Schily kündigt "Nationalen Plan zum Schutz der Infrastrukturen" an

Bundesinnenminister Otto Schily hat heute einen "Nationalen Plan zum Schutz der Informationsinfrastrukturen in Deutschland" angekündigt. Er wird derzeit unter der Federführung des Bundesinnenministeriums gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet. Es gelte "neue Strategien zur Bekämpfung von Angriffen von Hackern und Viren" zu entwickeln -- für private Anwender als auch für Unternehmen und Behörden. Der "Nationale Plan" soll nach Angaben von Beteiligten nach der Sommerpause im Bundeskabinett vorgestellt werden -- die vorzeitige Bekanntgabe auf dem BSI-Kongress überraschte die meisten.

Auf dem heute eröffneten 9. Deutschen IT-Sicherheitskongress des BSI in Bonn erläuterte Schily, dass er dem BSI hierfür operative Aufgaben übertragen werde. Diese werden "weit über die derzeitigen beratenden Funktionen hinausgehen" erklärte BSI-Präsident Udo Helmbrecht. Das BSI werde zur "vierten Säule" der inneren Sicherheitsarchitektur neben Verfassungsschutz, Bundesgrenzschutz und Bundeskriminalamt ausgebaut werden, die auch an die Politik "stringente Empfehlungen" geben werde.

Es gehe nicht mehr nur wie in den Gründungsjahren des BSI Anfang der 90-er Jahre darum, die Spionage eines fremden Staates abzuwehren, erläuterte Schily die Interessenslage des Innenministeriums. Die Abwehr richte sich heute gegen eine Vielzahl nicht-staatlicher Akteure, die auf die Störung und Zerstörung von IT-Infrastukturen gerichtet seien oder diese für ihre zerstörerischen Aktionen nutzten. So könne heute nicht ausgeschlossen werden, dass lebensnotwendige Infrastrukturen durch Terroristen gefährdet sind. Schily betonte die Notwendigkeit der Prävention: "Experten halten Cyberangriffe heute für unwahrscheinlich, aber angesichts der theoretischen Möglichkeit eines Angriffs muss man sich rechtzeitig wappnen." Man müsse sich auch auf Gefahren einrichten, bei denen noch kein Ansatz für eine kriminalistische Beurteilung erkennbar sei. Zwar gebe es heute "keine nennenswerten Verwundbarkeiten, die sofortiges Handeln notwendig machen, aber angesichts der durchdringenden IT wachse die Gefährdung in der Zukunft".

Schily erläuterte nur in groben Zügen den Inhalt des "Nationalen Plans". So sieht dieser unter anderem "klare Vereinbarungen für die hierfür notwendige Aufgabenbewältigung" vor sowie "Maßnahmen zur wirkungsvollen Reaktion" bei IT-Sicherheitsvorfällen. Das BSI soll ein IT-Krisenreaktionszentrum des Bundes aufbauen und eng zusammenarbeiten mit den privaten Betreibern kritischer Infrastrukturen aus dem Energiesektor, Finanz- und Versicherungswesen, Transport- und Versorgungssektor, Notfall- und Rettungswesen, Gesundheitswesen und öffentliche Verwaltung. "Alle sind zunehmend mit IT ausgestattet und in besonderem Maße auf ausfallsichere IT angewiesen", erläuterte Schily. Vier Fünftel der kritischen Infrastrukturen seien heute in privatwirtschaftlicher Hand. Schily kündigte an, "in der nächsten Zeit zu belastbaren und verbindlichen Vereinbarungen zu gelangen". Gesetzliche Veränderungen schloss er nicht aus.

Wie die operativen Befugnisse des BSI konkret aussehen sollen, ist allerdings unklar. In der Diskussion ist eine ähnliche Aufgabenstellung wie die des Bundesrechungshofs. Demnach sollen BSI-Mitarbeiter in Behörden und Unternehmen Kontrollen vornehmen. Es ist jedoch unwahrscheinlich, dass die Kontrollergebnisse angesichts ihrer Bedeutung für die Sicherheit der betroffenen Stellen auch öffentlich publiziert werden. Gleichwohl würden die Kontrollen den Druck auf die betroffenen Einrichtungen deutlich erhöhen, mehr in IT-Sicherheit zu investieren. Direkte Sanktionen wird es wohl kaum geben, doch indirekte gibt es heute schon: Unter anderem müssen Banken bei der Kreditvergabe nach "Basel II" darauf achten, wie es um die interne Sicherheit von kreditnehmenden Unternehmen bestellt ist.

Otto Schily verwies auf eine "deutliche Verschärfung der Gefährdungssituation" in letzter Zeit, die "verheerende Auswirkungen auf die Wirtschaft" habe. So habe das BSI an den Knotenpunkten des Informationsverbunds Bonn-Berlin (IVBB) "noch nie so viele so gefährliche und so verbreitete Viren" festgestellt wie im Jahr 2004. Das IVBB sei über 2,5 Millionen Angriffsversuchen ausgesetzt gewesen. Über 80 Prozent der Schadprogramme seien Würmer oder Trojaner. Über 6 Prozent der E-Mails, die an den IVBB-Gateways geprüft wurden, seien infiziert gewesen -- mit steigender Tendenz: Im 1. Quartal 2005 lag der Anteil der infizierten E-Mails bereits bei 8 Prozent.

Schily wies auf einen weiteren Trend hin: 2004 seien Schwachstellen fast gleichzeitig mit Bekanntwerden einer Sicherheitslücke für Angriffe auf IT-Systeme genutzt worden. Hacker hätten schon sechs Tage nach Bekanntwerden neue Schadprogramme entwickelt. In diesen Fällen hätten weder die nötigen Updates noch entsprechende Gegenmaßnahmen zum Schließen der Lücken zur Verfügung gestanden. Schily verwies darauf, dass sich das Täterprofil in den letzten Jahren gewandelt habe. Steckten hinter den Angriffen früher oftmals "Script Kiddies", seien es heute immer öfter "handfeste finanzielle Interessen" professioneller Täter.

Schily betonte außerdem, dass die Unterstützung der deutschen IT-Industrie wichtig sei, um letztlich internationale Standards setzen zu können. "Um uns langfristig schützen können, brauchen wir vertrauenswürdige IT-Produkte und Dienstleistungen von Anbietern in Deutschland", betonte er. "Ziel ist es, deutsche Technologie in den Weltmarkt zu bringen", sagte auch Helmbrecht. (Christiane Schulzki-Haddouti) / (anw)