1-2013 - Public Security
1-2013 - Public Security
1-2013 - Public Security
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Jeder USB-Stick wird durch einen „Schleusen-PC“<br />
geprüft. Oberst Gerd Weiß vom IT-Zentrum der Bundeswehr<br />
erläuterte die neue Sicherheitsstrategie.<br />
Der Virus stuxnet habe den Aberglauben beendet,<br />
dass es vom Internet entkoppelte Systeme<br />
gebe, so Flätgen: „Wir haben USB-Sticks auf Besuchertische<br />
gelegt und es hat gut zwei Stunden<br />
gedauert, bis der erste Mitarbeiter den in<br />
seinen Computer gesteckt hat, um einfach einmal<br />
zu sehen, was sich darauf befindet.“ Die<br />
hoch entwickelten Angriffe ausländischer Dienste<br />
bezeichnete er als „Riesenproblem“. Das<br />
BSI versuche, zumindest die Erkennungsrate zu<br />
erhöhen.<br />
Auch verlässliche IT im eigenen Lande zu<br />
kaufen, sei heute nur noch in ganz wenigen Bereichen<br />
möglich. Als unverzichtbar sieht Horst<br />
Flätgen dennoch Cloud Computing: „Im Moment<br />
wird für die Bundesbehörden eine unter unserer<br />
Hoheit aufgebaut.“ Auch die frühere Praxis Verwaltungsbeamte<br />
zur Verwaltung großer IT-Systeme<br />
anzulernen, funktioniere nicht mehr,<br />
„man braucht Informatiker“. Die nötigen Vorkehrungen<br />
zu treffen, sei allerdings mit Kosten<br />
verbunden: „Es gibt noch keine Kennzahlen, wie<br />
viel man für Sicherheit ausgeben muss“, gab<br />
der BSI-Vize zu.<br />
Hohe militärische Priorität<br />
Über die Erfahrungen mit Cyber Defence im<br />
militärischen Bereich berichtete Oberst Gerd<br />
Weiß vom Zentrum für Informationstechnik der<br />
Bundeswehr. Die Streitkräfte sind hier nämlich<br />
nur für ihre eigenen Systeme zuständig. Das<br />
Computer Emergency Response Team der Bundeswehr<br />
(CERTBw) wurde 1992 eingerichtet,<br />
34 PUBLIC SECURITY 2-2012/1-<strong>2013</strong><br />
Laut Volker Lippmann verzeichnet T-Systems täglich<br />
ca. 150.000 IT-Alarmrufe und 800 verschiedeneAngriffsquellen.<br />
Der Konzern arbeitet an der Sicherheit<br />
von Cloud-Lösungen und mobiler Endgeräte.<br />
ständig weiterentwickelt und nimmt seit 2003<br />
an multinationalen Übungen teil: „Wir stellen<br />
natürlich auch Kräfte für die Angriffsteams“, so<br />
Oberst Weiß. In den Verteidigungspolitischen<br />
Richtlinien von 2011 stehen Cyber-Angriffe an<br />
zweiter Stelle der Risikopriorität. Schon seit der<br />
umfassenden Attacke auf Estland 2007 konzentriere<br />
sich auch die NATO darauf.<br />
Es habe sich gezeigt, so Gerd Weiß, dass es<br />
am wichtigsten sei, die Nutzer zu sensibilisieren.<br />
Dieser sei in der Regel der Türöffner, dem<br />
man sich mit „social engineering“, also über seine<br />
Umstände und Gewohnheiten nähere. So<br />
werde etwa durch scheinbar bekannte Namen<br />
und Adressen zu „Kongressen“ eingeladen, bis<br />
hin zu Fällen, in denen der Generalinspekteur<br />
der Bundeswehr angeblich Mails von seinem<br />
persönlichen Account verschicke. Über 75 Prozent<br />
der festgestellten Schadsoftware befinde<br />
sich aber auf mobilen Datenträgern. Cyber-Module<br />
werden laut Weiß auch in die allgemeine<br />
soldatische Ausbildung eingebaut.<br />
Technische Überwachung müsse auch innerhalb<br />
des eigenen IT-Netzwerks stattfinden.<br />
Da vollständige IT-Sicherheit dennoch nicht ereichbar<br />
sei, müsse man zur Strategie des Risikomanagements<br />
wechseln. Erfolgreich könne<br />
dies nur sein, wenn national und international<br />
mit Verwaltungen, Militär, Wirtschaft und Wissenschaft<br />
kooperiert werde. Um Vertrauen aufzubauen,<br />
hält Weiß den persönlichen Kontakt für<br />
zwingend. Und der Informationsaustausch versiege,<br />
wenn er nicht auf Gegenseitigkeit beruhe.<br />
„Konventionelle IT-Sicherheit ist sehr ingenieurslastig“,<br />
stellte Dr. Sandro Gaycken von der FU Berlin<br />
fest.<br />
Veranstalter Brigadegeneral a.D. Hans Herbert<br />
Schulz, Green Defense @ KRS GmbH, kündigte an,<br />
die Tagungsreihe auch <strong>2013</strong> fortzusetzen.<br />
Umdenken in der IT-Sicherheit<br />
Vor unproportionalen Reaktionen in unklaren<br />
Situationen warnte jedoch Dr. Sandro<br />
Gaycken, Cyber-War-Forscher an der Freien Universität<br />
Berlin. Über 120 Länder schafften Kapazitäten<br />
an, „die Offensiveinheiten sind im Aufbau<br />
begriffen“. Dies sei auch für die jeweils nationale<br />
Wirtschaft nutzbar, für Industriespionage<br />
oder zur Finanzmarktmanipulation. Ein<br />
aktiver Schutz gegen Angriffe sei unmöglich.<br />
Zwar habe es bei der Verfolgbarkeit von Spuren<br />
einige Fortschritte gegeben, dies sei aber ein<br />
sehr mühsames Geschäft: „Ein Dienst macht<br />
das nicht vom Ministerium aus.“ Auch passive<br />
Schutzmaßnahmen hält Gaycken schon aus<br />
technischen Gründen für kaum erfolgreich.<br />
Überdies seien die politischen Entscheidungsträger<br />
Laien, die Wissenschaft, Presse<br />
und Industrie aber unzuverlässige Ratgeber. Positiv<br />
hob er jedoch das BSI als „neutralen Vermittler“<br />
hervor. Am zielführendsten sei, sich um<br />
die IT-Hochsicherheit noch mehr zu kümmern,<br />
so Sandro Gaycken. Die Kernsysteme der Kritischen<br />
Infrastrukturen seien bereits relativ gut<br />
gehärtet. Er schlägt internationale Übereinkünfte<br />
vor. Mit einer „Zero-Day-Governance“<br />
könne man eine gemeinsame Entdeckungsoffensive<br />
von Verwundbarkeiten starten.<br />
Die Berliner Fachtagung <strong>2013</strong> findet voraussichtlich<br />
am 09./10. April statt. (kö) ➛