[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[infowar.de] IT-Angriff kann Stadt lahm legen (sagt R. Buss vom Vertreidigungsministerium)
Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
Telepolis-Inteview mit Referatsleiterin Renate Buss, zuständig für
IT-Sicherheit im Verteidigungsministerium, über Cyberterror und
IO-Planungen der Bundeswehr.
http://www.heise.de/bin/tp/issue/dl-artikel.cgi?artikelnr=13968&rub_ordner=special&mode=html
"IT-Angriff kann Stadt lahm legen"
Ulrich Hottelet 16.01.2003
Cyberterror: Bundeswehr warnt vor Attacken auf Netze
In der Diskussion, wo und wie Terroristen zuschlagen könnten, werden
auch gezielte Angriffe auf Computernetze mit möglichen katastrophalen
Folgen nicht ausgeschlossen. Die zuständige Expertin für IT-Sicherheit
im Verteidigungsministerium, Referatsleiterin Renate Buss, nimmt im
Interview zu den Gefahren durch Cyberterror Stellung.
Vor einigen Wochen kam es zu einem massiven Angriff [1] auf die
zentralen Server des Internet. Dabei wurde die Funktionsweise von neun
von 13 Root Servern erheblich eingeschränkt. Der Nutzer merkte davon
jedoch nichts. Sind also die Warnungen vor Cyberterror nur ein Medienhype?
Renate Buss: Ich glaube nicht, dass man Entwarnung geben kann. Es hat
ja schon andere Angriffe gegeben, bei denen die Netze über längere Zeit
ausgefallen sind. Auch in unseren Ressorts wurden Netze bereits lahm
gelegt. Der Schaden dabei ist recht beachtlich.
Man sollte die Risiken nicht unterbewerten
Betrifft der "Krieg gegen den Terror" und gegen al-Qaida, die sich nach
dem Afghanistan-Krieg weltweit neu formiert, auch die Arbeit Ihrer
Stabsstelle?
Renate Buss: Wir müssen die IT-Sicherheit für die ganze Bundeswehr
gewährleisten. Wir legen die Policy fest und geben die Vorschriften
heraus. Mit al-Qaida direkt haben wir aber nicht zu tun. Wir sind
grundsätzlich zuständig für die technische und organisatorische Abwehr
von Angriffen, egal woher sie kommen, ob Hacker oder Terrorist.
Die Angriffsmöglichkeiten auf IT-Netze werden in den Medien oft blumig
beschrieben: Züge entgleisen, der Verkehr bricht zusammen, Gasleitungen
explodieren usw. Es gab auch schon Übungen, die ein solches Szenario
simuliert haben. Halten Sie solche Folgen eines IT-Angriffs für
realistisch?
Renate Buss: Ich sehe die Möglichkeit schon, dass eine Stadt durch
einen IT-Angriff lahm gelegt werden könnte. Manche Medien machen die
Risiken sicherlich sehr plastisch, aber man sollte sie nicht
unterbewerten. Je mehr die Vernetzung fortschreitet, z.B. über das
Internet, desto größer sind auch die Möglichkeiten, Angriffe zu fahren.
Das Sicherheitsbewusstsein ist bei vielen nicht besonders ausgeprägt,
bei Privatnutzern, aber auch im Mittelstand.
Inzwischen wird spekuliert, Terrororganisationen wie al-Qaida
bevorzugten eher spektakuläre Attentate, um in die TV-Nachrichten zu
kommen, als IT-Angriffe. Hat sich Ihre generelle Einschätzung der
IT-Sicherheitslage durch den 11. September verändert?
Renate Buss: Wir haben uns zwar danach Gedanken gemacht, ob das auf
die IT-Sicherheit der Bundeswehr Auswirkungen haben könnte, sind aber zu
dem Ergebnis gekommen, dass es keinen Einfluss hat. Wir haben unsere
Policy nach dem 11. September nicht verändert, denn sie zielt darauf ab,
generell zu verhindern, dass sich jemand Zugang zu unseren Netzen
verschafft.
Dagegen haben die Auslandseinsätze der Bundeswehr das
IT-Sicherheitsbewusstsein verändert. Die Bundeswehr war ja in der
Vergangenheit, salopp gesagt, eine Manöverarmee. Die Situation ist jetzt
eine andere. Die Bundeswehr ist im Einsatz und das Leben von Soldaten
ist bedroht. Wenn z.B. in Afghanistan ein Kryptogerät ausfällt und
Informationen an die Gegenseite gelangen, dann kann das zu schweren
Folgen führen. Indirekt hat das also mit dem 11. September zu tun, aber
nicht direkt.
