| 1 |
I.Belastung Einleitungdes |
| 2 |
|
| 3 |
1. Ausgangslage |
| 4 |
|
| 5 |
• Heutzutagedurch Denial-of-Service-Angriffe sollten |
| 6 |
verhindert werden, indem ein Server einen Router mitteilen |
| 7 |
kann, von wem er Pakete erhalten möchte. Erkennt also ein |
| 8 |
Server Denial-of-Service-Attacke teilt er dem Router mit, |
| 9 |
dass er von den betreffenden Rechner keine Pakete mehr |
| 10 |
erhalten möchte. Dies wird IKTvon breitdem |
| 11 |
eingesetzt.Router Dieszum bedeutetnächsten eineRouter |
| 12 |
vernetzteweitergeleitet, undsodass effizienteder Welt.dem |
| 13 |
GleichzeitigSender bestehtam einenächsten sehrstehende |
| 14 |
starkeRouter IKT-Abhängigkeitgleich aufdie nationalerPakete |
| 15 |
undmit internationalerdem Ebene.betreffenden BetroffenZiel |
| 16 |
sindblockieren Gesellschaft,kann, Politiksodass undsie |
| 17 |
Wirtschaft. |
| 18 |
• Die umfassende Vernetzung durchnicht das |
| 19 |
InternetKommunikationsnetz eröffnet Außentätern neue |
| 20 |
Angriffsmöglichkeiten. Vernetzte Strukturen werden |
| 21 |
allerdings nicht nur über das Internet bedroht, sondern |
| 22 |
v.a. auch durch Innentäter. belasten. |
| 23 |
• Die Komplexität (der Infrastruktur selbst, aber auch der |
| 24 |
Vernetzung mit anderen Infrastrukturen wie z. B. |
| 25 |
Stromversorgung und Ernährungsversorgung) und die |
| 26 |
Geschwindigkeit des Datenaustauschs könnten dazu führen, |
| 27 |
dass IKT technisch schwieriger beherrschbar wird. |
| 28 |
• In Zukunft wird noch mehr IKT eingesetzt werden (z. B. |
| 29 |
Smart Grids) und durch die verstärkte Vernetzung steigt |
| 30 |
auch die Anfälligkeit. |
| 31 |
• Besondere Problemlage bei privatwirtschaftlicher |
| 32 |
Erbringung kritischer Infrastrukturleistungen, soweit |
| 33 |
„Service-Level“ und Sicherheitsniveau unzureichend geregelt |
| 34 |
sind. |
| 35 |
|
| 36 |
2. Definitionen |
| 37 |
|
| 38 |
Der Schutz kritischer Informationsinfrastrukturen (CIIP – |
| 39 |
Critical Information Infrastructure Protection): IKT-Sektor |
| 40 |
an sich sowie die IKT-basierten Infrastrukturen der anderen |
| 41 |
Sektoren |
| 42 |
• physische Komponenten (Computer, Satelliten, |
| 43 |
Glasfaserkabel) |
| 44 |
• Software, das Internet selbst (Zugang, Kommunikation), |
| 45 |
IT-Netzwerke, kritische Informationen, Sicherheitskonzepte |
| 46 |
|
| 47 |
Der Schutz kritischer Infrastrukturen (KRITIS) (CIP – |
| 48 |
Critical Infrastructure Protection): „Kritische |
| 49 |
Infrastrukturen sind Organisationen und Einrichtungen mit |
| 50 |
wichtiger Bedeutung für das staatliche Gemeinwesen, bei |
| 51 |
deren Ausfall oder Beeinträchtigung nachhaltig wirkende |
| 52 |
Versorgungsengpässe, erhebliche Störungen der öffentlichen |
| 53 |
Sicherheit oder andere dramatische Folgen eintreten |
| 54 |
