Zentrum gegen Web-Attacken Die unmögliche Mission der Cyber-Wächter

Im neuen Cyber-Abwehrzentrum der Regierung arbeiten erstmals IT-Spezialisten von Ministerien, Geheimdiensten und Polizeibehörden zusammen. Schon zu Beginn hagelt es aber Kritik am Konzept. Zu Recht?

Von , Bonn

REUTERS

Zahlen sind eine tolle Sache: Man kann mit ihnen beeindrucken, schockieren, argumentieren. Fallbeispiele sind noch besser. Sie machen die vermeintlich abstrakte Bedrohung konkret, dokumentieren die Notwendigkeit, tätig zu werden.

Bundesinnenminister Hans-Peter Friedrich (CSU) hatte zur feierlichen Eröffnung des Nationalen Cyber-Abwehrzentrums Zahlen und Fallbeispiele mitgebracht nach Bonn-Mehlem. Hartmut Isselhorst, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Leiter der Abteilung 1, Sicherheit in Anwendungen, kritischen Infrastrukturen und im Internet, sowie sein Chef Michael Hange hatten noch mehr dabei: Sie berichteten von der Flut virenbefallener Websites, Spam- und Spearphishing-Angriffen, Denial-of-Service-Attacken, Wirtschaftsspionageaktionen und Cyberangriffen nicht benannter Nationen.

Alle zwei bis drei Sekunden, hieß es, werde eine neue Schadsoftware-Variante auf die Netz-Nutzer losgelassen - 30.000 am Tag. Vier bis fünfmal am Tag erfolge ein ganz gezielter Angriff auf einen Server des Bundes - das meiste dürfte versuchte Spionage sein. Was in dieser Situation deshalb dringend nötig sei, legte Friedrich dar, sei eine nationale Cyber-Abwehr.

Und die residiert nun im Bonner Stadtteil Mehlem in einem bunkerhaft kühlen Zweckbau des BSI, der einst dem Bundesnachrichtendienst (BND) gehörte. Interessant ist das deshalb, weil es zeigt, wie alt das ganze Thema grundsätzlich ist: Früher saßen dort an der Mainzer Straße IT-Spezialisten des Geheimdienstes, die für die Verschlüsselung elektronischer Kommunikation zuständig waren.

Das Abwehrzentrum ist vor allem eine Informationsaustauschplattform, die den "Schutz besser koordinieren" soll, wie Isselhorst erklärt. Seine Abteilung beim BSI gehört zu den Sammlern und Analysten im Hintergrund, die ihre Daten nun optimiert mit anderen Behörden tauschen sollen. Wer das mit nur zehn Planstellen ausgestattete Cyber-Abwehrzentrum als viel zu kleine Struktur belächelt, es gar als Kaffeeklatsch-Veranstaltung oder rein symbolische Polit-PR missversteht, übersieht die Strukturen dahinter: Kommunikation verhindert unter anderem doppelte Arbeit. Gerade wenn grundsätzlich nötige Strukturen viel zu dünn ausgebaut sind, ist schon das wertvoll.

Isselhorsts IT-Expertentruppe zum Beispiel hat zurzeit 120 Planstellen, der weitere Ausbau läuft. Alle am neuen Abwehrzentrum beteiligten Behörden - dazu gehören das BSI, das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), daneben nun auch das Bundeskriminalamt (BKA), die Bundespolizei (BPol), das Zollkriminalamt (ZKA), der BND sowie die Bundeswehr als assoziierte Behörden - verfügen über eigene IT-Sicherheitsstrukturen.

All das ist natürlich weder viel, noch genug, um dem Anspruch einer Cyber-Abwehr auch nur annähernd nahe zu kommen. Jeder florierende IT-Sicherheitssoftware-Entwickler hat mehr IT-Cracks in seinen Diensten als irgendeine dieser Behörden und Organisationen. Nicht wenige Kritiker verweisen derzeit darauf, dass auch die Kompetenz in diesem Themenfeld nicht unbedingt häufig verbeamtet ist. Man kann das Abwehrzentrum also auch als Maßnahme zur Abmilderung von Defiziten bei den beteiligten Behörden verstehen.

Schon die Bezeichnung Cyber-Abwehrzentrum sorgt für Kritik. Es ist ein nach Action-Thriller klingender Name. Es kann die Abwehr, die es im Namen trägt, natürlich nicht leisten, sondern nur den Kommunikationsaustausch effektiver machen - und so ist das auch gedacht. Das Zentrum ist kein Schutzschild, kein Ort der Befehlsgewalt, sondern eine ständige Konferenz, die Lageeinschätzungen liefern, gemeinsame Konzepte entwerfen und Übungen koordinieren soll. Entscheiden und handeln müssen dann wieder andere.

Wer eine notwendige Arbeit verrichtet, muss nicht hochstapeln

Würde man das klar genug sagen, gäbe es weniger Unkenrufe. Einen BSI-Korridor mit vier, fünf Büros, in denen jeweils zwei bis drei nette, Anzug tragende Beamte sitzen, zur 24 Stunden arbeitenden IT-Sondereinsatztruppe hochzujazzen, wirkt kontraproduktiv. Zumal zumindest einige der Beamten dort überhaupt keine Informatiker, keine IT-Fachleute sind: Ihre Aufgabe ist ja auch eher die Koordination von Kommunikation.

