ENTWURF Stand: 03. Dezember 1999
Informationstechnische Bedrohungen für
Kritische Infrastrukturen
in Deutschland
Kurzbericht der
Ressortarbeitsgruppe KRITIS
(Entwurfsversion 7.95)
1 Einleitung 1
1.1 Technische Sicherheit für kritische Bereiche 3
1.2 Einsetzen der AG KRITIS 3
2 Gefährdungspotentiale von Infrastrukturbereichen 3
2.1 Gefährdungspotentiale von außen 5
2.2 Gefährdungspotentiale von innen 7
2.3 Sonstige Gefährdungspotentiale 7
3 Aktivitäten 8
3.1 Internationaler Bereich 9
3.2 Nationale Aktivitäten (außer AG KRITIS) 12
3.3 AG KRITIS 12
4 Bewertung 15
5 Handlungsbedarf 18
Abkürzungsverzeichnis
BSI Bundesamt für Sicherheit in der Informationstechnik
BOS Behörden und Organisationen mit Sicherheitsaufgaben
CIAO Critical Infrastructure Assurance Office
COTS Commercial-off-the-shelf; handelsübliche Produkte
EMV bzw. EMC elektromagnetische Verträglichkeit
HW Hardware
IT Informationstechnik
IuK Informations- und Kommunikationstechnik
J2K bzw. Y2K Jahr-2000-Problem
LAN Local Area Network
LkgA Lenkungsausschuß KRITIS
NEMP nuclear electromagnetic pulse
NICS National Criminal Intelligence Service
NIPC National Infrastructure Protection Center
PCCIP Presidential Commission on Critical Infrastructure Protection
SW Software
WAN Wide Area Network
Quellenverzeichnis
[1] Vgl. Frankfurter Allgemeine Zeitung, 26.05.99
[2] Vgl. www.ifi.unizh.ch/req/lecture_not...I_fallstudie_ariane_501/ariane_501.html
[3] Vgl. c’t 07/98 Jugendliche Hacker knacken T-Online
[4] Vgl. anon.free.anonymizer.com und www.vojvodina.com
[5] Vgl. Bundestagsdrucksache 13/11002; Vierter Zwischenbericht der Enquete-Kommission in Verbindung mit dem entsprechenden Abschlußbericht
[6] Vgl. Weißbuch - Die Grundsatzregelungen der Clinton - Administration zum Schutz der lebenswichtigen Infrastruktur: Weisung des Präsidenten - PDD63
[7] Vgl. Bericht Nr.2 (offen) der Arbeitsgruppe Informationskriegsführung. Auszug aus dem Geheimbericht an die Regierung (Schweden) vom 29.05.98
[8] Vgl. 17. Tätigkeitsbericht; Der Bundesbeauftragte für den Datenschutz; www.bfd.bund.de
1 Einleitung
Mit der zunehmenden Durchdringung aller Lebensbereiche mit den neuen Informations- und Kommunikationstechniken entstehen nicht nur für den einzelnen und für Staat, Wirtschaft und Gesellschaft, völlig neuartige Bedrohungen. Sie richten sich gegen die Infrastruktur von Hochtechnologieländern, von der alle Funktionsbereiche im Informationszeitalter im wachsenden Umfang abhängen. Besonders gefährdet sind die auf Offenheit angelegten Kommunikationssysteme. Die Art der Bedrohung wird sichtbar in dem immer wieder berichteten Eindringen von zum Teil spielerischen Hackern in hochabgesicherte Systeme von Unternehmen und Organisationen. Bedrohungen können von kriminellen Einzeltätern, von Terroristen, von kriminellen Organisationen oder auch von feindlichen Staaten ausgehen. Insofern wird die Überschneidung zwischen ziviler und militärischer Bedrohung sowie zwischen innerer und äußerer Sicherheit immer verschwommener. Die Informationsinfrastruktur von Hochtechnologieländern ist in dem Maße verwundbar, in dem sie über das Internet öffentlich und anonym zugänglich, weltweit vernetzt und gegen Cyberwar-Angriffe nur mangelhaft geschützt ist. Herkömmliche Unterscheidungen wie die zwischen Krieg und Nichtkrieg, zwischen öffentlichen und privaten Interessen, kriegerischen und kriminellen Handlungen oder politischen und geographischen Grenzen verschwimmen im Cyberwar. Insbesondere ist es im Informations- und Kommunikationsbereich kaum mehr möglich, zwischen innerstaatlichen und ausländischen Bedrohungspotentialen, zwischen innerer und äußerer Sicherheit eines Staates oder Bündnissystems zu unterscheiden.
Die Beweisführung für ein vorsätzliches Fremdverschulden ist typischerweise bei der Anonymität moderner Netzstrukturen heute noch nicht ohne weiteres möglich, wenn auch ein gezieltes Vorgehen etwa von politisch extremistischen Tätern oder gekauften Hackern keineswegs eine nur hypothetische Vision ist.
