27 June 2000. Thanks to RB.


ENTWURF Stand: 03. Dezember 1999

Informationstechnische Bedrohungen für

Kritische Infrastrukturen

in Deutschland

 

 

 

Kurzbericht der

Ressortarbeitsgruppe KRITIS

(Entwurfsversion 7.95)

 

1 Einleitung 1

1.1 Technische Sicherheit für kritische Bereiche 3

1.2 Einsetzen der AG KRITIS 3

2 Gefährdungspotentiale von Infrastrukturbereichen 3

2.1 Gefährdungspotentiale von außen 5

2.2 Gefährdungspotentiale von innen 7

2.3 Sonstige Gefährdungspotentiale 7

3 Aktivitäten 8

3.1 Internationaler Bereich 9

3.2 Nationale Aktivitäten (außer AG KRITIS) 12

3.3 AG KRITIS 12

4 Bewertung 15

5 Handlungsbedarf 18

Abkürzungsverzeichnis

BSI Bundesamt für Sicherheit in der Informationstechnik

BOS Behörden und Organisationen mit Sicherheitsaufgaben

CIAO Critical Infrastructure Assurance Office

COTS Commercial-off-the-shelf; handelsübliche Produkte

EMV bzw. EMC elektromagnetische Verträglichkeit

HW Hardware

IT Informationstechnik

IuK Informations- und Kommunikationstechnik

J2K bzw. Y2K Jahr-2000-Problem

LAN Local Area Network

LkgA Lenkungsausschuß KRITIS

NEMP nuclear electromagnetic pulse

NICS National Criminal Intelligence Service

NIPC National Infrastructure Protection Center

PCCIP Presidential Commission on Critical Infrastructure Protection

SW Software

WAN Wide Area Network

Quellenverzeichnis

[1] Vgl. Frankfurter Allgemeine Zeitung, 26.05.99

[2] Vgl. www.ifi.unizh.ch/req/lecture_not...I_fallstudie_ariane_501/ariane_501.html

[3] Vgl. c’t 07/98 Jugendliche Hacker knacken T-Online

[4] Vgl. anon.free.anonymizer.com und www.vojvodina.com

[5] Vgl. Bundestagsdrucksache 13/11002; Vierter Zwischenbericht der Enquete-Kommission in Verbindung mit dem entsprechenden Abschlußbericht

[6] Vgl. Weißbuch - Die Grundsatzregelungen der Clinton - Administration zum Schutz der lebenswichtigen Infrastruktur: Weisung des Präsidenten - PDD63

[7] Vgl. Bericht Nr.2 (offen) der Arbeitsgruppe Informationskriegsführung. Auszug aus dem Geheimbericht an die Regierung (Schweden) vom 29.05.98

[8] Vgl. 17. Tätigkeitsbericht; Der Bundesbeauftragte für den Datenschutz; www.bfd.bund.de

1 Einleitung

Mit der zunehmenden Durchdringung aller Lebensbereiche mit den neuen Informations- und Kommunikationstechniken entstehen nicht nur für den einzelnen und für Staat, Wirtschaft und Gesellschaft, völlig neuartige Bedrohungen. Sie richten sich gegen die Infrastruktur von Hochtechnologieländern, von der alle Funktionsbereiche im Informationszeitalter im wachsenden Umfang abhängen. Besonders gefährdet sind die auf Offenheit angelegten Kommunikationssysteme. Die Art der Bedrohung wird sichtbar in dem immer wieder berichteten Eindringen von zum Teil spielerischen Hackern in hochabgesicherte Systeme von Unternehmen und Organisationen. Bedrohungen können von kriminellen Einzeltätern, von Terroristen, von kriminellen Organisationen oder auch von feindlichen Staaten ausgehen. Insofern wird die Überschneidung zwischen ziviler und militärischer Bedrohung sowie zwischen innerer und äußerer Sicherheit immer verschwommener. Die Informationsinfrastruktur von Hochtechnologieländern ist in dem Maße verwundbar, in dem sie über das Internet öffentlich und anonym zugänglich, weltweit vernetzt und gegen Cyberwar-Angriffe nur mangelhaft geschützt ist. Herkömmliche Unterscheidungen wie die zwischen Krieg und Nichtkrieg, zwischen öffentlichen und privaten Interessen, kriegerischen und kriminellen Handlungen oder politischen und geographischen Grenzen verschwimmen im Cyberwar. Insbesondere ist es im Informations- und Kommunikationsbereich kaum mehr möglich, zwischen innerstaatlichen und ausländischen Bedrohungspotentialen, zwischen innerer und äußerer Sicherheit eines Staates oder Bündnissystems zu unterscheiden.
Die Beweisführung für ein vorsätzliches Fremdverschulden ist typischerweise bei der Anonymität moderner Netzstrukturen heute noch nicht ohne weiteres möglich, wenn auch ein gezieltes Vorgehen etwa von politisch extremistischen Tätern oder gekauften Hackern keineswegs eine nur hypothetische Vision ist.

