heise PlusAbo
Anzeige

Deutschland braucht mehr IT-Sicherheit

Deutsche Unternehmen kümmern sich kaum um IT-Sicherheit. Sie verfügen weder über Notfallpläne noch über Kooperationsstrukturen für den Ernstfall. Das soll nun anders werden.

vorlesen Druckansicht
Lesezeit: 5 Min.
c't Magazin
Von
  • Christiane Schulzki-Haddouti
Inhaltsverzeichnis

Infrastrukturen wie das Internet und große Firmennetze sind zugleich Rückgrat und Achillesferse der Informationsgesellschaft. Ihr Schutz vor gezielten Angriffen war in Deutschland nur ein Randthema - bis zum 11. September. Während in den USA schon vor Jahren Milliarden in Schutzprogramme flossen, gibt es in Deutschland bis heute kein nationales Frühwarnsystem. ‘Computer Emergency Response Teams’ (CERTs) kooperieren nur locker mit dem zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI). Bis heute hält die Regierung Berichte der Arbeitsgruppe ‘Kritische Infrastrukturen’ (KRITIS) des BSI zurück, die die Einrichtung eines nationalen Alarmzentrums empfehlen. Anfang des Jahres stand die Gruppe sogar vor der Auflösung.

Sichere Infrastrukturen sind eine nationale Aufgabe.
Bild: IABGmbH, Ottobrunn

Aufgerüttelt durch die Terror-Attacken in den USA will Bundesinnenminister Otto Schily das BSI jetzt zum ‘zentralen IT-Sicherheitsdienstleister der Bundesregierung’ ausbauen. Im nächsten Jahr erhält die Behörde rund 36 Millionen Euro. Weitere 16 Millionen gibt es unter anderem für ein Notfallzentrum, ein CERT des Bundes, drei Planstellen für ein neues Referat ‘Kritische Infrastrukturen’ und 18 weitere Stellen, um die operativen Fähigkeiten bei IT-Angriffen auszubauen und weitere Schutzmaßnahmen zu entwickeln. Ganz bei Null müssen die Computerexperten des Bundes nicht anfangen, denn immerhin führten sie in diesem Jahr schon einige Studien durch, um die kritischen Infrastrukturen bei Banken sowie dem Internet zu untersuchen.

Wasser auf Schilys Mühlen sind die Erfahrungen, die Mitglieder des ‘Arbeitskreises Schutz von Infrastrukturen’ (AKSIS), einer Interessenvereinigung von 80 Unternehmen, während eines dreitägigen Planspiels machen mussten. Zu AKSIS gehören Unternehmen und Verbände, darunter Siemens, Lufthansa, Deutsche Telekom, Deutsche Bank, Deutsche Bahn und die Deutsche Flugsicherung. Unter der Leitung der Firma IABG in Ottobrunn simulierten sie gezielte IT-Angriffe auf den Großraum Berlin. Ziel war es herauszufinden, wie gut die Zusammenarbeit zwischen den betroffenen Branchen funktioniert. Das Ergebnis: Es lief gar nicht gut für Top-Player der deutschen Wirtschaft.

Im Planspiel wurden die verschiedensten IT-Angriffe choreografiert. Die Macher gingen dabei von einem hohen terroristischen Organisationsgrad aus. Planspielleiter Reinhard Hutter: ‘Eine IT-Bedrohung besteht eben nicht nur aus singulären Ereignissen.’ Ziel der Angriffe war es, die Infrastrukturen der Beteiligten massiv zu beeinträchtigen. Die Vertreter von Banken, Verkehr, Industrie und Behörden saßen vor ein, zwei Rechnern in ihren Räumen. Spielleiter fütterten sie mit Ereignissen.

Die Angriffsmethoden waren breit gestreut: Hackerangriffe über das Internet, eingeschleuste Viren und Innentäter, die den Strom abschalteten und Geräte zerstörten. Die Spielleiter ließen zuvor eingebaute, getriggerte Softwarebomben platzen, um Computer lahm zu legen. Die Teilnehmer mussten die Lage beurteilen und Gegenmaßnahmen planen. Sie durften sich aber nicht nur auf die rein technische Ebene konzentrieren, sondern mussten auch mit dem gesellschaftlichen Umfeld richtig umgehen: Immer wieder streuten die Planer erfundene Pressemeldungen ein, um ein Feed-back der Außenwelt zu simulieren.

Hutter ist davon überzeugt, ein realistisches Szenario geschaffen zu haben: ‘Obwohl die Angriffe nur synthetisch über das Computernetz abliefen, konnten sich die Leute vorstellen, was Meldungen wie ‘Energie ist ausgefallen’ oder ‘Telekommunikationsnetze funktionieren nur noch zu 20 Prozent’ bedeuten. Die Ereignisse lösten Kettenreaktionen aus und schon bald sah es schlecht aus.’

Das Ergebnis war für Beteiligten mehr als ernüchternd. Hutter registrierte, dass danach ‘ein wesentlich höheres Bedürfnis bestand, miteinander zu kooperieren’. Zur erfolgreichen Zusammenarbeit gehört, so Hutter, ‘dass man sich bereits im Vorfeld kennt, dass man die Meldewege etabliert hat und sich laufend über neue Erkenntnisse und Abwehrstrategien informiert’. Die traditionelle und weit verbreitete Bunkermentalität wäre dann falsch am Platz.

Weltweit operierende Konzerne wie die Banken sorgen bislang mehr oder weniger erfolgreich für sich selbst. Schon ‘fast wieder verdächtig perfekt’ bezeichnet Hutter, wie Deutsche Bank und Dresdner Bank ihre Probleme in New York nach dem 11. September gelöst haben. Aber das Gros der deutschen Wirtschaft habe erhebliche Defizite und sicherlich auch keine Notfallpläne.

Den meisten Unternehmen fällt es schwer, in Eigeninitiative gemeinsame Notfallpläne und Notfallzentren einzurichten. Aber schon mit der operativen IT-Sicherheit hapert es im Vorfeld gewaltig: Studien von Beratungsfirmen wie KPMG und der Metagroup belegen, dass Unternehmen sorglos mit IT-Sicherheitsfragen umgehen.

Politische Beschlüsse seien notwendig, davon ist Planspielleiter Hutter überzeugt, um das ‘sehr komplexe Umfeld’ in den Griff zu bekommen: ‘Sie brauchen Leute, die ein oder mehrere Krisenzentren einrichten und entsprechende Kooperationsstrukturen aufbauen. Sie brauchen dafür das nötige Geld. Sie müssen das vertraglich regeln. Sie müssen den Datenschutz beachten, Eigentumsrechte berücksichtigen.’ Immerhin richtet jetzt das Bundeswirtschaftsministerium in einem Pilotprojekt gemeinsam mit der Arbeitsgruppe IT-Sicherheit beim Industrieverband Bitkom ein CERT für kleine und mittlere Unternehmen ein. (ad)

[1] Holger Bleich, Achillesfersen des Internet, c't 25/01, S. 100 (ad)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten