US-Rechnungshof fürchtet Internet-Knockout

Das Government Accountability Office (GAO) hat das Department of Homeland Security (DHS) aufgefordert, mehr zu tun für einen Reaktionsplan nach einem großflächigen Ausfall des Internet aufgrund von Katastrophen oder Cyberangriffen. Ein Knockout des weltweiten Kommunikationsnetzes sei weiterhin denkbar aufgrund physischer Vorfälle wie einer Naturkatastrophe oder einem Angriff auf die Rechneranlagen von Internet-Knotenpunkten, warnt der US-Rechnungshof in einer aktuellen Studie (PDF-Datei) zu Herausforderungen bei der Entwicklung eines Plans zur Wiederherstellung der Funktionen. Das Internet größtenteils in die Knie zwingen könnte der Behörde zufolge auch eine Cyberattacke etwa über die Ausnutzung von Schwachstellen in zentraler Software oder durch einen besonders bösartigen Virus. Zudem hätten jüngste Vorfälle wie der Hurrikan Katrina lokal oder regional bereits zu Unterbrechungen der Netzversorgung geführt. Dabei sei es zum Glück aber noch nicht zu größeren Ausfällen gekommen.

Bundesgesetze und andere Normen regeln laut dem GAO zwar bereits den Schutz so genannter kritischer Infrastrukturen und enthalten Notfallpläne. Es sei aber nach wie vor nicht klar, wie nützlich sich die darin erwähnten Behörden tatsächlich nach einem Internet-Knockout bei der Schadensbehebung machen könnten. So würden in den bestehenden Gesetzen etwa keine Rollen und Verantwortlichkeiten zugeteilt. Allgemeine Vorschriften zum Katastrophenschutz seien zudem nie für das Wiedererlangen der Internetfunktion genutzt worden. Das DHS habe zwar von 2006 an eine Reihe von Initiativen gestartet zum besseren Schutz kritischer Infrastrukturen, diese Bemühungen seien aber bislang weder "umfassend noch vollendet". Vor allem sei dabei das Internet weiterhin größtenteils außen vor geblieben. Öffentliche und private Anstrengungen zur "Wiederbelebung" des Kommunikationsnetzes dürften somit im Notfall vom Department of Homeland Security kaum aufeinander abgestimmt werden können.

Als größte Herausforderungen nennt der Report des Rechnungshofes die Berücksichtigung von Charakteristiken des Internet, welche das Planen und das Antworten auf Ausfälle generell schwierig machten. Zudem gebe es zwischen der Regierung und der Privatwirtschaft keine Übereinstimmung über die Rolle des DHS nach einem Netzzusammenbruch. Hier seien auch Rechtsfragen noch zu klären. Viele Firmen seien aber nach wie vor zurückhaltend, wenn es um den Austausch von Informationen über Netzkomplikationen gehe. Letztlich weise aber auch das für die innere Sicherheit zuständige Ministerium Schwächen bei Führung und Organisation auf. Daher könne es derzeit wohl kaum als Fokus der Bemühungen für eine Wiedererlangung der Netzfunktionen fungieren. Hierzulande hat die Bundesregierung vor kurzem in Absprache mit der Wirtschaft eine Implementierungsskizze für den bereits vorgezeichneten "Nationalen Plan zum Schutz der Informationsinfrastrukturen" (NPSI) verabschiedet.

Der US-Rechnungshof wirft Sicherheitsbehörden wie dem FBI immer wieder vor, dass sie bei der Absicherung von IT-Infrastrukturen schlampen. Erst im Sommer warnte das GAO auch vor den schweren Folgen von Cybercrime für die nationale Sicherheit. Auch die Terrorabwehr mithilfe von Beobachtungslisten und Programmen wie Secure Flight funktioniert dem staatlichen Kontrolleuren zufolge nur mangelhaft. Gerade hat die Behörde nun laut einem Bericht der New York Times auch noch festgestellt, dass fünf von elf Atomanlagen der USA trotz zuvor ergangener Warnungen ihre Sicherheitsvorkehrungen nicht termingerecht auf die Abwehr von Terrorangriffen einstellen können. Dabei steht aber nicht das DHS im Zentrum der GAO-Schelte, sondern das US-Energieministerium. (Stefan Krempl) / (jk)