Die Verletzlichkeit der Systeme läßt, je breiter das Know-How über neue Technologien wird, Angriffe immer wahrscheinlicher werden. Die Folgen eines eingetretenen Störfalls sind im Schadenausmaß unter Umständen gravierend, das zeigen schon allein einige ausgewählte Beispiele, bei denen (ohne gezielten Angriff) die Informationstechnik versagte:

Warschau 1993. Eine Lufthansa-Maschine befindet sich im Landeanflug. Die Piloten haben eine starke Seitenwindwarnung erhalten und setzten daher das Flugzeug mit leichter Schräglage auf. Die für die Landung notwendige Schubumkehr schaltet sich nicht ein. Neun Sekunden Ratlosigkeit, bis die Piloten eingreifen. Das Flugzeug rast über die Landebahn hinaus. Als Ursache wird zunächst menschliches Versagen angenommen - später dann die Aufklärung: Softwarefehler! Durch die Schräglage wurde das linke Fahrwerk nicht voll belastet. Die Schubumkehr setzt jedoch nur ein, wenn beide Sensoren der Hauptfahrwerke dem Computer mitteilen, daß die Stoßdämpfer vom Druck der aufsetzenden Räder gestaucht werden.[1]

4. Juni 1996. Flug 501 der Ariane 5. Die Steuer-düsen erhalten 36 Sekunden nach dem Start der Rakete unsinnige Stellbefehle und schwenken bis zum maximal möglichen Anstellwinkel aus. Durch die daraus entstehenden Scherkräfte zerbricht die Rakete und löst korrekt den Selbstzerstörungsmechanismus aus. Das Sprengen der Rakete und Nutzlast verhindert, daß größere Trümmerteile auf den Boden fallen. Was war geschehen? Ohne neue Tests wurde die Software für das Trägheitsnavigationssystem unverändert von der Ariane 4 übernommen. Aus Kosten- und Machbarkeitsgründen unterblieb auch ein Test der gesamten Steuerungssoftware. 36 Sekunden lang arbeitet eine Abgleichfunktion des Trägheitsnavigationssystems normal. Doch dann berechnet sie einen Wert der wesentlich größer ist als erwartet, da Ariane 5 eine andere Flugbahn als Ariane 4 hat. Die Konvertierung dieses Werts von einer 64-Bit Gleitkomma- in eine 16-Bit Fest-kommazahl generiert einen Überlauf, worauf der Rechner eine Ausnahmebedingung erzeugt. Diese wird jedoch nicht behandelt (wäre unter Ada jedoch möglich gewesen). Das Trägheitsnavigations-system meldet einen Fehler an den Steuerrechner und schaltet sich ab. Auf das aus Sicherheitsgründen vorhandene zweite System kann nicht umgeschaltet werden, da sich auch das wegen des gleichen Fehlers abgeschaltet hat. Da die Software des Steuerrechners auf den Ausfall beider Trägheits-navigationssysteme nicht ausgelegt ist, interpretiert sie die gemeldeten Fehlercodes als Flugbahndaten mit der eingangs geschilderten fatalen Wirkung.[2]

Deutschland 1998. Hacker-Angriff auf T-Online. Zwei 16jährige Schüler nutzten ihr populäres Hilfs-programm "T-Online Power Tools" zur heimlichen Übermittlung der Zugangsdaten, deren einfache Verschleierung sie in kurzer Zeit knacken konnten. Mit den so erhaltenen Benutzerkennungen und Paßwörtern hätten sie auf Kosten der betroffenen Kunden sämtliche Leistungen des größten deutschen Online-Dienstes nutzen können.[3]

Seattle/Bellingham Juni 1999. Nach einem Pipeline-Leck kommt es zu einer verheerenden Explosion mit drei Todesopfern. Die Ursache läßt sich auf ein Computerproblem zurückführen. Die über 600 km lange Pipeline transportiert Benzin aus Raffinerien bei Bellingham zu Abnehmern im gesamten Nordwesten der USA. Nach dem Ausfall des Steuercomputers der Pipeline-Pumpen schalten sich diese ab, nehmen aber kurze Zeit später wieder ihren Betrieb auf, obwohl sich nach dem Abschalten ein Riß in der Pipeline gebildet hat. Ohne daß die Computer den Fehler melden, ergießt sich zwölf Minuten lang Benzin in einen kleinen Fluß. Ein Funken löst schließlich eine Explosion mit einer fast kilometerhohen Rauch-wolke aus.

1998/99. Die serbische Hackergruppe "Schwarze Hand" zwingt einen Schweizer Service Provider, der die Zeitung "Die Stimme des Kosovo" online veröffentlichte, seinen Server abzuschalten. Auf einem anonymen Server wird vor Manipulationen an Rechnern im Internet durch die gleiche Gruppe gewarnt, falls die NATO ihre militärischen Handlungen fortsetzt. Zum Beweis der Glaubwürdigkeit war die Adresse einer deutschen Baufirma zeitweise nicht mehr erreichbar.[4]

1.1 Technische Sicherheit für kritische Bereiche

Die Jahr-2000-Problematik zeigt aktuell, daß Software, die bisher völlig korrekt funktioniert hat, wegen unsauberer Programmierung gegenüber dem Jahrtausendwechsel nicht robust ist. Doch auch EDV-Pannen, Hacker-Angriffe, Viren, Datenmanipulationen oder -verluste oder Telekommunikationsunterbrechungen führen zu erheblichen Schäden. Je abhängiger ein Bereich von der IT ist, desto gravierender wirken sich IT-Störungen jeglicher Art aus.

Treten diese Störungen bzw. Angriffe insbesondere in Infrastrukturbereichen, wie Telekommunikation,

auf, deren ungestörte Verfügbarkeit der Leistungen für die Funktionsfähigkeit und den Bestand von Staat und Wirtschaft unverzichtbar sind, kann eine Kettenreaktion ausgelöst werden, die eine ernsthafte Krise nach sich zieht und die innere Sicherheit Deutschlands tangiert.

1.2 Einsetzen der AG KRITIS

Vor diesem Hintergrund hat die Bundesregierung auf Initiative des Bundesministers des Innern eine interministerielle Arbeitsgruppe (AG KRITIS) eingesetzt.

