Schattenblick →INFOPOOL →POLITIK → KOMMENTAR

REPRESSION/1417: Bundeskabinett beschließt Strategie für den sozialen Cyberkrieg (SB)



Der ehemalige Bundesinnenminister Dr. Thomas de Maizière hat am Mittwoch, den 23. Februar 2011 gemeinsam mit Bundeswirtschaftsminister Rainer Brüderle, dem Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Michael Hange sowie diversen Vertretern aus der Wirtschaft, u.a. Prof. Dieter Kempf vom Präsidium des Branchenverbands BITKOM und Dr. Stefan Mair, einem Mitglied der Geschäftsführung des BDI, voller Stolz die Ergebnisse langer politischer Arbeit in Berlin vorgestellt: das Bundeskabinett hat eine Sicherheitsstrategie für Cyber-Fragen beschlossen. In Form einer hübsch gemachten und wenig sagenden Broschüre wurde das Konzept vorgestellt. Wie die Broschüre, so die Worte des Ministers. Der Staat, kritische Infrastrukturen, die Wirtschaft sowie Bürgerinnen und Bürger seien auf fehlerfreies Funktionieren von Informations- und Kommunikationstechnik angewiesen wie auf "Strom und Wasser". Es ginge daher darum, daß das Internet "verfügbar, frei und sicher sein" müsse. Wenn das Netz aber ausfalle, so werde es "kritisch für das Land". Schließlich ereigneten sich doch alle zwei Sekunden ein "Angriff auf das Internet", einmal pro Woche gelinge eine Cyber-Attacke auf eine Bundesbehörde und "nahezu täglich" gäbe es Angriffe, die vermutlich "ausländischen Staaten" zuzuschreiben seien [1]. Freilich schließt de Maizière daraus, daß die "Sicherheit im Cyber-Raum...ein hohes Engagement des Staates" erfordere, weswegen man sich auf eine Reihe von Maßnahmen geeinigt habe.

Die politisch umstrittenste Initiative ist sicherlich die Gründung eines Nationalen Cyber-Abwehrzentrums (NCAZ), welches im April mit der Arbeit beginnen und beim BSI angesiedelt sein soll. Dieses stellt sechs Mitarbeiter, während das Bundesamt für Verfassungsschutz und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe jeweils zwei Mitarbeiter beisteuern werden. Im nächsten Schritt sollen weitere Mitarbeiter von anderen BRD-Diensten, etwa dem Bundesnachrichtendienst und der Bundeswehr, vom Bundeskriminalamt, der Bundespolizei, dem Zollkriminalamt sowie assoziierte Vertreter aus der Wirtschaft hinzu kommen.

Die Hauptaufgabe des Nationalen Cyber-Abwehrzentrums besteht darin, eine Art Informationszentrale zu sein, bei der alle bekannt gewordenen Cyber-Sicherheitsprobleme (etwa Schwachstellen von IT-Produkten, IT-Vorfälle, etc.) zusammenfließen. Dies geschieht zum einen durch den Austausch von Informationen zwischen den teilnehmenden BRD-Diensten, durch Kommunikation mit ausländischen oder transnationalen Stellen (z.B. NATO und EU) und Diensten, zum andern durch Tipps und Meldungen aus der Wirtschaft. Die dabei gewonnen Informationen werden anschließend analysiert und zu Empfehlungen zum Schutz von IT-Systemen verarbeitet.

Koordiniert und strategisch ausgerichtet wird die Arbeit von einem Cyber-Sicherheitsrat , welchem die Innenstaatssekretärin und Beauftragte der Bundesregierung für Informationstechnik, Cornelia Rogall-Grothe, vorsteht und der ebenfalls im April zustande kommen wird. Rogall-Grothe erklärte, "daß die Risiken des Internet auf ein tragbares Maß" reduziert werden müssen, "ein Maß, welches das Internet trotz der rasanten, ja dramatischen Fortentwicklung und Verbreitung nicht unsicherer sein läßt als andere Lebensbereiche auch." [1]. Deutschland habe diesbezüglich eine Vorreiterrolle in Europa und in der Welt. Vor allem durch das Programm www.bsi-fuer-buerger.de und dem BMI-nahen Verein "Deutschland sicher im Netz e.V." würden Bürgerinnen und Bürger zum Thema Cyber-Sicherheit sensibilisiert. Letztere sind Informationsseiten für Bürger, die in der Tat nützlich sind und dazu beitragen können, daß diese sich sicherer im Internet bewegen.

Wie jedoch verhält sich die Absicht, Anleitungen für einen optimierten Verbraucherschutz öffentlich verfügbar zu machen, mit dem Interesse staatlicher Behörden, potentiellen Zugriff auf die Daten der Bürger zu gewährleisten? Schließlich besteht ein fundamentaler Widerspruch in der Absicherung der datenelektronischen Infrastruktur gegen mißbräuchliche Zugriffe auf fremde Informationen und Rechner und dem Sicherheitsanspruch in Zeiten des Terrorkriegs, maximale Transparenz zugunsten der nicht nur akuten, sondern präventiven Terrorismusabwehr zu erzeugen.

