Vorschläge für eine US-Strategie zur besseren Cyber-Sicherheit

Die US-Regierung hat ihre Pläne für eine Strategie des besseren Schutzes ihrer IT-Infrastruktur vorgelegt. Auf etwa 50 Seiten schildert die Kommission The President's Critical Infrastructure Protection Board (PCIPB), welche Maßnahmen ergriffen werden müssten, damit die Telekommunikationsnetze unter anderem vor terroristischen, aber auch vor anderen Attacken gefeit sind. Die National Strategy to Secure Cyberspace wurde von Unternehmen, Regierungsbehörden, Universitäten und anderen Organisationen gemeinsam erarbeitet. Die Öffentlichkeit hat nun 60 Tage Zeit zur Einsicht und für Verbesserungsvorschläge.

In dem Vorwort des Strategieplans heißt es, der Wurm Nimda habe eine Woche nach den Attentaten vom 11. September 2001 gezeigt, wie verwundbar nicht nur öffentliche Gebäude, sondern auch die Netze in den USA sein können. Es gebe zwar keine Möglichkeit, den Schaden durch gefährlichen Programmcode exakt zu beziffern, Experten schätzten aber, dass im vergangenen Jahr dadurch Gesamtschäden in Höhe von 13 Milliarden US-Dollar verursacht wurden.

Vor allem Unternehmen, aber auch den Privatanwendern wird Verantwortung übertragen. Sie könnten durch entsprechende Maßnahmen ihren Teil zur nationalen Sicherheit beitragen; also ihre Computer gegen Angriffe schützen und auf sichere Weise ins Internet gehen. "Die Regierung kann die Sicherheit im Cyberspace nicht alleine garantieren", erklärte der Sicherheitsberater des US-Präsidenten Richard Clarke. Der Bericht teilt die Zuständigkeiten für "kritische Infrastruktur" in sieben Bereiche auf: Homeland Security, Handel, Gesundheit und Ernährung, Energie, Umwelt, Landwirtschaft und Verteidigung. In jedem dieser Bereiche, so heißt es in dem Bericht, könne nicht allein die Regierung tätig werden. Sie sei hauptsächlich für die nationale Sicherheit zuständig, während die Bundesstaaten und Kommunen öffentliche Einrichtungen sowie Privatunternehmen die wirtschaftliche Infrastruktur zu sichern hätten.

Der Bericht empfiehlt, dass den Anwendern entsprechende Schulungen und andere Hilfen angeboten werden sollten. Er schildert bereits Vorschläge zur richtigen Verwendung von Passwörtern, Antiviren-Programmen, aber auch für den Schutz von minderjährigen Netznutzern vor für sie nicht geeignete Inhalte.

Solche Vorschläge handelt die Kommission auf vier weiteren Ebenen ab: Für große Unternehmen, für den Gesamtbereich der Wirtschaft, Regierungsbehörden und Erziehungsinstitutionen, für nationale und schließlich für globale Belange. Für Kritiker US-amerikanischer Vorstellungen über den Umgang mit dem Internet sind die beiden letzten Bereiche interessant. Hier geht es unter anderem um den Schutz der USA vor Cybercrime; es heißt dort: Das strategische Ziel ist es, Cyberattacken vorzubeugen oder zu verhindern und sie zu verringern, in dem die Identität der Eindringlinge festgestellt wird, damit sie zur Rechenschaft gezogen werden können. Das Ziel könnte unter anderem durch einen besseren Informationsaustausch zwischen den Behörden -- auch international -- errreicht werden sowie durch geeignete Strafen und bessere Ermittlungs- und Überwachungsmöglichkeiten.

Über konkrete Maßnahmen schweigt sich der Bericht an dieser Stelle aus. Er gibt aber anscheinend den Vertretern einer harten Rechtsauffassung in den USA genauso viel Raum wie den Verfechtern bürgerlicher Freiheiten. Schließlich weist der PCIPB darauf hin, dass bei allen sicherheitsstrategischen Maßnahmen der Datenschutz und die Bürgerrechte berücksichtigt werden müssen.

Ursprünglich sollte das Papier nicht als zu kommentierender Entwurf vorgelegt werden, sondern als verbindliches Regelwerk. Teile des Plans sickerten jedoch bereits vorab durch und provozierten -- insbesondere bei der IT-Industrie -- heftige Diskussionen: So befürchten Kritiker, dass mit einer Sicherheits-Zertifizierung von Seiten der Regierung große Firmen und ihre Produkte bevorzugt werden könnten. Für Irritation bei Beobachtern sorgte außerdem, dass in dem Papier "Trustworthy Computing" als nationale Aufgabe charakterisiert wird und dass das gerade bei Viren-Attacken deutlich zu Tage tretende Problem einer vorherrschenden Software-Monokultur in dem Entwurf nicht einmal erwähnt wird. (anw)