Diese hat die Aufgabe, potentielle Bedrohungsszenarien zu bestimmen, über Informations-technik angreifbare kritische Infrastrukturen auf entsprechende Schwachstellen hin zu prüfen, Möglichkeiten zur Abdichtung solcher Schwachstellen und der Vermeidung oder Minderung eines Schadens zu benennen sowie einen Vorschlag hinsichtlich der Errichtung eines ggf. erforderlichen Frühwarn- und Analysesystems zu erarbeiten. Die Resultate der Untersuchungen werden in einem ausführlichen Bericht festgehalten.

In diesem "Sensibilisierungsbericht KRITIS" werden zunächst für selektierte Infrastrukturen Gefährdungen, Angriffswege, ggf. Detektionsmaßnahmen und Lösungsvorschläge aufgezeigt. Beiträge einzelner Bundesressorts werden prinzipiell und die Problematik übergreifend zusammengefaßt.

2 Gefährdungspotentiale von Infrastrukturbereichen

Ein prosperierendes Staatswesen basiert nicht zuletzt auf verläßlichen Infrastrukturen. Die Bereiche Bundesverwaltung, Gesundheits- und Rettungswesen, Telekommunikation, Energie, Transport- und Verkehrswesen und Bank-, Finanz- und Versicherungswesen sind hierbei am wichtigsten. Sie selbst sind wiederum in immer größerem Umfang von einem reibungslosen Funktionieren der IT abhängig. So führt z.B. ein Ausfall der Ampelsteuerung aller Voraussicht nach binnen kürzester Zeit zum Verkehrschaos.

Der stetigen Effizienz- und Leistungssteigerung der Infrastrukturen durch den IT-Einsatz steht die zunehmende IT-Abhängigkeit und die damit einhergehende Verletzbarkeit gegenüber. Die Vernetzung der IT (LANs, WANs, Internet) hat das anfängliche Gefahrenpotential durch den Innentäter nun durch ortsunabhängige Außentäter beträchtlich anwachsen lassen. Bereits mit relativ bescheidenen Mitteln (PC, Modem, Telefonanschluß sowie Internet-Zugang) und geringem Fachwissen sind Außentäter in der Lage, die Informationstechnik wichtiger Infrastrukturbereiche zu stören. Die daraus resultierenden Auswirkungen sind unter Umständen für große Teile der Bevölkerung von erheblicher Bedeutung und können die innere Sicherheit beeinflussen.

Die globalen Verbundsysteme der elektronischen Kommunikation setzen die innere und äußere Sicherheit der Informationsgesellschaft damit neuartigen Bedrohungen aus. In der internationalen Politik können sich völlig neuartige, starke Gegengewichte zur herkömmlichen Staatsgewalt und zu den Machtpotentialen militärischer Bündnissysteme bilden. Die Struktur internationaler Konflikte kann sich dabei grundlegend ändern.

Zum einen gibt die informationstechnische Entwicklung - anders als in der Vergangenheit - auch kleinen nichtstaatlichen Organisationen Möglichkeiten an die Hand, ihre Interessen über große räumliche Distanzen hinweg in kürzester Zeit international zur Geltung zu bringen. Zum anderen eröffnen die Informationstechnologien Möglichkeiten der verdeckten physischen und nichtphysischen Gewaltanwendung, die sich gegen die gesamte zivile Infrastruktur (Wirtschaft, Verwaltung, Energieversorgung, Verkehr) eines Landes richten können. Insbesondere gibt es im Unterschied zu herkömmlichen Formen gewaltsamer internationaler Konflikte kein geschütztes Staatsgebiet mehr, das an seinen Grenzen mit militärischen Mitteln erfolgreich zu verteidigen wäre. Daher gelten heute selbst militärische Großmächte in ihrer gesamten politisch-gesellschaftlichen Infrastruktur und Fähigkeit zum politischen Handeln in dem Maße als verwundbar, wie diese Infrastruktur global vernetzt ist. Umgekehrt weisen Akte der verdeckten Gewalt, die über die globalen elektronischen Informationsnetze ausgetragen werden und sich gegen die Infrastruktur eines Landes richten, Eigenschaften auf, die bisher für militärische Maßnahmen als vorteilhaft galten. Sie besitzen gegenüber Territorien und Systemen große Eindringfähigkeit, sie sind distanzfähig und nahezu perfekt getarnt.

Diese neuen Arten von Bedrohungen erfordern eine aufmerksame Beobachtung der durch sie aufgeworfenen IT-Sicherheitsfragen sowie die Erarbeitung von Schutzmaßnahmen. Dabei muß sichergestellt werden, daß die für die innere und äußere Sicherheit Verantwortlichen mit den Verantwortlichen für die Sicherheit kommerzieller Systeme sich mit neuen Bedrohungs-szenarien auseinandersetzen und gemeinsam Strategien zur Abhilfe entwickeln.

Die Angriffe auf die Informationsinfrastruktur stützen sich auf Mittel und Methoden der informations- und programmgesteuerten Störung und Zerstörung der Funktionsfähigkeit ziviler und militärisch genutzter Kommunikations- und Führungssysteme. Computergestützte Störungs- und Zerstörungsakte dieser Art werden auch als "Cyberwar" bezeichnet.

Hierunter fallen das unbefugte Auswerten, absichtliche Veränderungen, Fälschungen, Unterbrechungen und die Vernichtung von elektronisch vermittelter Information, sofern diese Handlungen dem Ziel dienen, politische oder wirtschaftliche Entscheidungen zu verzögern, zu verhindern oder systematisch fehlzuleiten. In ihrer äußersten Zielsetzung richten sie sich gegen die Fähigkeit des Gegners oder Konkurrenten zum organisierten Handeln schlechthin. Erreicht werden soll dieses Ziel dadurch, daß gegnerische Informations-, Führungs-, Versorgungs- und Transportsysteme möglichst behindert oder ausgeschaltet, zivil und militärisch nutzbare Informationen manipuliert, gefälscht oder vernichtet werden.