Die Verletzlichkeit der Systeme läßt, je breiter das Know-How über neue Technologien wird, Angriffe immer wahrscheinlicher werden. Die Folgen eines eingetretenen Störfalls sind im Schadenausmaß unter Umständen gravierend, das zeigen schon allein einige ausgewählte Beispiele, bei denen (ohne gezielten Angriff) die Informationstechnik versagte:
Warschau 1993. Eine Lufthansa-Maschine befindet sich im Landeanflug. Die Piloten haben eine starke Seitenwindwarnung erhalten und setzten daher das Flugzeug mit leichter Schräglage auf. Die für die Landung notwendige Schubumkehr schaltet sich nicht ein. Neun Sekunden Ratlosigkeit, bis die Piloten eingreifen. Das Flugzeug rast über die Landebahn hinaus. Als Ursache wird zunächst menschliches Versagen angenommen - später dann die Aufklärung: Softwarefehler! Durch die Schräglage wurde das linke Fahrwerk nicht voll belastet. Die Schubumkehr setzt jedoch nur ein, wenn
beide Sensoren der Hauptfahrwerke dem Computer mitteilen, daß die Stoßdämpfer vom Druck der aufsetzenden Räder gestaucht werden.[1]
4. Juni 1996. Flug 501 der Ariane 5. Die Steuer-düsen erhalten 36 Sekunden nach dem Start der Rakete unsinnige Stellbefehle und schwenken bis zum maximal möglichen Anstellwinkel aus. Durch die daraus entstehenden Scherkräfte zerbricht die Rakete und löst korrekt den Selbstzerstörungsmechanismus aus. Das Sprengen der Rakete und Nutzlast verhindert, daß größere Trümmerteile auf den Boden fallen. Was war geschehen? Ohne neue Tests wurde die Software für das Trägheitsnavigationssystem unverändert von der Ariane 4 übernommen. Aus Kosten- und Machbarkeitsgründen unterblieb auch ein Test der gesamten Steuerungssoftware. 36 Sekunden lang arbeitet eine Abgleichfunktion des Trägheitsnavigationssystems normal. Doch dann berechnet sie einen Wert der wesentlich größer ist als erwartet, da Ariane 5 eine andere Flugbahn als Ariane 4 hat. Die Konvertierung dieses Werts von einer 64-Bit Gleitkomma- in eine 16-Bit Fest-kommazahl generiert einen Überlauf, worauf der Rechner eine Ausnahmebedingung erzeugt. Diese wird jedoch nicht behandelt (wäre unter Ada jedoch möglich gewesen). Das Trägheitsnavigations-system meldet einen Fehler an den Steuerrechner und schaltet sich ab. Auf das aus Sicherheitsgründen vorhandene zweite System kann nicht umgeschaltet werden, da sich auch das wegen des gleichen Fehlers abgeschaltet hat. Da die Software des Steuerrechners auf den Ausfall beider Trägheits-navigationssysteme nicht ausgelegt ist, interpretiert sie die gemeldeten Fehlercodes als Flugbahndaten mit der eingangs geschilderten fatalen Wirkung.[2]
Deutschland 1998. Hacker-Angriff auf T-Online. Zwei 16jährige Schüler nutzten ihr populäres Hilfs-programm "T-Online Power Tools" zur heimlichen Übermittlung der Zugangsdaten, deren einfache Verschleierung sie in kurzer Zeit knacken konnten. Mit den so erhaltenen Benutzerkennungen und Paßwörtern hätten sie auf Kosten der betroffenen Kunden sämtliche Leistungen des größten deutschen Online-Dienstes nutzen können.[3]
Seattle/Bellingham Juni 1999. Nach einem Pipeline-Leck kommt es zu einer verheerenden Explosion mit drei Todesopfern. Die Ursache läßt sich auf ein Computerproblem zurückführen. Die über 600 km lange Pipeline transportiert Benzin aus Raffinerien bei Bellingham zu Abnehmern im gesamten Nordwesten der USA. Nach dem Ausfall des Steuercomputers der Pipeline-Pumpen schalten sich diese ab, nehmen aber kurze Zeit später wieder ihren Betrieb auf, obwohl sich nach dem Abschalten ein Riß in der Pipeline gebildet hat. Ohne daß die Computer den Fehler melden, ergießt sich zwölf Minuten lang Benzin in einen kleinen Fluß. Ein Funken löst schließlich eine Explosion mit einer fast kilometerhohen Rauch-wolke aus.
1998/99. Die serbische Hackergruppe "Schwarze Hand" zwingt einen Schweizer Service Provider, der die Zeitung "Die Stimme des Kosovo" online veröffentlichte, seinen Server abzuschalten. Auf einem anonymen Server wird vor Manipulationen an Rechnern im Internet durch die gleiche Gruppe gewarnt, falls die NATO ihre militärischen Handlungen fortsetzt. Zum Beweis der Glaubwürdigkeit war die Adresse einer deutschen Baufirma zeitweise nicht mehr erreichbar.[4]
1.1 Technische Sicherheit für kritische Bereiche
Die Jahr-2000-Problematik zeigt aktuell, daß Software, die bisher völlig korrekt funktioniert hat, wegen unsauberer Programmierung gegenüber dem Jahrtausendwechsel nicht robust ist. Doch auch EDV-Pannen, Hacker-Angriffe, Viren, Datenmanipulationen oder -verluste oder Telekommunikationsunterbrechungen führen zu erheblichen Schäden. Je abhängiger ein Bereich von der IT ist, desto gravierender wirken sich IT-Störungen jeglicher Art aus.
Treten diese Störungen bzw. Angriffe insbesondere in Infrastrukturbereichen, wie
auf, deren ungestörte Verfügbarkeit der Leistungen für die Funktionsfähigkeit und den Bestand von Staat und Wirtschaft unverzichtbar sind, kann eine Kettenreaktion ausgelöst werden, die eine ernsthafte Krise nach sich zieht und die innere Sicherheit Deutschlands tangiert.
1.2 Einsetzen der AG KRITIS
Vor diesem Hintergrund hat die Bundesregierung auf Initiative des Bundesministers des Innern eine interministerielle Arbeitsgruppe (AG KRITIS) eingesetzt.
