NATO soll sich gegen Cyberattacken rüsten

Bei der Verteidigung des Cyberspace soll künftig die NATO eine wichtige Rolle spielen. Das unterstrichen der Präsident des Atlantic Council, Fred Kempe, und der estnische Botschafter in Washington, Väino Reinart, bei der Vorstellung eines Berichts (PDF-Datei) des Atlantic Council und des British North American Committee (BNAC) zum Thema Netzsicherheit. Das US-Verteidigungsministerium habe bei einem Treffen von NATO-Vertretern in Washington gefordert, dass die NATO die Cybersecurity zu einem zentralen Thema ihrer Arbeit machen solle, erklärte Kempe. Botschafter Reinart verwies auf die Rolle der NATO als Garant für die Sicherheit seiner Mitgliedsstaaten seit 60 Jahren. Auch wenn er bei Cyberattacken nicht gleich den "Bündnisfall" eintreten sieht, erwarte man die Erarbeitung von Strategien gegen Angriffe auf die Netze der Länder.

Estland hatte diese Forderung erstmals nach den massiven Attacken auf estnische Regierungs- und Unternehmensserver im vergangenen Frühjahr erhoben. "Estland wird Ende des Jahres seine Strategie zum Thema Cybersecurity verabschieden", sagte Reinart. Zugleich soll Anfang kommenden Jahres letzte Hand an die Texte zur Schaffung des "Nato Center of Excellence in Cooperative Cyber Defense" gelegt werden. Die Teilnahme der USA an dem Center in Tallin begrüße man sehr, sagte Reinart gestern. Laut einer Pressemitteilung der Estnischen Botschaft in Washington haben neben den Vereinigten Staaten auch Bulgarien, Deutschland, Litauen, Polen und Spanien ihre Zusammenarbeit bei der Initiative angekündigt.

Die breit berichteten Attacken, die den Betrieb des Netzes in Estland in die Knie zwangen, kamen zu einem erklecklichen Teil über russische Regierungsserver. Sicherheitsexperten hatten nach den Attacken keine Hinweise auf eine Beteiligung Moskaus finden können. Es sei bis heute nicht klar, wer wirklich "abgedrückt" habe, sagte Paul Kurtz, der als COO von Good Harbor Consulting verschiedene US-Präsidenten in Sachen Cybersecurity beraten hat. "Es ist schwierig, festzustellen, ob die russische Regierung Estland aufs Korn genommen, nur kurz weggesehen hat oder die beteiligten russischen Rechner schlicht Zombies waren", sagte Kurtz, "wir wissen es nicht."

Daher ist es auch mit Sanktionen so eine Sache, sagten die Experten auf die Frage, welche Möglichkeiten denn die NATO in Zukunft haben könnte. Auch die Frage nach möglichen Handelsbeschränkungen und einer Ächtung der "digitalen Schurkenstaaten", etwa im Rahmen der Welthandelsorganisation, beantwortet Kurtz eher zurückhaltend. Seine Empfehlung ging eher dahin, das Risikobewusstsein bei Regierungsstellen und auch in den Chefetagen der Unternehmen zu schärfen. Wie Reinart empfahl er die Ratifizierung und – vor allem – die Umsetzung der Cybercrime Konvention des Europarates.

In vielen Ländern sei der Betrieb von Botnetzen keine Straftat, warnte Reinart. Das habe auch bei der Verfolgung der Angreifer auf Estland zu erheblichen Schwierigkeiten geführt. Viele Anfragen in anderen Ländern wurden daher nicht zufriedenstellend beantwortet, so Reinart. Vor zahlreichen Gesetzeslücken im US-amerikanischen Gesetz warnte bei der Debatte gestern Robert Holleyman, der Präsident der Business Software Alliance (BSA). Der vorgestellte Bericht verweist allerdings auf mindestens fünf Gesetzesinitiativen im US-Kongress, die für mehr Sicherheit in den Netzen und auch vor den Gefahren des Identitätsdiebstahls schützen sollen.

Kurtz unterstrich mit Blick auf die globale Natur des Phänomens die Notwendigkeit internationaler Standards, die beiden ISO Standards 27001 ( Information technology – Security techniques – Information security management systems – Requirements) und ISO 17799 (Information technology – Security techniques – Code of practice for information security management), der im vergangenen April noch einmal erneuert wurde. Regierungsstellen und Unternehmensleitungen tun nach seiner Ansicht zu wenig angesichts Weiterentwicklung der Kriminalität im Netz. "Russische und chinesische Cyberkriminelle gehen ein uns aus in den Netzen von Regierungen und Unternehmen", sagte Kurtz.

"Cyberkriminalität ist heute lukrativer als der gesamte Handel mit illegalen Drogen", warnte auch Paul Twomey, Präsident und CEO der Internet Corporation for Assigned Names and Numbers (ICANN), der privaten Verwaltung des Domain Name System (DNS). "Ich könnte Ihnen gleich für 25 Cent pro Maschine ein Botnetz mieten und einen Angriff nach Wunsch für Sie starten für 30.000 Euro", beschrieb Twomey die kriminellen Geschäftsmodelle. Selbst vergleichsweise einfache Attacken wie Diebstahl oder Übernahme des Domainnamens eines Unternehmens könne die Betroffenen Millionen kosten. Twomey berichtete vom Anruf eines Unternehmens, dessen Seite von einem Pornoanbieter übernommen worden war. So etwas könne teuer werden, etwa wenn man, wie in einem anderen Fall einer "verlorenen" Domain täglich für eine Viertelmillion Dollar Software verkaufe, sagte Twomey.

Auf grundsätzliche Maßnahmen zum Schutz der eigenen Netze, Adressressourcen und Daten verweist der vorgestellte Bericht. Die Hauptforderung dabei ist, dass Unternehmenschefs das Zepter bei der Sicherheit selbst in die Hand nehmen. Damit es keine Ausrede dafür gebe und auch Zeitmangel nicht vorgeschoben werden könne, habe man eigens eine herausnehmbare Checkliste gemacht. "Sie können diese Liste herausreißen und den Rest des Berichts vergessen", sagte Twomey. (Monika Ermert) / (vbr)