Unsicherheit in der digitalen Welt Neue Strategien in Staat, Wirtschaft und Gesellschaft

Transkript

1 Bericht vom XIV. Zukunftsforum Öffentliche Sicherheit am 24. November 2011 Unsicherheit in der digitalen Welt Neue Strategien in Staat, Wirtschaft und Gesellschaft

2 2 Bericht vom XIV. Zukunftsforum Öffentliche Sicherheit am 24. November 2011 Unsicherheit in der digitalen Welt Neue Strategien in Staat, Wirtschaft und Gesellschaft Cornelia Rogall-Grothe In ihrem Vortrag Was tut der Staat? Stand und Perspektiven wies die Staatssekretärin im Bundesministerium des Innern (BMI), Cornelia Rogall-Grothe, darauf hin, dass das Auftauchen eines Computerwurms wie Stuxnet noch vor wenigen Jahren als ein unwahrscheinliches Szenario gegolten habe. Stuxnet habe gelehrt, dass Schadsoftware so programmiert werden könne, dass sie gezielt bestimmte industrielle Steuerungsanlagen manipuliert. Prinzipiell setze der Staat auf Kooperation mit der Wirtschaft und internationalen Partnern und strebe die Vernetzung aller Akteure an. Rogall-Grothe, die auch Beauftragte der Bundesregierung für Informationstechnik ist, führte einige Beispiele an: Zum Schutz der IT der Bundesbehörden wurden Mindeststandards und ein IT-Sicherheitsmanagement eingeführt, an dem sich auch die Wirtschaft im Umsetzungsplan für Kritische Infrastrukturen (UP KRITIS) orientieren soll. Sicherheitsvorfälle sollen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Die Behörde wurde durch die Novellierung des BSI-Gesetzes aufgewertet und das Amt mit neuen und deutlich erweiterten Befugnissen für die Cybersicherheit ausgestattet. So hat das BSI nicht nur die nötigen Befugnisse für Sicherheitsmaßnahmen in den Regierungsnetzen erhalten, sondern darf auch öffentlich vor Sicherheitslücken in IT-Produkten warnen. Mit der Föderalismusreform II hat im Jahr 2009 durch Art. 91 c GG die Informationstechnik Einzug in die Verfassung gehalten. Ausfluss dessen ist der IT-Planungsrat. Um der rasanten Entwicklung der Internetbedrohungen begegnen zu können, sei, so Rogall-Grothe, in den Unternehmen vorausschauendes Handeln und staatlicherseits eine präventive Sicherheitspolitik nötig. Dieser Erkenntnis werde mit der Cyber-Sicherheitsstrategie Rechnung getragen. Kernpunkte dieser Strategie sind der verstärkte Schutz Kritischer Infrastrukturen vor IT-Angriffen, der Schutz der IT-Systeme in Deutschland, die Sensibilisierung der Bürgerinnen und Bürger, der Aufbau eines Nationalen Cyber-Abwehrzentrums sowie die Einrichtung eines Nationalen Cyber-Sicherheitsrates. Das Cyber-Abwehrzentrum ist eine Informationsplattform, ein Gremium für vernetzte Zusammenarbeit, an dem das BSI, das BKA, das BfV, das BBK, die Bundespolizei, das ZKA, der BND und die Bundeswehr beteiligt sind. Zukünftig sollen die über Betreiber Kritischer Infrastrukturen Aufsicht führenden Behörden hinzukommen. Teilweise fehle es, so Rogall-Grothe, aber auch noch auf Seiten der Wirtschaft an institutionellen Voraussetzungen für eine enge Zusammenarbeit. Als ein positives Beispiel führte Cornelia Rogall-Grothe die Versicherungswirtschaft an. Sie habe ein Krisenreaktionszentrum für IT-Sicherheit, kurz LKRZV, eingerichtet, das für die anlassbezogene Kommunikation zur Krisenfrüherkennung und die Kommunikation und Alarmierung zur Krisenbewältigung zur Verfügung stehe. Ähnliche brancheninterne Single Points of Contact bestünden bei den Sparkassen und den Geschäftsbanken, der Telekommunikationsbranche sowie den Internetprovidern. Solch eine Kontaktstelle gelte es in jeder Branche einzurichten, forderte Rogall-Grothe. Für den Staat sei die Gewährleistung von Freiheit und Sicherheit im Cyber-Raum eine moderne Form der Daseinsvorsorge im 21. Jahrhundert. Dieser Verantwortung müsse er gerecht werden. Zwar sei Selbstregulierung immer besser als Zwang durch staatliche Regulierung, aber wenn es um Leib und Leben oder das Funktionieren Kritischer Infrastrukturen gehe, sei staatliches Handeln im Zweifel nicht vermeidbar. Cornelia Rogall-Grothe ist Staatssekretärin im Bundesministerium des Innern und Beauftragte der Bundesregierung für Informationstechnik. Der vollständige Redetext steht hier zur Verfügung.

