Sicherheitsexperten warnen vor Wettrüsten im „Cyberwar“

Staaten sind im sogenannten „Cyberwar“ die größte Bedrohung, warnte Mikko Hypponen vom IT-Sicherheitsunternehmen F-Secure auf der Konferenz Digital Life Design 2013 (DLD13). Nur Staaten verfügen über die finanziellen, technischen und personellen Ressourcen, effektive „Cyber-Waffen“ wie etwa Stuxnet zu entwickeln.

So werden beispielsweise allein die Kosten für Stuxnet auf eine siebenstellige Summe geschätzt. Ein weiterer Punkt ist die technische Komplexität, weswegen für die Programmierung ein Team mit Spezialisten aus diversen Bereichen nötig war – dazu zählen Windows-Programmierer sowie Fachleute für Automatisierungstechnik und den Betrieb von großen Industrieanlagen. Das Ziel von Stuxnet waren die Uran-Zentrifugen für das iranische Atomprogramm, von denen zahlreiche sabotiert wurden.

Hinter dem Angriff stecken vermutlich die USA und Israel, was die These von Hypponen stützt. Er befürchtet nun, dass andere Staaten durch den Erfolg von Stuxnet motiviert werden, eigene Schadprogramme zu entwickeln. Das sei problematisch, weil etwa die USA bereits verkündet haben, Cyber-Attacken als Kriegsgrund zu werten – allerdings ist es praktisch nicht möglich vollkommen sicher nachzuweisen, wo der Ursprung einer Attacke liegt. Hinzu kommt, dass bei solchen Schadprogrammen kritische Infrastruktur wie Strom, Wasser oder Verkehr gefährdet wird.

Das sei viel gefährlicher als etwa die Angriffe von „Cyber-Kriminellen“, die es beispielsweise auf Bankdaten abgesehen haben oder die Web-Randale von Hacktivisten, die mittels DDoS-Attacken Webseiten lahmlegen. Vor solchen Angriffen könne man die Bevölkerung schützen, bei Attacken mit technologisch komplexen Schadprogrammen wie etwa Stuxnet, Flame oder Gauss sieht es allerdings anders aus. Deswegen fordert er, globale Institutionen sollten gegen Cyber-Attacken vorgehen, wenn diese sich gegen kritische Infrastruktur richten.

Ähnliche Töne schlägt Eugene Kaspersky an, der Chef und Gründer von Kaspersky Labs. Cyber-Attacken seien für Staaten deutlich günstiger als Raketen, weswegen diese von Staaten als sehr attraktives Mittel betrachtet werden, um gegen andere Länder vorzugehen. Hinzu kommt, dass man immer noch nicht verstehen würde, wie die vernetzte Welt funktioniert – und dabei agieren würde wie Alice im Wunderland, die bedenkenlos neue Türen öffnet und Dinge ausprobiert, obwohl sie sich nicht über die Konsequenzen bewusst ist. Ähnlich sei es in der vernetzten Welt, „[wir] wissen einfach nicht, wie wir uns in ihr am besten verhalten sollen“.

Deutschland wappnet sich gegen Cyber-Angriffe

Die potentielle Gefahr durch Cyber-Angriffe auf kritische Infrastruktur führt dazu, dass Regierungen ihr Augenmerk verstärkt auf die Abwehr entsprechender Attacken richten. So planen etwa die USA und Deutschland eine Meldepflicht für die Betreiber von kritischer Infrastruktur. Das ist bislang nicht die Regel, weil Unternehmen zusätzliche Schäden durch die Bekanntgabe befürchten – etwa durch Kunden und Anleger, die aufgrund der negativen Meldungen abspringen.

Mit der steigenden Anzahl von Cyber-Attacken gegen Ziele in Deutschland wächst bei der Bundesregierung aber auch die Sorge, zum Opfer von Kriminellen, ausländischen Unternehmen oder anderen Staaten zu werden. Während bei den westlichen Geheimdiensten eher terroristische Attacken im Vordergrund stehen, dominiert hierzulande vor allem die Furcht vor Wirtschaftsspionage. Die Bundesregierung sieht darin eine Gefährdung der deutschen Wettbewerbsfähigkeit gegenüber der internationalen Konkurrenz.

Eine gesetzlich vorgeschriebene Meldepflicht will Bundesinnenminister Hans-Peter Friedrich (CSU) noch in dieser Legislaturperiode umsetzen, trotz des Widerstands der Unternehmen. Werden Angriffe geheim gehalten, so die Befürchtung, könnten Angreifer oftmals über einen längeren Zeitraum agieren. Die zentrale Meldestelle für Betreiber kritischer Infrastruktur soll beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtet werden, das die Einführung und Einhaltung branchenspezifischer Sicherheitsstandards kontrollieren soll. Betreiber von Telekommunikationsnetzen sollen laut dem Gesetzentwurf zusätzlich verpflichtet werden, Kunden bei Viren-Angriffen umgehend über die Gefährdung zu informieren und falls möglich die technischen Mittel bereitstellen, damit Betroffene die Viren wieder beseitigen können.

Friedrich bewirbt entsprechende Vorschläge seit geraumer Zeit, bis dato wurden diese von den Unternehmen aber stets zurückgewiesen. Stattdessen setzt sich etwa der IT-Branchenverband Bitkom für ein freiwilliges und anonymes Meldeverfahren ein, damit Unternehmen keine Hemmungen haben, Angriffe zu melden. Bitkom-Präsident Dieter Kempf kritisierte vor allem die zusätzlichen Anforderungen für Telekommunikationsanbieter. Müssten diese ihre Kunden mit technischen Hilfsmittel zur Erkennung und Beseitigung von Schadprogrammen unterstützen, würden die Unternehmen davon abgeschreckt, Cyber-Attacken offen zu thematisieren, erklärte er im November gegenüber der Financial Times Deutschland.