Bundesamt startet Härtetest für kritische IT-Infrastrukturen

In den führenden Informationsgesellschaften geht die Angst vor einem digitalen Pearl Harbor um, der Cyberwar-Virus breitet sich von den USA kommend immer weiter in Richtung Europa aus . Nachdem der Spiegel im März bereits die Pläne der Bundesregierung zur Durchführung eines Cyberterror-Szenarios vorstellte, dringen jetzt immer mehr Einzelheiten über die Vorhaben Berlins zum Schutz der digitalen Nervenadern der Bundesrepublik an die Öffentlichkeit. So hat die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) koordinierte Arbeitsgruppe Kritis (Kritische Infrastrukturen) gerade ein Studienprojekt gestartet, mit denen sie Finanzdienstleistern im Bereich Netzwerksicherheit auf den Zahn fühlen will.

Ziel der umfangreichen Untersuchung ist die Identifizierung von Schwachstellen, mit deren Hilfe böswillige Angreifer in Bankensysteme eindringen, diese blockieren und so volkswirtschaftliche Schäden anrichten könnten. Dazu sollen die Netzwerke der Finanzdienstleister bis ins Detail analysiert werden, um potenzielle Knackpunkte in den bestehenden Sicherheitsvorkehrungen festzustellen. Geprüft wird neben der Technik auch die gesamte Sicherheitspolitik der Unternehmen. Oft finden Angreifer Lücken in der Kommunikation zwischen unterschiedlichen Security-Bereichen, da deren Absicherung nicht in den festen Aufgabenbereich einzelner Mitarbeiter fällt.

Viele Firmen führen bereits in Eigenregie Verwundbarkeitsprüfungen durch und setzen dabei auch auf Ex-Hacker. Doch das ist der Eschborner Firma Eurosec, die den Auftrag für den Security-Check vom BSI erhalten hat, zu gefährlich. "Das Verantwortungsgefühl, die Integrität und die Zuverlässigkeit von angeheuerten Hackern ist nicht gut einzuschätzen", sagt Thilo Zieschang, Geschäftsführer des Sicherheitsdienstleisters. Zunächst geht es ihm auch gar nicht ums direkte Eindringen in die virtuellen Bankfilialen. "Wir besprechen gemeinsam die relevanten technischen Sachverhalte um festzustellen, ob in Ergänzung der vorhandenen Schutzvorkehrungen weitere Maßnahmen gegen raffinierte Angreifer nützlich sind", erläutert Zieschang die Strategie. Das Wissen um die Folgen von Attacken und die Prüfung, wie Angriffe verhindert werden können, seien wichtiger als "Penetrationstests".

Dass die Eurosec-Truppe mit Samthandschuhen an die Banken herangeht, liegt auch an deren Sensibilität in allen Sicherheitsfragen. Gerade Finanzdienstleister sind nicht daran interessiert, Lücken nach außen zu tragen und Kunden zu verschrecken. "Unser Kapital ist längst nicht mehr das Geld, sondern die Daten, die dahinter stecken", sagt Gisela Hawickhorst vom IT-Bereich der Commerzbank. Die Ergebnisse der jetzigen Studie werden daher anonymisiert, verspricht Zieschang, um keine konkrete Bank an den Pranger zu stellen. Die großen Banken signalisieren daher Kooperationsbereitschaft. "Wir nutzen jede Chance, um unsere Sicherheit zu überprüfen", betont Hawickhorst. Anders sei der scharfe Wettlauf mit den Hackern nicht zu gewinnen.

Die Studie, deren Abschluss für Mitte des Jahres anberaumt ist, soll der Bundesregierung als Grundlage für weitere Schritte zum Schutz der kritischen Infrastrukturen dienen. "Wir wollen klären, wo innerhalb Deutschlands Not am Mann ist, wenn an verschiedenen Stellen Störungen auftauchen", sagt Werner Müller, Leiter der Abteilung Innere Sicherheit im Bundesinnenministerium, dem das BSI untergeordnet ist. Zu den überlebenswichtigen Bereichen in der Netzgesellschaft zählen nach allgemeiner Auffassung neben dem Banksektor vor allem die Energie- und Wasserversorgung, die Telekommunikations- und Verkehrssysteme sowie die Verwaltung – einschließlich Bundeswehr, Polizei und Justiz.

Nach dem Durchspielen des Cyberwar-Szenarios – bei dem wie in ähnlichen derartigen Planspielen üblich eine internationale Mafia-Bande die Regierung bedroht und sie mit Attacken auf das Stromnetz sowie auf das Rechenzentrum einer Großbank zum Rückzug der Bundeswehr-Truppen aus dem Kosovo zu zwingen versucht – will Müller in einem weiteren Schritt auch mit echten Hackerattacken die kritischen Infrastrukturen einem Härtetest unterziehen. "Zunächst nur auf Stellen der Bundesregierung", stellt der Referatsleiter aus dem Innenministerium klar. Ob die Regierungshacker auch gegen die Privatwirtschaft ins Feld ziehen sollen, "müssen die Ergebnisse zeigen".

Der Aktivismus, den die Bundesregierung entwickelt, wird gefördert durch Nachrichten aus anderen europäischen Ländern und von jenseits des Atlantiks. Die im März durch die deutsche Presselandschaft geisternde Meldung, dass die USA zur Abwehr digitaler Angriffe eine Art virtuelles Raketenabwehrschild für 50 Milliarden US-Dollar aufbauen wollen, hat sich zwar als falsch herausgestellt; eine Aufrüstung im Bereich Cyber-Verteidigung hat die Bush-Regierung allerdings jüngst angekündigt. Für Aufsehen sorgte außerdem eine vom niederländischen Verkehrsministerium in Auftrag gegeben Studie, die behauptet, dass eine gut platzierte Bombe das gesamte Internet des Landes außer Gefecht setzen könnte. (Stefan Krempl) (jk)