Finanzkrise, Griechenlandkrise, Eurokrise - steht auch eine ähnlich verheerende IT-Krise bevor? Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) der Informatiker Doktor Uwe Jendricke:
"IT-Krisen generell sind denkbar. IT ist ja inzwischen fast überall vorhanden, durchzieht eigentlich alle Infrastrukturen, natürlich auch die kritischen Infrastrukturen, Online-Banken zum Beispiel, aber auch Lebensmittelversorgung, Verkehr, Flugverkehr, die ganze Finanzwelt ist ja ohne IT nicht mehr denkbar. Wenn nun dort Komponenten ausfallen, dann fallen natürlich auch diese entsprechenden Prozesse aus und entsprechend dann die Dienste, die der Bürger nutzt oder auch andere Infrastrukturen nutzen, wären da nicht mehr verfügbar. Wenn so was im großen Stil stattfinden würde, dann müsste man von einer IT-Krise sprechen."
Wenn vieles oder gar alles zusammenbricht - wer rettet dann die IT-Infrastrukturen und spannt den Schutzschirm auf? Das BSI in Bonn?
"Alleine können wir da erstmal nur herzlich wenig ausrichten. Das ist eine Sache der Kooperation. Es wurde also auch erkannt, dass die Kommunikation die wichtigste Komponente ist im IT-Krisenmanagement. Und deswegen ist es das Ziel, die Betreiber zusammen mit den Regierungen ein gemeinsames Krisenmanagement entwickeln zu lassen. Und im Rahmen des Umsetzungsplanes KRITIS wird dieses gemeinsame Krisenmanagement aufgebaut. In einigen Teilen existiert es bereits. Es gibt im BSI ein Lagezentrum, was dann wiederum mit den ganzen Betreibern kommuniziert. Dort sind Notfallkontakte bekannt und es werden Übungen durchgeführt, also man bereitet sich auf die Reaktion auf eine zukünftige Krise vor."
Man bereitet sich vor. Seit etwa fünf Jahren erarbeiten BSI-Experten verstärkt Strategien zum Schutz vor Denial-of-Service-Attacken, Schad-Software, Cyberwar, Phishing, Computerkriminalität und Spionage. Wie bei der Feuerwehr werden Übungen durchgeführt, Übungen zum Schutz kritischer IT-Infrastrukturen. Was den IT-Sicherheits-Experten jedoch besondere Sorge bereitet: Die Internetkriminalität werde zunehmend professioneller, ein Trend, der sich fortsetzen werde, erwartet der Professor Max Mühlhäuser. An der TU Darmstadt leitet er das Laboratorium für Telekooperation. Ständig werden Fachkräfte ausgebildet, und mit ihnen steige auch die Zahl potenzieller Angreifer.
"Früher oder später sind wir an dem Punkt, vielleicht noch nicht heute, aus dem Grund, dass die wirklich breite Ausbildung von Experten auf der Seite der, die solche Angriffe planen würden, noch andauert. Das sind im Moment noch relativ einzelne Personen. Das wird sehr, sehr viel mehr werden. Und zweitens, weil wir noch uns weiterentwickeln darin, wie kritisch diese Infrastruktur für unser Leben und unseren Alltag wird."
Eine weitere Achillesferse sieht Mühlhäuser im Ubiquitous Computing, dem allgegenwärtigen Internet-Zugang, zum Beispiel mit Smartphones oder neuen Tablet-PCs. Mögliche Angreifer seien so ubiquitous wie ihre Geräte; mögliche IT-Guerillas lauerten überall. Außerdem gebe es nach Meinung des Darmstädter Informatikers eine deutliche Tendenz zum Auslagern von kritischen Bereichen der Informations- und Telekommunikationstechnologie aus Kostengründen. Auf redundante Systeme werde nun allzu oft verzichtet. Max Mühlhäuser:
"Der vielleicht kritischste Punkt ist der, dass wir das, was man so landläufig als kritische Infrastruktur bezeichnet, also unsere Verkehrsinfrastrukturen, Flug, Automobilverkehr, Straße, Schiene, das wir dort überall auf IT angewiesen sind. Und dieses Phänomen nimmt ganz, ganz erheblich zu, unter anderem deshalb, weil die Betreiber dieser Infrastrukturen immer mehr outsourcen."
