EU-Cyber-Manöver Kaffee statt Katastrophen

Wie steht es um die Cyber-Sicherheit, wie angreifbar sind die EU-Staaten durch Netzattacken? Ein internationales Cyber-Manöver sollte diese Frage beantworten. Das klingt dramatisch - doch die europäische Version der Cyberwar-Übung entpuppt sich als Trockenübung in netter EU-Atmosphäre.

Von

ENISA

Davon hatten sich die Anwesenden mehr versprochen. Udo Helmbrecht, der frühere Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und heute an der Spitze von Europas IT-Sicherheitsorganisation Enisa, erläuterte am Mittwoch in Berlin den Ablauf des ersten EU-weiten Cyber-Manövers. Doch statt der erwarteten Szenarien von Cyber-Katastrophen und Hacker-Attacken beschrieb Helmbrecht etwas ganz anderes von dem Treffen, bei dem eine Woche zuvor fünfzig IT-Experten aus ganz Europa miteinander einen großen Internet-Ausfall simuliert haben. Europas erstes Cyber-Manöver war kein High-Tech-Event, sondern eine bessere Kennenlernrunde, verteilt über drei Räume.

In einem davon saß die Manöverleitung vor einer großen Landkarte und knipste nach einem zuvor festgelegten Ablaufplan Internetverbindungen, die auf der Karte als bunte Linien zwischen den Ländern angezeigt wurden, an und aus - natürlich nur virtuell. Die 22 Experten-Teams im Zimmer nebenan hatten nun die Aufgabe zu bewältigen, ihre Länder mit Hilfe der anderen Teams wieder ans Netz zu bekommen. Im dritten Raum schließlich schauten Beobachter dem bunten Treiben entspannt Kaffee trinkend zu.

Das also war der krönende Abschluss eines Manövers, das schon im Januar 2010 mit Workshops vorbereitet worden war. Und dessen Hauptziel es war, die Kommunikation zwischen den EU-Mitgliedstaaten zu verbessern und Schwachpunkte zu identifizieren.

Vorab-Analyse: Vorsichtig optimistisch

Die endgültige Auswertung des Planspiels wird noch bis Anfang nächsten Jahres dauern, Enisa-Direktor Helmbrecht versucht sich dennoch bereits an einer vorsichtigen Analyse: "Ich glaube, wir können optimistisch sein. Bis jetzt ist uns nichts aufgefallen, weswegen man sich Sorgen machen müsste."

Kann man also nach den pessimistischen Schätzungen im Vorfeld der Übung aufatmen, wonach Europa im Ernstfall monatelang offline sein könnte? "Ich habe persönlich ein besseres Gefühl, weil wir zwei Dinge gezeigt haben: Die Infrastruktur und die Kommunikation funktionieren" - von den technischen Bedingungen war nie die Rede.

Doch was Helmbrecht in Berlin zur Cyber-Übung sagt, ist weit weniger interessant, als seine flankierenden Kommentare. Sie zeigen, wie weit am Anfang die EU noch mit ihren Bemühungen um ein Sicherheitskonzept zum Schutz der kritischen Informations-Infrastrukturen steht. Das bringt Enisa-Direktor Helmbrecht demütig selbst auf den Punkt: "Es war schon ein riesiger Erfolg, so viele Menschen überhaupt an einen Tisch zu bekommen."

Ein weiter Weg

Erst 2009 hat die EU die Gefahren aus dem Netz entdeckt und beschlossen, im Rahmen der " Digitalen Agenda" mehr für die IT-Sicherheit im europäischen Raum zu tun. Etwa die teils erheblichen Entwicklungslücken zwischen den EU-Ländern zu schließen. Deutschland ist im EU-Vergleich ein Vorreiter, führt seit Jahren Cyber-Übungen durch.

Aber es fehlt an so vielem, auf so vielen Ebenen: An klaren Hierarchien, aber auch an Feinheiten wie einem einheitlichen Adressbuch. Wer kann, muss, darf wen im Krisenfall um Hilfe bitten? "Man mag meinen, das ist einfach", sagt Enisa-Direktor Helmbrecht: "Aber wir wussten nicht, ob unser Namens- und Adressverzeichnis funktioniert, wenn man es braucht."

Immer noch fehle es an klaren Regelungen, etwa ob ein Hacker-Angriff ein Fall für die Geheimdienste (E-Spionage), die Polizeidienste (Online-Kriminalität) oder das Militär (Cyber-Terrorismus und staatliche Hacks) ist. Wohin solche Unklarheiten führen, zeigte der Angriff russischer Hacker auf Estlands E-Regierungssysteme 2005. Helmbrecht: "Da steht dann plötzlich der Nato-Bündnisfall nach Artikel 5 im Raum! Typische Panik, politisch wie medial."

Wirrwarr

Ein anderer Knackpunkt: In der EU hat man mit Sprachproblemen zu kämpfen. 23 offizielle Sprachen und ein IT-Englisch, das mancher Engländer nicht versteht. Wie soll man die Strukturen und Hierarchien der anderen Länder verstehen, wenn man sich nicht mal in der Sache versteht - und es einem auch sonst schwer gemacht wird: Pro EU-Land, so Helmbrecht, gebe es fünf bis 16 im Krisenfall relevante Institutionen. Teilweise tragen die auch noch identische Namen, haben aber unterschiedliche Verantwortlichkeiten. In manchen Ländern gehört die IT-Struktur traditionell ins Tourismus-Ressort, in anderen zum Verkehrs-, in dritten zum Kommunikationsministerium. Wenn man das nicht versteht, erklärt der Enisa-Chef, dann weiß man auch nicht, wen man im Notfall kontaktieren soll.

