Bilanz der US-Strategie zur Cybersecurity fällt nüchtern aus

Vor fast genau drei Jahren präsentierte die US-Regierung das bislang umfangreichste Strategiekonzept zur Sicherung der IT-Infrastruktur in den Vereinigten Staaten. In dem am 14. Februar 2003 von Präsident George W. Bush vorgelegten 76-seitigen Dokument mit dem Titel "National Strategy to Secure Cyberspace" hielten Computerfachleute, Sicherheitsberater und Geheimdienstler fest, was künftig getan werden müsse, um gegen mögliche Angriffe auf die nationalen Informationssysteme ausreichend gewappnet zu sein. Besonderen Wert legten die Verfasser des Strategiepapiers damals auf eine stärkere Kooperation zwischen staatlichen Einrichtungen und der privaten IT-Industrie.

Im Rahmen einer Podiumsdiskussion zogen Cybersecurity-Spezialisten am gestrigen Dienstag auf der RSA-Sicherheitskonferenz im kalifornischen San Jose nun eine Bilanz der vergangenen drei Jahre. Deutlich verbessert hat sich demnach zwar der Informationsaustausch zwischen Staat und Wirtschaft – Bürgerrechtler sprechen gelegentlich sogar von einem industriellen Überwachungskomplex –, gegen die kontinuierlich steigende Zahl von Cyber-Angriffen hat die für die Koordination von Schutzmaßnahmen zuständige National Cyber Security Division im Department of Homeland Security (DHS) aber offenbar auch keine Mittel gefunden.

Um eine Bewertung in Schulnoten gebeten, wollte der ehemalige Chief Information Officer (CIO) der US-Flugaufsichtsbehörde FAA (Federal Aviation Administration), Daniel Mehan, der US-Regierung denn auch nur ein "D" für ihre aktuellen Bemühungen zur Sicherung des Cyberspace zugestehen. Im fünfstufigen Notensystem der USA ist "D" die zweitschlechteste Note, dahinter kommt nur noch das "F" für fail (durchgefallen). Sicherlich habe es in der Zwischenzeit Fortschritte gegeben, erklärte Mehan, doch müssten angesichts des Ungleichgewichts zwischen einer starken Zunahme der Bedrohungen und den hinterher hinkenden Schutzmaßnahmen jetzt "einige Nachbrenner" gezündet werden.

Auch der derzeitige Direktor der National Cyber Security Division, Andy Purdy, gestand ein, dass bei der IT-Sicherheit noch einiges im Argen liege. Purdy sprach sich in San Jose unter anderem für bessere Sicherheitskonzepte im Konsumentenbereich, etwa bei Online-Transaktionen, aus. Auch müssten der Jugendschutz im Internet verbessert, Gefahren des File-Sharing deutlicher herausgestellt, Sicherheitslücken in Software reduziert und das Interesse von Unternehmensleitern an IT-Sicherheit geschärft werden. "Wir müssen die Message an die Firmenchefs bringen, dass die Gefahr real existiert", verdeutlichte Purdy.

James Lewis, Direktor am Washingtoner Center for Strategic and International Studies (CSIS), forderte unterdessen die Verabschiedung international gültiger Cybercrime-Gesetze und sprach dabei konkret die Cybercrime Convention des Europarates an. Die Konvention stellt Hacking und auch den Vertrieb sowie die Verbreitung von Hacking-Tools unter Strafe, ebenso wie Kinderpornographie und Urheberrechtsverletzungen. Allerdings hat bislang keines der großen Mitgliedsländer des Europarates den Vertrag ratifiziert. Erhöhte Sicherheitsrisiken auf US-Territorium sieht Lewis derzeit vor allem für die heimische Telekommunikationsinfrastruktur. (pmz)