Hinzu kämen schlechte Handhabbarkeit und undurchsichtige Warnungen. Dass beispielsweise für eine vorher funktionierende Smartphone-Anwendung plötzlich ein Passwort erfragt werde, oder dass ein ominöses Zertifikat nicht gültig sei. Kaum ein Anwender könne damit umgehen, so könne es nicht weitergehen, warnt Mühlhäuser. Und wirft ein zurzeit häufiges englisches Schlagwort in die Runde: resiliance. Was etwa so viel bedeutet wie Immunabwehr. Sicherheitskritische Netze sollten nicht komplett blockiert werden können und in die Lage versetzt werden, sich selbsttätig wehren zu können. Vor dem Hintergrund düsterer Trends und Prognosen gebe es auch positive Ansätze, meint der Mann vom BSI. Immer weniger werde die Gefahrenabwehr heute zentral und starr reguliert. Uwe Jendricke gibt der freien, freiwilligen Zusammenarbeit, auch genannt Public-Private-Partnership, den Vorzug. Damit habe man bisher die besten Erfahrungen gemacht, auf dass die ITK-Blase nicht platze!
"Eben je mehr sich das Vertrauensverhältnis aufbaut, desto mehr wird auch kooperiert, wird auch mal berichtet über interne Schwächen, ohne dass man gleich befürchten muss erst, dass das am nächsten Tag groß publiziert wird. Wir kommen bereits in eine vertrauensvolle Zusammenarbeit, die aber eigentlich freiwillig ist. Die Möglichkeiten gehen hier unserer Ansicht nach eigentlich weiter, als wenn man jetzt nur streng reguliert."
"IT-Krisen generell sind denkbar. IT ist ja inzwischen fast überall vorhanden, durchzieht eigentlich alle Infrastrukturen, natürlich auch die kritischen Infrastrukturen, Online-Banken zum Beispiel, aber auch Lebensmittelversorgung, Verkehr, Flugverkehr, die ganze Finanzwelt ist ja ohne IT nicht mehr denkbar. Wenn nun dort Komponenten ausfallen, dann fallen natürlich auch diese entsprechenden Prozesse aus und entsprechend dann die Dienste, die der Bürger nutzt oder auch andere Infrastrukturen nutzen, wären da nicht mehr verfügbar. Wenn so was im großen Stil stattfinden würde, dann müsste man von einer IT-Krise sprechen."
Wenn vieles oder gar alles zusammenbricht - wer rettet dann die IT-Infrastrukturen und spannt den Schutzschirm auf? Das BSI in Bonn?
"Alleine können wir da erstmal nur herzlich wenig ausrichten. Das ist eine Sache der Kooperation. Es wurde also auch erkannt, dass die Kommunikation die wichtigste Komponente ist im IT-Krisenmanagement. Und deswegen ist es das Ziel, die Betreiber zusammen mit den Regierungen ein gemeinsames Krisenmanagement entwickeln zu lassen. Und im Rahmen des Umsetzungsplanes KRITIS wird dieses gemeinsame Krisenmanagement aufgebaut. In einigen Teilen existiert es bereits. Es gibt im BSI ein Lagezentrum, was dann wiederum mit den ganzen Betreibern kommuniziert. Dort sind Notfallkontakte bekannt und es werden Übungen durchgeführt, also man bereitet sich auf die Reaktion auf eine zukünftige Krise vor."
