Netzwerksicherheit: Cybercrime-Abwehr ja, aber ohne Killswitch
Das Cyber-Abwehrzentrum (NCAZ) steht unter der Leitung des Bundesamts für Sicherheit in der Informationstechnik (BSI), das sechs von den insgesamt zehn Mitgliedern des neuen Abwehrzentrums stellen soll. Dazu kommen zwei weitere Mitarbeiter des Bundesamts für Verfassungsschutz (BfV) sowie zwei aus dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Jeweils ein Mitarbeiter soll "bei Bedarf" auch aus dem Bundeskriminalamt (BKA), der Bundespolizei (BPol), dem Zollkriminalamt (ZKA) und dem Bundesnachrichtendienst (BND) hinzugezogen werden. Das Cyber-Abwehrzentrum soll zum 1. April 2011 seine Arbeit aufnehmen.
Selbst die Bundeswehr, nach eigenen Angaben auch im Ausland Ziel von Cyberangriffen, wird in dem Abwehrzentrum vertreten sein. Bundesinnenminister Thomas de Maizière räumte verfassungsrechtliche Bedenken aus, militärische Vertreter an dem zivilen Gremium zu beteiligen. Die Zusammenarbeit ziviler und militärischer Einrichtungen soll unter "Wahrung ihrer gesetzlichen Aufgaben und Befugnisse" erfolgen.
Trennungsgebot vernachlässigt?
Zunächst hatten einige FDP-Mitglieder Bedenken geäußert, allen voran die Abgeordnete Gisela Piltz, die bemängelte, ein solches Zentrum könne nicht geschaffen werden, ohne dass zunächst die tatsächlichen Auswirkungen solcher Einrichtungen auf das Trennungsgebot zwischen polizeilicher und nachrichtendienstlicher Tätigkeit gründlich ausgewertet wurden. Dass de Maizière Bundeswirtschaftsminister und FDP-Mitglied Rainer Brüderle mit ins Boot geholt hat, gilt als geschickter Schachzug, um die NCAZ ohne Protest des Koalitionspartners zu etablieren.
Noch drastischer formuliert es Jan Korte von den Linken: "Mit dem IT-Heimatschutzministerium NCAZ werden die verfassungsmäßige Struktur der Sicherheitsbehörden und das Trennungsgebot zwischen Polizei und Geheimdiensten aufgehoben." De Maizière will keine verfassungsrechtliche Diskussion entfachen, die Frage, ob die für einen Cyberangriff genutzten Werkzeuge nicht als Waffen gelten, wolle er zur Zeit nicht prüfen lassen. Einen Killswitch, der im Bedarfsfall das Internet deaktiviert, will de Maizière indes nicht einführen.
Stuxnet, Phishing und Botnet-Bedrohung
Tatsächlich äußerten sich beide Minister besorgt über die "immer raffinierteren Angriffe im Cyberspace" und hoben die Gefahr für die Wirtschaft hervor. Brüderle betonte besonders, dass "fünfzig Prozent eines Neufahrzeugs aus IT besteht" und durchaus anfällig für Stuxnet-ähnliche Angriffe sei. Das Wirtschaftsministerium will mit der Taskforce IT-Sicherheit die Zusammenarbeit mit Wirtschaft und Wissenschaft koordinieren. Die Taskforce soll bereits am 29. März 2011 ihre Arbeit aufnehmen. Auch der Bundesverband der deutschen Industrie (BDI) will mit einer Kontaktperson eng mit dem Gremium zusammenarbeiten.
Auf der Pressekonferenz in Berlin wurde ein düsteres Bild der Sicherheitssituation im Cyberspace gemalt. Botnet-Attacken stünden gegenwärtig weit oben auf der Liste der möglichen Gefahren, sagte BSI-Präsident Michael Hange. Allein bei den Bundesbehörden gingen täglich vier bis fünf Trojaner-E-Mails ein. Monatlich würden 30.000 Zugriffe auf schädliche Webseiten aus dem Regierungsnetz registriert. Aber auch die Bundesbürger seien gefährdet.
7. Sinn fürs Internet
Ziel des Abwehrzentrums sei es auch, die Bürger über mögliche Gefahren schneller zu informieren. Angedacht sind sogar Informationskanäle wie der 7. Sinn – die Fernsehsendung, die jahrelang Autofahrer über korrektes Fahrverhalten informierte –, um Bürger für den Umgang mit dem Internet zu sensibilisieren. De Maizière sprach auch über die Möglichkeit, Firewalls und Antivirenprogramme – ähnlich der Gurtpflicht in Fahrzeugen – zur Pflicht zu machen.
Provider sollen ebenfalls mehr in die Pflicht genommen werden. Die Bundesregierung werde "darauf hinwirken, dass geeignete providerseitige Sicherheitsprodukte und -services für Nutzer als Basisangebote verfügbar" seien. Provider sollten ihren Kunden die Verwendung von Sicherheitssoftware schmackhaft machen, sagte Hange.
Internationaler Cyber-Kodex gefordert
Zusätzlich zu dem Cyber-Abwehrzentrum soll ein Cyber-Sicherheitsrat die Zusammenarbeit innerhalb der Bundesregierung sowie zwischen Staat und Wirtschaft weiter koordinieren. Darin sollen das Kanzleramt sowie das Auswärtige Amt, das Innenministerium, das Verteidigungsministerium, das Wirtschaftsministerium, das Justizministerium und das Finanzministerium mit jeweils einem Staatssekretär vertreten sein. Zudem sollen die Länder einen Vertreter entsenden.
De Maizière will noch weiter gehen: Ziel sei es, die Erfahrungen Deutschlands im Bereich IT-Sicherheit auch europaweit einzubringen, sagte er. Hier solle vor allem mit Großbritannien die Umsetzung eines koordinierten Angriffsschutzes erarbeitet werden. Ferner will de Maizière in dem G7-Forum ebenfalls für die koordinierte Cyber-Abwehr werben. Deutsche Cyber-Außenpolitik soll auch mit den Vereinten Nationen, der OSZE, dem Europarat, der OECD und der Nato koordiniert werden. Dabei gehe es auch um "die Etablierung eines von möglichst vielen Staaten zu unterzeichnenden Kodex für staatliches Verhalten im Cyber-Raum (Cyber-Kodex)".
Bei der Vorstellung der neuen Cyber-Abwehr fielen reichlich angsterregende Worte: Terrorismus, Cybercrime, Identitätsdiebstahl, Wirtschaftsspionage, und die Vergleiche zu terroristischen Angriffen aus der Luft blieben auch nicht aus. Der Ton der in der Pressekonferenz vorgetragenen Argumente reichte von angstschürend bis martialisch und erweckte eher den Eindruck, die Bundesregierung wolle die neuen Cyberschutz-Gremien mit aller Gewalt durchdrücken, statt die bisher verfügbaren Möglichkeiten komplett auszuschöpfen. Ein Hauch von Aktionismus wehte über der Veranstaltung.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.