Spätes Erwachen

Die virtuelle und reale Welt triften teilweise ziemlich weit auseinander. Das zeigt sich sehr deutlich zwischen dem so genannten «cyber war» der letzten Tage einerseits und dem sicherheitspolitischen Bericht des Bundesrats andererseits.

Vergangenen Freitag kündigte der Bundesrat an, er wolle den «Schutz im Cyberspace verstärken». Es blieb jedoch nicht nur bei der Willensäusserung: Gemäss Medienmitteilung wurde gar entschieden, dass man «die Schutzmassnahmen gegen solche Angriffe auf die Schweiz verstärke.»

Schneller Cyberspace – langsames VBS

Darum wurde Divisionär (!) Kurt Nydegger zum Projektleiter «Cyber Defence» ernannt. Er soll eine Expertengruppe führen, die bis Ende 2011 «eine gesamtheitliche Strategie des Bundes gegen Cyber-Bedrohungen ausarbeiten soll.»

Unter dem Eindruck der Lahmlegung verschiedener Webserver von Wikileaks und wegen entsprechender «Gegenattacken» gegen Kreditkarten-Unternehmen oder die Postfinance erhält diese Ankündigung eine besondere Aufmerksamkeit. Sie hat jedoch nichts mit den Ereignissen rund um Wikileaks zu tun, denn einen Divisionär als «Mister Cyber Defence» zu ernennen geht nicht von heute auf morgen. Oder etwa doch?

Wie auch immer: Die Lahmlegung gewisser Webserver gerade im Zusammenhang mit Wikileaks macht deutlich, wie sehr man beim Bund der Realität hinten nachrecht. Man tut sich schwer mit dem Thema.

Das zeigt sich beispielsweise darin, dass der sicherheitspolitische Bericht des Bundesrats, welcher auch den Bereich «Angriffe auf die Informatik- und Kommunikationsinfrastruktur» abdeckt, zwar am 23. Juni dieses Jahres verabschiedet wurde. Für die Ernennung eines Projektleiters für diesen unumstrittenen Bereich brauchte das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) jedoch fast ein halbes Jahr. Das ist im Cyberspace eine halbe Ewigkeit…

Dass man sich beim Bund mit dem Thema schon begrifflich schwer tut, zeigt sich auch darin, dass in diesem Bericht – welcher übrigens gestern vom Ständerat mit einigen kritischen Tönen «zur Kenntnis genommen» wurde – der Begriff «Internet» kein einziges Mal auftaucht. Stattdessen ist wie bereits erwähnt von Angriffen auf die «Informatik- und Kommunikationsinfrastruktur» die Rede.

Schon da wird deutlich, dass man beim VBS entweder zwischen Hard- und Software nicht zu unterscheiden weiss. Oder aber man denkt noch immer nur in physischen Dimensionen, denn es ist ausschliesslich von der Infrastruktur die Rede. Nimmt man die Angriffe auf Websites der letzten Tage als Beispiel, hatte aber die Informatik- und Kommunikationsinfrastruktur keinen Schaden genommen. Sie wurden ganz einfach nur mit Anfragen überlastet. Da gab es keine rauchenden Server und keine geschmolzenen Kabel, die nun unbrauchbar wären.

Veraltete Denkweise

Immerhin anerkennt man grundsätzlich die Gefahren aus dem Cyberspace. So findet sich im erwähnten Bericht die folgende Aussage:

Angriffe auf Informatik- und Kommunikationsinfrastrukturen sind attraktiv, weil Angreifer aus weiter Distanz, mit kleinem Aufwand und geringem Erkennungsrisiko Schaden anrichten können. Diese Infrastrukturen sind deshalb jederzeit – und nicht nur in Krisenlagen – Bedrohungen und Risiken ausgesetzt.

Wie veraltet die Denkweise beim VBS ist, erkennt man ebenfalls aus dem eingeschobenen Satzteil «nicht nur in Krisenlagen». Demnach denkt man noch immer in Krisen und Nicht-Krisen, in Bedrohungen und Nicht-Bedrohungen, in Risiken und Nicht-Risiken, in Krieg und Frieden, in schwarz und weiss.