Diese hat die Aufgabe, potentielle Bedrohungsszenarien zu bestimmen, über Informations-technik angreifbare kritische Infrastrukturen auf entsprechende Schwachstellen hin zu prüfen, Möglichkeiten zur Abdichtung solcher Schwachstellen und der Vermeidung oder Minderung eines Schadens zu benennen sowie einen Vorschlag hinsichtlich der Errichtung eines ggf. erforderlichen Frühwarn- und Analysesystems zu erarbeiten. Die Resultate der Untersuchungen werden in einem ausführlichen Bericht festgehalten.
In diesem "Sensibilisierungsbericht KRITIS" werden zunächst für selektierte Infrastrukturen Gefährdungen, Angriffswege, ggf. Detektionsmaßnahmen und Lösungsvorschläge aufgezeigt. Beiträge einzelner Bundesressorts werden prinzipiell und die Problematik übergreifend zusammengefaßt.
2 Gefährdungspotentiale von Infrastrukturbereichen
Ein prosperierendes Staatswesen basiert nicht zuletzt auf verläßlichen Infrastrukturen. Die Bereiche Bundesverwaltung, Gesundheits- und Rettungswesen, Telekommunikation, Energie, Transport- und Verkehrswesen und Bank-, Finanz- und Versicherungswesen sind hierbei am wichtigsten. Sie selbst sind wiederum in immer größerem Umfang von einem reibungslosen Funktionieren der IT abhängig. So führt z.B. ein Ausfall der Ampelsteuerung aller Voraussicht nach binnen kürzester Zeit zum Verkehrschaos.
Der stetigen Effizienz- und Leistungssteigerung der Infrastrukturen durch den IT-Einsatz steht die zunehmende IT-Abhängigkeit und die damit einhergehende Verletzbarkeit gegenüber. Die Vernetzung der IT (LANs, WANs, Internet) hat das anfängliche Gefahrenpotential durch den Innentäter nun durch ortsunabhängige Außentäter beträchtlich anwachsen lassen. Bereits mit relativ bescheidenen Mitteln (PC, Modem, Telefonanschluß sowie Internet-Zugang) und geringem Fachwissen sind Außentäter in der Lage, die Informationstechnik wichtiger Infrastrukturbereiche zu stören. Die daraus resultierenden Auswirkungen sind unter Umständen für große Teile der Bevölkerung von erheblicher Bedeutung und können die innere Sicherheit beeinflussen.
Die globalen Verbundsysteme der elektronischen Kommunikation setzen die innere und äußere Sicherheit der Informationsgesellschaft damit neuartigen Bedrohungen aus. In der internationalen Politik können sich völlig neuartige, starke Gegengewichte zur herkömmlichen Staatsgewalt und zu den Machtpotentialen militärischer Bündnissysteme bilden. Die Struktur internationaler Konflikte kann sich dabei grundlegend ändern.
Zum einen gibt die informationstechnische Entwicklung - anders als in der Vergangenheit - auch kleinen nichtstaatlichen Organisationen Möglichkeiten an die Hand, ihre Interessen über große räumliche Distanzen hinweg in kürzester Zeit international zur Geltung zu bringen. Zum anderen eröffnen die Informationstechnologien Möglichkeiten der verdeckten physischen und nichtphysischen Gewaltanwendung, die sich gegen die gesamte zivile Infrastruktur (Wirtschaft, Verwaltung, Energieversorgung, Verkehr) eines Landes richten können. Insbesondere gibt es im Unterschied zu herkömmlichen Formen gewaltsamer internationaler Konflikte kein geschütztes Staatsgebiet mehr, das an seinen Grenzen mit militärischen Mitteln erfolgreich zu verteidigen wäre. Daher gelten heute selbst militärische Großmächte in ihrer gesamten politisch-gesellschaftlichen Infrastruktur und Fähigkeit zum politischen Handeln in dem Maße als verwundbar, wie diese Infrastruktur global vernetzt ist. Umgekehrt weisen Akte der verdeckten Gewalt, die über die globalen elektronischen Informationsnetze ausgetragen werden und sich gegen die Infrastruktur eines Landes richten, Eigenschaften auf, die bisher für militärische Maßnahmen als vorteilhaft galten. Sie besitzen gegenüber Territorien und Systemen große Eindringfähigkeit, sie sind distanzfähig und nahezu perfekt getarnt.
Diese neuen Arten von Bedrohungen erfordern eine aufmerksame Beobachtung der durch sie aufgeworfenen IT-Sicherheitsfragen sowie die Erarbeitung von Schutzmaßnahmen. Dabei muß sichergestellt werden, daß die für die innere und äußere Sicherheit Verantwortlichen mit den Verantwortlichen für die Sicherheit kommerzieller Systeme sich mit neuen Bedrohungs-szenarien auseinandersetzen und gemeinsam Strategien zur Abhilfe entwickeln.
Die Angriffe auf die Informationsinfrastruktur stützen sich auf Mittel und Methoden der informations- und programmgesteuerten Störung und Zerstörung der Funktionsfähigkeit ziviler und militärisch genutzter Kommunikations- und Führungssysteme. Computergestützte Störungs- und Zerstörungsakte dieser Art werden auch als "Cyberwar" bezeichnet.
Hierunter fallen das unbefugte Auswerten, absichtliche Veränderungen, Fälschungen, Unterbrechungen und die Vernichtung von elektronisch vermittelter Information, sofern diese Handlungen dem Ziel dienen, politische oder wirtschaftliche Entscheidungen zu verzögern, zu verhindern oder systematisch fehlzuleiten. In ihrer äußersten Zielsetzung richten sie sich gegen die Fähigkeit des Gegners oder Konkurrenten zum organisierten Handeln schlechthin. Erreicht werden soll dieses Ziel dadurch, daß gegnerische Informations-, Führungs-, Versorgungs- und Transportsysteme möglichst behindert oder ausgeschaltet, zivil und militärisch nutzbare Informationen manipuliert, gefälscht oder vernichtet werden.