Bisherige nachrichtendienstliche Methoden der Aufklärung und Datenanalyse erweisen sich über weite Strecken als ungeeignet, den Herausforderungen des Cyberwar zu begegnen. Die im Cyberwar eingesetzten neuartigen Technologien bzw. technologischen Verfahren lassen es bislang (noch) zu, daß Spuren eines Angriffs oder Eindringens in fremde IT-Systeme relativ leicht zu verwischen oder zu verbergen sind. Darüber hinaus ist es wegen (noch) nicht vorhandener Frühwarnsysteme zur Zeit schwierig bis unmöglich, aus der Unsumme allgemein zugänglicher Informationen diejenigen herauszufiltern und zusammenzustellen, die eine sichere Auskunft über z.B. einen sowohl örtlich als auch organisatorisch dislozierten IT-Angriff auf Infrastrukturbereiche geben könnten. Die Folge ist eine grundsätzlich neue Situation der Unsicherheit. Der Schutz gegen und die Abwehr von Angriffen in elektronischen Informationssystemen sind lückenhaft, Frühwarnung und Abschreckung schwierig.

Trotz unterschiedlichster Gefährdungsschwerpunkte und IT-Abhängigkeiten kristallisieren sich für die in kritischen Infrastrukturbereichen gemeinsam verwendete IT auch gemeinsame, im Prinzip allgemein gültige Schwachstellen und damit potentielle Gefährdungen heraus.

2.1 Gefährdungspotentiale von außen

Eine beständig zunehmende Vernetzung der IT fördert den Informationsfluß. Damit einher geht aber auch immer die Gefahr von Angriffen von außen, besonders wenn Internet- oder Modem-Verbindungen genutzt werden. Sicherheitsprobleme kommen u.a. durch unsichere und fehlerhafte Dienstprogramme (z.B. sendmail) oder unsichere Übertragungen von Daten im Netzwerk (z.B. telnet, ftp oder email). Auf diese Art können Angreifer versuchen, ein IT-System unter die eigene Kontrolle zu bringen, um Daten auszuspähen, zu verändern oder zu löschen oder den Netzverkehr zu stören. Eine andere Möglichkeit besteht darin, Systeme oder Netze durch "denial of service attacks" zu belasten.

Viele IT-Systeme sind auch abhängig von der korrekten Übertragung von Funkdaten. Mobilfunk, Satellitennavigation, aber auch Teile der BOS und der Bundeswehr zählen zu bekannten Bereichen, welche vom korrekten Funktionieren der Funktechnik (mehr oder weniger) abhängig sind. Eine bewußt erzeugte Störung in der Funkübertragung und dadurch verfälscht oder gar nicht übermittelte Daten oder Meldungen können im Extremfall den Ausfall ganzer Technologie- oder Organisationsbereiche zur Folge haben.

mit dem Ziel, die "Performance" der betroffenen Rechner zu minimieren. Dies kann z.B. zu einer Informationsüberflutung mit entsprechend zähem Antwortverhalten des befallenen Rechners führen; es ist jedoch auch möglich, daß komplette Festplattenbereiche physisch gelöscht werden. Sollte in diesem Fall keine sorgfältige Datensicherung betrieben worden sein, sind die gelöschten Daten i.d.R. unwiederbringlich verloren.

Meß- und Regelsysteme, jedoch in zunehmendem Maße auch Führungs- und Informationssysteme, sind abhängig von Eingangssignalen, die ihnen u.a. auch von peripheren Sensorsystemen zur Verfügung gestellt werden. Eine aktive Störung oder auch Täuschung dieser Sensorik kann z.B. zur Übermittlung unrealistischer, vielleicht sogar absurder Eingangswerte führen und u.U. den Leitrechner zum Abschalten zwingen.

Elektronische Bauelemente reagieren empfindlich auf hohe elektromagnetische Feldstärken. Hohe Feldstärken zerstören i.d.R. Elektronikbauteile oder schädigen sie, zuweilen auch nachhaltig. Neuartige Waffentechnologien (NEMP [nuklearer elektromagnetischer Puls] oder auch Hochleistungs-Mikrowellenwaffen) nutzen diese Schwachstelle elektronischer Bauelemente aus.

Auch ist es möglich, Hardware durch eine Manipulation der Stromversorgung (z.B. durch gezielte Erzeugung von Spannungsspitzen) zu zerstören. Darüber hinaus ist es denkbar, Spezialsoftware zu erstellen, die durch eine geschickte Programmierung Hardware-Bauteile derart belastet, daß sie ausfallen.

Gezieltes Ausnutzen von Schwachstellen der IT kann nicht zuletzt von politisch Interessierten zur Durchsetzung eigener Absichten initiiert sein. Angriffe können fast risikolos unter Nutzung internationaler Netzwerke über Tausende von Kilometern hinweg geführt werden. Nationale Grenzen sind dabei bedeutungslos. Neben den Bedrohungen durch Hacker oder Interessengruppen versuchen auch fremde Nachrichtendienste, vertrauliche Wirtschaftsinformationen auszuspähen [5].