3 3 Michael Hange Vertrauen und Schutz der Bürger Neue Maßnahmen und Strategien lautete der Titel des Vortrags von Michael Hange, dem Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Kernthesen seiner Ausführungen waren: These 1: Mit der wachsenden IT-Durchdringung und IT-Vernetzung steigt gleichzeitig die Bedeutung der Cyber-Sicherheit. Ob GPS-Navigation, der RFID-Chip in der ÖPNV-Monatskarte oder das Auto selbst: Die IT begleitet uns schon morgens ganz selbstverständlich auf dem Weg zur Arbeit. Und auch privat sind IT und Internet Bestandteil unseres Lebens: 74,7 Prozent der Deutschen sind online und nutzen das Netz für verschiedenste private Zwecke. Mit der wachsenden IT-Durchdringung und IT- Vernetzung steigt gleichzeitig die Bedeutung der Cyber-Sicherheit. Denn fast alle IT ist heute mit dem Internet verbunden und die hohe Komplexität macht für viele Nutzer ihre IT schwerer überschaubar. Darüber hinaus haben Angreifer mit krimineller Motivation oder Spionagemotivation das Potenzial des Internets und der IT für sich entdeckt. These 2: Angriffe auf IT-Systeme werden mit aller Konsequenz durchgeführt. Angreifer führen ihre Attacken auf IT-Systeme mit aller Konsequenz durch. Für ihre Aktivitäten nutzen sie insbesondere Fehler in der von Menschen entworfenen bzw. programmierten Hard- und Software aus. Die Attraktivität von Schwachstellen ist derart gestiegen, dass sie sich in der Zwischenzeit zur Handelsware entwickelt haben. Die systematische Suche nach Schwachstellen findet in einer internationalen und arbeitsteilig organisierten Untergrundwirtschaft statt, um sie dann auf illegalen Marktplätzen verkaufen und mit 24/7-Support anbieten zu können. So verwundert es nicht, dass wir täglich 13 Schwachstellen in Standardprogrammen, neue Schadprogramme sowie infizierte Webseiten verzeichnen. Zu den Angreifern zählen Nachrichtendienste sowie organisierte Kriminelle, die es auf Firmen, Behörden und auch Privatpersonen abgesehen haben. In den letzten Wochen und Monaten hat sich der Kreis der Angreifer um das Phänomen der Hacktivisten erweitert. Auch die Qualität der Angriffe hat sich rasant weiterentwickelt: Die Schadsoftware Stuxnet, die Prozesssteuerungssysteme angriff, ist hier nur das prominenteste Beispiel. These 3: Cyber-Sicherheit fordert nicht nur den Staat. Durch die heutige Gefährdungslage und Komplexität der IT ist Cyber-Sicherheit zu einer Gemeinschaftsaufgabe geworden. Der Staat spielt hier insbesondere in seiner Freiheits- und Ausgleichsfunktion sowie seiner Schutzfunktion eine wichtige Rolle. Das BSI leistet mit Empfehlungen, Mindestanforderungen und Zertifizierung hierzu einen wichtigen Beitrag. Aber: Der Staat ist nicht alleinverantwortlich. Vielmehr bedarf es eines Zusammenspiels aller Akteure. Bei unseren Umfragen und Studien stellen wir immer wieder fest: Bewusstsein für das Thema Cyber- Sicherheit ist vorhanden, jedoch gibt es bei der Realisierung Optimierungspotenzial. Darüber hinaus wird - aufgrund der Komplexität der Technik - die Frage nach mehr Transparenz immer dringlicher. Neben der Eigenverantwortung der Nutzer spielen deswegen insbesondere Dienstanbieter und Hersteller eine zentrale Rolle, um Sicherheitsaspekte bereits frühzeitig in ihre Produkte zu integrieren. Letztendlich gilt für uns alle: Mehr Cyber-Sicherheit ist in unserer aller Sinn, denn der positive Mehrwert der IT gesellschaftlich und wirtschaftlich hängt davon ab, ob wir als Anwender und Nutzer Vertrauen haben. Wesentliche Basis dieses Vertrauen ist die Sicherheit. Michael Hange ist Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