Bisherige nachrichtendienstliche Methoden der Aufklärung und Datenanalyse erweisen sich über weite Strecken als ungeeignet, den Herausforderungen des Cyberwar zu begegnen. Die im Cyberwar eingesetzten neuartigen Technologien bzw. technologischen Verfahren lassen es bislang (noch) zu, daß Spuren eines Angriffs oder Eindringens in fremde IT-Systeme relativ leicht zu verwischen oder zu verbergen sind. Darüber hinaus ist es wegen (noch) nicht vorhandener Frühwarnsysteme zur Zeit schwierig bis unmöglich, aus der Unsumme allgemein zugänglicher Informationen diejenigen herauszufiltern und zusammenzustellen, die eine sichere Auskunft über z.B. einen sowohl örtlich als auch organisatorisch dislozierten IT-Angriff auf Infrastrukturbereiche geben könnten. Die Folge ist eine grundsätzlich neue Situation der Unsicherheit. Der Schutz gegen und die Abwehr von Angriffen in elektronischen Informationssystemen sind lückenhaft, Frühwarnung und Abschreckung schwierig.
Trotz unterschiedlichster Gefährdungsschwerpunkte und IT-Abhängigkeiten kristallisieren sich für die in kritischen Infrastrukturbereichen gemeinsam verwendete IT auch gemeinsame, im Prinzip allgemein gültige Schwachstellen und damit potentielle Gefährdungen heraus.
2.1 Gefährdungspotentiale von außen
Eine beständig zunehmende Vernetzung der IT fördert den Informationsfluß. Damit einher geht aber auch immer die Gefahr von Angriffen von außen, besonders wenn Internet- oder Modem-Verbindungen genutzt werden. Sicherheitsprobleme kommen u.a. durch unsichere und fehlerhafte Dienstprogramme (z.B. sendmail) oder unsichere Übertragungen von Daten im Netzwerk (z.B. telnet, ftp oder email). Auf diese Art können Angreifer versuchen, ein IT-System unter die eigene Kontrolle zu bringen, um Daten auszuspähen, zu verändern oder zu löschen oder den Netzverkehr zu stören. Eine andere Möglichkeit besteht darin, Systeme oder Netze durch "denial of service attacks" zu belasten.
Viele IT-Systeme sind auch abhängig von der korrekten Übertragung von Funkdaten. Mobilfunk, Satellitennavigation, aber auch Teile der BOS und der Bundeswehr zählen zu bekannten Bereichen, welche vom korrekten Funktionieren der Funktechnik (mehr oder weniger) abhängig sind. Eine bewußt erzeugte Störung in der Funkübertragung und dadurch verfälscht oder gar nicht übermittelte Daten oder Meldungen können im Extremfall den Ausfall ganzer Technologie- oder Organisationsbereiche zur Folge haben.
mit dem Ziel, die "Performance" der betroffenen Rechner zu minimieren. Dies kann z.B. zu einer Informationsüberflutung mit entsprechend zähem Antwortverhalten des befallenen Rechners führen; es ist jedoch auch möglich, daß komplette Festplattenbereiche physisch gelöscht werden. Sollte in diesem Fall keine sorgfältige Datensicherung betrieben worden sein, sind die gelöschten Daten i.d.R. unwiederbringlich verloren.
Meß- und Regelsysteme, jedoch in zunehmendem Maße auch Führungs- und Informationssysteme, sind abhängig von Eingangssignalen, die ihnen u.a. auch von peripheren Sensorsystemen zur Verfügung gestellt werden. Eine aktive Störung oder auch Täuschung dieser Sensorik kann z.B. zur Übermittlung unrealistischer, vielleicht sogar absurder Eingangswerte führen und u.U. den Leitrechner zum Abschalten zwingen.
Elektronische Bauelemente reagieren empfindlich auf hohe elektromagnetische Feldstärken. Hohe Feldstärken zerstören i.d.R. Elektronikbauteile oder schädigen sie, zuweilen auch nachhaltig. Neuartige Waffentechnologien (NEMP [nuklearer elektromagnetischer Puls] oder auch Hochleistungs-Mikrowellenwaffen) nutzen diese Schwachstelle elektronischer Bauelemente aus.
Auch ist es möglich, Hardware durch eine Manipulation der Stromversorgung (z.B. durch gezielte Erzeugung von Spannungsspitzen) zu zerstören. Darüber hinaus ist es denkbar, Spezialsoftware zu erstellen, die durch eine geschickte Programmierung Hardware-Bauteile derart belastet, daß sie ausfallen.
Gezieltes Ausnutzen von Schwachstellen der IT kann nicht zuletzt von politisch Interessierten zur Durchsetzung eigener Absichten initiiert sein. Angriffe können fast risikolos unter Nutzung internationaler Netzwerke über Tausende von Kilometern hinweg geführt werden. Nationale Grenzen sind dabei bedeutungslos. Neben den Bedrohungen durch Hacker oder Interessengruppen versuchen auch fremde Nachrichtendienste, vertrauliche Wirtschaftsinformationen auszuspähen [5].
