Haltet den Wurm!

Ob man es wie einige Medien Cyberwar nennt oder von Sabotageakten spricht – Vorkommnisse wie die Angriffe auf amerikanische und südkoreanische Internetseiten im Juli dieses Jahres verfügen über eine weitreichende Wirkung. Allein in Korea sind  hunderttausende Internetnutzer daran gehindert worden, Finanztransaktionen, Einkäufe und andere Geschäfte durchzuführen.1 In den USA und Südkorea waren einige Dutzend Websites von Regierungsstellen lahmgelegt. In den USA zählten das Heimatschutz-, das Finanz- und das Verteidigungsministerium zu den Angriffszielen, in Südkorea die Websites des Präsidenten, der Nationalversammlung und einer Suchmaschine. Ähnliche Vorfällen ereigneten sich in der Vergangenheit in Estland und Georgien. 

Weitaus gravierendere Folgen für Unternehmen, Verwaltungen und die Bevölkerung können Angriffe auf Computer haben, die Versorgungsinfrastrukturen steuern. Kleinere Vorfälle dieser Art mit regional begrenzten Auswirkungen hat es bereits gegeben, größere scheinen nur eine Frage der Zeit zu sein. Der Präsident der Internet Security Advisors Group, Ira Winkler, warnt seit einiger Zeit vor möglichen Angriffspunkten im US-Stromnetz. „Breaking into a power station in three easy steps“ lautete die Schlagzeile eines IT-Newsdiensts 2 dazu.

Neben der Sabotage von Websites oder Infrastrukturen ist ein weiteres Einsatzfeld für elektronische Angriffe die Spionage. Dass es einem technisch gut gemachten Schädling möglich ist, in die verschiedensten Computernetzwerke einzudringen, hat der Conficker-Wurm in diesem Jahr eindrucksvoll bewiesen. Ist eine Schadsoftware erst einmal in das Innere eines Unternehmens- oder Behördennetzwerks vorgedrungen, ist ihr Schadenspotenzial enorm. Sie kann nicht nur wichtige Daten manipulieren oder zerstören, sie kann Geschäftsgeheimnisse auch so nach außen senden, dass der Empfänger unerkannt bleibt.

Professionelle Untergrundwirtschaft

Mit dem Schädling Conficker ist eine neue Qualitätsstufe bei Schadsoftware erreicht. Das zeigt sich schon daran, dass sich die Computerexperten immer noch mit diesem Wurm auseinandersetzen.3 Letztendlich ist Conficker aber nur ein weiterer Schritt in einer schon länger andauernden Entwicklung. Schadprogramme und die Untergrundwirtschaft, aus der sie entstehen, werden zusehends professioneller. Die Erstellung und Verbreitung von Computerschädlingen erfolgen inzwischen arbeitsteilig und international vernetzt. Diese Entwicklung verwundert nicht: „Durch die zunehmende Verlagerung alltäglicher Aktivitäten – wie Bankgeschäfte tätigen oder einkaufen – ins World Wide Web ist IT-Kriminalität für die Angreifer ein lohnenswertes Geschäft bei vergleichsweise niedrigem Risiko“, heißt es im aktuellen Lagebericht zur IT-Sicherheit in Deutschland,4 den das Bundesamt für Sicherheit in der Informationstechnik (BSI) zweijährlich herausgibt.

Der Bericht zeigt auch auf, dass die Zahl der gefährlichen Sicherheitslücken weiterhin steigt: Über drei Viertel der im Jahr 2008 neu entdeckten Schwachstellen können von einem entfernten Angreifer ausgenutzt werden. Zum Einsatz kommen meist modular aufgebaute Schadprogramme, die über mehrere Schadfunktionen verfügen. So kann beispielsweise ein Trojanisches Pferd über Backdoor- und Spywarefunktionen verfügen, einen Keylogger verwenden und den befallenen Rechner zusätzlich an ein Bot-Netz anschließen. Zudem verfügen die meisten Schadprogramme über Updatefunktionen, so dass neue Programme oder Tarnmechanismen jederzeit nachgeladen werden können. Bot-Rechner, die mehrfach am Tag mit Updates versorgt werden, sind daher Standard.

In Bezug auf Spionage und Sabotage ist vor allem interessant, dass einzelne Schadprogramme heute gezielter eingesetzt werden als früher und nicht mehr wahllos an möglichst viele Opfer verteilt werden. Die Einsatzdauer eines Schadprogramms lässt sich so verlängern. Zudem schützen sich die meisten Schadprogramme inzwischen mit kryptografischen Verfahren und passen ihr Verhalten an – je nachdem, ob sie in einer typischen Analyseumgebung oder auf einem echten Opferrechner ausgeführt werden. Die Tarnmechanismen werden beständig verbessert. Beispielsweise ist zukünftig mit Schadprogrammen zu rechnen, die das Betriebssystem in eine virtuelle Umgebung verschieben, so dass sie von herkömmlichen Schutzprogrammen nicht mehr entdeckt werden können.

