Attacken via Internet: Digitaler Ernstfall

Google gilt vielen als allwissend. „Es wäre fair zu sagen, dass wir bereits in einem Zeitalter des staatlich geführten Cyberkriegs leben, auch wenn es den meisten von uns nicht bewusst ist“, hat der ehemalige Google-Chef Eric Schmidt in seinem Buch festgehalten, dessen erste Seiten in diesen Tagen zu lesen sind. In den USA wird überlegt, die möglicherweise von chinesischen Hackern verübten Angriffe auf „New York Times“, „Wall Street Journal“ und „Washington Post“ als Bedrohung für die nationale Sicherheit einzustufen. Und jüngsten Berichten zufolge will das US-Verteidigungsministerium seine Cybercom-Abteilung in den nächsten Jahren von 900 auf fast 5000 Personen vergrößern.

In Deutschland wurde der digitale Ernstfall zwar noch nicht ausgerufen, auf der Münchener Sicherheitskonferenz forderte Bundesinnenminister Hans-Peter Friedrich gleichwohl, den Kampf gegen Cyberangriffe auf Wirtschaft und Verwaltung zu intensivieren. Das ganze Land werde über Datennetze gesteuert, das erhöhe die Anfälligkeit gegenüber Angriffen auf diese Netze, argumentiert der CSU-Politiker und fordert für wichtige Infrastrukturbranchen wie die Stromversorger und die Kommunikationsindustrie eine Meldepflicht für Attacken via Internet. Die Frage ist, warum es die nicht schon längst gibt, so wie Auflagen für Gefahrguttransporte oder Atomkraftwerke. Die EU-Kommission ist da konsequenter und geht noch weiter: Sie will, dass die Meldepflicht auch für den Finanz-, Gesundheits- und Verkehrssektor gilt.

Eine Meldepflicht für Internetangriffe wäre ein guter Seismograf für Cyberbedrohungen. Sie böte die Chance, sich in Fragen der IT-Sicherheit endlich ehrlich zu machen. Gerade in mittelständischen Unternehmen, das Rückgrat der deutschen Wirtschaft, herrscht allerdings große Unsicherheit bei der Bekämpfung von Sicherheitslücken. Die Firmen sind oft völlig unbedarft im Umgang mit den neuen Gefahren, so dass sie Interneteinbrecher oft gar nicht bemerken. Über kleinere Rechner führt aber oft der Weg in die großen Zentren. Melden kann man allerdings nur, was man bemerkt.

In Deutschland werden Angriffe seit Mitte 2011 durch das Nationale Cyber-Abwehrzentrum registriert. Prävention und Information sind die wichtigsten Aufgaben dieser Einrichtung, die mit Bundeskriminalamt und Bundesnachrichtendienst eng verbunden ist. Von Personalstärken wie in den USA können die deutschen Internetverteidiger aber nur träumen. Im 24-Stunden-Einsatz an sieben Tagen in der Woche sind die Möglichkeiten der zehn Mann starken Kerntruppe sehr beschränkt.

Sicherheit fängt im Kleinen an. Als das iranische Atomprogramm vom Stuxnet-Wurm attackiert wurde, zielte der Angriff zunächst auf eine Schwachstelle im Betriebssystem Windows. Immer wieder wird gepredigt, wie wichtig sichere Passwörter sind, doch wenn so viele von uns dasselbe Passwort als Universalschlüssel nutzen und das dann auch noch durch eine Attacke wie jetzt auf Twitter quasi öffentlich wird, muss sich niemand wundern. Schlimmer noch: Wie sollen Jugendliche, die Facebook & Co. ohne einen Gedanken an den Datenschutz nutzen, begreifen, wie wichtig der Schutz des eigenen Computers ist? Am Dienstag ist der Safer Internet Day, er wird von zahlreichen Institutionen getragen. Ein guter Tag um darüber zu diskutieren, warum wir unsere Autos ständig checken, um Unfällen vorzubeugen, nicht aber Computer, die für die ganze Nation oder darüber hinaus wichtig sind. Was wir brauchen, ist ein IT-Tüv.