Die neue Verletzlichkeit

Der Arbeitskreis Schutz von Infrastrukturen (Aksis) wurde auf Initiative des Zentrums für Strategische Studien der Sicherheits-Firma IABG in München 1999 gegründet. Ihm gehören Vertreter der so genannten kritischen Infrastrukturen an. Dazu zählen Energieversorger, Telekommunikationsunternehmen, Großbanken und Versicherungen, Polizei und Bundeswehr, Verkehrsdienstleister sowie die öffentliche Verwaltung. Aksis tagt zwei Mal im Jahr und untersucht die durch Informationstechnik bedingten Abhängigkeiten von Staat, Wirtschaft und Gesellschaft. Sein Ziel ist es, ein übergreifendes Sicherheitsmanagement im Fall von terroristischen Angriffen auf die kritischen Infrastrukturen zu erarbeiten. Reinhard Hutter, der bei der IABG den Geschäftsbereich "Informationstechnik und Kommunikation" leitet, ist der Koordinator von Aksis.

DW-WORLD: Wie verletzlich sind unsere hochtechnisierten Gesellschaften?

Reinhard Hutter: Aufgrund der Vernetzung sind sie wesentlich verletzlicher als vor 20 Jahren. Natürlich gibt es auch Infrastrukturen, die nichts mit Informationstechnologie (IT) zu tun haben. Die gibt es schon lange und auch sie sind angreifbar. Durch Vernetzung und IT gibt es aber einfach eine neue Kategorie der Verwundbarkeit. Neue Risiken entstehen auch dadurch, dass die Systeme per se komplexer und voneinander abhängiger werden. Bei den Stromausfällen in den USA hat sicher auch die Privatisierung bzw. Deregulierung eine Rolle gespielt, die zu diffusen Zuständigkeiten geführt hat. Das sind systemimmanente Risiken. Denkbar ist aber auch eine Bedrohung von außen. Terroristische Gruppen könnten diese Schwachstellen ganz gezielt für ihre Zwecke ausnutzen.

Sprich Cyberterrorismus. Mit welchen Szenarien wäre da schlimmstenfalls zu rechnen?

Wir haben einen koordinierten Cyberangriff auf die Bundesrepublik in Form eines Planspiels Ende 2001 durchexerziert und festgestellt, dass eine intelligente feindliche Organisation durchaus in der Lage sein kann, über Cyberangriffe unsere Infrastrukturen massiv zu stören.

Viele halten solche Angriffe für sehr unrealistisch.

Das ist richtig. Heute ist mit einem koordinierten Cyberangriff nicht zu rechnen. Aber das ist nur ein Frage der Zeit, meiner Meinung nach eine Frage weniger Jahre. Man muss unterscheiden zwischen der Verwundbarkeit an sich und der Bedrohung. Die Möglichkeiten des Angriffs sind nachweisbar gegeben. Dagegen ist die reale Bedrohung heute offensichtlich noch nicht so ausgeprägt. Meist sind es Einzeltäter, die irgendwo einen Wurm lancieren. Da sind die Schäden zwar immer noch erheblich aber nicht von politischer Brisanz.

Unter welchen Bedingungen bekommen sie diese Brisanz?

Wenn es zu einer konzertierten Aktion kommt und an verschiedenen Stellen gleichzeitig Störungen verursacht werden, kann man Wirtschaft und Gesellschaft erheblich in Schwierigkeiten bringen bis hin zur Gefährdung von Leben und Gesundheit. Die Leit- und Steuerungssysteme von sensiblen Einrichtungen wie Chemiefabriken, Stellwerke der Bahn oder die Kontrollsysteme für Kraftwerke, Staudämme und Flugsicherung, sind heute zu 100 Prozent abhängig von Computern und Netzen. Dadurch sind sie natürlich auch störbar.

In einem Planspiel hat Aksis Ende 2001 zum ersten Mal einen koordinierten Angriff auf IT-Systeme der Bundesrepublik simuliert. Was kam dabei raus?

In dem Planspiel haben wir einen reinen IT-Angriff auf kritische Infrastrukturen wie Stromversorgung, Banken, Behörden oder Verkehrsleitsysteme im Großraum Berlin mit dem Ziel einer Erpressung der Bundesregierung simuliert. Wir haben festgestellt, dass jede einzelne Sparte für sich angreifbar ist. Der Zusatzeffekt, der darüber hinaus entsteht ist, dass all diese Infrastrukturen eben intensiv voneinander abhängig sind. Wenn die Telekommunikation ausfällt, dann haben die Sicherheitsbehörden ein Problem, und wenn der Strom weg ist, können die Banken nicht mehr arbeiten und die Verkehrssysteme werden lahm gelegt. Da kann Panik ausbrechen, weil Leute nicht mehr aus U-Bahn-Schächten rauskommen. Es schaukelt sich auf, bis es zu einem katastrophenartigen Szenario kommt.

Aksis will Maßnahmen erarbeiten, die solche Szenarien verhindern? Wie sollen die aussehen?

Zunächst einmal: Das Verdienst dieses Arbeitkreises ist, dass wir hier vordenken, ohne dass es gleich ein Politikum wird. Denn Sicherheitsfragen dieser neuen Art zu diskutieren, ist ein Politikum. Man wird von Seiten der Bundesregierung natürlich nicht groß in die Öffentlichkeit gehen und sagen, "wir beschäftigen uns intensiv mit der neuen Bedrohung im Cyberbereich", weil man die Gefahr nicht hochstilisieren will. Ein Arbeitskreis kann viel lockerer, aber auch in einer Atmosphäre des Vertrauens darüber reden. Was ist nun zu tun: In einem ersten Schritt sind Analysen zur Verwundbarkeit der Infrastrukturen zu erstellen. Damit haben lobenswerterweise das Innenministerium bzw. das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits begonnen. Sieben kritische Infrastrukturen wurden systematisch auf ihre Schwächen untersucht. Und es gibt bereits erste Ergebnisse.

Haben Sie ein konkretes Beispiel?

Über die konkreten Bewertungen kann ich nichts sagen. Das ist vertraulich. Wir besprechen aber in Aksis zum Beispiel neue Modelle einer Sicherheitspartnerschaft vor. Dabei wird auch gefragt, wie der öffentliche und der private Bereich in Zukunft zusammenarbeiten müssen. Es ist nicht damit getan, dass man sagt, wir schaffen eine neue Spezialeinheit bei der Polizei, der Feuerwehr und vielleicht noch bei der Bundeswehr. Die meisten dieser Infrastrukturen wie Telekommunikation oder Energieversorgung bestehen aus privatwirtschaftlichen Unternehmen. Da können sie nicht einfach die Polizei reinschicken. Gefragt sind neue Arten der öffentlich-privaten Zusammenarbeit im Sicherheitsbereich.