Vor ziemlich genau einem Jahr hat Deutschland ein Cyber-Abwehrzentrum in Betrieb genommen. Nun sucht Innenminister Hans-Peter Friedrich Verbündete, um global akzeptierte Normen für mehr IT-Sicherheit zu schaffen. Die Probleme liegen indes woanders.
Anfang Mai besuchte Bundesinnenminister Hans-Peter Friedrich (CSU) die USA. Unter anderem hielt er in Washington im Zentrum für Strategische und Internationale Studien (CSIS) eine Rede zum Thema Cyber-Sicherheit. Friedrich sprach sich für eine stärkere Kooperation zwischen den Staaten aus, um beispielsweise herauszufinden, wer hinter den Cyber-Attacken steckt. Geht es nach ihm, dürfe es keine Rückzugsorte für Kriminelle geben. Nötig seien auch gemeinsame Alarmsysteme und ein einheitliches Strafrecht zur Ahndung von besagten Cyber-Attacken. Für den Notfall müsse es – zunächst in allen Staaten der Europäischen Union – Ansprechpartner geben, die rund um die Uhr erreichbar seien. Er warb für einen Schulterschluss zwischen den USA und Deutschland beim Entwurf von Normen, die zu weltweiter Akzeptanz führen sollen. So weit, so gut.
Obwohl die Maßnahmen sinnvoll und notwendig klingen, beschleicht nicht wenige ein unbehagliches Gefühl bei der Vorstellung einer globalen Task Force gegen organisierte Terroristen und staatliche Hacker. Aber was ist der Grund für diese Skepsis?
Sorge vor maßloser Überwachung
Das liegt zum einen an der grundsätzlichen Haltung des Innenministeriums zum Thema Netzsicherheit. Friedrich ist kompromissloser Befürworter der Umsetzung einer EU-Richtlinie zur Vorratsdatenspeicherung. Sie sieht unter anderem eine automatische Speicherung aller Telekommunikationsverkehrsdaten für einen Zeitraum von mindestens sechs Monaten vor. Anschließend erfolgt ihre Löschung. Die Provider sollen demnach verpflichtet werden, für diesen Zeitraum zu speichern, wer mit wem wann kommuniziert hat. Die Polizei- und Strafverfolgungsbehörden können dann bei Vorliegen der entsprechenden gesetzlichen Voraussetzungen im konkreten Verdachtsfall auf diese Daten zugreifen.
Wegen dieser Forderung steht Friedrich sowohl in der öffentlichen wie auch in der regierungsinternen Kritik. Seine Kabinettskollegin und Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) etwa fordert eine Herabsenkung der Mindestspeicherzeit auf nur sieben Tage. Netzaktivisten fordern wiederholt ein europaweites Ende der anlasslosen Netzüberwachung, und über 64.000 Bürger haben eine Petition gegen die Vorratsdatenspeicherung mitgezeichnet.
Die Kritiker sehen große Probleme bei der Durchführbarkeit der Normen. Zudem kann es nicht sein, dass durch die verpflichtende Speicherung Jedermann unter einen Generalverdacht gestellt wird. Ein Teil Deutschlands kann sich noch zu gut daran erinnern, was es bedeutet in einem Überwachungsstaat zu leben. Aber im Prinzip geht es doch um die Frage, wie eine Gesellschaft mit einer latenten Gefahr umgehen soll. Darf Prävention so weit gehen, dass die Freiheitsrechte eingeschränkt werden? Dass eine solche Überwachung falsch ablaufen kann, zeigte zuletzt die Funkzellenüberwachung der Polizei in Dresden. Das unten eingebundene Video behandelt sehr unterhaltsam diese Überwachungsmaßnahmen und das chaotische Drumherum.
Die Antwort kann nur eine Abwägung der Mittel ergeben. Im Fall der Vorratsdatenspeicherung gibt es keine Erkenntnisse, die belegen können, dass die geforderten Maßnahmen sich signifikant auf den Ermittlungserfolg bei der Kriminalitätsbekämpfung auswirken. Insofern sind die Kritiker gut beraten durchzuhalten. Wie aber verhält es sich beim Thema „Globale Netzsicherheit“?
Probleme sind hausgemacht
Hier geht es nicht darum ob, sondern wie Deutschland und Europa in Zukunft auf die globale Gefahr für Staaten und Unternehmen durch Hackerangriffe reagieren wollen. Stuxnet, Duqu und ganz aktuell Flame sind nur drei von unzähligen Beispiele, die die Anfälligkeit von neuralgischen Punkten einer Zivilisation belegen.
Die Idee von Cyber-Abwehrzenten oder Computer Emergency Response Teams (CERT) kann bei der Prävention helfen. Kritiker befürchten indes, dass staatliche CERTs und internationale Allianzen ein neues Wettrüsten auslösen. Ankündigungen des Pentagon, auf Cyber-Attacken mit konventionellen militärischen Mitteln reagieren zu wollen, sind Anlass zur Sorge und erklären das generelle Unbehagen. Die Erfahrungen des Kalten Krieges zeigen, dass nahezu immer, wenn schwerere Geschütze aufgefahren werden, auch das Risiko einer Eskalation im Spiel ist.
Unbestritten hat man in den USA ein umfassenderes Verständnis als in Europa davon, was zu den kritischen Infrastrukturen zu rechnen ist. Insofern besteht auf dieser Seite des Atlantiks die Befürchtung, dass die Lösungsansätze einfach so übernommen werden, wie zuvor die Technologie, die zu dem Dilemma geführt hat. Hadmut Danisch, Informatiker und IT-Kritiker macht in seinem Blog deutlich, was viele IT-Eperten denken:
„Man hat es zugelassen, dass Windows zum de facto Standard-Betriebssystem wurde, sowohl im Industrie-, wie auch im Behörden- und Privatbereich (…) Die Folge ist, dass wir als eine der größten Volkswirtschaften der Welt vollständig durchdrungen und vollständig abhängig von einem Betriebssystem sind, dessen Quelltext wir nicht mal haben und das wir nicht einfach so mal ändern können. Damit steht und fällt aber alles. Mit Microsoft und dem derzeitigen Windows werden wir niemals brauchbare Sicherheit erreichen.“
Und Deutschlands großes IT-Portal kommentierte: „Die Milliarden, die in Deutschland von Staats wegen in den Kauf eines Dauerpatches namens Microsoft Windows in seinen verschiedenen Varianten gesteckt wurden, hätten locker gereicht, ein eigenes, von Grund auf sicheres Betriebssystem für staatliche Rechner zu entwickeln.“
Aber wie kann nun eine Lösung aussehen? Die Antwort muss aus deutscher und europäischer Sicht irgendwo in der Mitte liegen: CERTs und globale Kooperation ja; martialische Drohgebärden und Abhängigkeiten nein. Und die Luft, die man sich dadurch verschafft, sollte systematisch dazu genutzt werden, die angreifbaren Infrastrukturen zu wandeln und die Fehler der vergangenen 20 Jahre nicht zu wiederholen. Hier das Gleichgewicht zu finden, gehört zu den großen Herausforderungen der Cyber-Security der kommenden 20 Jahre.
