle bekannt geworden sind, in denen Angriffe auf IT-Systeme zu verheerenden Schäden geführt haben. Doch scheut er sich nicht, potenzielle Gefahren beim Namen zu nennen. Manche Übersetzung ins Englische in den Fußnoten erscheint redundant.

Die Arbeit stellt mehr eine Fleißarbeit als eine analytische Leistung dar. Glaubwürdigkeit erlangt die Untersuchung im Wesentlichen dadurch, dass der Autor in mehreren der für IT-Sicherheit relevanten Behörden in Deutschland mitgearbeitet hat. Für Studierende der Informatik, der Politikwissenschaft, aber auch angrenzender Fachdisziplinen stellt dieses Buch einen guten Überblick dar.

 

Schulze, Tillmann 

Bedingt abwehrbereit. Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA,

VS Verlag für Sozialwissenschaften, Wiesbaden, 2006,

345 S., ISBN: 3-531-14866-4, 39,90 Euro


Weiterführende Links:

Der Schutz Kritischer IT-Infrastrukturen in Deutschland


Die Bildrechte liegen beim VS Verlag für Sozialwissenschaften. Der Verlag im Internet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.