2.2 Gefährdungspotentiale von innen
Wegen mangelnder eigener Entwicklungsressourcen sowie aus Kosten- und Zeitgründen werden auch in sicherheitssensitiven Bereichen immer öfter COTS-Produkte (commercial-off-the-shelf) eingesetzt. Sie sind zwar kurzfristig verfügbar, doch da die im COTS-Bereich üblichen kurzen Entwicklungszyklen zu Lasten adäquater Testzyklen gehen, sind COTS-Produkte häufig mit Fehlern behaftet und können darüber hinaus auch andere Komponenten des Systems unkontrollierbar beeinflussen. Daneben können auch "beabsichtigte Schwachstellen" (undokumentierte Funktionen, Hintertüren) vom Hersteller eingearbeitet worden sein, um (z.B. aus Marketing- oder Lizenzgründen) Benutzerdaten unbemerkt an den Hersteller zu senden. Die weitaus meisten der identifizierten Schwachstellen von COTS-Produkten werden im Internet und in Fachzeitschriften weltweit bekannt gemacht und sind damit für jeden potentiellen Angreifer erkennbar.
2.3 Sonstige Gefährdungspotentiale
Oftmals wird aus finanztechnischen Gründen das Outsourcing von IT-Dienstleistungen in Anspruch genommen. Hierbei werden Fremdfirmen auf der Basis von Vorgaben des Auftraggebers eingebunden, leider unter oftmaliger Inkaufnahme eines gewissen "Kontrollentzugs". Eine unerwünschte "Mehrleistung" - z.B. im Bereich der Progammentwicklung - kann selbst durch umfangreiche Abnahmetests oder gar das Überlassen des Quellcodes nicht vollständig ausgeschlossen werden. Bei notwendigen Softwareänderungen ist der Auftraggeber von der momentanen Terminsituation und Personalqualifikation der Fremdfirma in hohem Maße abhängig.
Die zunehmende Komplexität von Hard- und Software begünstigt Schwachstellen und unent-deckte Fehler, da die notwendigen Tests immer komplizierter und aufwendiger und ihrerseits wiederum selbst fehlerbehaftet sind. Hinzu kommt, daß der Testaufwand exponentiell mit der Komplexität des Systems wächst. Bei sehr komplexen Systemen läßt sich letztendlich eine Aussage zur Korrektheit nicht mehr definitiv, sondern nur noch mit einer gewissen Wahrscheinlich-keit treffen. Als Beispiel für unsauber programmierte, komplexe Software sei das Jahr-2000-Problem (J2K) angeführt.
Im Hardwarebereich sind in den letzten Jahren bei weit verbreiteten Prozessortypen aufgrund von Designmängeln Fehler in der Arithmetikeinheit aufgetreten, die zu falschen Rechenergebnissen führen; es wird berichtet, daß die Designmängel aufgrund der zu hohen Komplexität moderner Prozessoren schlichtweg übersehen wurden.
Zunehmende Miniaturisierung läßt die Hardware immer empfindlicher gegen äußere elektromagnetische Einstreuungen werden. Hierdurch entstehen neue Phänomene der Empfindlichkeit bei elektronischen Bauelementen, wovon auch IT-Systeme betroffen sind. Eine erhöhte Empfindlichkeit gegen elektromagnetische Außeneinflüsse vermindert die Verfügbarkeit und auch die Verläßlichkeit der eingesetzten IT.
Diese Sensibilität nutzen neuartige technologische Entwicklungen im Bereich der Mikrowellenwaffen aus. Sie erzeugen einen extrem kurzen, jedoch höchstenergetischen elektromagnetischen Puls, der Halbleiterstrukturen beschädigt. Organisches Leben wird von diesem Puls nicht direkt betroffen. Die jedoch indirekt entstehenden Gefahrenmomente wie z.B. der Ausfall von Steuerungselektronik (vom Auto bis zum Zug), das Auslösen von Airbags in Fahrzeugen, die Zerstörung von Computersystemen (in Banken, Versicherungen, Sicherheitseinrichtungen u.ä.) oder die Störung des Flugverkehrs (vom Flugzeug bis hin zur Flughafeninfrastruktur) dürfen nicht unterschätzt werden. Je nach Leistung und gewünschter Größe erreicht eine solche Mikrowellenwaffe Schrankgröße oder paßt sogar in einen Koffer, womit sie leicht zu transportieren und zu tarnen ist. Die herkömmlichen EMV- und sogar NEMP-Schutzmechanismen versagen i.d.R. als Abschirmung gegen Hochleistungs-Mikrowellenpulse.
3 Aktivitäten
Sowohl auf internationaler als auch auf nationaler Ebene entwickeln sich unterschiedliche Aktivitäten im Bereich "Schutz kritischer Infrastrukturen".
3.1 Internationaler Bereich
Mehrere Staaten haben bereits mit Untersuchungen zum Schutz ihrer kritischen Infrastrukturen begonnen. Der AG KRITIS liegen konkretere Informationen jedoch nur aus Schweden und vor allem aus den USA vor.
In Großbritannien wurden erst kürzlich die Ergebnisse einer dreijährigen Studie des National Criminal Intelligence Service (NCIS) vorgelegt. Ihr Schwerpunkt liegt zwar vorrangig auf der Untersuchung der Kriminalität im und über das Internet ab. Die Studie enthält jedoch auch Angaben über das Ausmaß der Bedrohungen, denen die Strukturen von Staat, Wirtschaft und Gesellschaft dadurch ausgesetzt sind.
