Kommentar: Cyber War - zwischen Realität und Paranoia
Bei Cyber War und Cyber Security versucht man ein abstraktes und zugleich komplexes Thema zu greifen. Eine Eingrenzung ist problematisch.
Doch wie verteidigt man ein Land im Internet und gegen wen? Sind Cyber-Gegenangriffe erlaubt? Wie geht man mit Einzeltätern um? Ab wann wird ein Hacker zum Cyber-Terroristen? Wie schützt man kritische Infrastrukturen? Die technischen Lösungen auf Sicherheitskonferenzen hören sich beeindruckend an: Sicherheitslagezentrum, sichere Architekturen, Ende-zu-Ende-Sicherheit, Kryptografie, (Gruppen-)Schlüsselmanagement, Malware-Analyse, Erkennung von Routing-Anomalien, Vorratsdatenspeicherung, Cyber War Room, Staatstrojaner etc.
Doch wie sieht es mit den psychologischen, sozialen, juristischen, philosophischen Aspekten aus? Welche Maßnahmen schützen den Bürger, welche Überwachen und sind mit demokratischen Staaten vereinbar? Welche reale/messbare Gefahr gibt es und welche Aufgaben ergeben sich für den Staat? An diesen Fragen arbeiten die Forschungsinstitute und Firmen gerade bzw. müssen noch arbeiten.
Es ergibt sich für mich folgendes ernüchterndes Bild: Das Management eines Problembereiches dieser Komplexität kann nur über Abstraktion oder Vereinfachung erfolgen. Durch die Simplifizierung gehen Informationen verloren und werden Situationen falsch eingeschätzt. Zusätzlich kommt hinzu, dass bestehende Infrastrukturen neu definiert werden, die damit neue Risiken erzeugen, auf die entsprechend reagiert werden muss (Ein Water System Hack in Illinois/USA zeigt die Hysterie um das Thema eindrucksvoll - mehr darüber im nächsten TD-Heft). Die Gefahr ist groß, dass alte Sicherheitslücken in neue Technologien übernommen werden. Die Kostenoptimierungen mit Vernetzung und Automatisierung stellen immense Anforderungen an das Risikomanagement. Aus diesen Erfahrungen zeigt sich, dass Firmen und Behörden erst lernen müssen die (neuen) Risiken zu definieren, zu bewerten und anschließend zu managen. Obsoleszenzen (Veralterung eines Produktes; hier: Software und Hardware) werden in den Firmen und Behörden oft nur unzulänglich beherrscht. Informationssicherheit bzw. -klassifizierung sind häufig Fremdwörter. Aktuelle Dokumentation und gezieltes Auditieren von Risiken ebenso, da diese als teuer angesehen werden. Technologiesicherheitsstrategien werden selten erstellt, da diese ebenfalls zu hohe Kosten verursachen können. Und Social Engineering hebelt beste Technologien aus. So erweist sich eine Kommunikationsschere zwischen militärischer Expertise und Erfahrung, staatlichen Aufgaben und Anforderungen und privater Wirtschaft als lösungshemmend, da oft von unterschiedlichen Voraussetzungen bzw. Erwartungen ausgegangen wird. Daher werden häufig Zusagen von Unternehmen bzw. deren Verkäufern (auch von Großkonzernen) getätigt, die nicht oder nur schwer einzuhalten sind (Siehe aktuelle technologische Großprojekte in Deutschland wie Autobahnmaut etc.). Ebenso werden komplexe Probleme mit komplexen technischen Lösungen angegangen, die dann scheitern oder/und die Kosten explodieren und nur eingeschränkt umgesetzt werden. So entstehen massenweise technische Lücken aufgrund unzureichender organisatorischer oder regulatorischer Maßnahmen.
Die Expertise der beteiligten Cyber Defense Mitarbeiter muss den aktuellen und zukünftigen komplexen Herausforderungen standhalten können. Dies gelingt nur durch sehr gute (lange, aufwändige und teure) Ausbildung und entsprechende Bezahlung. In der Zeitschrift News wurde von 1 600 zukünftigen Mitarbeitern eines Cyber Defense Centers berichtet, das diese Aufgabe für Österreich übernehmen soll. Hier macht es sich die Politik in meinen Augen ein bisschen zu einfach, da die nötige Expertise für eine solche Einrichtung nicht verordnet werden kann. Es gibt nur wenige Experten und diese verlangen gutes Geld für Ihre Leistungen. Daraus ergeben sich Fragen abseits der Technik: Wie kann eine staatliche Einrichtung mit nivellierten Gehältern hier reagieren bzw. mit privaten Firmen konkurrieren um die wenigen Experten anzuwerben? Eine ernsthaft betriebene Cyber Defence braucht ein entsprechendes Budget, um die Aufgaben zu bewältigen. Ein Mangel an technischen Experten auch bei ausreichendem Budget stellt den Erfolg nicht unbedingt sicher. Ein Lösungsansatz kann nur mit einem übergreifenden Sicherheitsstrategieansatz mit integriertem Risikomanagement geschaffen werden. Themen wie Technologiestrategie, Informationsklassifizierung, Requirements-, Obsolescence-, Dokumenten- und Kommunikationsmanagement mit deren regelmäßigen Auditierung stellen die Managementbasis für eine effiziente Cyber Defense dar. Ohne diese Voraussetzungen kann eine Cyber Defense nicht erfolgreich umgesetzt werden.
Dipl.-Inform.(FH) Alexander Löw