Was die Bedrohung durch al-Qaida angeht, so ist meine persönliche
Meinung, dass es deren Ziel ist, möglichst viele Menschen umzubringen
und die Staaten in ihrem Nerv zu treffen. Von daher glaube ich nicht,
dass die al-Qaida einen Cyberangriff gegen die Bundeswehr fahren will.
Die Gefahr sehe ich eher in den Auslandseinsätzen. Wenn es möglich wäre,
die Kühlanlage eines Atomkraftwerks durch einen Cyberangriff
auszuschalten, dann wäre das sicher anders, aber das dürfte nicht so
einfach sein.
Gefahr droht also eher vom Cyberwar als vom Cyberterror?
Renate Buss: Ich weiß nicht, ob man das wirklich unterscheiden sollte.
Eigenes CERT der Bundeswehr
Ein Arbeitspapier eines interministeriellen IT-Planungsstabes forderte
unlängst den Einsatz unabhängiger Kryptoprogramme und Open
Source-Betriebssysteme, um sich gegen mögliche versteckte Einfallstore
in kommerzieller Software zu wappnen. Sehen Sie da Probleme mit den
Amerikanern, die ein wirtschaftliches Interesse daran haben, die
Software von US-Unternehmen weltweit zu verbreiten?
Renate Buss: Microsoft ist nun einmal der Marktführer. Wir sind nicht
in der Lage, auch nur im Ansatz zu überprüfen, ob da irgendwelche Bugs
drinnen sind - selbst dann nicht, wenn Microsoft den Source Code offen
legen würde. Die Abhängigkeit von einem einzigen Unternehmen ist
natürlich nie gut. Die Bundesregierung hat daher die Offensive
gestartet, mit Open Source wie Linux zu arbeiten. Aber auch da ist es
schwierig sicher zu stellen, dass keine Bugs drinnen sind.
Schwachstellen gibt es auch bei Linux.
Eine wichtige Rolle beim Schutz kritischer Infrastrukturen spielen die
CERTs (Computer Emergency Response Team), die es in manchen
Großunternehmen schon länger gibt. Die Bundeswehr hat nun ein eigenes
CERT aufgebaut. Wie sieht dessen Ausstattung aus?
Renate Buss: Das Kernteam besteht aus acht Mitarbeitern. Geplant ist
ein Ausbau auf 25 Mitarbeiter. Das Kernteam hat seine einjährige
Ausbildung vor kurzem abgeschlossen. Meine Stabsstelle hat dieses CERT
auf der Grundlage einer Studie von IBM initiiert. Ziel ist es, die Netze
der Bundeswehr zu überwachen, um Angriffe rechtzeitig zu erkennen und
möglichen Schäden vorzubeugen oder entstandene Schäden zu beseitigen.
Dieses Team wird mit den anderen CERTs, vor allem dem CERT-Bund, eng
zusammenarbeiten.
Noch plant die Bundeswehr keine aktiven Informationsoperationen
Im April wurde das Amt für Informationsmanagement und IT der Bundeswehr
eingerichtet. Ist das auch für die Abwehr von Cyberterror und Cyberwar
zuständig?
Renate Buss: Wir im Ministerium machen die Planung, Steuerung und
Kontrolle. Das Amt ist der nachgeordnete Bereich und das durchführende
Organ. Es besteht aus zwei großen Komplexen. Es gibt einen
Querschnittsbereich und einen Projektbereich. Im Querschnittsbereich
gibt es ein Element IT-Sicherheit, das mir nachgeordnet ist und mir
zuarbeitet. Dort erstellt man Vorschriften, führt Inspektionen durch und
befasst sich mit Informationsoperationen. Wobei ich klar sage, dass es
nicht unsere Aufgabe ist, sich Gedanken zu machen, wie man aktiv
Informationsoperationen durchführen kann. Der aktive Anteil ist Sache
der Streitkräfte, wenn er überhaupt gemacht wird. Das ist momentan mit
zwanzig Fragezeichen zu versehen, weil es da eine ganze Menge Probleme,
vor allem rechtlicher Art, gibt. Wir unterstützen den passiven Anteil.
Was heißt aktiv und passiv?
Renate Buss: Passiv heißt Abwehr und aktiv heißt Attacke. Zur Zeit
plant die Bundeswehr aber keine aktiven Informationsoperationen.
