NSA-Skandal: Berlin hat Snowden-Enthüllungen nicht systematisch analysiert
Die ersten Snowden-Enthüllungen sind inzwischen fast zwei Jahre alt und trotzdem gibt es noch keine systematische Bestandsaufnahme der zuständigen Bundestags-Einrichtung. Dafür hätten Kompetenzen und Kapazitäten gefehlt.
(Bild: dpa, Boris Roessler/Archiv)
Zwei Jahre nach den ersten Snowden-Enthüllungen gibt es noch immer keine systematische Bestandsaufnahme seitens der Bundesregierung und des Bundestags der Angriffsmöglichkeiten und des Ausmaßes der korrumpierten Rechner- und Netzinfrastrukturen. Ingo Ruhmann, Dozent für Security Management an der FH Brandenburg hält es für "bemerkenswert", dass die Bundesregierung bislang nur "verstärkte Forschung und weitere Sensibilisierungsmaßnahmen" in Aussicht stellt. Es fehlten jedoch noch immer Hinweise oder gar konkrete Aussagen zu Sicherheitsmaßnahmen oder Warnungen vor kompromittierten Systemen.
Risikoanalysen dank Snowden obsolet
Im vorigen Jahr schlug der Bundestagsausschuss Digitale Agenda eine Studie des Büros für Technikfolgen-Abschätzung (TAB) zur "Bestandsaufnahme der Angriffsmöglichkeiten und Kompromittierungen der Internetarchitektur und Netzinfrastruktur" vor. In dem Vorschlag für die Studie, der heise online vorliegt, heißt es: "Durch die Enthüllungen im NSA-Skandal sind viele Risikoanalysen obsolet geworden – sowohl in Bezug auf die infrage kommenden Ziele und Systeme als auch auf die bisher als sicher gehaltenen, aber unter Umständen kompromittierten Werkzeuge, Algorithmen und Systeme der IT-Branche."
Die Studie solle daher eine "umfassende Bestandsaufnahme auf Basis bestehender Kenntnisse" vornehmen. Es solle ausgewertet werden, "wo und wie die Informations- und Kommunikationsinfrastrukturen sowie Endgeräte angegriffen werden können". Auch sollte geprüft werden, "welche Sicherheit Hard- und Software bieten können und welche Kompromittierungen es darüber hinaus gibt, etwa mit Blick auf die Netzarchitektur und -verwaltung, Standardisierung, etc.". Auf dieser Grundlage könne dann geklärt werden, welche technischen Alternativen es gibt bzw. noch entwickelt werden müssen. Außerdem könnte definiert werden, welchen Beitrag Freie und Open-Source-Software leisten kann und wie deren Sicherheit verbessert werden kann.
Keine Bestandsaufnahme
Die Bestandsaufnahme wurde allerdings nicht erstellt, denn "mangels Kompetenzen und Kapazitäten", so der stellvertretende TAB-Direktor Christoph Revermann gegenüber heise online, habe sich das TAB auf andere Themen konzentrieren müssen. Einen entsprechenden Beschluss hätten Bundestagsmitglieder und TAB einstimmig gefasst.
Auch im aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) finden sich nur abstrakte Beschreibungen der neu erkannten Gefährdungen. Die Behörde vermeidet es dabei tunlichst betroffene IT-Produkte konkret zu benennen. Gleichwohl hatte der Spiegel auf Grundlage der Snowden-Dokumente darüber berichtet, dass beispielsweise Server von Dell und HP und Hardware-Firewalls von Cisco, Juniper und Huawei durch Software- und Hardware-Implantate von der NSA kompromittiert worden waren. Eine entsprechende Risikoanalyse, die für industrie- und beschaffungspolitische Entscheidungen herangenommen werden könnte, gibt es aber nicht.
Kein Thema auf dem IT-Sicherheitskongress
Auch der 14. Deutsche IT-Sicherheitskongress, der vom BSI kommende Woche in Bonn ausgerichtet wird, reflektiert die neue Erkenntnislage nicht. Das Call for Paper, das ein Jahr zuvor zu Einreichungen zu Kernfragen der IT-Sicherheit aufgefordert hatte, fand in der deutschen IT-Sicherheitsszene zwar Resonanz. Doch diese zeigt, dass die neuen Herausforderungen noch nicht aufgegriffen werden. Der Berliner Sicherheitsforscher Sandro Gaycken sagt dazu: "Das Programm ist typisch für deutsche Ingenieure: Sie nicken und gehen dann an die Werkbank, um das zu machen, was sie immer machen." Der Markt habe sich unter dem Eindruck der Enthüllungen nicht geändert, allein das Branding und das Marketing hätten sich angepasst.
Die geplante Podiumsdiskussion beschäftigt sich nicht frontal mit dem Thema, sondern stellt lediglich die Frage, wer angesichts der Bedrohungslage "im Cyberraum Verantwortung trägt." Gaycken meint, "das BSI hat möglicherweise Angst, sehr schlecht lösbare Probleme wie die NSA auf ihrer technischen Konferenz überhaupt zu adressieren. Da könnten Forderungen aufkommen, die weder BSI noch deutsche IT-Sicherheitsindustrie heute bedienen können.“ Ein erfahrener Sicherheitsexperte aus der Industrie und langjähriger Kongressbesucher erklärt sich das Programm so: "Das ist einfach ein Wohlfühl-Kongress, auf dem man die alten Kämpfer trifft. Die Zukunftstechnologien jucken da keinen mehr". Auch das Publikum sei nicht unbedingt an einer Thematisierung der wirklich heiklen Fragen interessiert. (mho)