2.2 Gefährdungspotentiale von innen

Wegen mangelnder eigener Entwicklungsressourcen sowie aus Kosten- und Zeitgründen werden auch in sicherheitssensitiven Bereichen immer öfter COTS-Produkte (commercial-off-the-shelf) eingesetzt. Sie sind zwar kurzfristig verfügbar, doch da die im COTS-Bereich üblichen kurzen Entwicklungszyklen zu Lasten adäquater Testzyklen gehen, sind COTS-Produkte häufig mit Fehlern behaftet und können darüber hinaus auch andere Komponenten des Systems unkontrollierbar beeinflussen. Daneben können auch "beabsichtigte Schwachstellen" (undokumentierte Funktionen, Hintertüren) vom Hersteller eingearbeitet worden sein, um (z.B. aus Marketing- oder Lizenzgründen) Benutzerdaten unbemerkt an den Hersteller zu senden. Die weitaus meisten der identifizierten Schwachstellen von COTS-Produkten werden im Internet und in Fachzeitschriften weltweit bekannt gemacht und sind damit für jeden potentiellen Angreifer erkennbar.

2.3 Sonstige Gefährdungspotentiale

Oftmals wird aus finanztechnischen Gründen das Outsourcing von IT-Dienstleistungen in Anspruch genommen. Hierbei werden Fremdfirmen auf der Basis von Vorgaben des Auftraggebers eingebunden, leider unter oftmaliger Inkaufnahme eines gewissen "Kontrollentzugs". Eine unerwünschte "Mehrleistung" - z.B. im Bereich der Progammentwicklung - kann selbst durch umfangreiche Abnahmetests oder gar das Überlassen des Quellcodes nicht vollständig ausgeschlossen werden. Bei notwendigen Softwareänderungen ist der Auftraggeber von der momentanen Terminsituation und Personalqualifikation der Fremdfirma in hohem Maße abhängig.

Die zunehmende Komplexität von Hard- und Software begünstigt Schwachstellen und unent-deckte Fehler, da die notwendigen Tests immer komplizierter und aufwendiger und ihrerseits wiederum selbst fehlerbehaftet sind. Hinzu kommt, daß der Testaufwand exponentiell mit der Komplexität des Systems wächst. Bei sehr komplexen Systemen läßt sich letztendlich eine Aussage zur Korrektheit nicht mehr definitiv, sondern nur noch mit einer gewissen Wahrscheinlich-keit treffen. Als Beispiel für unsauber programmierte, komplexe Software sei das Jahr-2000-Problem (J2K) angeführt.

Im Hardwarebereich sind in den letzten Jahren bei weit verbreiteten Prozessortypen aufgrund von Designmängeln Fehler in der Arithmetikeinheit aufgetreten, die zu falschen Rechenergebnissen führen; es wird berichtet, daß die Designmängel aufgrund der zu hohen Komplexität moderner Prozessoren schlichtweg übersehen wurden.

Zunehmende Miniaturisierung läßt die Hardware immer empfindlicher gegen äußere elektromagnetische Einstreuungen werden. Hierdurch entstehen neue Phänomene der Empfindlichkeit bei elektronischen Bauelementen, wovon auch IT-Systeme betroffen sind. Eine erhöhte Empfindlichkeit gegen elektromagnetische Außeneinflüsse vermindert die Verfügbarkeit und auch die Verläßlichkeit der eingesetzten IT.

Diese Sensibilität nutzen neuartige technologische Entwicklungen im Bereich der Mikrowellenwaffen aus. Sie erzeugen einen extrem kurzen, jedoch höchstenergetischen elektromagnetischen Puls, der Halbleiterstrukturen beschädigt. Organisches Leben wird von diesem Puls nicht direkt betroffen. Die jedoch indirekt entstehenden Gefahrenmomente wie z.B. der Ausfall von Steuerungselektronik (vom Auto bis zum Zug), das Auslösen von Airbags in Fahrzeugen, die Zerstörung von Computersystemen (in Banken, Versicherungen, Sicherheitseinrichtungen u.ä.) oder die Störung des Flugverkehrs (vom Flugzeug bis hin zur Flughafeninfrastruktur) dürfen nicht unterschätzt werden. Je nach Leistung und gewünschter Größe erreicht eine solche Mikrowellenwaffe Schrankgröße oder paßt sogar in einen Koffer, womit sie leicht zu transportieren und zu tarnen ist. Die herkömmlichen EMV- und sogar NEMP-Schutzmechanismen versagen i.d.R. als Abschirmung gegen Hochleistungs-Mikrowellenpulse.

3. Aktivitäten

Sowohl auf internationaler als auch auf nationaler Ebene entwickeln sich unterschiedliche Aktivitäten im Bereich "Schutz kritischer Infrastrukturen".

3.1 Internationaler Bereich

Mehrere Staaten haben bereits mit Untersuchungen zum Schutz ihrer kritischen Infrastrukturen begonnen. Der AG KRITIS liegen konkretere Informationen jedoch nur aus Schweden und vor allem aus den USA vor.

In Großbritannien wurden erst kürzlich die Ergebnisse einer dreijährigen Studie des National Criminal Intelligence Service (NCIS) vorgelegt. Ihr Schwerpunkt liegt zwar vorrangig auf der Untersuchung der Kriminalität im und über das Internet ab. Die Studie enthält jedoch auch Angaben über das Ausmaß der Bedrohungen, denen die Strukturen von Staat, Wirtschaft und Gesellschaft dadurch ausgesetzt sind.

USA

Mit einem Erlaß des US-Präsidenten wurde Mitte 1996 eine Kommission zum Schutz kritischer Infrastrukturen eingesetzt (PCCIP - Presidential Commission on Critical Infrastructure Protection). Im Oktober 1997 wurden die Ergebnisse der Untersuchungen in Form des 200-seitigen PCCIP-Berichts ("Critical Foundations - Protecting America´s Infrastructures") vorgestellt. Die AG KRITIS hat den von der PCCIP-Kom-mis-sion gewählten Berichtsansatz hinsichtlich seiner Systematik und Struktur zum Teil übernommen.

