Suche innerhalb des Archivs / Search the Archive All words Any words

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[infowar.de] IT-Angriff kann Stadt lahm legen (sagt R. Buss vom Vertreidigungsministerium)



Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
Telepolis-Inteview mit Referatsleiterin Renate Buss, zuständig für  
IT-Sicherheit im Verteidigungsministerium, über Cyberterror und 
IO-Planungen der Bundeswehr.

http://www.heise.de/bin/tp/issue/dl-artikel.cgi?artikelnr=13968&rub_ordner=special&mode=html


"IT-Angriff kann Stadt lahm legen"

Ulrich Hottelet   16.01.2003

Cyberterror: Bundeswehr warnt vor Attacken auf Netze

In der Diskussion, wo und wie Terroristen zuschlagen könnten, werden 
auch gezielte Angriffe auf Computernetze mit möglichen katastrophalen 
Folgen nicht ausgeschlossen. Die zuständige Expertin für IT-Sicherheit 
im Verteidigungsministerium, Referatsleiterin Renate Buss, nimmt im 
Interview zu den Gefahren durch Cyberterror Stellung.

 Vor einigen Wochen kam es zu einem massiven Angriff [1] auf die 
zentralen Server des Internet. Dabei wurde die Funktionsweise von neun 
von 13 Root Servern erheblich eingeschränkt. Der Nutzer merkte davon 
jedoch nichts. Sind also die Warnungen vor Cyberterror nur ein Medienhype?

  Renate Buss: Ich glaube nicht, dass man Entwarnung geben kann. Es hat 
ja schon andere Angriffe gegeben, bei denen die Netze über längere Zeit 
ausgefallen sind. Auch in unseren Ressorts wurden Netze bereits lahm 
gelegt. Der Schaden dabei ist recht beachtlich.

Man sollte die Risiken nicht unterbewerten

 Betrifft der "Krieg gegen den Terror" und gegen al-Qaida, die sich nach 
dem Afghanistan-Krieg weltweit neu formiert, auch die Arbeit Ihrer 
Stabsstelle?

  Renate Buss: Wir müssen die IT-Sicherheit für die ganze Bundeswehr 
gewährleisten. Wir legen die Policy fest und geben die Vorschriften 
heraus. Mit al-Qaida direkt haben wir aber nicht zu tun. Wir sind 
grundsätzlich zuständig für die technische und organisatorische Abwehr 
von Angriffen, egal woher sie kommen, ob Hacker oder Terrorist.

 Die Angriffsmöglichkeiten auf IT-Netze werden in den Medien oft blumig 
beschrieben: Züge entgleisen, der Verkehr bricht zusammen, Gasleitungen 
explodieren usw. Es gab auch schon Übungen, die ein solches Szenario 
simuliert haben. Halten Sie solche Folgen eines IT-Angriffs für 
realistisch?

  Renate Buss: Ich sehe die Möglichkeit schon, dass eine Stadt durch 
einen IT-Angriff lahm gelegt werden könnte. Manche Medien machen die 
Risiken sicherlich sehr plastisch, aber man sollte sie nicht 
unterbewerten. Je mehr die Vernetzung fortschreitet, z.B. über das 
Internet, desto größer sind auch die Möglichkeiten, Angriffe zu fahren. 
Das Sicherheitsbewusstsein ist bei vielen nicht besonders ausgeprägt, 
bei Privatnutzern, aber auch im Mittelstand.

 Inzwischen wird spekuliert, Terrororganisationen wie al-Qaida 
bevorzugten eher spektakuläre Attentate, um in die TV-Nachrichten zu 
kommen, als IT-Angriffe. Hat sich Ihre generelle Einschätzung der 
IT-Sicherheitslage durch den 11. September verändert?

  Renate Buss: Wir haben uns zwar danach Gedanken gemacht, ob das auf 
die IT-Sicherheit der Bundeswehr Auswirkungen haben könnte, sind aber zu 
dem Ergebnis gekommen, dass es keinen Einfluss hat. Wir haben unsere 
Policy nach dem 11. September nicht verändert, denn sie zielt darauf ab, 
generell zu verhindern, dass sich jemand Zugang zu unseren Netzen 
verschafft.

Dagegen haben die Auslandseinsätze der Bundeswehr das 
IT-Sicherheitsbewusstsein verändert. Die Bundeswehr war ja in der 
Vergangenheit, salopp gesagt, eine Manöverarmee. Die Situation ist jetzt 
eine andere. Die Bundeswehr ist im Einsatz und das Leben von Soldaten 
ist bedroht. Wenn z.B. in Afghanistan ein Kryptogerät ausfällt und 
Informationen an die Gegenseite gelangen, dann kann das zu schweren 
Folgen führen. Indirekt hat das also mit dem 11. September zu tun, aber 
nicht direkt.

