Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden
  • ANMELDEN

Freitag, 24. Oktober 2014, Ausgabe Nr. 43

Freitag, 24. Oktober 2014, Ausgabe Nr. 43

IT-Sicherheit

Strategien für Sicherheit im Cyberraum umstritten

Von Monika Ermert | 15. Februar 2013 | Ausgabe 7

Angriffe auf kritische Infrastukturen, das Ausspähen wertvoller Information oder gar der Verteidigungsfall im Internet – das alles gehört zum Cyberwar. Europäische Politiker übertreffen sich bei der Präsentation von Gegenmaßnahmen.

Bei der jüngsten Münchner Sicherheitskonferenz waren sich Vertreter der US National Security Agency sowie der Europäischen Kommission schnell einig über den Handlungsbedarf. Aber die Meinungen darüber, wie die Netze und alles, was daran hängt, sicherer gemacht werden, gehen auseinander.

Eine europäische Strategie für Cybersicherheit stellten in der vergangenen Woche die EU-Kommissarinnen Neelie Kroes (Digitale Agenda), Cecilia Malmstroem (Inneres) und Catherine Ashton, Hohe Vertreterin der EU für Außen- und Sicherheitspolitik, in Brüssel vor.

Das Maßnahmenpaket reicht vom schlichten EU-Pilotprojekt zur Bekämpfung von Botnetzen bis zu gemeinsamen Übungen zur Abwehr von Cyberattacken. Damit nicht genug: Auch ein freiwilliger Cybersicherheits-Führerschein für IT-Experten stand ebenso auf der Agenda wie ein EU-weiter Cybersecurity-Monat. Des Weiteren schlugen die Kommissare die Entwicklung einer gemeinsamen EU-Politik für den Cyberspace vor und vereinbarten die Unterstützung von EU-Mitgliedern, deren Netze angegriffen werden.

Die drei EU-Politikerinnen legten zugleich einen Richtlinienentwurf zur Netz- und Informationssicherheit in der EU vor. Darin ist unter anderem eine Meldepflicht für Unternehmen vorgesehen, die von Hackerangriffen betroffen sind. Die Richtlinie, so sagte Kroes, "soll Unternehmen verpflichten, ihre Systeme sicher und stabil zu machen". Dabei würde die Kommission gerne die Schwellen dafür bestimmen, ab wann Behörden und private Unternehmen überall in Europa zur Meldung gegenüber der jeweils zuständigen Zentralstelle ihres Landes verpflichtet sind. Auf Basis dieser Daten soll dann ein schlagkräftiges Informations- und Frühwarnsystem für die Gemeinschaft entstehen.

Fast wäre der deutsche Bundesinnenminister Brüssel zuvorgekommen. Hans-Peter Friedrich hat Ende vergangenen Jahres eine gesetzlich verbindliche Meldepflicht angekündigt. "Unternehmen mit wichtiger Bedeutung für das Funktionieren des Gemeinwesens, durch deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden, sollen Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse an das Bundesamt für Sicherheit in der Informationstechnik melden", ließ ein Sprecher Friedrichs auf Anfrage wissen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) solle so jeweils ein aktuelles Lagebild erstellen und – "soweit angezeigt – andere potenziell betroffene Betreiber kritischer Infrastrukturen über die Ergebnisse der Auswertung in Kenntnis setzen", so der Sprecher.

Experten in der Branche halten solche Lagebilder und eine zentrale Sammelstelle für sinnvoll. "Es ist ein notwendiger Ansatz, um sich frühzeitig gegen gezielte Angriffe wehren zu können", sagt Hans Peter Dittler, Geschäftsführer von Braintec-Consult in Karlsruhe. Fehlendes Vertrauen von Seiten der Banken oder Stromversorger, dass die Informationen vertraulich bleiben, lasse sich allerdings nicht einfach wegregulieren.

Daran ändert auch die klare Unterstützung der deutschen Pläne durch den Chef der Deutschen Telekom, René Obermann, nichts. Die Telekommunikationsprovider sind durch EU-Regelungen ohnehin schon jetzt zur Absicherung ihrer Netze und in gewissem Umfang zur Meldung von Datenverlusten gezwungen.