Steigende IT-Durchdringung

Dies trägt dazu bei, dass die Gewinn-erwartung der Angreifer steigt, während das Risiko abnimmt. Gleichzeitig eröffnen sich immer mehr Möglichkeiten für Angriffe. In einem Interview mit der Zeitschrift Technology Review 5 erläutert Ira Winkler, warum Infrastrukturen wie das US-amerikanische Stromnetz Schnittstellen nach außen haben: „Die Firmen begannen damit, die Funktionalitäten von Business- und Kontroll-PCs zu kombinieren – in dem Glauben, dass man ja keine Verbindung nach außen entstehen lassen wird. Dann begannen die Unternehmen schließlich damit, auch das Internet in ihren geschäftlichen Netzwerken verfügbar zu machen.“ Dies habe große Angriffsflächen entstehen lassen.

In nahezu allen Bereichen steigt die Durchdringung mit Informationstechnik unaufhaltsam. In besonderem Maße gilt dies für Dienstleister und Behörden, aber auch im produzierenden Gewerbe und in der Landwirtschaft werden Prozesse automatisiert und mit IT unterstützt. Generell profitieren Bürger, Staat und Wirtschaft von dieser zunehmenden Verbreitung der Informationstechnik. Für Unternehmen, die sich immer stärker einem globalen Wettbewerb stellen müssen, ist sie gar essentiell, denn sie sind auf eine internationale Vernetzung angewiesen. Gleiches gilt mehr und mehr für Wirtschaftsregionen und ganze Staaten. Diese geopolitischen Entwicklungen bringen es aber mit sich, dass sich nicht nur die Geschäfte, sondern auch die Verteilungskämpfe um Marktanteile und Ressourcen vermehrt elektronisch abspielen.

Alle Beteiligten müssen sich deshalb für ihren Verantwortungsbereich der Herausforderung stellen, die die Bedrohungen in der virtuellen Welt mit sich bringen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befindet sich hierbei in Deutschland an einer Schnittstellenposition. Es ist zuständig für die Netze von Behörden und Verwaltungen, fördert aber auch den Schutz von Unternehmen und informiert und sensibilisiert Privatanwender.6 BSI-Verantwortliche sind in deutschen und internationalen Gremien vertreten, um weitreichende Maßnahmen zum Schutz der Informationstechnik anzustoßen und durchzusetzen.

Ziel der Maßnahmen des BSI ist es, die Bedrohungen für die Bundesverwaltung, Wirtschaft und Bürgerinnen und Bürger zu begrenzen und neu aufkommende Gefahren frühzeitig zu erkennen, um entsprechende Gegenmaßnahmen einleiten zu können. Diese Arbeit gewinnt mit den weiter wachsenden Schadenspotenzialen an Bedeutung.

Schutz Kritischer Infrastrukturen

Die neuralgischen Punkte sind in der Informations- und Kommunikationstechnik (IKT) so genannter Kritischer Infrastrukturen zu suchen. Dies sind Einrichtungen, bei deren Ausfall erhebliche Schäden für das Gemeinwesen entstehen können. Das Gemeinwesen ist von Kritischen Infrastrukturen wie Transport und Verkehr, Energie- und Wasserversorgung sowie Justiz und Behörden abhängig. Diese Infrastrukturen sind wiederum auf eine zuverlässige Informations- und Kommunikationstechnik angewiesen. Um das Funktionieren einer Gesellschaft zu gewährleisten, ist somit die Sicherung der eingesetzten Informations- und Kommunikationstechnik unbedingt erforderlich.

Der Bund realisiert diese umfangreiche Aufgabe mit dem Nationalen Plan zum Schutz der Informations-infrastrukturen (NPSI),7 der drei strategische Ziele vorgibt: Prävention, Reaktion, Nachhaltigkeit. Das BSI ist als nationale IT-Sicherheitsbehörde und zentraler IT-Sicherheitsdienstleister des Bundes koordinierend für die Umsetzung des Nationalen Planes zuständig.

Durch Schutzvorkehrungen in Verwaltungen und Unternehmen soll das strategische Ziel Prävention erreicht werden. Dies wird durch die weitere Sensibilisierung und Aufklärung von Mitarbeitern über IT-Risiken sowie den Einsatz verlässlicher IT-Produkte realisiert. Weitere Maßnahmen bestehen in der Initiierung der Entwicklung vertrauenswürdiger Kryptoprodukte sowie in der Definition gemeinsamer Standards hinsichtlich der Schutzmaßnahmen.

Das strategische Ziel Reaktion umfasst das Sammeln, Analysieren und Bewerten von Informationen, die Alarmierung von Betroffenen und das Ergreifen von Maßnahmen zur Schadensminimierung. Die Bundesregierung etabliert dazu ein nationales IT-Krisenmanagement. Dieses besteht aus dem Nationalen Lage- und Analysezentrum, das jederzeit über ein verlässliches Bild der aktuellen IT-Sicherheitslage in Deutschland verfügt, sowie aus dem IT-Krisenreaktionszentrum, das die schnelle Reaktion auf schwerwiegende Vorfälle sicherstellt. Das Krisenreaktionszentrum gibt Analysen und Bewertungen zu Vorfällen an alle relevanten Stellen weiter und koordiniert die Zusammenarbeit mit anderen Krisenmanagementorganisationen, z.B. im Bereich der Bundesverwaltung oder mit den Betreibern Kritischer Infrastrukturen.