"Was uns fehlt, ist, dass wir nicht in jedem Mitgliedsland eine nationale IT-Sicherheitsstrategie haben", so Helmbrecht. Und dass diese Strategien, wenn vorhanden, ausreichend harmonisiert sind.

Hilfe beim digitalen Erwachsenwerden

Die EU-Neulinge und IT-Problemkinder Bulgarien und Rumänien wollten an der Veranstaltung nur als passive Beobachter teilnehmen. Schuldzuschreibungen will Helmbrecht keine machen: Es gebe meist historische Gründe für das IT-Versagen mancher Länder, manche seien schlicht zu klein; gerade, wenn sie keine eigene IT-Industrie haben. Aufgabe der Enisa sei es, solchen Ländern zu helfen.

Und diese Hilfe beginnt bei den Grundlagen und im Kleinen. Mit Cyber-Manövern, die eher an Rollenspiele als an internationale Krisenübungen erinnern. Deren Ziel es ist, ein besseres Verständnis und Vertrauen und ein Gefahrenbewusstsein unter den Akteuren zu bilden.

Vielleicht gibt es dann irgendwann auch so spektakuläre Manöver wie in den Vereinigten Staaten. Dort spielen Behörden unter Leitung des Heimatschutzminsteriums für ein Millionenbudget (unter Einbezug des privaten Sektors) Großmanöver mit konkreten Angriffsszenarien durch. Aber bis dahin ist Europa eben ein bunter Haufen, der teilweise nur lose durch ein gemeinsames Protokoll und viel guten Willen zusammengehalten wird - ganz wie das Internet.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 5 Beiträge
Alle Kommentare öffnen
Seite 1
avollmer 13.11.2010
1. Beispielhaft ...
... für den organisierten Selbstbetrug, das sich-in-die-Tasche-lügen. Ein Sandkastenspiel ohne Realitätsbezug, das Militär sollte sich ein Beispiel daran nehmen und für das nächste Nato-Frühjahrsmanöver eine Großpackung Playmobil anschaffen oder einen Domino-Day veranstalten. Das lässt sich auch effektiver und aussagekräftiger gestalten.
KnokeF 13.11.2010
2. Kommunikaton statt Technik
Zitat von avollmer... für den organisierten Selbstbetrug, das sich-in-die-Tasche-lügen. Ein Sandkastenspiel ohne Realitätsbezug, das Militär sollte sich ein Beispiel daran nehmen und für das nächste Nato-Frühjahrsmanöver eine Großpackung Playmobil anschaffen oder einen Domino-Day veranstalten. Das lässt sich auch effektiver und aussagekräftiger gestalten.
Wie geschrieben: Das Manöver war ein besseres Kennenlernspiel - um Institutionen, Personen und Abläufe in anderen EU-Ländern zu verstehen. Ohne dieses Verständnis braucht es auch keine "Militärübung".
aladin Bourne 13.11.2010
3. Beim Militär gibt es auch kein kennenlernen!
Bei einem Ernstfall beim Militär gibt es auch keine Kennenlernrunde im Vorfeld. Da hat einfach jedes Rädchen ineinander zu greifen. Da ist es auch egal aus welchem Land die kommen. Die einzelnen Aufgaben werden erfüllt. Vieleicht sollten die Leute erst mal auf ihre Aufgaben vorbereitet werden und dann eine Simulation abgehalten werden , anstatt bei einer netten Kaffeerunde über den vernetzten PC ein wenig zu spielen. Für mich ist das einfach ein Zeichen da da jemand das sagen hat der keinen Schimmer von Struckturen hat. Wieder mal sehr viel Steuergelder verpulvert für eine pseudo Kacke die nichts gebracht hat.
MarkusKrawehl, 13.11.2010
4. Nur ein Ziel
Ach wie süß, hat man sich in der Kennenlernrunde nen flauschigen Ball zugeworfen und gegenseitig erzählt, wer man ist und was man "mitnehmen" möchte. Naja - hauptsache es gibt rein formal ein Grund, wenn polnische Nationalisten oder baltische SS-Verehrer sich über einen angeblichen, russischen Netz-Angriff beklagen. Dann kann man ganz rechtmäßig den Finger auf den Knopf liefern und die Beweise für die Ursache des ganzen liefert eine Textdatei....
derfflingert, 13.11.2010
5. 16:26
Zitat von sysopWie steht es um die Cyber-Sicherheit, wie angreifbar sind die EU-Staaten durch Netzattacken? Ein internationales Cyber-Manöver sollte diese Frage beantworten. Das klingt*dramatisch - doch die europäische Version der Cyberwar-Übung entpuppt sich als Trockenübung in netter EU-Atmosphäre. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,728759,00.html
Es hat doch wohl niemand, der seine Sinne beisammen hat, etwas anders erwartet? D
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.