Man bereitet sich vor. Seit etwa fünf Jahren erarbeiten BSI-Experten verstärkt Strategien zum Schutz vor Denial-of-Service-Attacken, Schad-Software, Cyberwar, Phishing, Computerkriminalität und Spionage. Wie bei der Feuerwehr werden Übungen durchgeführt, Übungen zum Schutz kritischer IT-Infrastrukturen. Was den IT-Sicherheits-Experten jedoch besondere Sorge bereitet: Die Internetkriminalität werde zunehmend professioneller, ein Trend, der sich fortsetzen werde, erwartet der Professor Max Mühlhäuser. An der TU Darmstadt leitet er das Laboratorium für Telekooperation. Ständig werden Fachkräfte ausgebildet, und mit ihnen steige auch die Zahl potenzieller Angreifer.
"Früher oder später sind wir an dem Punkt, vielleicht noch nicht heute, aus dem Grund, dass die wirklich breite Ausbildung von Experten auf der Seite der, die solche Angriffe planen würden, noch andauert. Das sind im Moment noch relativ einzelne Personen. Das wird sehr, sehr viel mehr werden. Und zweitens, weil wir noch uns weiterentwickeln darin, wie kritisch diese Infrastruktur für unser Leben und unseren Alltag wird."
Eine weitere Achillesferse sieht Mühlhäuser im Ubiquitous Computing, dem allgegenwärtigen Internet-Zugang, zum Beispiel mit Smartphones oder neuen Tablet-PCs. Mögliche Angreifer seien so ubiquitous wie ihre Geräte; mögliche IT-Guerillas lauerten überall. Außerdem gebe es nach Meinung des Darmstädter Informatikers eine deutliche Tendenz zum Auslagern von kritischen Bereichen der Informations- und Telekommunikationstechnologie aus Kostengründen. Auf redundante Systeme werde nun allzu oft verzichtet. Max Mühlhäuser:
"Der vielleicht kritischste Punkt ist der, dass wir das, was man so landläufig als kritische Infrastruktur bezeichnet, also unsere Verkehrsinfrastrukturen, Flug, Automobilverkehr, Straße, Schiene, das wir dort überall auf IT angewiesen sind. Und dieses Phänomen nimmt ganz, ganz erheblich zu, unter anderem deshalb, weil die Betreiber dieser Infrastrukturen immer mehr outsourcen."
Hinzu kämen schlechte Handhabbarkeit und undurchsichtige Warnungen. Dass beispielsweise für eine vorher funktionierende Smartphone-Anwendung plötzlich ein Passwort erfragt werde, oder dass ein ominöses Zertifikat nicht gültig sei. Kaum ein Anwender könne damit umgehen, so könne es nicht weitergehen, warnt Mühlhäuser. Und wirft ein zurzeit häufiges englisches Schlagwort in die Runde: resiliance. Was etwa so viel bedeutet wie Immunabwehr. Sicherheitskritische Netze sollten nicht komplett blockiert werden können und in die Lage versetzt werden, sich selbsttätig wehren zu können. Vor dem Hintergrund düsterer Trends und Prognosen gebe es auch positive Ansätze, meint der Mann vom BSI. Immer weniger werde die Gefahrenabwehr heute zentral und starr reguliert. Uwe Jendricke gibt der freien, freiwilligen Zusammenarbeit, auch genannt Public-Private-Partnership, den Vorzug. Damit habe man bisher die besten Erfahrungen gemacht, auf dass die ITK-Blase nicht platze!
"Eben je mehr sich das Vertrauensverhältnis aufbaut, desto mehr wird auch kooperiert, wird auch mal berichtet über interne Schwächen, ohne dass man gleich befürchten muss erst, dass das am nächsten Tag groß publiziert wird. Wir kommen bereits in eine vertrauensvolle Zusammenarbeit, die aber eigentlich freiwillig ist. Die Möglichkeiten gehen hier unserer Ansicht nach eigentlich weiter, als wenn man jetzt nur streng reguliert."