USA
Mit einem Erlaß des US-Präsidenten wurde Mitte 1996 eine Kommission zum Schutz kritischer Infrastrukturen eingesetzt (PCCIP - Presidential Commission on Critical Infrastructure Protection). Im Oktober 1997 wurden die Ergebnisse der Untersuchungen in Form des 200-seitigen PCCIP-Berichts ("Critical Foundations - Protecting America´s Infrastructures") vorgestellt. Die AG KRITIS hat den von der PCCIP-Kom-mis-sion gewählten Berichtsansatz hinsichtlich seiner Systematik und Struktur zum Teil übernommen.
Die US-Kommission kommt in ihrem Bericht zu folgenden wesentlichen Ergebnissen:
Der Nationale Sicherheitsrat (NSC) hat eine Arbeitsgruppe beauftragt, einen nationalen Plan zur Umsetzung der Kommissionsempfehlungen zu erarbeiten. Als erstes sollen die geforderten Organisationsmaßnahmen verwirklicht werden. Die amerikanische Regierung hat erste Initiativen ergriffen, die Problematik auch international u.a. auf NATO-Ebene (Zuschuss für zivile Notfallplanung) zu thematisieren.
Die Vorschläge der Kommission werden zur Zeit umgesetzt. Der US-Präsident hat zwischenzeitlich einen Sonderbeauftragten im Weißen Haus ernannt, der sich mit dem Schutz kritischer Infrastrukturen befaßt. Darüber hinaus wurden zwei Fachbehörden eingerichtet (CIAO - Critical Infrastructure Assurance Office; NIPC - National Infrastructure Protection Center), mit deren Hilfe die von der Kommission angeregten Maßnahmen praktisch umgesetzt werden.[6]
Schweden
Die schwedische Regierung hat bereits im Jahr 1979 eine grundlegende Untersuchung zum Thema "Die Verletzlichkeit der computerisierten Gesellschaft" durchgeführt. Weitere Folgeuntersuchungen befassen sich mit den Auswirkungen der Verwundbarkeit entsprechender Systeme sowohl auf dem zivilen als auch auf dem militärischen Sektor.
Im Jahr 1996 wurde eine Arbeitsgruppe mit dem Auftrag eingesetzt, die Entwicklung von Bedrohungen und Gefahren auf dem Gebiet der Informationskriegführung zu beobachten. Der Arbeitsschwerpunkt lag auf der Gewinnung eines Überblicks sowie auf der Untersuchung passiver Schutz-maßnahmen. Die Ergebnisse der Untersuchungen sind in zwei Berichten (1997 und 1998) zusammengefaßt.
Ihre Empfehlungen beziehen sich auf die
Europäische Union
Im Rahmen einer informellen Abstimmung auf dem Gebiet der IT-Sicherheit zwischen Frankreich, den Niederlanden, Schweden, Großbritannien und Deutschland wurde im Frühjahr 1999 ein weiterer Informationsaustausch hinsichtlich des Schutzes kritischer Infrastrukturen vereinbart. Es ist davon auszugehen, daß auch in den beteiligten Ländern entsprechende Aktivitäten angelaufen sind bzw. anlaufen werden.
3.2 Nationale Aktivitäten
Neben der auf Initiative des BMI Anfang 1998 eingerichteten Arbeitsgruppe KRITIS, sind vor allem im Bereich der Bundeswehr national und international zahlreiche Aktivitäten zu verzeichnen.
Die IABG hat - u.a. angeregt durch die Aktivitäten der AG KRITIS - ebenfalls einen Arbeitskreis zum Schutz kritischer, IT-abhängiger Infrastrukturen gegründet, der sich insbesondere auch aus Vertretern der Wirtschaft zusammensetzt und die Sensibilisierung der Wirtschaft für dieses neuartige Gefährdungspotential sich zum Ziel gesetzt hat.
Im übrigen hat sich auch die vom 13. Deutschen Bundestag eingesetzte Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft" in dem Mitte 1998vorgelegten 4. Zwischenbericht [5] mit der Thematik "Sicherheit und Schutz im Netz" befaßt.
3.3 AG KRITIS
Die AG KRITIS führte in der ersten Jahreshälfte ’98 eine Ressorterhebung mit dem Ziel durch,
Die Auswertung der Erhebung brachte folgende generelle Ergebnisse:
Die Erhebungen verdichteten im wesentlichen bereits vorliegende Erkenntnisse bzw. Vermutungen:
3.4 Enquete-Kommission
In dem bereits erwähnten 4. Zwischenbericht hat die Enquete-Kommission, welche sich aus Bundestagsabgeordneten und Sachverständigen zusammensetzte, bereits dazu beigetragen, die sich aus der Nutzung der Informationstechnologien ergebenden (neuen) Risiken zusammenzustellen und zu bewerten sowie Handlungsempfehlungen auszusprechen. Die im Zwischenbericht vorgelegen Erkenntnisse hat die Kommission vor allem aus Arbeitssitzungen, Workshops, Anhörungen und wissenschaftlichen Gutachten gewonnen.
Für die eingangs beschriebene Zielsetzung der AG KRITIS sind insbesondere die Aussagen der Kommission
von Bedeutung. Die Enquete-Kommission beschreibt als Ergebnis ihrer Tätigkeit nicht nur einschlägige IT-Risiken und -Gefährdungen, sondern gibt außerdem eine Reihe von Handlungsempfehlungen ab, deren Aufzählung jedoch über den Rahmen dieses Kurzberichts hinausginge.