4 4 Lutz Diwell Lutz Diwell stellte in seinem Vortrag Gemeinsame Verantwortung für Cybersicherheit ein strategischer Ansatz vor, wie Staat, Wirtschaft und Behörden gemeinsam an der Sicherheit des Internets arbeiten könnten. Zunächst identifizierte er verschiedene Risiken für die Sicherheit des Cyberraums (Internet und andere Netze), mit denen sich staatliche Sicherheitsbehörden, Wirtschaft, Wissenschaft und Politik auseinanderzusetzen haben. Diwells Erstanalyse im Bereich Wirtschaft ergab ein teilweise besorgniserregendes Bild: Er konstatierte eine fehlende Gesamtsicht, die der Zusammenführung sicherheitsrelevanter Informationen dienen könnte, etwa über Techniken und Typologien der Angriffe und der Angreifer. Die Erkenntnisse von Forschungseinrichtungen und von Behörden und Unternehmen würden nicht systematisch genutzt. Diwell forderte, feste Kommunikationswege zwischen Wissenschaft und staatlichen Sicherheitsbehörden sowie Wirtschaft zu etablieren. Als Möglichkeit zur Abhilfe entwarf Lutz Diwell eine Plattform Dialog Sicherheit im Netz, die die verantwortlichen Akteure vernetzen solle. Sie könne aus Ressourcen des Bundes gespeist, durch ein extern beauftragtes Konsortium unterstützt und durch einen Steuerungskreis Wissenschaft / Staat / Wirtschaft begleitet werden. Lutz Diwell ist Staatssekretär a.d. und Berater bei Roland Berger Strategy Consultants GmbH, Berlin. Seine Präsentation steht hier bereit zum Download. Mit seinem Vortrag Sicherheit im Produktionsumfeld - Der Fall Stuxnet beleuchtete Dr. Johann Fichtner, Siemens AG, die Sicht der Industrie auf die Thematik. Die Zahl entdeckter Schwachstellen in Industrie-Software wachse. Gründe hierfür seien in der wachsenden Nutzung von Cloud Computing oder dem verstärkten Einsatz von Mobilgeräten zu finden. Die Angriffspunkte seien vielfältig, so Fichtner: Mitarbeiter, Smartphones, Laptops, Arbeitsplatzrechner, Netzwerkinfrastruktur, Mobile Speichergeräte, Tablet-PCs, Rechenzentrum, Richtlinien, Drucker, Produktionssysteme. Neuerdings gerieten auch Industriesteuerungen in den Fokus von Attacken. Betreiber und Hersteller von Informationssystemen trügen eine hohe Verantwortung. für die Entwicklung von sicheren Produkten und Empfehlungen zu deren sicheren Betrieb. Industrial Security umfasst laut Fichtner nicht nur die technische Implementierung von Sicherheitsmaßnahmen, sondern beginnt mit dem Sicherheitsbewusstsein in allen Verwaltungsebenen und bei Angestellten. Sicherheitsaspekte müssten in allen Phasen des Produktlebenszyklus berücksichtigt werden. Letzten Endes sei IT-Sicherheit kein käufliches Produkt. Dr. Johann Fichtner ist Leiter Cyber Emergency Readiness Team (CERT) der Siemens AG. Seine Präsentation steht hier zum Download bereit. Prof. Dr. Jean-Pierre Seifert verdeutlichte in seinem Vortrag Sicherheit mobiler IT-Anwendungen Erhöhte Risiken und Nebenwirkungen?, dass mobile Endgeräte und die dazu gehörigen mobilen IT-Anwendungen immer stärker in den Rang einer Kritischen Infrastruktur hineinwüchsen. Handys alleine seien keine besonders komplexen Endgeräte und früher relativ geschlossene Systeme gewesen, was einen gewissen Schutz geboten habe. Dies habe sich mit dem mobilen Internetzugang drastisch geändert. Seifert erläuterte den grundsätzlichen Unterschied zwischen der Sicherheit von Smartphones und der Sicherheit herkömmlicher Betriebssysteme: Zunächst gebe es zahlreiche am System Mobile Telefonie beteiligte Akteure: Netzwerk-Provider, Gerätehersteller, App-Entwickler, Content-Anbieter, schließlich die Nutzer selbst. Erschwerend für eine konsistente Sicherheitsarchitektur kommt für Prof. Dr. Seifert die spezifische Benutzung von mobilen Endgeräten hinzu: Sie würden zunehmend für alle Geschäfts- und Privatzwecke verwendet.