So einfach ist das im Cyberspace aber nicht. Wann liegt eine Bedrohung vor und wann nicht? Was ist eine Bedrohung? Gehören da beispielsweise Spam-E-Mails dazu, die tausendfach versandt werden und unzählige Server unnötig, ja teilweise sogar mehr belasten als der normale E-Mail-Verkehr?

Ohnehin stellen sich unzählige Abgrenzungsfragen. Dazu gehört etwa die Frage, wer denn alles von diesen zu ergreifenden Schutzmassnahmen profitieren soll. Die eingangs erwähnte Medienmitteilung spricht vom Bund selber. Der sicherheitspolitische Bericht ist in dieser Hinsicht hingegen eher schwammig definiert (was allerdings eine Grundkrankheit dieses Berichts ist).

So ist zwar die Rede davon, dass «Wirtschaft, Verkehr, Versorgung, Kommunikation und Verwaltung davon abhängen, dass eine ganze Infrastruktur von vernetzten Informatik- und Kommunikationseinrichtungen – Computer, Server, Kommunikationslinien – funktioniere». Einige Sätze weiter unten ist aber wiederum nur die Rede von Massnahmen für die «eigenen Netzwerke».

Grenzenlose virtuelle Welte

Heisst das nun, dass weiterhin jeder für sich gegen virtuelle Angriffe «kämpfen» muss oder dass vielleicht die Internet-Provider aufgrund von politischen Massnahmen aktiv werden müssen oder – das wohl gefürchtetste Szenario – dass gar etwa der Staat für die gesamte Gesellschaft und die gesamte Privat- oder Volkswirtschaft Abwehr-Massnahmen ergreift? Und wenn es der Staat ist, in welchen Fällen erhalten die virtuellen Soldaten einen Marschbefehl?

Eine weitere Abgrenzungsfrage stellt sich auch bezüglich Landesgrenzen. Im Zitat oben spricht man von «Angreifer aus weiter Distanz». Distanz ist im Cyberspace eine äusserst relative Angelegenheit – womit sich auch hier die alte militärische Denkweise offenbart. Es gibt aber immer noch Landesgrenzen, welche in der Regel auch einen Wechsel des geltenden Rechts mit sich bringen.

Ist ein virtueller Angriff aus Deutschland an die Adresse der Schweizerischen Bundesverwaltung, der auf mehr abzielt als das blosse Lahmlegen von Webservern, ein Angriff auf die Souveränität der Schweiz? Man denke beispielsweise auch an die Virenattacke im Eidgenössischen Departement für auswärtige Angelegenheiten (EDA) im Oktober letzten Jahres. Und gilt ein gleicher Angriff, welcher beispielsweise aus dem Rheintal lanciert wird, gleich als Landesverrat?

Damit gelangen wir zur nächsten Abgrenzungsfrage: Ist überhaupt das VBS für die Abwehr solcher Angriffe zuständig? Grundsätzlich nimmt nämlich das VBS die Funktion der äusseren Sicherheit wahr. Das würde bedeuten, dass derartige Angriffe zwingend aus dem Ausland kommen müssten.

Stammt ein Hacker jedoch aus dem Rheintal – um bei diesem Beispiel zu bleiben – ist die innere Sicherheit tangiert. Diese ist entweder beim Eidgenössischen Justiz- und Polizeidepartement (EJPD) oder bei den Kantonen oder bei beiden angesiedelt.

KOBIK, die Koordinationsstelle zur Bekämpfung der Internetkriminalität wird beispielsweise vom Bund betrieben, dies jedoch im Auftrag der kantonalen Justiz- und Polizeidirektoren (KKJPD). Die polizeilichen Aufgaben (wie beispielsweise die Festnahme einer Person) werden wiederum von den kantonalen Polizeikorps wahrgenommen.