4 Bewertung
Vielfältige Aktivitäten bestätigen, daß dem Schutz kritischer Infrastrukturen eine zunehmend hohe sicherheitspolitische Bedeutung zukommt. Zahlreiche strukturelle Unterschiede zu den USA deuten darauf hin, daß sich nur Teile der im PCCIP-Bericht festgehaltenen Erkenntnisse auf Deutschland übertragen lassen. Bereits angelaufene Aktivitäten (Veröffentlichungen, Kongresse, Workshops etc.) mit dem Ziel, den Schutz kritischer Infrastrukturen zu optimieren, heben Deutschland im europäischen Vergleich deutlich ab. Auch ist bereits im parlamentarischen Raum von einer Enquete-Kommission der Information Warfare als Bedrohung für nationale Informationsinfrastrukturen erkannt worden [5]; die Kommission hält es in diesem Zusammenhang für erforderlich, neue Formen einer interdisziplinären Zusammenarbeit von Wirtschaft, Wissenschaft und Politik zu entwickeln.
Im einzelnen stellen sich vor dem Hintergrund verschiedenster, im großen wie im kleinen Kreis geführter Diskussionen folgende Herausforderungen und Fragen:
Neue Schwachstellen für die nationale Sicherheit?
IT-Systeme können via Internet über beliebige Entfernungen hinweg angegriffen werden. Nationalstaatliche Grenzen sind hierbei nicht von Belang; zu übertragende Datenpakete bahnen sich "wie von selbst" ihren vorbestimmten Weg. Schutzmechanismen gegen schädlichen Programmcode sind nur spärlich im Einsatz. Es wirft sich vor diesem Hintergrund die Frage auf, ob es einen über Netze mit Hilfe von Computern geführten Krieg geben kann. Gäbe es ihn, wäre ein Überdenken bisheriger verteidigungspolitischer Ansätze erforderlich.
Diskussionen in der AG KRITIS haben gezeigt, daß es rechtlichen Klärungsbedarf gibt, ob und inwieweit Angriffe, welche mit Hilfe von IT-Mitteln gezielt und koordiniert auf kritische Infrastruktursysteme in Deutschland vorangetragen werden, einer kriegerischen Auseinandersetzung im herkömmlichen Sinne entsprechen. Begriffe wie Krise, Spannungs- oder gar Verteidigungsfall bekommen in der Zukunft eine vielleicht neue Bedeutung.
Detailanalyse der IT-Bedrohung
Die bislang im KRITIS-Kontext angestellten Untersuchungen haben gezeigt, daß das IT-bedingte Risikopotential in Infrastruktursystemen - zumindest in generisch-abstrakter Weise -umfassend beschreibbar ist. Offen ist die Frage, ob und in welchen Bereichen es "interessierte Kreise" gibt, die willens und in der Lage wären, IT-Schwachstellen in deutschen Infrastrukturen zu ihrem Vorteil zu mißbrauchen. Das Risiko von "Cyber-Threats" - etwa durch terroristische Gruppen oder feindlich gesinnte Organisationen/Staaten - wurde am Anfang der Arbeiten im Vergleich zu den USA als deutlich geringer eingeschätzt. Die krisenhaften Entwicklungen in Südosteuropa und damit verbundene Fälle von IT-Angriffen zeigen allerdings deutlich, daß neue Gefährdungsquellen sehr rasch entstehen können und auch in Deutschland von einem signifikanten Bedrohungspotential ausgegangen werden muß.
Eine entsprechende, an der aktuellen Sicherheitslage orientierte Bedrohungsanalyse, die hieran interessierte Täterkreise oder auch Organisationen systematisch herausarbeitet und beim Namen nennt, gibt es nach Wissen der AG KRITIS nicht.
Entwickeln adäquater Detektionsfähigkeiten
Da die jetzigen Ausprägungen der klassischen Verteidigungsmethoden wie Aufklärung und Frühwarnung im Cyberwar wenig wirksam sind, konzentrieren sich geeignete Sicherheitsstrategien weitgehend auf defensive Maßnahmen zum Schutz und zur Abwehr von Cyberwar-Angriffen. Unter die Vorbeugemaßnahmen der informationstechnischen Sicherheit fällt hauptsächlich die digitale Verschlüsselung von Daten und Nachrichten sowie die Abkoppelung von offenen Netzen. Passive Schutzeinrichtungen sind u. a. die elektronischen Zugangssperren zu Netzen und Datenspeichern, während Abwehr auch die aktive Überwachung der bedrohten IT-Systembetriebe umfaßt. Alle diese Maßnahmen müssen in Zukunft auf die Systemüberwachung und technisch-organisatorische Systemanpassung in den Bereichen staatlicher und internationaler Informationsinfrastrukturen nach dem Prinzip "protect, detect and react" übertragen werden.
Die Entwicklung effizienter technischer und organisatorischer Verfahren zur Erkennung eines über IT geführten Angriffs auf ein Computersystem steckt noch am Anfang. Die bislang verfügbare technische Antwort zur Abwehr von IT-Angriffen wird in Form sog. "Intrusion Detection"-Systeme realisiert, die z.T. durch "Intrusion Detection Response"-Komponenten aktiv erweitert werden können. Dieser Ansatz mag hilfreich zum Schutz einzelner - auch größerer - IT-Systeme sein. Jedoch kommt er schnell an Grenzen, wenn es kritische Infrastrukturbereiche in ihrer Ganzheit zu schützen gilt. Hierfür sollten verfügbare Detektions- wie auch Reaktionssysteme weiterentwickelt und technisch wie organisatorisch gekoppelt werden, um ein umfassendes Lagebild vermitteln zu können.