Ein zentrales Problem der Regulierungsversuche bleibt außerdem, dass darin "unter dem Begriff Cybersecurity viele unterschiedliche Angriffs- und Störvektoren zusammengefasst werden". Je nach Art der Bedrohung – "vom Faschingsscherz einer Schülerbande gegen das Schulsekretariat bis zum konzertierten Angriff eines Staates gegen einen anderen" – würden die Gesetzgeber gerne alles abdecken.

Dabei werde das Aussortieren von meldepflichtigen und nicht meldepflichtigen Ereignissen ohnehin schon schwierig genug, sagt Sebastian Schreiber, Geschäftsführer des Tübinger Sicherheitslösungsanbieters SySS. "Der gezielte Angriff eines Spions sieht am Anfang auch nicht aus wie ein normaler Virus. Wenn ich aber jeden Virus weitermelde, überschwemme ich mein Lagezentrum."

Dabei sei eine Übersicht über die "Großwetter- oder Infektionslage der Netze, bitte nicht nationalstaatlich, sondern wenigstens europäisch" sehr sinnvoll, sagt Schreiber. Sein Unternehmen hackt seit 1998 im Auftrag von Unternehmenskunden deren Systeme, um Schwachstellen aufzudecken und zu schließen. "Vor 15 Jahren war das noch etwas sehr Spezielles. Heute verhalten sich Unternehmen, die das nicht machen, fahrlässig", so Schreiber. Sechs Fälle gezielter chinesischer Staatshacks hat Schreiber in den vergangenen Jahren bei eigenen Kunden schon diagnostiziert.

Skepsis bringen beide Experten trotz der bedrohlichen Lage einer (einzel-)staatlichen Aufrüstung entgegen. Schreiber warnt: "Egal wie viele Polizeimotorräder Sie hinterherjagen lassen, der Internetverkehr ist einfach zu schnell." Dittler sieht trotz der Beteuerungen von Seiten der EU-Kommissarinnen auch die Gefahr, dass "der Grat zwischen notwendiger Verbrechensbekämpfung und Bespitzelung, Überwachung oder Zensur sehr schmal und oft nicht sauber definiert" sei.

Mehr Kritik an den Plänen der EU-Kommission kommt auch von einzelnen Parlamentariern im Europaparlament, die in den kommenden Wochen über die Richtlinie mit Meldepflicht in Europa beraten müssen. Zu kurz gesprungen und zu vage nennt die niederländische Liberale Mareitje Schaake das Paket. Mit einer Telefonkette zu den Sicherheitsvorfällen in europäischen Unternehmen sei es nicht mehr getan, warnt Schaake. "Es geht längst nicht mehr darum, Viren draußen zu halten. Wir müssen vielmehr entscheiden, ob Europa auch die Kapazitäten für offensive Aktionen im Cyberspace braucht", sagt Schaake und verweist auf die Cyber-Erstschlagsüberlegungen in Washington.

Präsident Barack Obama verfügt dazu bereits über abgesegnete Kompetenzen. Das Heer der Cyberexperten beim National Cyber Command des Pentagon wird gerade von 900 auf 4900 ausgebaut. Ein Wettrüsten im Cyberspace wolle sie nicht, sagt Schaake. Angesichts der internationalen Entwicklungen sei es aber auch für die EU nicht mit Hinweisen auf die Nato getan.  MONIKA ERMERT

stellenangebote

mehr

MÖCHTEN SIE JETZT VDI-NACHRICHTEN.COM NUTZEN?

4 Wochen kostenfrei testen!

VDI nachrichten ist Deutschlands meinungsbildende Wochenzeitung für Technik, Wirtschaft und Gesellschaft.
Auf vdi-nachrichten.com stellen wir Ihnen unsere Artikel digital in voller Länge und optimiert für alle Endgeräte zur Verfügung.

Ob mit PC, Laptop, Tablet oder Smartphone:
Testen Sie das gesamte Angebot von vdi-nachrichten.com jetzt 4 Wochen kostenfrei. Einfach anmelden und überzeugen lassen.

Jetzt kostenfrei testen!

Als VDI nachrichten-Abonnent oder VDI-Mitglied können Sie vdi-nachrichten.com direkt exklusiv nutzen: Zur Anmeldung


MÖCHTEN SIE JETZT VDI-NACHRICHTEN.COM NUTZEN?

JETZT KOSTENFREI TESTEN?