MELANI, die Melde- und Analysestelle Informationssicherheit, gehört zum Bund und ist dem Eidgenössischen Finanzdepartement (EFD) unterstellt. Durch ihre Informationspolitik leistet sie aber auch einen präventiven Beitrag vor Angriffen aus dem Cyberspace.

Abwarten und zuschauen

Diese Abgrenzungsfrage bezüglich Zuständigkeit findet sich selbst im sicherheitspolitischen Bericht wieder – und zwar ungeklärt. So heisst es darin:

Er (der Bund) ist auch für die Ergreifung von Massnahmen bei Ereignissen von gesamtstaatlichem Ausmass zuständig wie erhöhte Radioaktivität, Epidemien (Mensch und Tier), Talsperrenbrüchen und Satellitenabstürzen. Für weitere Fälle (z.B. Angriffe via und auf die Informatik- und Kommunikationsinfrastruktur, Stromausfall), die nationale oder gar internationale Auswirkungen haben können, werden die Zuständigkeiten und die Koordination im Ereignisfall geregelt.

Die Zuständigkeiten im Ereignisfall zu regeln, so wie es im Zitat oben steht, heisst auf gut deutsch: Warten wir mal ab, was passiert, dann schauen wir, wer am ehesten etwas dagegen unternehmen kann.

Auch darin erkennt man die Unbeholfenheit des VBS zu diesem Thema. Würde man diese Aussage nämlich auf die alte militärische Denkweise ummünzt, würde das heissen: Warten wir mal ab, ob unsere Häuser zerbombt werden, dann schauen wir, ob vielleicht jemand beim Bund oder in einem Kanton eine Fliegerabwehr oder ein Kampfflugzeug hat um dagegen etwas zu unternehmen.

Indem die Zuständigkeiten erst im Ereignisfall geregelt werden, wird deutlich, dass der Bund nicht auf Schadensverhinderung, sondern bestenfalls nur auf Schadensbegrenzung aus ist. Da es nie eine hundertprozentige Sicherheit gibt, wird es gewiss einige Fälle geben, die tatsächlich nur mit reiner Schadensbegrenzung zu tun haben – siehe den Fall aus dem EDA.

Aber das Ziel als Staat muss primär die Schadensverhinderung sein. Statt jährlich vier Milliarden in eine Armee ohne Feindbilder zu stecken, wäre es doch intelligenter, dieses Geld wenigstens zu einem beachtlichen Teil in die Schadensverhinderung von Attacken aus dem Cyberspace zu investieren – zugunsten der gesamten Bevölkerung und Wirtschaft.

Ein langer Prozess

Das VBS ist ja dafür bekannt, eine ziemliche Unordnung im eigenen Informatik-Stall zu haben. Fürs Aufräumen wurden deshalb externe Berater für hunderttausende von Franken eingesetzt.

Man darf daher gespannt sein, was schliesslich bei der von einem Divisionär angeführten Arbeitsgruppe, möge er vorher jahrelang Chef der Abteilung Elektronische Kriegsführung und Chef der Führungsunterstützungsbasis gewesen sein, herauskommen wird.

Mehr Überwachung durch den Staat darf es auf jeden Fall nicht sein. Es gäbe auch andere Möglichkeiten. Doch bis man diese – wenn überhaupt – in Betracht zieht, beschliesst und schliesslich umsetzt, vergehen noch einige Jahre.

Bis dahin werden sich die Informatik-Probleme im VBS vielleicht von alleine gelöst haben, nämlich indem Hacker die offensichtlich unbrauchbaren Systeme im Rahmen eines virtuellen Häuserkampfs ganz zu Informatik-Ruine umgewandelt haben – und dazu noch kostenlos… 😉

Und wir, wir werden bis dahin darüber abgestimmt haben, ob man die Armeewaffe nun weiterhin zu Hause aufbewahren darf oder ob sie im Zeughaus abgegeben werden muss. Zudem laden sich in der Zwischenzeit weitere Tausende Internet-Benutzer unbehelligt eine frei zugängliche «Internet-Waffe» herunter, mit welcher man am Lahmlegen von Webservern teilhaben kann und die man anschliessend im virtuellen Kleiderschrank versorgen kann.