Durch die verstärkte Entwicklung vertrauenswürdiger und verlässlicher Informationstechnik soll das strategische Ziel Nachhaltigkeit erreicht werden. Um die nationalen Informationsinfrastrukturen langfristig zu schützen, benötigt Deutschland Fachkompetenz sowie vertrauenswürdige IT-Dienstleistungen und IT-Sicherheitsprodukte.

Sicherheit für gesellschaftsrelevante Unternehmen

Die Ziele Prävention, Reaktion und Nachhaltigkeit ergänzen die IT-Strategie des Bundes. Die Erreichung der Ziele wird durch einen Umsetzungsplan für die Bundesverwaltung (UP Bund), einen Umsetzungsplan für die Kritischen Infrastrukturen (UP KRITIS) 8 und gegebenenfalls weitere Umsetzungspläne sichergestellt. Der UP Bund legt die Richtlinien zur Umsetzung des NPSI in der Bundesverwaltung fest, im UP KRITIS werden die Aspekte der IT-Sicherheit in Kritischen Infrastrukturen adressiert. Mit dem UP KRITIS wird ein einheitlich hohes Sicherheitsniveau für die Unternehmen fokussiert, deren Funktionsfähigkeit besonders gesellschaftsrelevant ist. Die an der Erstellung des UP KRITIS Beteiligten – Bundesverwaltung und Betreiber Kritischer Infrastrukturen – wollen die Empfehlungen in den nächsten Jahren umsetzen.

Das Bundesamt für Sicherheit in der Informationstechnik ist an diesen Prozessen aktiv beteiligt. Das Nationale IT-Lagezentrum beobachtet und analysiert nicht nur die Bedrohungslage und bewertet die Erkenntnisse für eine politisch-strategische Zielgruppe, sondern dient auch als Anlaufstelle bezüglich KRITIS.

Die Herausforderung für die kommenden Jahrzehnte wird sein, Software, Hardware und IKT-Architekturen so weiterzuentwickeln, dass sie ein verlässliches Instrument zur Prozessunterstützung darstellen beziehungsweise bleiben. Gleichzeitig muss sichergestellt werden, dass IKT auch bei Störungen handlungsfähig bleibt. Hierzu sollten IT-Infrastrukturen verstärkt redundant ausgelegt sein. Gleichzeitig ist eine interdisziplinäre Zusammenarbeit beim Erkennen und Bewerten neuer IKT-Bedrohungen erforderlich. Insbesondere im Bereich der Kritischen Infrastrukturen ist außerdem der weitere Ausbau einer übergreifenden Zusammenarbeit für den Umgang mit Vorfällen notwendig, die zu IKT-bedingten Krisen führen können, wie er im Rahmen der Umsetzung des UP KRITIS begonnen wurde.

Internationale Kooperation

Der Schutz Kritischer Infrastrukturen ist eine wichtige politische Aufgabe, die auch für die Gewährleistung der Inneren Sicherheit Deutschlands von elementarer Bedeutung ist. Damit in Deutschland auch in Zukunft alle gesellschaftlichen Gruppen in ein verlässliches IKT-Umfeld vertrauen können, muss die Realisierung dieser Aufgabe in Abhängigkeit von der technologischen und wirtschaftlichen Entwicklung weiter vorangetrieben werden.

Schließlich muss festgehalten werden, dass isolierte nationale Bemühungen nur begrenzt erfolgreich sein können. Das BSI kooperiert deshalb international auf europäischer Ebene und darüber hinaus. Seitens der EU-Kommission und Einrichtungen wie der European Network and Information Security Agency (ENISA) gibt es hierzu eine Reihe von Aktivitäten, wie etwa das Europäische Programm für den Schutz Kritischer Infrastrukturen (EPSKI).9

Die Arbeit für sichere Nutzung der Informationstechnik in unserer Gesellschaft muss auf vielen Ebenen stattfinden. Auf politischer, wirtschaftlicher und gesellschaftlicher Ebene sowie national und international müssen die begonnenen Aktivitäten zur Informationssicherheit weiter voranschreiten und intensiviert werden, damit Fälle wie Estland und Südkorea Ausnahmen bleiben.

Dr. UDO HELMBRECHT ist Präsident des Bundesamts für Sicherheit in der Informationstechnik.

• 1http://www.heise.de/newsticker/meldung/141799
.
• 2http://news.cnet.com/8301-10784_3-9914896-7.html.
• 3http://www.heise.de/newsticker/meldung/141663.
• 4http://www.bsi.bund.de/literat/lagebericht/Lagebericht2009.pdf.
• 5http://www.heise.de/tr/artikel/109126
.
• 6http://www.bsi-fuer-buerger.de/.
• 7http://www.bmi.bund.de/cae/servlet/contentblob/121734/publicationFile/1….
• 8http://www.bsi.bund.de/fachthem/kritis/veroeff_upkritis.html.
• 9http://www.bsi.bund.de/veranst/IT-SiKongress/pdfdownload/Keynote-Rudolf….