Die Amerikaner haben solche Operationen ja schon durchgeführt, zum
Beispiel im Kosovo-Krieg.
Renate Buss: Vorsicht, da muss man unterscheiden, was man macht. Zu
den aktiven Informationsoperationen gehört auch, was man früher
psychologische Kriegsführung genannt hat, das heißt der Versuch einer
Beeinflussung der Bevölkerung und der Streitkräfte. Das ist die eine
Komponente. Damit haben wir überhaupt nichts zu tun. Die andere ist,
einen Angriff gegen ein IT-Netz zu fahren, zum Beispiel Webseiten
manipulieren. Ob die Amerikaner das machen, weiß ich nicht. Ich gehe mal
davon aus. Wir machen das nicht. Ich weiß aber, dass es im Kosovo auch
Angriffe auf unsere Webseiten gegeben hat. Damit kommen Sie aber noch
nicht in die Netze herein. Eine weitere Möglichkeit wäre, in Netze
eindringen, um Informationen zu manipulieren und zu zerstören. Das wird
zurzeit nicht gemacht und zwar einfach deswegen, weil Sie nicht in der
Lage sind, das zu steuern. Wenn Sie einen Virus einsetzen, haben Sie
keinen Einfluss darauf, wohin er sich überall verteilt. Wenn Sie zivile
Netze mit denen der Streitkräfte verbunden haben, kommen Sie in zivile
Netze herein und das ist ein Verstoß gegen das Völkerrecht. Das ist
rechtlich sehr problematisch und daher fahren die Amerikaner das auf
ganz kleiner Flamme.
Es war aber zu lesen, dass serbische Computersysteme der Luftaufklärung
und der Abwehrgeschütze manipuliert wurden, so dass sie nicht
funktioniert haben.
Renate Buss: Solche Angriffe können Sie aber auch mit anderen Mitteln
machen, zum Beispiel durch elektronische Kampfführung. Insofern weiß ich
nicht, was da gelaufen ist. Ich bezweifle, dass Viren eingesetzt wurden.
Privatisierung und Sicherheit
Wie ist die Aufgabenverteilung vorgesehen zwischen dem IT-Amt und der
IT-Gesellschaft, die in Zukunft im Rahmen des Herkules-Projekts
gegründet werden soll?
Renate Buss: Die Frage kann ich Ihnen im Augenblick nicht beantworten.
Wir haben ein Ranking gemacht zwischen den beiden Konsortien, die sich
um der Herkules-Projekt beworben haben. Ein Ranking ist noch keine
endgültige Vergabeentscheidung. Momentan sind wir in der
Due-Diligence-Phase, das heißt wir besprechen mit den Unternehmen die
Details. Sicher ist, dass Planung, Steuerung und Kontrolle der
IT-Sicherheit im Ministerium verbleiben. Wir behalten auch das CERT der
Bundeswehr.
Wie lösen Sie das Problem, dass das Netz prinzipiell unsicherer wird,
wenn es z.B. durch Outsourcing stärker mit Netzen von Privatunternehmen
verknüpft wird? Denn es gibt dann ja mehr Schwachstellen und
Einfallstore als in einem geschlossenen Netz. Geht der Trend zur
Privatisierung in der Bundeswehr zu Lasten der IT-Sicherheit?
Renate Buss: Sicherlich schaffen Sie dadurch zusätzliche Risiken, aber
sie sind beherrschbar. Wichtig ist, dass man die Schnittstellen nach
außen kennt und diese entsprechend sichert. Es kommt auf die Definition
der Schnittstelle an.
Zu dem Konsortium ISIC 21, das in der Ausschreibung für das
Herkules-Projekt auf Platz eins gerankt wurde, gehört Mobilcom. Das
Rendsburger Mobilfunk-Unternehmen kommt ja momentan nicht aus den
Negativ-Schlagzeilen. Sind Sie auf einen möglichen Ausfall von Mobilcom
vorbereitet?
Renate Buss: CSC Ploenzke hat versprochen, dass das keine Probleme
verursachen würde.
Links
[1] http://www.heise.de/tp/deutsch/special/info/13468/1.html
Telepolis Artikel-URL:
http://www.telepolis.de/deutsch/special/info/13968/1.html
------------------------------------------------------------------------
---------------------------------------------------------------
Liste verlassen:
Mail an infowar -
de-request -!
- infopeace -
de mit "unsubscribe" im Text.