Wie paradox die Welt doch geworden ist…

________________________________________________________________________

Ähnliche Beiträge

6 Antworten auf „Spätes Erwachen“

  1. Wenn man berücksichtigt, wie lange im Vergleich zur Wirtschaft unsere Verwaltungen benötigen um auf Veränderungen zu reagieren, lassen die aktuellen Gefahren böses erahnen.

    Es stellt sich die Frage, wie sich die Kultur im ganzen Verwaltungsapparat verändern liesse. Die nötige agilität die in Zukunft benötigt wird, lässt sich nicht so einfach erreichen. Ich denke zum jetzigen Zeitpunkt ist es schwierig die dazu nötigen Mitarbeiter zu finden, diese suchen sich bessere Mögllichkeiten. Die jetzige Kultur in den meisten Verwaltungen zwingt den dynamschsten und motiviertesten Mitarbeiter mit ihren Prozessen in die Knie.

    Ich sehe somit wenig Hoffnung, dass die nötige Schadensverhinderung in naher Zeit aufgebaut werden kann. Was dazu führt, dass für die Veränderungen ein Ereignissfall nötig ist. Es bleibt zu hoffen dass in dieser Situation dann nicht überreagiert und mit Massnahmen übertrieben wird (vgl. Amerikas Patriot Act nach 9/11).

    Sehe ich das zu schwarz?

  2. @ Alex Arnold
    Ich verstehe zwar, was gemeint ist, sehe jedoch das Problem weniger bei der Verwaltung und stattdessen eher bei der Politik.

    Im Falle des obigen sicherheitspolitischen Berichts brauchte es glaube ich drei Anläufe – und das jetzige Ergebnis ist noch immer nicht berauschend.

    Oder: Wie oft bekommen wir zu hören „Die Vorlage geht nun wieder zurück in den Nationalrat/Ständerat“? Damit geht das Ping-Pong-Spiel zwischen National- und Ständerat los. Das gleiche gilt natürlich auch zwischen den beiden Räten, den jeweiligen Kommissionen und dem Bundesrat. „Nachbessern“, „…der Bundesrat muss nochmals über die Bücher…“ usw.

    Wenn also etwas dynamisiert werden, dann sollte man aus meiner Sicht bei diesem politischen Prozess beginnen. Zwischen Entwurf seitens Bundesverwaltung, Beratungen seitens zuständiger Kommission, (evtl. Rückweisung zur Nachbesserung), Beratung im Plenum, (evtl. Rückweisung an die Kommission oder gar gänzliche Abweisung, sprich Versenkung) liegen immer jeweils mehrere Wochen oder Monate. In der Privatwirtschaft wäre so etwas undenkbar.

    Allerdings: Wir haben ein Milizparlament (währenddem in der Regel in der Verwaltung fachlich kompetente Leute sitzen), das alle drei Monate zusammentrifft und dazwischen vielleicht noch einige Kommissionssitzungen ausserhalb der Sessionen abhält. Da kann man wohl kein schnelleres Tempo erwarten.

    Interessant wäre die Frage, ob die Räte nicht monatlich für eine Woche statt alle drei Monate für drei Wochen zusammenkommen sollten. So könnte ein zurückgewiesener Punkt an den anderen Rat, an die Kommission oder an den Bundesrat u. U. bereits im nächsten Monat behandelt werden (statt erst im nächsten Quartal).