Grob ausgedrückt gibt es zwei Arten von elektronischen Angriffen: die einen nutzen die Schwachstellen der Technik, die anderen menschliche Schwachstellen aus. Zu letzterer gehören zum Beispiel so genannte Phishing-Emails oder -Webseiten, oder aber auf Parkplätzen "herumliegende" USB-Sticks, die von neugierigen Findern in Firmenrechner gesteckt werden, wie das vermutlich auch bei dem berühmt-berüchtigten Stuxnet [2] geschehen ist, auf den sich ja auch die Hintermänner und -frauen des Cyber-Abwehrzentrums mantraartig beziehen. Staatliche wie private Hacker werden zunächst versuchen, diese Angriffsvektoren auszunutzen, da sie einfacher und gezielter sind [3]. Der Angriff auf technische Schwachstellen ist sehr komplex und schwierig. Er kann im Großen und Ganzen auf zweierlei Weise erfolgen: Durch Ausnutzung bekannter oder (noch) unbekannter Sicherheitslücken und durch Angriffe, die mit großer Rechenkraft durchgesetzt werden.

Das Ausnutzen von Schwachstellen erfordert großes technisches Verständnis und ist umso schwieriger, wenn es gezielt erfolgen soll. Das Wissen um diese neuralgischen Punkte wird sorgsam gehütet und teilweise für große Summen auf dem Schwarzmarkt gehandelt. Angriffe mit großer Rechenkraft, sogenannte "Brute Force"-Attacken, sind sehr viel einfacher und gezielter zu realisieren: entweder verfügt man dazu über die nötigen Großrechner, was in der Regel nur staatlichen Hackern möglich ist, oder man schließt hundertausende kleiner Rechner zu einem Verbund zusammen. Das geschieht entweder durch bewußte Freigabe der eigenen Rechner, wie bei der Attacke mit der "Low Orbit Ion Cannon" durch die Online-Aktivisten von Anonymous auf diverse Kartengesellschaften im Zuge der Wikipedia-Affäre, oder aber mittels eingeschleuster Schadsoftware auf den Rechnern nichtsahnender Dritter.

Mit einem solchen solchen Rechnerverbund, auch Botnetz genannt, lassen sich nicht nur kriminelle Raubzüge, sondern auch mächtige Attacken gegen Webseiten von Unternehmen und Regierungen durchführen. Diese Angriffe zielen darauf ab, daß die angesteuerten Systeme durch Überforderung zusammenbrechen oder aber für andere Hackerzugriffe erreichbar werden, was man auch als Distributed-Denial-of-Service-Attacke (DDoS) bezeichnet. Man kann diese Angriffsform durchaus als mächtigste zivile Waffe des Cyberkrieges bezeichnen, da sie heutzutage kaum noch Fachwissen benötigt, was die Verhaftung eines Teenagers in den Niederlanden im Zusammenhang mit den Aktionen von Anonymous gegen die Sperrung der Konten von WikiLeaks gezeigt hat.

Aus Sicht des staatlichen Kontrollanspruches werden solche Botnetze und DDoS-Attacken als große Bedrohung wahrgenommen. Gegen sie wird die Aufklärung der Bevölkerung und vor allem kleiner Unternehmen in Sachen Cybersicherheit in Stellung gebracht, was zur Folge hat, daß derartige Zugriffsmöglichkeiten nur noch staatlichen Stellen zur Verfügung stehen. In diesem Zusammenhang wundert es nicht, daß der umfassende Einsatz von Sicherheitssoftware, die tiefer liegende Lücken erkennen kann, sogenannter Fuzzer, durch das NCAZ umstritten ist. Zum einen würde das mit harten Bandagen umkämpfte Planstellen reduzieren, zum anderen würden unter Umständen Sicherheitslücken aufgeklärt werden, die entsprechende Dienste selbst gerne nutzten. Daher kann es nicht erstaunen, daß das NCAZ in seiner Struktur dem Gemeinsamen Terrorismusabwehrzentrum (GTAZ) in Berlin, mit dem das Trennungsgebot zwischen Polizei und Geheimdiensten de facto außer Kraft gesetzt wurde, ähnelt. Nicht umsonst übt das BSI, eine Gründung des Bundesnachrichtendienstes, maßgeblichen Einfluß auf die operative Arbeit des NCAZ aus.

Welche Früchte diese unheilige Allianz bereits hervorgebracht hat, dokumentiert die Schnüffelattacke des bayerischen Landeskriminalamts, das das Notebook eines unbescholtenen Geschäftsmanns während einer angeblichen Zollkontrolle mit einer Spionagesoftware austattete. Fortan erhielten die Sicherheitsbehörden alle 30 Sekunden einen Screenshot, der sie umfassend über die privaten wie geschäftlichen Aktivitäten des Betroffenen in Kenntnis setzte. Diese Maßnahme wurde gewählt, weil das LKA keinen Durchsuchungsbefehl erhalten hatte, der die Beamten in die Lage versetzt hätte, auf den Rechner des Mannes in seiner Wohnung zuzugreifen. Warum das Ganze? Das Zielobjekt der Überwachung verabredete sich per SMS zu Skype-Telefonaten, welche angeblich nur dann abzuhören sind, wenn man direkt auf dem Rechner des Senders und/oder Empfängers mithören kann [4].