Was die Bedrohung durch al-Qaida angeht, so ist meine persönliche 
Meinung, dass es deren Ziel ist, möglichst viele Menschen umzubringen 
und die Staaten in ihrem Nerv zu treffen. Von daher glaube ich nicht, 
dass die al-Qaida einen Cyberangriff gegen die Bundeswehr fahren will. 
Die Gefahr sehe ich eher in den Auslandseinsätzen. Wenn es möglich wäre, 
die Kühlanlage eines Atomkraftwerks durch einen Cyberangriff 
auszuschalten, dann wäre das sicher anders, aber das dürfte nicht so 
einfach sein.

 Gefahr droht also eher vom Cyberwar als vom Cyberterror?

  Renate Buss: Ich weiß nicht, ob man das wirklich unterscheiden sollte.

Eigenes CERT der Bundeswehr

 Ein Arbeitspapier eines interministeriellen IT-Planungsstabes forderte 
unlängst den Einsatz unabhängiger Kryptoprogramme und Open 
Source-Betriebssysteme, um sich gegen mögliche versteckte Einfallstore 
in kommerzieller Software zu wappnen. Sehen Sie da Probleme mit den 
Amerikanern, die ein wirtschaftliches Interesse daran haben, die 
Software von US-Unternehmen weltweit zu verbreiten?

  Renate Buss: Microsoft ist nun einmal der Marktführer. Wir sind nicht 
in der Lage, auch nur im Ansatz zu überprüfen, ob da irgendwelche Bugs 
drinnen sind - selbst dann nicht, wenn Microsoft den Source Code offen 
legen würde. Die Abhängigkeit von einem einzigen Unternehmen ist 
natürlich nie gut. Die Bundesregierung hat daher die Offensive 
gestartet, mit Open Source wie Linux zu arbeiten. Aber auch da ist es 
schwierig sicher zu stellen, dass keine Bugs drinnen sind. 
Schwachstellen gibt es auch bei Linux.

 Eine wichtige Rolle beim Schutz kritischer Infrastrukturen spielen die 
CERTs (Computer Emergency Response Team), die es in manchen 
Großunternehmen schon länger gibt. Die Bundeswehr hat nun ein eigenes 
CERT aufgebaut. Wie sieht dessen Ausstattung aus?

  Renate Buss: Das Kernteam besteht aus acht Mitarbeitern. Geplant ist 
ein Ausbau auf 25 Mitarbeiter. Das Kernteam hat seine einjährige 
Ausbildung vor kurzem abgeschlossen. Meine Stabsstelle hat dieses CERT 
auf der Grundlage einer Studie von IBM initiiert. Ziel ist es, die Netze 
der Bundeswehr zu überwachen, um Angriffe rechtzeitig zu erkennen und 
möglichen Schäden vorzubeugen oder entstandene Schäden zu beseitigen. 
Dieses Team wird mit den anderen CERTs, vor allem dem CERT-Bund, eng 
zusammenarbeiten.

Noch plant die Bundeswehr keine aktiven Informationsoperationen

 Im April wurde das Amt für Informationsmanagement und IT der Bundeswehr 
eingerichtet. Ist das auch für die Abwehr von Cyberterror und Cyberwar 
zuständig?

  Renate Buss: Wir im Ministerium machen die Planung, Steuerung und 
Kontrolle. Das Amt ist der nachgeordnete Bereich und das durchführende 
Organ. Es besteht aus zwei großen Komplexen. Es gibt einen 
Querschnittsbereich und einen Projektbereich. Im Querschnittsbereich 
gibt es ein Element IT-Sicherheit, das mir nachgeordnet ist und mir 
zuarbeitet. Dort erstellt man Vorschriften, führt Inspektionen durch und 
befasst sich mit Informationsoperationen. Wobei ich klar sage, dass es 
nicht unsere Aufgabe ist, sich Gedanken zu machen, wie man aktiv 
Informationsoperationen durchführen kann. Der aktive Anteil ist Sache 
der Streitkräfte, wenn er überhaupt gemacht wird. Das ist momentan mit 
zwanzig Fragezeichen zu versehen, weil es da eine ganze Menge Probleme, 
vor allem rechtlicher Art, gibt. Wir unterstützen den passiven Anteil.

 Was heißt aktiv und passiv?

  Renate Buss: Passiv heißt Abwehr und aktiv heißt Attacke. Zur Zeit 
plant die Bundeswehr aber keine aktiven Informationsoperationen.