Die US-Kommission kommt in ihrem Bericht zu folgenden wesentlichen Ergebnissen:

Europäische Union
Im Rahmen einer informellen Abstimmung auf dem Gebiet der IT-Sicherheit zwischen Frankreich, den Niederlanden, Schweden, Großbritannien und Deutschland wurde im Frühjahr 1999 ein weiterer Informationsaustausch hinsichtlich des Schutzes kritischer Infrastrukturen vereinbart. Es ist davon auszugehen, daß auch in den beteiligten Ländern entsprechende Aktivitäten angelaufen sind bzw. anlaufen werden.
3.2 Nationale Aktivitäten
Neben der auf Initiative des BMI Anfang 1998 eingerichteten Arbeitsgruppe KRITIS, sind vor allem im Bereich der Bundeswehr national und international zahlreiche Aktivitäten zu verzeichnen.

Die IABG hat - u.a. angeregt durch die Aktivitäten der AG KRITIS - ebenfalls einen Arbeitskreis zum Schutz kritischer, IT-abhängiger Infrastrukturen gegründet, der sich insbesondere auch aus Vertretern der Wirtschaft zusammensetzt und die Sensibilisierung der Wirtschaft für dieses neuartige Gefährdungspotential sich zum Ziel gesetzt hat.

Im übrigen hat sich auch die vom 13. Deutschen Bundestag eingesetzte Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft" in dem Mitte 1998vorgelegten 4. Zwischenbericht [5] mit der Thematik "Sicherheit und Schutz im Netz" befaßt.

3.3 AG KRITIS

Die AG KRITIS führte in der ersten Jahreshälfte ’98 eine Ressorterhebung mit dem Ziel durch,

Die Auswertung der Erhebung brachte folgende generelle Ergebnisse:

Die Erhebungen verdichteten im wesentlichen bereits vorliegende Erkenntnisse bzw. Vermutungen:

3.4 Enquete-Kommission

In dem bereits erwähnten 4. Zwischenbericht hat die Enquete-Kommission, welche sich aus Bundestagsabgeordneten und Sachverständigen zusammensetzte, bereits dazu beigetragen, die sich aus der Nutzung der Informationstechnologien ergebenden (neuen) Risiken zusammenzustellen und zu bewerten sowie Handlungsempfehlungen auszusprechen. Die im Zwischenbericht vorgelegen Erkenntnisse hat die Kommission vor allem aus Arbeitssitzungen, Workshops, Anhörungen und wissenschaftlichen Gutachten gewonnen.

Für die eingangs beschriebene Zielsetzung der AG KRITIS sind insbesondere die Aussagen der Kommission

4 Bewertung

Vielfältige Aktivitäten bestätigen, daß dem Schutz kritischer Infrastrukturen eine zunehmend hohe sicherheitspolitische Bedeutung zukommt. Zahlreiche strukturelle Unterschiede zu den USA deuten darauf hin, daß sich nur Teile der im PCCIP-Bericht festgehaltenen Erkenntnisse auf Deutschland übertragen lassen. Bereits angelaufene Aktivitäten (Veröffentlichungen, Kongresse, Workshops etc.) mit dem Ziel, den Schutz kritischer Infrastrukturen zu optimieren, heben Deutschland im europäischen Vergleich deutlich ab. Auch ist bereits im parlamentarischen Raum von einer Enquete-Kommission der Information Warfare als Bedrohung für nationale Informationsinfrastrukturen erkannt worden [5]; die Kommission hält es in diesem Zusammenhang für erforderlich, neue Formen einer interdisziplinären Zusammenarbeit von Wirtschaft, Wissenschaft und Politik zu entwickeln.

Im einzelnen stellen sich vor dem Hintergrund verschiedenster, im großen wie im kleinen Kreis geführter Diskussionen folgende Herausforderungen und Fragen:

Neue Schwachstellen für die nationale Sicherheit?

IT-Systeme können via Internet über beliebige Entfernungen hinweg angegriffen werden. Nationalstaatliche Grenzen sind hierbei nicht von Belang; zu übertragende Datenpakete bahnen sich "wie von selbst" ihren vorbestimmten Weg. Schutzmechanismen gegen schädlichen Programmcode sind nur spärlich im Einsatz. Es wirft sich vor diesem Hintergrund die Frage auf, ob es einen über Netze mit Hilfe von Computern geführten Krieg geben kann. Gäbe es ihn, wäre ein Überdenken bisheriger verteidigungspolitischer Ansätze erforderlich.

Diskussionen in der AG KRITIS haben gezeigt, daß es rechtlichen Klärungsbedarf gibt, ob und inwieweit Angriffe, welche mit Hilfe von IT-Mitteln gezielt und koordiniert auf kritische Infrastruktursysteme in Deutschland vorangetragen werden, einer kriegerischen Auseinandersetzung im herkömmlichen Sinne entsprechen. Begriffe wie Krise, Spannungs- oder gar Verteidigungsfall bekommen in der Zukunft eine vielleicht neue Bedeutung.

Detailanalyse der IT-Bedrohung

Die bislang im KRITIS-Kontext angestellten Untersuchungen haben gezeigt, daß das IT-bedingte Risikopotential in Infrastruktursystemen - zumindest in generisch-abstrakter Weise -umfassend beschreibbar ist. Offen ist die Frage, ob und in welchen Bereichen es "interessierte Kreise" gibt, die willens und in der Lage wären, IT-Schwachstellen in deutschen Infrastrukturen zu ihrem Vorteil zu mißbrauchen. Das Risiko von "Cyber-Threats" - etwa durch terroristische Gruppen oder feindlich gesinnte Organisationen/Staaten - wurde am Anfang der Arbeiten im Vergleich zu den USA als deutlich geringer eingeschätzt. Die krisenhaften Entwicklungen in Südosteuropa und damit verbundene Fälle von IT-Angriffen zeigen allerdings deutlich, daß neue Gefährdungsquellen sehr rasch entstehen können und auch in Deutschland von einem signifikanten Bedrohungspotential ausgegangen werden muß.