In diesem Zusammenhang ist auch das De-Mail-Gesetz erwähnenswert, soll es doch angeblich sichere Kommunikation zwischen Bürgern und Behörden wie Unternehmen ermöglichen. Bereits bekannte Technik wird hierbei unter neuem Namen verkauft und sichert nebenbei noch einen erklecklichen Gewinn: Emails sollen endlich Geld kosten. Das schafft Umsatz, freut Wirtschaft und Staat sowie dessen Dienste: das Gesetz sieht zwar eine Ende-zu-Ende-Verschlüsselung à la Skype vor, zwingt aber nicht dazu. Das heißt: Sender X verschlüsselt seine Email, der Provider entschlüsselt sie (z.B. um sie auszudrucken und per Post zuzustellen), verschlüsselt sie wieder und versendet sie an Empfänger Y. Was beim Provider mit der Mail geschieht, vermag niemand zu sagen. Bekannt ist zumindest, daß auch Dienstleister zum Ausdrucken eingesetzt und die privaten Daten damit Dritten verfügbar gemacht werden. De facto hebt das De-Mail-Gesetz so das Briefgeheimnis auf und gleicht in seinem Verhalten einer sogenannten Man-In-The-Middle-Attacke.

Nicht unerwähnt bleiben soll auch die medial totgeschwiegene Volkszählung 2011. Beim sogenannten "Census 2011" werden alle Datenbestände der Meldebehörden, Arbeitsämter, Sozialämter, Wohnungsbesitzer etc. zur statistischen Auswertung zusammengefügt. Ebenso bahnt die Einführung eines elektronisch-biometrischen Personalausweises und Reisepasses, der den Internet-Benutzer aus seiner Anonymität reißt, weitreichender Kontrolle und Überwachung des Menschen den Weg.

Nicht eingeplant bei diesem sicherheitsstaatlichen Innovationsschub ist bislang die Beteiligung der zu überwachenden Bevölkerung. Bürgerbeteiligung beim NCAZ ist nicht vorgesehen, wie auch die Enquete-Kommission "Internet und digitale Gesellschaft" des Bundestages keine Anstalten macht, die datenelektronische Vergesellschaftung demokratisch zu gestalten[5]. So hätten die unabhängigen Experten des Chaos Computer Clubs ihr Wissen sicherlich gerne zur Verfügung gestellt, wenn es der Allgemeinheit nützte. Das darf jedoch mit gutem Recht bezweifelt werden.

Cyber-Sicherheit sei eine "gemeinsame Herausforderung für Staat, Wirtschaft und Bürger", verlautbarte das Bundesministerium des Inneren. Wirtschaftsminister Brüderle verdeutlichte noch einmal die "besondere Betroffenheit der Wirtschaft durch Wirtschaftsspionage über das Internet". Er betonte: "Wirtschaftsspionage hat mit der Unternehmensgröße nichts zu tun. Da sind kleine Unternehmen genauso betroffen wie große." Das Ziel der Strategie sei daher, "Cyber-Sicherheit in Deutschland auf einem hohen Niveau zu gewährleisten - ohne dabei die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen", womit freilich eher der "verstärkte Schutz Kritischer Infrastrukturen vor IT-Angriffen" und "der Schutz der IT-Systeme" der Wirtschaft gemeint sein dürfte [1].

Die anwachsende Kontrolle der Bevölkerung durch die Agenturen des Sicherheitsstaats geht Hand in Hand mit der Umverteilung von unten nach oben. Der Satz, daß man Cyber-Strukturen wie "Strom und Wasser" benötigt, wird durch jüngste Urteile des Amtsgerichts Kiel und des Landessozialgerichts Nordrhein-Westfalen (LSG) scharf kontrastiert: Computer sind pfändbar, auch wenn sie zur Ausbildung gebraucht werden. Außerdem haben Hartz IV-Empfänger keinen Anspruch auf einen Computer, denn man könne ja "zur Gewinnung von Informationen auf Radio und Fernsehen zurückgreifen" [6].

Fußnoten:

[1] http://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2011/02/cyber_abwehr.html

[2] http://www.bmi.bund.de/cln_183/SharedDocs/Pressemitteilungen/DE/2011/mitMarginalspalte/02/cyber.html;jsessionid=2C414BF89858E89C067DF0280AF46CCB?nn=109628

[3] Kevin Mitnick, William L. Simon 2005 "The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers", Wiley, Hoboken, NJ, USA

[4] http://www.spiegel.de/spiegel/0,1518,748110,00.html

[5] http://www.spiegel.de/netzwelt/netzpolitik/0,1518,747655,00.html

[6] http://www.focus.de/finanzen/banken/kredit/tid-7719/gerichtsvollzieher_aid_136313.html und http://www.sozialleistungen.info/news/14.05.2010-kein-anspruch-auf-pc-bei-hartz-iv/

3. März 2011