Archiv

Ein eigenes Betriebssystem für den Staat

Das jetzt eröffnete Cyber-Abwehrzentrum bündelt behördliche Kompetenzen, eine echte Abwehr von Cyber-Angriffen kann es nicht leisten, sagt Sandro Gaycken, Technik- und Sicherheitsforscher an der Freien Universität Berlin. Dazu bedürfte es Investitionen in neue IT-Infrastrukur.

Sandro Gaycken im Gespräch mit Anne Raith | 16.06.2011

Anne Raith: Für die amerikanische Regierung ist der Schutz des Internets inzwischen eine Frage der nationalen Sicherheit. Experten warnen sogar vor einem "Cyber Pearl Harbor", also einem verheerenden digitalen Angriff auf die USA in Anlehnung an den Angriff Japans 1941. Auch in Deutschland wird die Gefahr eines digitalen Krieges diskutiert, und das nicht erst, seit mit dem Computer-Wurm Stuxnet eine iranische Atomanlage sabotiert wurde. Bis die Bundesregierung die Gefahr dieses Wurms allerdings erkannt hatte, dauerte es vergangenes Jahr eine Weile, eine Weile zu lange. Das Cyber-Abwehrzentrum soll in Zukunft schneller reagieren, in diesen Minuten wird es in Bonn eröffnet. Mitgehört hat Sandro Gaycken, er ist Technik- und Sicherheitsforscher an der Freien Universität Berlin, daneben berät er zivile und militärische Institutionen im In- und Ausland. Guten Tag, Herr Gaycken.

Sandro Gaycken: Guten Tag.

Raith: Auch Bundesinnenminister Friedrich befürchtet ja eine wachsende Gefahr durch sogenannte Cyber-Angriffe. Wie groß schätzen Sie diese Gefahr ein?

Gaycken: Es gibt durchaus einige solide Gefahren, weil das Angreiferspektrum sich einfach gerade ändert. Wir hatten in der Vergangenheit immer Teenager und Kleinkriminelle als Angreifer; jetzt haben wir organisierte Kriminelle, die sich zusehends dafür interessieren, und vor allem aber auch andere Staaten, die entdeckt haben, dass so eine Cyber-War-Offensivtruppe wie so ein goldener Schlüssel für die Informationsgesellschaften ist, und von daher haben wir jetzt natürlich eine sehr viel ernstere Situation als in den Jahren vorher.

Raith: Und ein Cyber-Abwehrzentrum, wie es jetzt eröffnet wird, was kann das leisten?

Gaycken: Das kann leider nicht so viel leisten, zumindest nicht das, was sein Titel verspricht, nämlich eine Abwehr. Das wird von da aus nicht gehen. Man hat da natürlich den Informationsaustausch unter den Behörden, den man vorher nicht hatte, das ist sicherlich lobenswert, aber das ist natürlich nur eines von ganz vielen Problemen, die wir jetzt haben, und nicht gerade eines der größten, das da jetzt gelöst wurde.

Raith: Wenn es "nur", wie Sie sagen, um Abstimmung, um Austausch geht, ist man da zu bürokratisch herangegangen an dieses Problem?

Gaycken: Das ist eine behördliche Antwort auf so ein Problem, dass man erst mal versucht, die entsprechenden Kompetenzen zu bündeln. Das ist sicherlich auch nicht falsch. Aber man muss da natürlich noch sehr viel intensiver nachgucken, was überhaupt genau das Problem ist. Das weiß im Moment auch noch gar keiner so richtig, aus meiner Sicht zumindest. Und dann muss man halt eben auch beherzt Gegenmaßnahmen ergreifen.

Raith: Welche Gegenmaßnahmen könnten das sein?

Gaycken: Ganz wichtig wäre halt eben, dass man alle kritischen Bereiche erst mal nicht ans Internet hängt und dass man dann da auch besonders sichere IT einsetzt und nicht diese standard-kommerzielle IT, die sehr viele Sicherheitslücken und Probleme mit sich bringt.

Raith: Was meinen Sie mit kritischen Bereichen?

Gaycken: Kritische Bereiche wären kritische Infrastrukturen, natürlich auch die behördlichen Einrichtungen, die Ministerien, alle militärischen Geräte. Das sind jetzt alles Sachen, die von Interesse sind für andere Staaten, wo man gerne mal versuchen wird, sich da reinzuhacken. Und dazu gehört dann natürlich auch in Deutschland die Wirtschaft, Forschung und Entwicklung ist natürlich auch sehr interessant für viele andere Staaten, auch Sabotage an Wirtschaft, oder Manipulation an Börsen. Das sind alles Sachen, die diesen Truppen jetzt offen stehen und wo sich sicherlich auch viele Optionen offen halten werden. Da braucht man jetzt Schutzkonzepte.

Raith: Gibt es denn für Internet-Angriffe oder für den sogenannten Cyber-War überhaupt so etwas wie einen Schutz?

Gaycken: Im Moment nicht. Das liegt einfach daran, dass die Systeme, die wir jetzt alle verbaut haben über die letzten 20, 30 Jahre, inhärent unsicher sind und inhärent vulnerabel sind. Das kriegen wir auch nicht gelöst, indem wir mehr und mehr irgendwelche Sicherheitslösungen draußen draufkleben, sondern wir müssen die Systeme selber neu denken, neu konzipieren. Das ist aber dann natürlich ein ziemlich großer Schritt.

Raith: Wie könnte der denn aussehen, so etwas neu zu denken?

Gaycken: Man müsste im Grunde genommen, der Staat wäre angehalten, ein eigenes Betriebssystem zu entwickeln, von Microsoft abzugehen, da auch eine sehr sichere IT zu entwickeln, die also sehr schmal ist, wenig Funktionen bietet, sehr unkomplex ist und dann halt eben transparente Prozesse bietet.

Raith: Ein großer Plan, der viel kostet. Was könnte man denn jetzt, was kann dieses Cyber-Abwehrzentrum leisten, um Schutz zu bieten?

Gaycken: Jetzt gerade nicht viel. Es gibt keine Sensoren, um irgendwie Frühwarnungen zu bekommen, um Krisenmanagement zu betreiben. Das sind alles Sachen, die gibt es nicht, gerade nicht gegen diese Angreifer, die sehr stark sind. Von daher kann da jetzt im Moment nicht so sehr viel passieren.

Raith: Das heißt, es ist eine Mogelpackung?

Gaycken: Eine Mogelpackung ist es nicht. Es ist sicherlich sinnvoll, diese Kompetenzen zusammenzuführen, auch unterschiedliche Expertisen zu haben, die dann auf solche Angriffe gucken und versuchen, die zu analysieren. Aber das wird nicht so sehr viel helfen. Man muss schon noch mehr investieren, mehr machen in diesem Bereich, und das hoffe ich, dass das noch kommt.

Raith: Sandro Gaycken, Technik- und Sicherheitsforscher an der Freien Universität Berlin, über das neue Cyber-Abwehrzentrum der Bundesregierung. Haben Sie herzlichen Dank für das Gespräch.

Gaycken: Bitte.