Friedrich lässt in seiner Eröffnungsrede dagegen das Wort "Prävention" fallen, und natürlich ist auch das Unsinn. Wirklich gefährliche Cyber-Bedrohungen erkennt man daran, dass man sie zunächst nicht erkennt. Die Suche nach ihnen ist zumeist eine forensische Aufgabe: Ist da wer eingedrungen? Wurde da was sabotiert? Und wer steckt dahinter? Beim BKA wird man sich künftig womöglich über entsprechende Analysen des BSI freuen - die Piratenpartei hat sich schon kritisch zur drohenden Aufgabenvermengung geäußert.

Prävention beschränkt sich derweil darauf, eine Infrastruktur so gut es eben möglich ist zu sichern. In der Praxis wird eine echte Cyber-Abwehr sich um all das kümmern müssen, was Prävention nicht verhindert hat.

Die geschieht auf anderen Ebenen. Zu Prävention kann man mahnen, man kann Best-Practise-Beispiele geben, wie das die meist regierungsunabhängigen Computer Emergency Response Teams (CERT) seit Jahren tun. Auch das BSI unterhält zwei davon, mit unterschiedlichem Fokus. Oder man verpflichtet die Betreiber wichtiger und kritischer Infrastrukturen zur Einhaltung von Mindeststandards. Selbst beim BSI zeigt man sich überzeugt, dass Information besser wirke als "Vorschriften". Vielleicht geschieht so etwas trotzdem irgendwann. Innenminister Friedrich lässt die Möglichkeit offen, vielleicht wird also einmal eine entsprechende Rechtsbasis geschaffen - denn die gibt es ja derzeit noch gar nicht. Im Klartext: Was das angeht, ist das Abwehrzentrum zahnlos.

Allgegenwärtige Bedrohung? Klar, wir sind sogar Teil davon

So hat sich das Abwehrzentrum unter anderem den Schutz von Strukturen auf die Fahnen geschrieben, die gar nicht zu seinem direkten Einflussbereich gehören - über 80 Prozent der sogenannten kritischen Infrastrukturen (im Amtsdeutsch "Kritis") sind privatwirtschaftlich organisiert.

Über 140 Staaten sollen derweil schon über Cyber-Einheiten verfügen. In der Praxis kann man kriegerische Aktionen solcher Gruppen kaum von Industriespionage oder von Teenie-Vandalismus unterscheiden. "Aus Sicht des BSI", meint dazu Hartmut Isselhorst treffend, "ist es nicht entscheidend, wer da angreift, sondern dass angegriffen wird."

Das ist so pragmatisch wie realistisch. Es zeichnet die - ja noch immer theoretische! - Bedrohung des "Cyberwar" ja gerade aus, dass der Aufwand für potentiell gefährliche Attacken so niedrig ist, dass auf diesem Wege auch vermeintlich Schwache einen Riesen angreifen können. Man benötigt eben keine Cyber-Schurkenstaaten oder Terroristen, die einen virtuellen Krieg beginnen könnten, um klar zu machen, das ein vernetzter Staat eine Cyber-Abwehr braucht - wir brauchen die seit langem.

Die effektivste Prävention ist Information

Geleistet wird Cyber-Abwehr bisher vor allem von der Wirtschaft, so gut die das hinbekommt. Und gerade die Kritis-Betreiber, sagt Isselhorst, "sind sich ihrer Verantwortung in der Regel schon sehr bewusst". Natürlich schützten etwa Kraftwerkbetreiber ihre Netze, trennten die wichtigen ab vom Internet. Vor unachtsamen Angestellten, die per Musik-USB-Stick Stuxnet einschleppen, schütze aber auch das nicht.

Das zeigt: Die effektivste Prävention ist Information. Der Staat versucht seit Donnerstag, das in Bezug auf seine eigenen Infrastrukturen besser hinzubekommen. Dass dabei Geheimdienste und Polizeibehörden mit der Armee und Ministerien kooperieren, sorgt für mulmige Gefühle. Ob die berechtigt sind, hängt davon ab, welche Art von Daten denn nun über diese Informationsplattform fließen sollen. Vorerst ist das nur das, was kooperativ eingebracht wird: Erkenntnisse über Angriffe und Methoden, die zur Verteilung an die angeschlossenen Behörden und mitunter auch nach außen, etwa an die Wirtschaft, gedacht sind.

So etwas gab es bisher auch schon - es gehört zum originären Auftrag des BSI. Hier aber ergibt sich laut Isselhorst eine erste konkrete Änderung durch die Effektivierung der Kommunikation: "Das BSI hat keine Befugnisse bei der Strafverfolgung."

Genau diese angedeutete Möglichkeit einer eng verzahnten Kooperation von Polizei, Geheimdiensten, Armee und Behörden aber dürfte noch für Widerspruch sorgen - bisher hat man das Abwehrzentrum weder im Bundestag, noch im Gespräch mit den Ländern thematisiert. Was das Abwehrzentrum also dringend braucht, ist nicht nur ein weniger pompöser Name, sondern vor allem ein klar definierter Auftrag, der auch die Grenzen der Kooperation dort klarmacht.



© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.