Wikileaks: Ein Desaster für die IT-Nation USA

Dass Informationen, die US-Botschafter an ihr Außenministerium in Washington gekabelt haben, nun im Internet nachzulesen sind, ist nicht nur ein diplomatisches Problem. Es ist auch ein kleines Desaster für die IT-Nation USA.

Wie funktioniert die Datenbank, aus der die Daten kopiert worden sind?

2,5 Millionen US-Beamte und -Soldaten haben Zugriff auf ein System, das eigentlich konzipiert worden ist, um möglichst wenig anfällig für Angriffe von außen zu sein. Das Pentagon ordnete im September 1991 den Aufbau des Secret Internet Protocol Router Networks (SIPRNet) an. In diesem geheimen Netzwerk sollten Dokumente des Außen- und Verteidigungsministeriums bis zur zweithöchsten Geheimhaltungsstufe sicher übermittelt werden.

Warum ist das System so offen aufgebaut?

Über die Verteidigungspolitik heißt es, eine Crux sei, dass sich die Militärs meist auf die falschen Gefahren vorbereiteten. Da sie nicht in die Zukunft sehen können, orientieren sich ihre Abwehrplanungen an den Fehlern und Erfolgsstrategien vergangener Kriege. Doch der nächste Konflikt wird dann oft von ganz anderen Faktoren bestimmt als den angenommenen. Ähnlich geht es nun den USA bei der Analyse, wie es dazu kommen konnte, dass rund 250 000 vertrauliche Diplomatenberichte in die Öffentlichkeit gelangten. Auch das ist die Folge der bisherigen Abwehrstrategie und ihrer Kehrseite.

Erstens hatten sich die USA dagegen gewappnet, dass Hacker in ihre geschützten Datensysteme eindringen. Der tatsächliche Angriff kam jedoch nicht von außen, sondern von innen. Die Depeschen wurden, soweit man weiß, von einer Person an Wikileaks geleitet, die legalen Zugang zu den Berichten hatte.

Zweitens erscheint der Personenkreis mit Zugangsberechtigung aus heutiger Sicht, nachdem der Schaden entstanden ist, ungewöhnlich groß. Doch genau das war die Absicht, um nach 2001 ein anderes Sicherheitsproblem zu lösen. Denn der Kongress kam in seinem Bericht über den Terrorangriff auf die USA am 11. September 2001 zu dem Schluss, dass der Informationsaustausch zwischen Strafverfolgern, Geheimdiensten und Ministerien nicht richtig funktioniert hat. Die nötigen Hinweise auf den Plan und die Täter lagen vor – verstreut auf verschiedene Ämter und Dienste. Wären diese Puzzlestückchen rechtzeitig zusammengefügt worden, wäre das Bild klar gewesen: viele Muslime, die das Steuern großer Passagierjets an amerikanischen Flugschulen erlernen wollen, dabei aber wenig Wert auf Starts und Landungen legen. In der Konsequenz kamen bereits Ex-Präsident George W. Bush und seine Berater zu dem Ergebnis, sicherheitsrelevante Informationen müssten breiter ausgetauscht werden. Deshalb haben heute Millionen Staatsbedienstete Zugang zu vertraulichen Botschaftsberichten.

In den neun Jahren seit 9/11 schien sich das Problem fortzusetzen. Trotz der Veränderungen klappten der Austausch von Informationen und ihre koordinierte Auswertung zur Terrorabwehr nicht so effektiv wie geplant. Als Weihnachten 2009 der Anschlag auf ein US-Flugzeug nur mit viel Glück scheiterte, weil es dem Täter misslang, den in der Unterwäsche versteckten Plastiksprengstoff zu zünden, wirkte das wie ein Déjà-vu. Der Vater des jungen Nigerianers hatte die US-Botschaft vor seinem Sohn gewarnt. Geheimdienste hatten Hinweise aus dem Jemen, wo der Mann untergetaucht war, über ein geplantes Attentat aufgefangen. Erneut lautete der Schluss, man müsse den Informationsaustausch erweitern. Nun erleben die USA die Kehrseite dieser Strategie: Wenn zu viele Menschen Zugang zu vertraulichem Material haben, wächst die Gefahr von „Leaks“. Jetzt wird der Personenkreis mit Zugriff verkleinert. Die Verbindung zwischen der Datenbank des Außenministeriums und dem SIPRNet wurde vorübergehend abgeklemmt.

Kann es auch im deutschen System zu solchen Lecks kommen?

Unmöglich ist es im Prinzip nicht. Wenngleich die Hürden vor allem im Auswärtigen Amt (AA) etwas größer sind. Dort gibt es zwei voneinander getrennte Kommunikationskanäle: das Internet und das Intranet. Das Intranet ist sozusagen nur für den internen Datenverkehr da. Und der Mehrzahl der AA-Mitarbeiter ist es außerdem nicht möglich, ein externes Speichermedium, also einen USB-Stick oder eine Festplatte, an die Rechner anzuschließen. Auch CD-Roms können sie nicht einlegen, um darauf Daten zu brennen. Außerdem ist der Personenkreis, der Zugriff auf bestimmte Dokumente hat, begrenzter als in den USA. Die Depeschen aus anderen Ländern gehen zwar zentral ein, werden dann aber auf verschiedene Server verteilt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont ebenfalls, dass es für deutsche Behörden und Ministerien strenge Vorschriften gibt, welche Dokumente wie deklariert sein müssen und welche technischen Sicherheitsvorkehrungen getroffen werden müssen. Die entsprechende Technik wird vom BSI geprüft. Je nach Einstufung eines Dokuments haben auch nur bestimmte Personen ein Zugriffsrecht auf die Dateien. „Prinzipiell ist es wichtig, den Kreis der Zugriffsberechtigten im Auge zu haben und auch Sicherheitsüberprüfungen der betroffenen Personen regelmäßig zu wiederholen“, sagt BSI-Sprecher Matthias Gärtner. Er betont auch, dass es nicht nur um Datensparsamkeit, sondern auch um Datensicherheit gehe. „Wir müssen uns bewusst sein, dass immer mehr Daten anfallen und wir unsere Sicherheitskonzepte ständig weiterentwickeln müssen.“

Welche Geheimhaltungsstufen gibt es?

Eine allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern regelt den Umgang mit Verschlusssachen. Darin sind auch vier Abstufungen definiert. Als streng geheim werden Sachverhalte eingestuft, deren „Kenntnisnahme durch Unbefugte den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden kann“. Geheim ist ein Dokument, wenn „die Kenntnisnahme durch Unbefugte die Sicherheit gefährdet oder ihren Interessen schweren Schaden zufügen kann“. Als vertraulich wiederum gelten Verschlusssachen, wenn die „Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein kann“. Die vierte und letzte Stufe lautet: „Für den Dienstgebrauch“. Gemeint sind Dokumente, deren „Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein kann“.