Manfred Kloiber: Auf dem vierten IT-Gipfel der Bundesregierung wurde auch eine Initiative zur Bekämpfung von Botnetzen, also Netzen ferngesteuerter Rechner, vorgestellt. Der Verband der Internetwirtschaft Eco und das Bundesamt für Sicherheit in der Informationstechnologie wollen eine Zentrale zur Bekämpfung von eben solchen Botnetzen einrichten. Was ist da genau geplant, Peter Welchering?
Peter Welchering: Diese Beratungsstelle soll dann auch drei Aufgaben übernehmen. Sie soll eine Art Computer-Notfallteam unterhalten, also eine Art Cert, das bei Virenbefall oder beim Aufbau von Botnetzen, also per Schadsoftware ferngesteuerten Rechnern, die dann eben zu so einem Netz zusammengeschaltet werden, Alarm auslöst. Die Internetprovider sollen in Zusammenarbeit mit dieser Zentrale des weiteren an ihre Kunden auf etwaigen Virenbefall ihrer Rechner hinweisen, beispielsweise Per Telefon. Sie rufen an und sagen: Mein lieber Kunde, da hast du einen Virus, das geht so nicht. Und der Kunde soll sich dann auf einer Internetseite geeignete Programme zur Bekämpfung genau dieser Schadsoftware auf seinen Computer herunterladen. Und wenn das nicht funktioniert, dann sollen Schadsoftware-Spezialisten dieser Zentrale gemeinsam mit dem Kunden die Schadsoftware aufspüren und entfernen.
Kloiber: Virenbefall von Computern ist als Gefahr ja eigentlich schon längst erkannt, dennoch gab es gestern heftige Proteste gegen die Pläne für diese deutschlandweite Zentrale. Was missfällt den Kritikern?
Welchering: Ja, vor allen Dingen Mitglieder des Bundestages haben sich gegen eine halbstaatliche Zentralstelle ausgesprochen, denn die war ja in der Diskussion. Außerdem sehen sie, wie auch die Vertreter einiger großer Internetprovider, erhebliche Datenschutzprobleme. Laut Eco und BSI soll ja eine stärkere Überwachung des Datenverkehrs im Internet dann generell stattfinden. So dass Schadsoftware dann eben rechtzeitig aufgespürt werden kann. Und da sagen die Kritiker: Na, dann sagt mal genauer, was ihr da wie überwachen wollt. Eine systematische Überwachung des gesamten Datenverkehrs, nämlich, um Schadsoftware aufzuspüren, lehnen sie ab. Das kann nur stichpunktartig erfolgen. Das darf dann aber auf keine Inhalte runtergebrochen werden. Also Inhalte dürfen nicht kontrolliert werden, wie etwa bei der Deep Packet Inspection. Und die Kunden der Internetprovider dürfen auch nicht verpflichtet werden, Schadsoftware-Spezialisten der Beratungsstelle Zwecks Virenabwehr Zugang zu ihrem Computer zu erlauben. Und das Kappen von Internetzugängen oder das zwangsweise Umleiten auf eine bestimmte Internetseite eben mit Reinigungssoftware beim Verdacht von Virenbefall, das wird eben auch als sehr problematisch angesehen. Außerdem stören sich die Kritiker dann noch an der Halbstaatlichkeit dieser Beratungsstelle, denn da kann dann der Staat ja leicht Einblicke nehmen in ganz private Daten, die ihn ja eigentlich gar nichts angehen.
Kloiber: Es wurden ja auch getrennte Beratungsstellen diskutiert, nämlich eine regierungsamtliche Beratungsstelle gegen Computerviren und ein rein privatwirtschaftlich organisiertes anbieterübergreifendes Beratungszentrum der Provider. Könnten die Kritiker einer solchen Trennung dann zustimmen?
Welchering: Also der Trennung schon. Aber dann fragen die sich natürlich: Müssten wir wirklich zwei gleichartige Strukturen parallel haben, die ja aufgebaut werden? Und es ist die Frage gestellt worden: Ist denn nicht die generelle Beratung in Sachen Virenabwehr ohnehin schon Aufgabe des Bundesamtes für Sicherheit in der Informationstechnik? Außerdem ist die Freiwilligkeit des Kunden der Provider, was eben diese Beratung und dann auch die Dienstleistung durch ein solches Antischadsoftware-Zentrum angeht, eigentlich der Dreh- und Angelpunkt in der gegenwärtigen Diskussion. Und da wird insbesondere die Forderung kritisiert und abgelehnt, dass beim Verdacht auf Virenbefall oder auf andere Schadsoftware Experten von außen quasi zwangsweise den Zugriff auf den verdächtigen PC durchsetzen können. Und bei der Zentralstelle gegen Computerviren, die die Bundesregierung da schon in den nächsten Monaten gründen will, da fragen sich die Kritiker, welche genauen Befugnisse denn dann die Mitarbeiter dieser Zentralstelle eigentlich haben sollen? Beraten sie nur Computeranwender, wenn die etwa eine Frage zu Schadsoftware und deren Bekämpfung haben oder dürfen etwa dann die Mitarbeiter dieser Zentralstelle sich auch Zugang zu verdächtigen PCs verschaffen? Und das ist eben eine sehr, sehr brisante Frage, weil die erinnert noch so ein wenig an die alte Diskussion des Zugriffs des Bundesamtes für Sicherheit in der Informationstechnik.