Eine entsprechende, an der aktuellen Sicherheitslage orientierte Bedrohungsanalyse, die hieran interessierte Täterkreise oder auch Organisationen systematisch herausarbeitet und beim Namen nennt, gibt es nach Wissen der AG KRITIS nicht.

Entwickeln adäquater Detektionsfähigkeiten

Da die jetzigen Ausprägungen der klassischen Verteidigungsmethoden wie Aufklärung und Frühwarnung im Cyberwar wenig wirksam sind, konzentrieren sich geeignete Sicherheitsstrategien weitgehend auf defensive Maßnahmen zum Schutz und zur Abwehr von Cyberwar-Angriffen. Unter die Vorbeugemaßnahmen der informationstechnischen Sicherheit fällt hauptsächlich die digitale Verschlüsselung von Daten und Nachrichten sowie die Abkoppelung von offenen Netzen. Passive Schutzeinrichtungen sind u. a. die elektronischen Zugangssperren zu Netzen und Datenspeichern, während Abwehr auch die aktive Überwachung der bedrohten IT-Systembetriebe umfaßt. Alle diese Maßnahmen müssen in Zukunft auf die Systemüberwachung und technisch-organisatorische Systemanpassung in den Bereichen staatlicher und internationaler Informationsinfrastrukturen nach dem Prinzip "protect, detect and react" übertragen werden.

Die Entwicklung effizienter technischer und organisatorischer Verfahren zur Erkennung eines über IT geführten Angriffs auf ein Computersystem steckt noch am Anfang. Die bislang verfügbare technische Antwort zur Abwehr von IT-Angriffen wird in Form sog. "Intrusion Detection"-Systeme realisiert, die z.T. durch "Intrusion Detection Response"-Komponenten aktiv erweitert werden können. Dieser Ansatz mag hilfreich zum Schutz einzelner - auch größerer - IT-Systeme sein. Jedoch kommt er schnell an Grenzen, wenn es kritische Infrastrukturbereiche in ihrer Ganzheit zu schützen gilt. Hierfür sollten verfügbare Detektions- wie auch Reaktionssysteme weiterentwickelt und technisch wie organisatorisch gekoppelt werden, um ein umfassendes Lagebild vermitteln zu können.

Vorantreiben der weiteren Informationsgewinnung

Die umfassende Gewinnung präziser Informationen über Schwachstellen von Infrastruktursystemen noch optimiert werden kann. Eine vertrauensvolle Zusammenarbeit staatlicher Stellen mit Verantwortlichen aus der Wirtschaft ist hierfür Voraussetzung. Es ist deshalb zu begrüßen, daß ein gestiegenes Interesse sowie erhöhtes Sicherheitsbewußtsein der betroffenen Träger kritischer Infrastrukturen festgestellt werden konnte. Offenbar spielte dabei auch das Jahr-2000-Problem vor dem Hintergrund eine Rolle, sich über die Abhängigkeiten von der IT und über die Konsequenzen des Ausfalls einer größeren Zahl von IT-Systemen bewußt zu werden.

Eine weiterführende analytische Betrachtung mit dem Ziel, eine Schutzkonzeption für kritische Infrastruktursysteme in Deutschland zu erarbeiten, macht es erforderlich, die heimischen Infrastrukturen in noch näher zu bestimmender Erhebungstiefe zu erfassen. Diese Arbeit ist bislang noch nicht umfassend geleistet worden. Nur in einigen Teilbereichen sind diese Informationen relativ leicht und schnell abzurufen. Danach gilt es, die Bedeutung der ermittelten Infrastrukturen für Staat und Gesellschaft anhand eines Prioritäten bildenden Modells transparent darzustellen.

Die von der AG KRITIS über den Projektzeitraum gesammelten und aufbereiteten Informationen über kritische Infrastrukturbereiche sind trotz ihrer Heterogenität und qualitativen Unterschiede als Basis für eine Weiterführung der Arbeiten wertvoll. Insbesondere lassen sich bei einer so breit angelegten Erhebung interessante Korrelationen über gemeinsame/ähnliche Abhängigkeiten von bestimmten Problemen bestimmen. Dazu gehören etwa die allgemeine Nutzung nicht fehlertoleranter Betriebssysteme mit bekannten Sicherheitslücken, der Einsatz von unzertifizierter Standardsoftware-/hardware oder Anfälligkeiten gegen bestimmte Computer-Viren.

Ausbau des IT-Grundschutzes

Insbesondere die im Kapitel 2 beschriebenen Gefährungspotentiale erhöhen die Gefahr eines aus der Ferne und im Verborgenen vorangetragenen, zielgerichteten IT-Angriffs auf kritische Infrastrukturen. Der relativ geringe Aufwand an Vorbereitung, der von einem potentiellen Angreifer hierfür zu leisten ist, in Kombination mit der globalen Zugriffsmöglichkeit über Internet lassen die Vermutung zu, daß unbefugte Manipulations- oder Sabotageversuche am ehesten auf diese netzgebundene Art und Weise erfolgen dürften.