  3. Nachdem ich gut 20 Jahre in der IT-Welt tätig war, schwant auch mir, dass die Funktionäre beim Bund nicht so ganz die Tragweite des Problems erkannt haben und nicht mal annähernd in einem angemessenen Zeitrahmen reagieren. Wie kann man nur einen Militärkopf an die Spitze einer Expertengruppe stellen? Gut, vielleicht tu ich dem Mann ja unrecht und er ist ein IT-Crack…
    Fälschlicherweise ist für die meisten Leute Internetkriminalität sowas wie Webseiten hacken oder Kreditkartendaten klauen. Was es natürlich auch gibt – gerade Private, die sich häufig sehr unvorsichtig verhalten, sind akut gefährdet. Ich schätze jetzt aber mal, dass gerade grössere Institutionen mit professioneller IT ihre Systeme recht ordentlich abgesichert haben. Echt heikel sind aber sogenannte DoS-Attacken (http://de.wikipedia.org/wiki/Denial_of_Service), bei denen mit geringem Aufwand ganze Systeme zum erliegen gebracht werden.
    Bleibt zu hoffen, dass die Expertengruppe taugliche Massnahmen in nützlicher Frist beschliesst.

  4. Solange die DDOS-Attacken fälschlicherweise als DOS-Attacken bezeichnen und für die das dann auch noch hacken ist, sind das für mich alles Oberlamers!

    Und wieder einmal denke ich mir, der Bund hätte mich gut brauchen können, denn in England habe ich genau solche Szenarien studiert und habe schliesslich nicht umsonst Weiterbildungen zum Thema IT-Forensik, Ethisches Hacking und Pentesting abgeschlossen.

    Doch der Bund will wohl keine solche wie mich haben, die haben lieber Lamers die nicht selber denken können, die man gut kontrollieren kann und ruhige Kugeln schieben.

    Nur schon, dass die Militärköpfe an die Spitze einer solchen Expertengruppe stellen sagt alles, früher mal war das normal aber heute noch? Nein, heute bräuchte man eigentlich Ethische Hacker für so was.

    Ich frage mich ohnehin für was ich all die Diplome gemacht habe, in der Schweiz ist man Jahre hinten nach. Als ich in England war für die Schulungen, wollten mich die NATO-Typen einstellen weil sie meinten solche wie ich seien selten und gefragt, natürlich wollte ich das damals nicht weil ich ja nicht auswandern wollte. Trotzdem fuchst es mich nun ein bisschen, denn die Schweiz ist so lame in diesen Belangen, da wäre es für mich besser gewesen ich wäre ausgewandert.

    Als ich beim Bund war, wollte ich ja eigentlich weiter zur FedPol eben genau ins Kobik, aber es scheiterte schon vorher an den faulen Säcken die lieber eine ruhige Kugel schieben wollten als Dinge zügig zu erledigen, also wurde ich rausgemobbt damit sie weiter ihre ruhige Kugel schieben konnten.

    Und nach dem ganzen Chaos der letzten Jahre, wird man mich dann wohl eher mal auf der Gegenseite wiederfinden als dass ich jemals wieder in Betracht ziehe für den Staat zu arbeiten. Ausser die machen mir ein wirklich gutes Angebot, was ich aber nicht annehme, weil die so lame sind, dass sie ja nicht mal erkannten was sie damals an mir verloren haben.

    Und ehmm „…grössere Institutionen mit professioneller IT ihre Systeme recht ordentlich abgesichert haben“… *lol* Heheheh, also hmm, noe ich sag lieber mal nichts…

  5. @ Sensor / Chris
    Ob der Begriff „cyber war“ – wie man ihn in jüngster Zeit einige Male zu hören bekam – übertrieben ist, kann ich nur schwer beurteilen. Auf jeden Fall ist heute jedes Unternehmen und jede Organisation sich selber überlassen.

    Nun gibt es entweder relativ wenige Angriffe, womit der Begriff „cyber war“ wohl eher übertrieben ist. Oder aber diese Unternehmen sind tatsächlich gut gerüstet. Im Aushorchen unserer Surf-Gewohnheiten sind einige auf jeden Fall sehr gut, daher wäre ihnen auch ein guter Schutz zuzutrauen.

    Sollte das nicht der Fall sein, dann frage ich mich, wie sicher meine bis anhin als sicher geglaubte Surf-Gewohnheiten und andere, sensiblere Daten noch sind… (hier sprechen wir aber dann bereits nicht mehr von den relativ „harmlosen“ DoS oder auch DDoS-Angriffen).