Vorantreiben der weiteren Informationsgewinnung
Die umfassende Gewinnung präziser Informationen über Schwachstellen von Infrastruktursystemen noch optimiert werden kann. Eine vertrauensvolle Zusammenarbeit staatlicher Stellen mit Verantwortlichen aus der Wirtschaft ist hierfür Voraussetzung. Es ist deshalb zu begrüßen, daß ein gestiegenes Interesse sowie erhöhtes Sicherheitsbewußtsein der betroffenen Träger kritischer Infrastrukturen festgestellt werden konnte. Offenbar spielte dabei auch das Jahr-2000-Problem vor dem Hintergrund eine Rolle, sich über die Abhängigkeiten von der IT und über die Konsequenzen des Ausfalls einer größeren Zahl von IT-Systemen bewußt zu werden.
Eine weiterführende analytische Betrachtung mit dem Ziel, eine Schutzkonzeption für kritische Infrastruktursysteme in Deutschland zu erarbeiten, macht es erforderlich, die heimischen Infrastrukturen in noch näher zu bestimmender Erhebungstiefe zu erfassen. Diese Arbeit ist bislang noch nicht umfassend geleistet worden. Nur in einigen Teilbereichen sind diese Informationen relativ leicht und schnell abzurufen. Danach gilt es, die Bedeutung der ermittelten Infrastrukturen für Staat und Gesellschaft anhand eines Prioritäten bildenden Modells transparent darzustellen.
Die von der AG KRITIS über den Projektzeitraum gesammelten und aufbereiteten Informationen über kritische Infrastrukturbereiche sind trotz ihrer Heterogenität und qualitativen Unterschiede als Basis für eine Weiterführung der Arbeiten wertvoll. Insbesondere lassen sich bei einer so breit angelegten Erhebung interessante Korrelationen über gemeinsame/ähnliche Abhängigkeiten von bestimmten Problemen bestimmen. Dazu gehören etwa die allgemeine Nutzung nicht fehlertoleranter Betriebssysteme mit bekannten Sicherheitslücken, der Einsatz von unzertifizierter Standardsoftware-/hardware oder Anfälligkeiten gegen bestimmte Computer-Viren.
Ausbau des IT-Grundschutzes
Insbesondere die im Kapitel 2 beschriebenen Gefährungspotentiale erhöhen die Gefahr eines aus der Ferne und im Verborgenen vorangetragenen, zielgerichteten IT-Angriffs auf kritische Infrastrukturen. Der relativ geringe Aufwand an Vorbereitung, der von einem potentiellen Angreifer hierfür zu leisten ist, in Kombination mit der globalen Zugriffsmöglichkeit über Internet lassen die Vermutung zu, daß unbefugte Manipulations- oder Sabotageversuche am ehesten auf diese netzgebundene Art und Weise erfolgen dürften.
Als Schutz vor derartigen Angriffen haben sich sowohl technische (z.B. Verwendung sicherer Systemprogramme, regelmäßiges Einspielen von Patches, Verwendung von Verschlüsselungsverfahren, Aufbau von Firewallsystemen) als auch organisatorische Maßnahmen (z.B. gegenseitige Information über Sicherheitsprobleme, Ausfallpläne, Backup-Strategien) bewährt. Die Gesamtheit dieser Maßnahmen ist übersichtlich im IT-Grundschutzhandbuch des BSI aufgeführt und für viele in der Praxis anzutreffende IT-Systemkonfigurationen in Form von Maßnahmenbündeln exemplarisch zusammengestellt.
Da auch kritische Infrastruktursysteme - zumindest in Teilen - aus typischen IT-Konfigurationen sowie Umfeld- und Organisationsbedingungen bestehen, ist bei konsequenter Umsetzung der IT-Grundschutzmaßnahmen der erste Schritt zur Absicherung der jeweiligen IT-Strukturen für den niedrigen bis mittleren Schutzbedarf getan. Dieser reicht jedoch für sogenannte "Hochverfügbarkeitssysteme" nicht aus. Es gibt jedoch in weiten Teilen der kritischen Infrastruktursysteme - über den IT-Grundschutz hinaus - das Erfordernis, insbesondere für sektorspezifische IT-Systeme (z.B. Meß- und Regelungssysteme, Prozeßleitrechner, spezielle Steuerungssoftware, Informations- und Führungssysteme etc.) "individuelle" Schutzmaßnahmen zu entwickeln. Diese sehr spezifische Arbeit kann nur mit intensiver Unterstützung durch den jeweiligen Träger der kritischen Infrastruktur geleistet werden.
5 Handlungsbedarf
Angesichts der dargestellten Rahmenbedingungen hält es die AG KRITIS im Sinne des Schutzes kritischer Infrastruktursysteme in Deutschland für erforderlich, die nachfolgend aufgeführten Ziele zu verfolgen:
Ziel A
Fertigung einer Bedrohungsanalyse für kritische Infrastrukturbereiche in Deutschland im Hinblick auf ihre IT-Verletzlichkeit
Leitfragen
Umsetzung
Ziel B
Fertigung einer IT-Verletzlichkeitsanalyse der für Deutschland wichtigen Infrastrukturbereiche Telekommunikation, Energie und Verkehrswesen
Leitfragen
Umsetzung:
Ziel C
Ausbau und Fortentwicklung des IT-Grundschutzes speziell für Zwecke des Schutzes kritischer Infrastrukturbereiche
Leitfragen
Umsetzung
Ziel D
Konzipierung eines Lage- und Informationssystems KRITIS mit seinen technischen und organisatorischen Komponenten
Leitfragen
Umsetzung
Ziel E
Ausbau und Förderung der KRITIS-orientierten Kooperation zwischen staatlichen und privatwirtschaftlichen Stellen
Leitfragen
Umsetzung
Ziel F
Fortführung und Ausbau der Aufgabe KRITIS beim BSI
Leitfragen
Umsetzung