Als Schutz vor derartigen Angriffen haben sich sowohl technische (z.B. Verwendung sicherer Systemprogramme, regelmäßiges Einspielen von Patches, Verwendung von Verschlüsselungsverfahren, Aufbau von Firewallsystemen) als auch organisatorische Maßnahmen (z.B. gegenseitige Information über Sicherheitsprobleme, Ausfallpläne, Backup-Strategien) bewährt. Die Gesamtheit dieser Maßnahmen ist übersichtlich im IT-Grundschutzhandbuch des BSI aufgeführt und für viele in der Praxis anzutreffende IT-Systemkonfigurationen in Form von Maßnahmenbündeln exemplarisch zusammengestellt.

Da auch kritische Infrastruktursysteme - zumindest in Teilen - aus typischen IT-Konfigurationen sowie Umfeld- und Organisationsbedingungen bestehen, ist bei konsequenter Umsetzung der IT-Grundschutzmaßnahmen der erste Schritt zur Absicherung der jeweiligen IT-Strukturen für den niedrigen bis mittleren Schutzbedarf getan. Dieser reicht jedoch für sogenannte "Hochverfügbarkeitssysteme" nicht aus. Es gibt jedoch in weiten Teilen der kritischen Infrastruktursysteme - über den IT-Grundschutz hinaus - das Erfordernis, insbesondere für sektorspezifische IT-Systeme (z.B. Meß- und Regelungssysteme, Prozeßleitrechner, spezielle Steuerungssoftware, Informations- und Führungssysteme etc.) "individuelle" Schutzmaßnahmen zu entwickeln. Diese sehr spezifische Arbeit kann nur mit intensiver Unterstützung durch den jeweiligen Träger der kritischen Infrastruktur geleistet werden.

 

5 Handlungsbedarf

Angesichts der dargestellten Rahmenbedingungen hält es die AG KRITIS im Sinne des Schutzes kritischer Infrastruktursysteme in Deutschland für erforderlich, die nachfolgend aufgeführten Ziele zu verfolgen:

Ziel A
Fertigung einer Bedrohungsanalyse für kritische Infrastrukturbereiche in Deutschland im Hinblick auf ihre IT-Verletzlichkeit

Leitfragen

Welche Personen oder Personengruppen stellen für unsere kritischen infrastruktursysteme eine potentielle Gefährdung dar?

Welche strategischen Absichten könnten eventuelle Gegner hierbei verfolgen?

Welche technisch-operativen Mittel auf dem Gebiet des IT-Einsatzes stehen potentiellen Gegnern zur Durchsetzung ihrer Pläne zur Verfügung?

Welche Gefährdungspotentiale könnten darüber hinaus noch ausgenutzt werden?

Umsetzung

 

Ziel B
Fertigung einer IT-Verletzlichkeitsanalyse der für Deutschland wichtigen Infrastrukturbereiche Telekommunikation, Energie und Verkehrswesen

Leitfragen

Welche IT-Systeme sind an den neuralgischen Punkten der zu untersuchenden Infrastrukturen eingesetzt?

Können Unbefugte (aus der Ferne) Schwachstellen der IT-Systeme derart manipulieren, daß es zu (Teil-)Ausfällen kommen kann?

Können Erkenntnisse aus dem "Jahr-2000-Bereich" vor diesem Hintergrund weiterverwertet werden?

Umsetzung:
Ziel C

Ausbau und Fortentwicklung des IT-Grundschutzes speziell für Zwecke des Schutzes kritischer Infrastrukturbereiche

Leitfragen

Reichen die gegenwärtig im Rahmen des IT-Grundschutzes verfügbaren IT-Sicherheitslösungen aus, um den Schutz kritischer Infrastrukturbereiche zu gewährleisten?

Welche technologischen oder organisatorischen Ansätze sind ggfs. darüber hinaus erforderlich?

In welchem Umfang wird der IT-Grundschutz bereits heute in kritischen Infrastrukturbereichen angewandt?

Umsetzung

Ziel D

Konzipierung eines Lage- und Informationssystems KRITIS mit seinen technischen und organisatorischen Komponenten

Leitfragen

Wie kann ein über IT disloziert geführter Angriff auf kritische Infrastrukturen in Deutschland überhaupt erkannt werden?

Wie kann sich die Bundesregierung in kurzer Zeit ein aussagekräftiges Lagebild verschaffen?

Wie sollte in diesem Fall seitens der Bundesregierung angemessen und koordiniert reagiert werden?

Umsetzung

Ziel E

Ausbau und Förderung der KRITIS-orientierten Kooperation zwischen staatlichen und privatwirtschaftlichen Stellen

Leitfragen

Kann ein vertrauensvoller Austausch sensibler Informationen zwischen staatlichen und privatwirtschaftlichen Stellen sichergestellt werden?

Wie kann erreicht werden, daß der informationstechnische Schutz kritischer Infrastrukturen von allen Verantwortlichen als gesamtstaatliche Aufgabe begriffen wird?

Sind regierungs- und wirtschaftsseitige Bemühungen um den informationstechnischen Schutz kritischer Infrastruktursysteme hinreichend koordiniert?

Wie ist es im Schadensfall um Haftungsfragen bestellt?

Umsetzung

Ziel F

Fortführung und Ausbau der Aufgabe KRITIS beim BSI

Leitfragen

Welche Stelle im Bereich der Bundesregierung befaßt sich hauptamtlich mit dem IT-Schutz kritischer Infrastrukturen?

Wo und wie werden die im Bereich der Bundesregierung vorliegenden und beschafften Erkenntnisse über IT-Schwachstellen und -Bedrohungen kritischer Infrastruktursysteme zusammengefaßt und geeignet aufbereitet?

Wer ist in diesem Zusammenhang Ansprechpartner für Stellen aus dem internationalen Bereich?

Umsetzung