Forschung im Kampf gegen Informationskatastrophen
Auf dem 1. deutschen Sicherheitsforschungskongress wurde immer wieder der Stellenwert deutlich, den die IT beim Kampf um Sicherheit und gegen neu definierte Bedrohungen wie "Homegrown Terrorism" besitzt.
- Detlef Borchers
Früher strikt eingehaltene Grenzen haben sich verflüchtigt; die Bundeswehr sorgt für die innere Sicherheit in Afghanistan, während sich deutsche Behörden mit dem "Homegrown Terrorism" befassen. In diesem Spannungsfeld soll die Sicherheitsforschung sich neu orientieren, weit weg von der Wehr- und Militärforschung alter Prägung. Dies kann als Fazit des 1. deutschen Sicherheitsforschungskongresses in Karlsruhe gezogen werden.
Zu Beginn des Kongresses hatte Forschungsministerin Schavan darauf aufmerksam gemacht, dass neue Mittel fließen werden, wenn die Forschung neue Wege geht. Schavan forderte dabei einen "systemischen Ansatz", der auch Erkenntnisse aus den Sozialwissenschaften einbezieht. Wie sonst kann man die wachsende "Gefahr des Homegrown Terrorism, also im Land aufgewachsener und scheinbar integrierter Personen, die sich gewaltbereit dem islamistischen Terrorismus zuwenden" erklären, mit der Konrad Freiberg von der Gewerkschaft der Polizei die Verschärfung der Anti-Terrorgesetze begrüßt? Die neue "Priorisierung nach Kritikalität", die Jürgen Beyerer vom Fraunhofer Institut für Informations- und Datenverarbeitung in seinem Referat zur Systemtheorie in der Sicherheitsforschung forderte, erinnerte stark an die vernetzte Operationsführung, wie sie die Bundeswehr definiert. Weil im Deutschen der Begriff Sicherheit eher verschwommen ist, hantierte Beyerer mit englischen Begriffen. Safety ist demnach die Informationshoheit, während Security als Informationsüberlegenheit definiert werden kann: Sicher sind wir Beyerer zufolge dann, wenn aus der Informationsgewinnung zahlreicher Sensoren und Effektoren jederzeit ein dynamisches Lagebild gewonnen werden kann, das nach vordefinierten Schadensmodellen "automatisch generierte Optimalentscheidungen" zur Verfügung stellt.
Wer nicht mit solchen systemtheoretischen Ansätzen sympathisierte, definierte Safety pragmatischer als Sicherheit vor zufällig oder fahrlässig entstehenden Gefährdungen und Security als Sicherheit vor absichtlicher Gefährdung. Auf dieser Ebene stellten zahlreiche Referate den Stand der Sicherheitsforschung vor, von der bombensicheren Gebäudestatik bis zur raumfahrtgestützten Analyse von Naturkatastrophen.
Auch wenn Computernetze nicht alles sind, wenn es um kritische Infrastrukturen geht, so wurde immer wieder der hohe Stellenwert deutlich, den die IT beim Kampf um Sicherheit besitzt. Wie Friedemann Wenzel vom Karlsruher Center for Disaster Management (CEDIM) betonte, sind alle Naturkatastrophen wie auch die Einsätze gegen terroristische Gewalt zunächst einmal Informationskatastrophen, weil schlicht die Informationen fehlen, die schnellstens herangetragen werden müssen. Eine halbe Stunde verging, ehe bei den Londoner Bombenattentaten klar war, dass es sich um Sprengbomben und nicht auch noch um chemische, schmutzige oder biologische Bomben handelte. Erst danach wäre es den normalen Einsatzkräften erlaubt gewesen, sich in die U-Bahn-Anlagen zu begeben (die meisten ignorierten die Anforderung). Wie ungeschützt Deutschland bei "Strahlenunfällen mit sicherheitspolitischer Relevanz" dasteht, zeigte Theodor Fliedner von der Ulmer Arbeitsgruppe Strahlenmedizinische Forschung. Nach seinen Zahlen, die allerdings auf einer Auswertung aus dem Jahre 1996 basieren, gibt es in Deutschland nur 34 Krankenhäuser, die Verstrahlte aller Kategorien behandeln können.
Im engeren Bereich der IT stellte Uwe Ewert von der Bundesanstalt für Materialprüfung (BAM) neue Verfahren bei der Sprengstoffdetektion an Selbstmordattentätern und der präventiven Videoüberwachung öffentlicher Räume vor. Nach Ewert besitzt insbesondere die biometrische Forschung im Bereich der Bewegungsanalyse "ein hohes Potenzial zur Gefahrenprävention, wenn entsprechende Bewegungsalgorithmen zur Videoüberwachung entwickelt werden." Computer könnten bald sich verdächtig bewegende Personen schneller erfassen als eine menschliche Aufsichtsperson. Auf die Besonderheiten der der deutschen kritischen IT-Infrastruktur machte Udo Helmbrecht vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aufmerksam. Wenn 80% der entsprechenden Infrastruktur in privatwirtschaftlicher Hand sei, müsse die Industrie bei der Absicherung mitarbeiten, um ein akzeptables Grundniveau der IT-Sicherheit zu erreichen. Das sei aber noch nicht gegeben, so Helmbrecht: "Man kennt sich und trifft sich, aber nicht prozess- oder lageorientiert." Große Hoffnungen setzt Helmbrecht ähnlich wie der Branchenverband Bitkom auf KRITIS und besonders auf den "Umsetzungsplan KRITIS", der momentan erarbeitet wird und Ende 2006 vorgestellt werden soll. Immer professioneller werdende Angreifer aus dem Milieu der organisierten Kriminalität erforderten weiterhin einen hohen Forschungsbedarf, meinte Helmbrecht. Seine Ausführungen wurden von Alois Sieber ergänzt, der bei der EU im Joint Research Centre über die Cybersecurity forscht. Nach Sieber stellt derzeit besonders die industrielle IT-Sicherheit ein Problem dar, dem die EU mit ihrer Industry Security Workbench Alliance (INSAW) begegnen will. Erste Tools zur Überprüfung der IT-Sicherheit von Industrieanlagen sollen Anfang 2007 kostenlos zum Download bereitgestellt werden.
Sieht man von den Vertretern der Rüstungslieferanten wie der Diehl Stiftung ab, präsentierte sich die Industrie auf dem Sicherheitsforschungskongress ausgesprochen lustlos. Vertreter von DaimlerChrysler, IBM und SAP spulten routiniert ihre Powerpoint-Präsentationen ab. Aufsehen erregte nur Andreas Pohler vom der Abteilung "Customs, Ports and Border Management" der IBM Business Consulting mit seinem Pladoyer zur "Vorverlagerung der Grenzen". Nach Pohler sollten die Datenbestände der Flugpassagierdaten ausgeweitet und die "Passenger Name Records" (PNR) um Felder erweitert werden, damit die Sicherheitsüberprüfung im Vorfeld bereits im Land des Einreisenden mit einer polizeilichen Überprüfung gekoppelt werden kann. Insgesamt wurde auf dem ersten Sicherheitsforschungskongress noch nicht deutlich, wie die Industrie beim Abrücken von der klassischen Wehrforschung eben diese Grundlagenforschung mit einer für Massenmärkte entwickelten Sicherheitstechnik ersetzen kann. Das aber hatte Forschungsministerin Schavan in ihrem Grundsatzreferat gefordert. (Detlef Borchers) / (jk)