 Die Amerikaner haben solche Operationen ja schon durchgeführt, zum 
Beispiel im Kosovo-Krieg.

  Renate Buss: Vorsicht, da muss man unterscheiden, was man macht. Zu 
den aktiven Informationsoperationen gehört auch, was man früher 
psychologische Kriegsführung genannt hat, das heißt der Versuch einer 
Beeinflussung der Bevölkerung und der Streitkräfte. Das ist die eine 
Komponente. Damit haben wir überhaupt nichts zu tun. Die andere ist, 
einen Angriff gegen ein IT-Netz zu fahren, zum Beispiel Webseiten 
manipulieren. Ob die Amerikaner das machen, weiß ich nicht. Ich gehe mal 
davon aus. Wir machen das nicht. Ich weiß aber, dass es im Kosovo auch 
Angriffe auf unsere Webseiten gegeben hat. Damit kommen Sie aber noch 
nicht in die Netze herein. Eine weitere Möglichkeit wäre, in Netze 
eindringen, um Informationen zu manipulieren und zu zerstören. Das wird 
zurzeit nicht gemacht und zwar einfach deswegen, weil Sie nicht in der 
Lage sind, das zu steuern. Wenn Sie einen Virus einsetzen, haben Sie 
keinen Einfluss darauf, wohin er sich überall verteilt. Wenn Sie zivile 
Netze mit denen der Streitkräfte verbunden haben, kommen Sie in zivile 
Netze herein und das ist ein Verstoß gegen das Völkerrecht. Das ist 
rechtlich sehr problematisch und daher fahren die Amerikaner das auf 
ganz kleiner Flamme.

 Es war aber zu lesen, dass serbische Computersysteme der Luftaufklärung 
und der Abwehrgeschütze manipuliert wurden, so dass sie nicht 
funktioniert haben.

  Renate Buss: Solche Angriffe können Sie aber auch mit anderen Mitteln 
machen, zum Beispiel durch elektronische Kampfführung. Insofern weiß ich 
nicht, was da gelaufen ist. Ich bezweifle, dass Viren eingesetzt wurden.

Privatisierung und Sicherheit

 Wie ist die Aufgabenverteilung vorgesehen zwischen dem IT-Amt und der 
IT-Gesellschaft, die in Zukunft im Rahmen des Herkules-Projekts 
gegründet werden soll?

  Renate Buss: Die Frage kann ich Ihnen im Augenblick nicht beantworten. 
Wir haben ein Ranking gemacht zwischen den beiden Konsortien, die sich 
um der Herkules-Projekt beworben haben. Ein Ranking ist noch keine 
endgültige Vergabeentscheidung. Momentan sind wir in der 
Due-Diligence-Phase, das heißt wir besprechen mit den Unternehmen die 
Details. Sicher ist, dass Planung, Steuerung und Kontrolle der 
IT-Sicherheit im Ministerium verbleiben. Wir behalten auch das CERT der 
Bundeswehr.

 Wie lösen Sie das Problem, dass das Netz prinzipiell unsicherer wird, 
wenn es z.B. durch Outsourcing stärker mit Netzen von Privatunternehmen 
verknüpft wird? Denn es gibt dann ja mehr Schwachstellen und 
Einfallstore als in einem geschlossenen Netz. Geht der Trend zur 
Privatisierung in der Bundeswehr zu Lasten der IT-Sicherheit?

  Renate Buss: Sicherlich schaffen Sie dadurch zusätzliche Risiken, aber 
sie sind beherrschbar. Wichtig ist, dass man die Schnittstellen nach 
außen kennt und diese entsprechend sichert. Es kommt auf die Definition 
der Schnittstelle an.

 Zu dem Konsortium ISIC 21, das in der Ausschreibung für das 
Herkules-Projekt auf Platz eins gerankt wurde, gehört Mobilcom. Das 
Rendsburger Mobilfunk-Unternehmen kommt ja momentan nicht aus den 
Negativ-Schlagzeilen. Sind Sie auf einen möglichen Ausfall von Mobilcom 
vorbereitet?

  Renate Buss: CSC Ploenzke hat versprochen, dass das keine Probleme 
verursachen würde.

Links

[1] http://www.heise.de/tp/deutsch/special/info/13468/1.html

Telepolis Artikel-URL: 
http://www.telepolis.de/deutsch/special/info/13968/1.html

------------------------------------------------------------------------



---------------------------------------------------------------
Liste verlassen: 
Mail an infowar -
 de-request -!
- infopeace -
 de mit "unsubscribe" im Text.