  6. Unter «CyberWar» verstehe ich dann schon was anderes. Und ausspähen von Surf-Gewohnheiten hat mehr mit Datenschutz zu tun. Allgemein sollte man sich da im klaren sein, wer im Internet unterwegs ist hinterlässt Spuren. Allerdings gibt es auch gute Lösungen dies zu verhindern wenn man will, nur sind die meisten eben zu faul um diese einzusetzen.

    Ich selber handle das jeweils so, dass ich nur die sensiblen Dinge verschlüsselt mache und den Rest auf eine Art und Weise die ein Auswerten sinnlos macht. Wenn man zbs. nur schon regelmässig seine Cookies löscht, vereitelt man schon ziemlich eine Auswertung der Surf-Gewohnheiten, da dann nicht festgestellt werden kann ob man der selbe wie vorher ist.

    Die Provider selber werten ja „noch“ nichts aus, es sind momentan nur Webseiten die das tun und das geht nur über Cookies oder in Emails zbs. über Webbugs, die man übrigens easy kicken kann in dem man für das Emailprogramm den Port 80 sperrt.

    Und wer wirklich Angst hat das der Provider schnüffelt, der richtet sich eben ein VyprVPN ein und surft komplett verschlüsselt, das habe ich übrigens direkt im Router integriert(ja das geht!) so muss ich nicht mal mehr einlogen. Allerdings enable ich das jeweils nur temporär, weil es alles extrem verlangsamt weil ja alles verschlüsselt werden muss und dann über andere Länder läuft.

    Dafür nutze ich generell die SSL-Option vieler Webseiten und selbstverständlich versende und empfange ich Emails nur über SSL/TLS.

    Das alles muss man nur einrichten, danach hat man kein Aufwand mehr, aber man muss es natürlich schon einrichten und auch nutzen. Wer heute noch obwohl er sie verschlüsseln könnte Passwörter unverschlüsselt ins Internet raus sendet ist selber schuld. Genauso sollte es selbstverständlich sein für jede Webseite ein anderes möglichst zufällig generiertes Passwort zu verwenden.

    Und betreffend „Im Aushorchen unserer Surf-Gewohnheiten sind einige auf jeden Fall sehr gut, daher wäre ihnen auch ein guter Schutz zuzutrauen“ genügt es sich Facebook anzuschauen, sehr gut im ausspähen aber null Schutz und unzählige Löcher! Das eine hat also mit dem anderen nicht zwangsläufig zu tun.

    Zudem, der echte «CyberWar» kommt erst noch, es gab bereits so was wie eine Trockenübung die in etwa erahnen lässt wie das dann abgehen wird. Mit DDOS/DOS Attacken hat das dann rein gar nichts mehr zu tun, der wird auf einem ganz anderen Level stattfinden und die Schäden werden in der realen Welt erfolgen, da wird es dann echte Tote geben und nicht nur ein paar blockierte Server. Die Eingeweihten Experten zittern jetzt schon, denn die entdeckte Trockenübung wo die Schadensroutinen zum Glück noch fehlten hat gezeigt wie exponiert die ganze Infrastruktur in Wirklichkeit ist.

    Da liegt dann eben auch der Unterschied zwischen «Scriptkiddies» und echten Hacker, wenn letzteres am Werk ist dann merkt man es wenn überhaupt erst viel zu spät. Denn „gute“ Hacker hinterlassen eben keine Spuren und lassen sich auch nur sehr sehr selten ermitteln. Deshalb muss ich auch ständig lachen wenn ich in den Zeitungen wieder was von „xyz wurde gehackt“ lese und dann im weiteren Verlauf klar wird, es war bloss eine primitive DDOS/DOS-Attacke.

    Das ist für mich in etwa so als wenn man schreiben würde „Die UBS wurde Überfallen“ obwohl in Realität nur Sekundenleim ins Türschloss gedrückt wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.