Cybersicherheit: Wenn du keinen Krieg willst, rüste für den Frieden

Sind Stuxnet & Co heiße Luft, Marketing oder eine echte Bedrohung? (Foto: Eugene Kaspersky, CC BY-NC-SA 2.0)

Sind Stuxnet & Co. heiße Luft, Marketing oder eine echte Bedrohung? (Foto: Eugene Kaspersky, CC BY-NC-SA 2.0)

Hacker haben bei der Kurznachrichtenbörse Twitter Daten von 250.000 Nutzern gestohlen. Vermeintlich chinesische Angreifer haben sich über Monate in die Netze der New York Times und der Washington Post eingeschmuggelt. Eine Bande von Kreditkartenbetrügern hat über das Netz fast 150 Millionen Euro erbeutet. Die Schlagzeilen der letzten Tage zeigen: Mit der Sicherheit ist es im Internet nicht zum Besten bestellt.

Die Europäische Union will sich nun endlich mit einer gemeinsamen Strategie gegen Angriffe aller Art schützen. Denn nicht nur Kriminelle nutzen Computer zu Angriffen, auch Staaten haben den  “Cyber Warfare”, die digitale Kriegsführung längst entdeckt. Die NATO sieht bei digitalen Angriffen auf die Infrastrukturen eines Landes Grund genug, einen Bündnisfall auszurufen: Ein Angriff per Datenleitung könnte Vergeltung mit Bomben und Bodentruppen provozieren.

Der unsichtbare Krieg

Ob es den “Cyber-Krieg” überhaupt schon gibt, ist aber keineswegs klar. Zwar rüsten sich Armeen – wie auch die Bundeswehr – für den Ernstfall und planen, wie man einen Gegner mit digitalen Waffen schädigen kann. Wissenschaftler wie das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung warnen vor einer grassierenden Aufrüstung des Internets. Doch wie realistisch die Pläne sind, ist noch unklar. Denn ernsthafte Attacken von Staaten auf lebenswichtige Infrastrukturen sind bisher nicht bekannt geworden.

Selbst aufsehenerregende Attacken – wie zum Beispiel während des Kriegs 2008 in Georgien – taugen nicht als Anschauungsbeispiele. Denn bis heute ist weder klar, wer hinter den Angriffen steckt, noch wurden damals wirklich essentielle Infrastrukturen geschädigt. Auch zwei Viren-Infektionen in US-Kraftwerken Ende 2012 konnten nicht als gezielte Angriffe identifiziert werden.

Der ernsthafteste öffentlich bekannte Angriff scheint bisher der Stuxnet-Schadprogramm zu sein, das angeblich von Israel und den USA zur Sabotage iranischer Uranverarbeitungsanlagen eingesetzt wurde. Die Attacke wäre wohl niemals bekannt geworden, wäre es nicht zu einem Zwischenfall gekommen: Die Schadsoftware verbreitete sich unkontrolliert und befiel Steuerungsanlagen außerhalb des Iran – auch im Westen.

Schwachstellen überall

Die Episode zeigt: Niemand ist bisher wirklich vor gezielten Angriffen gefeit, weil das Sicherheitsniveau in vielen Bereichen schlichtweg zu gering ist. “Sicherheitslücken sind derzeit das größte Problem”, erklärt der Europa-Abgeordnete Jan Philipp Albrecht (Grüne) im Gespräch mit ZDF Hyperland.

Denn dass ein Schadprogramm versehentlich wichtige IT-Infrastruktur beschädigt, ist angesichts der grassierenden Sicherheitslücken nicht unwahrscheinlich. So konnte der US-Hersteller Oracle schwere Sicherheitslücken in der quasi überall verbreiteten Software Java erst nach Wochen vollständig schließen.

Albrecht findet, dass es an der Zeit ist nicht mehr nur die Verfolgung von Hackern als Mittel zur Erhöhung der IT-Sicherheit heranzuziehen, sondern auch die IT-Wirtschaft in die Pflicht nehmen sollte. Die Hersteller von Software und die Betreiber von IT-Systemen sollen endlich in die Pflicht genommen werden, ihre Produkte sicher zu machen. “Dazu braucht es Sanktionen”, sagt Albrecht. Unternehmen müssten nicht nur mit Strafen rechnen, wenn es zu einem Schaden gekommen ist, sondern schon vorher zur Verbesserung der Sicherheit verpflichtet werden.

Doch bei der Industrie sind solche Regulierungsversuche verpönt. So verwahrte sich der Branchenverband Bitkom vor kurzem schon gegen das Vorhaben, Unternehmen zur Offenlegung erfolgter Angriffe zu verpflichten. Zu groß ist die Sorge, dass diese Berichte dem Image der Firmen schaden könnten.

Unterdessen hat die Deutsche Telekom, einer der größten Betreiber von IT-Systemen in Deutschland, die Notwendigkeit von drastisch steigenden Anstrengungen der deutschen Wirtschaft eingesehen, um ihre eigene Sicherheit zu verbessern. Dabei sieht der Konzern auch eine Meldepflicht als notwendiges Übel.

(Das ZDF ist für den Inhalt externer Internetseiten nicht verantwortlich)

Autor: Torsten Kleinz

Autorenbild

Torsten Kleinz ist freier Journalist und Blogger aus Köln. Seine Kernfrage: Was macht das Netz mit uns und was machen wir mit dem Netz?
Alle Beiträge von Torsten Kleinz anzeigen