Kloiber: Peter Welchering über die geplante Zentrale gegen Botnetze. Vielen Dank.
Peter Welchering: Diese Beratungsstelle soll dann auch drei Aufgaben übernehmen. Sie soll eine Art Computer-Notfallteam unterhalten, also eine Art Cert, das bei Virenbefall oder beim Aufbau von Botnetzen, also per Schadsoftware ferngesteuerten Rechnern, die dann eben zu so einem Netz zusammengeschaltet werden, Alarm auslöst. Die Internetprovider sollen in Zusammenarbeit mit dieser Zentrale des weiteren an ihre Kunden auf etwaigen Virenbefall ihrer Rechner hinweisen, beispielsweise Per Telefon. Sie rufen an und sagen: Mein lieber Kunde, da hast du einen Virus, das geht so nicht. Und der Kunde soll sich dann auf einer Internetseite geeignete Programme zur Bekämpfung genau dieser Schadsoftware auf seinen Computer herunterladen. Und wenn das nicht funktioniert, dann sollen Schadsoftware-Spezialisten dieser Zentrale gemeinsam mit dem Kunden die Schadsoftware aufspüren und entfernen.
Kloiber: Virenbefall von Computern ist als Gefahr ja eigentlich schon längst erkannt, dennoch gab es gestern heftige Proteste gegen die Pläne für diese deutschlandweite Zentrale. Was missfällt den Kritikern?
Welchering: Ja, vor allen Dingen Mitglieder des Bundestages haben sich gegen eine halbstaatliche Zentralstelle ausgesprochen, denn die war ja in der Diskussion. Außerdem sehen sie, wie auch die Vertreter einiger großer Internetprovider, erhebliche Datenschutzprobleme. Laut Eco und BSI soll ja eine stärkere Überwachung des Datenverkehrs im Internet dann generell stattfinden. So dass Schadsoftware dann eben rechtzeitig aufgespürt werden kann. Und da sagen die Kritiker: Na, dann sagt mal genauer, was ihr da wie überwachen wollt. Eine systematische Überwachung des gesamten Datenverkehrs, nämlich, um Schadsoftware aufzuspüren, lehnen sie ab. Das kann nur stichpunktartig erfolgen. Das darf dann aber auf keine Inhalte runtergebrochen werden. Also Inhalte dürfen nicht kontrolliert werden, wie etwa bei der Deep Packet Inspection. Und die Kunden der Internetprovider dürfen auch nicht verpflichtet werden, Schadsoftware-Spezialisten der Beratungsstelle Zwecks Virenabwehr Zugang zu ihrem Computer zu erlauben. Und das Kappen von Internetzugängen oder das zwangsweise Umleiten auf eine bestimmte Internetseite eben mit Reinigungssoftware beim Verdacht von Virenbefall, das wird eben auch als sehr problematisch angesehen. Außerdem stören sich die Kritiker dann noch an der Halbstaatlichkeit dieser Beratungsstelle, denn da kann dann der Staat ja leicht Einblicke nehmen in ganz private Daten, die ihn ja eigentlich gar nichts angehen.
Kloiber: Es wurden ja auch getrennte Beratungsstellen diskutiert, nämlich eine regierungsamtliche Beratungsstelle gegen Computerviren und ein rein privatwirtschaftlich organisiertes anbieterübergreifendes Beratungszentrum der Provider. Könnten die Kritiker einer solchen Trennung dann zustimmen?
Welchering: Also der Trennung schon. Aber dann fragen die sich natürlich: Müssten wir wirklich zwei gleichartige Strukturen parallel haben, die ja aufgebaut werden? Und es ist die Frage gestellt worden: Ist denn nicht die generelle Beratung in Sachen Virenabwehr ohnehin schon Aufgabe des Bundesamtes für Sicherheit in der Informationstechnik? Außerdem ist die Freiwilligkeit des Kunden der Provider, was eben diese Beratung und dann auch die Dienstleistung durch ein solches Antischadsoftware-Zentrum angeht, eigentlich der Dreh- und Angelpunkt in der gegenwärtigen Diskussion. Und da wird insbesondere die Forderung kritisiert und abgelehnt, dass beim Verdacht auf Virenbefall oder auf andere Schadsoftware Experten von außen quasi zwangsweise den Zugriff auf den verdächtigen PC durchsetzen können. Und bei der Zentralstelle gegen Computerviren, die die Bundesregierung da schon in den nächsten Monaten gründen will, da fragen sich die Kritiker, welche genauen Befugnisse denn dann die Mitarbeiter dieser Zentralstelle eigentlich haben sollen? Beraten sie nur Computeranwender, wenn die etwa eine Frage zu Schadsoftware und deren Bekämpfung haben oder dürfen etwa dann die Mitarbeiter dieser Zentralstelle sich auch Zugang zu verdächtigen PCs verschaffen? Und das ist eben eine sehr, sehr brisante Frage, weil die erinnert noch so ein wenig an die alte Diskussion des Zugriffs des Bundesamtes für Sicherheit in der Informationstechnik.
Kloiber: Peter Welchering über die geplante Zentrale gegen Botnetze. Vielen Dank.