5 5 Smartphones seien jedoch relativ einfach zu kompromittieren: Man-in-the-middle -Attacken, das vergleichsweise leichte Abhören von SMS-Verkehr und den Missbrauch sogenannter Femtozellen nannte Seifert als Beispiele. Femtozellen sind kleine Sende- und Empfangseinheiten für den häuslichen Bereich, die den Mobilfunk in den eigenen vier Wänden verstärken. Sie werden wegen ihrer positiven Eigenschaften auch von Netzbetreibern eingesetzt. Die Fähigkeit der Geräte, 3G-Verkehr quasi aufzuspüren, kann jedoch auch von Angreifern ausgenutzt werden. Dann besteht freier Zugang zu Mobiltelefonen und von dort wiederum auf Unternehmensnetzwerke mit sämtlichen Sicherheitsimplikationen. Prof. Dr. Jean-Pierre Seifert ist Leiter des Fachgebiets Security in Telecommunications an der TU Berlin und Leiter der Deutschen Telekom Laboratories, des Forschungs- und Entwicklungsinstituts der Deutschen Telekom. Der Ermittlungsarbeit bei Flash-Mobs, Botnets und weiteren Phänomenen näherte sich Helmut Picko vom LKA NRW. Flash Mobs oder Facebook- Partys seien als Internetphänomene kriminalistisch freilich von nachrangiger Bedeutung. Sie fielen in die Zuständigkeit der lokalen Ordnungsbehörden. Die echten Herausforderungen für die Polizei bestünden in der Cyberkriminalität, da sich die Ermittlungsarbeit schwierig gestalte und zudem rechtliche Regelungen fehlten. Ein weiteres Kriminalitätsphänomen, das erhebliche wirtschaftliche Schäden verursache, sei Phishing. Picko berichtete über Fahndungserfolge des LKA Baden-Württemberg in Kooperation mit dem LKA NRW im Fall Katusha, durch die präventiv Tausende Kreditkartendaten an geschädigte Banken übermittelt und Schäden verhindert werden konnten. An diesem Beispiel verdeutlichte Picko die Tendenz hin zu einer Kommerzialisierung, Internationalisierung, Professionalisierung und eventuell Radikalisierung von kriminellen Vereinigungen. Neue Ziele der Cyberkriminellen bestünden des Weiteren in Einrichtungen der Kritischen Infrastruktur. Als eine technische Herausforderung bezeichnete Picko das Cloud-Computing. Neue Bedrohungen stellten die LKAs vor organisatorische Probleme. Es müssten genügend Personal und Sachmittel zur Verfügung stehen. Picko benannte die rechtlichen Herausforderungen wie die Mindestdatenspeicherfrist. Auch müsse geklärt werden, ob die Quellen- TKÜ rechtens ist. Helmut Picko ist Leiter des Dezernats Wirtschaftsund Computerkriminalität im Landeskriminalamt Nordrhein-Westfalen.

6 IMPRESSUM: Herausgeber: Prof. Dr. Hermann J. Thomann Axel Dechamps Clemens Graf von Waldburg-Zeil Dr. Sandra Schulz V.i.S.d.P. Dr. Clemens Gause, Berlin Redaktion: Dr. Susanne Schubert, Berlin Matthias Köhler, Berlin Gestaltung: Galasix-Schack, Bodenheim b. Mainz Fotos: ZOES, Klaus Dombrowsky, Fotolia. Alle Angaben trotz sorgfältiger redaktioneller Betreuung ohne Gewähr. Die Artikel geben nicht unbedingt die Meinung der Herausgeber wieder. Alle Rechte vorbehalten, auch die Verbreitung durch elektronische Medien, durch Funk, Fernsehen, fotomechanische Wiedergabe, durch Tonträger jeder Art und durch auszugsweisen Nachdruck. Aus Gründen der besseren Lesbarkeit wurde auf die gleichzeitige Verwendung männlicher und weiblicher grammatischer Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten gleichwohl für beiderlei Geschlecht.