würden.“ (BMI, in: Nationaler Plan zum Schutz der |
| 55 |
Informationsstrukturen (NPSI)) |
| 56 |
|
| 57 |
Wir möchten in der Projektgruppe nur kritische |
| 58 |
Informationsinfrastrukturen behandeln, da die sonstigen |
| 59 |
Teile nicht unter die Gesamtkompetenz der |
| 60 |
Enquete-Kommission Internet und digitale Gesellschaft |
| 61 |
fallen. Die kritischen Informationsinfrastrukturen sollen |
| 62 |
auch in ihrer Bedeutung für und in ihrer Wechselwirkung mit |
| 63 |
anderen kritischen Infrastrukturen dargestellt werden. |
| 64 |
|
| 65 |
|
| 66 |
|
| 67 |
|
| 68 |
|
| 69 |
|
| 70 |
|
| 71 |
|
| 72 |
II. Risikoanalyse |
| 73 |
|
| 74 |
1. Bedrohungen |
| 75 |
|
| 76 |
Als Ursachen für Gefährdungen des Internets sind |
| 77 |
technisches und menschliches Versagen, Naturgefahren und |
| 78 |
gezielte Angriffe zu nennen. Für die Betrachtung im Rahmen |
| 79 |
der Enquete-Kommission Internet und digitale Gesellschaft |
| 80 |
erscheint es sinnvoll, sich auf die IT-Angriffe zu |
| 81 |
konzentrieren, da andere Gefährdungspotenziale an anderen |
| 82 |
Stellen durch den Deutschen Bundestag schon eingehend |
| 83 |
betrachtet wurden. |
| 84 |
|
| 85 |
Bei gezielten Angriffen liegen die Bedrohungen hinsichtlich |
| 86 |
IKT in zwei Bereichen: die Infrastruktur ist einerseits |
| 87 |
Begehungsmittel und andererseits Angriffsobjekt. |
| 88 |
|
| 89 |
1.1 Kriminelle Nutzung [FN: EU Struktur (KOM(2011) 163 |
| 90 |
endgültig)] |
| 91 |
z. B. Advanced Persistent Threats für wirtschaftliche oder |
| 92 |
politische Spionage, Identitätsdiebstahl, z. B. Angriffe |
| 93 |
auf Emissionshandel, Angriffe auf staatliche IT-Systeme (z. |
| 94 |
B. französisches Finanzministerium) |
| 95 |
|
| 96 |
Akteure [FN: z.B. Hacker, Organisierte |
| 97 |
Kriminalität/Terroristen, Unternehmen, Staaten] |
| 98 |
|
| 99 |
Schäden [FN: z.B. personell, materiell, finanziell, |
| 100 |
immateriell/Ansehen, öffentliche/nationale Sicherheit] |
| 101 |
|
| 102 |
1.2 Störung |
| 103 |
z. B. DDoS-Angriffe |
| 104 |
Akteure |
| 105 |
Schäden |
| 106 |
z.B. Spamming Botnetze (z. B. Conficker-Netz) |
| 107 |
Akteure |
| 108 |
Schäden |
| 109 |
z.B. Stuxnet, Unterbinden der Kommunikation über bestimmte |
| 110 |
Kommunikationsmittel |
| 111 |
Akteure |
| 112 |
Schäden |
| 113 |
|
| 114 |
1.3 Zerstörung (noch nicht passiert) |
| 115 |
z. B. intelligente Netze |
| 116 |
Akteure |
| 117 |
Schäden |
| 118 |
|
| 119 |
|
| 120 |
2. Vorhandene Regelungen und Maßnahmen |
| 121 |
|
| 122 |
2.1 Europäische Ebene |
| 123 |
2.1.1 Initiativen Europäische Kommission |
| 124 |
2.1.2 ENISA |
| 125 |
|
| 126 |
|
| 127 |
2.2 Bundesebene |
| 128 |
2.2.1 Federführend BMI |
| 129 |
• Mit den Abteilungen KM (Krisenmanagement und |
| 130 |
Bevölkerungsschutz), ÖS (Öffentliche Sicherheit), IT- |
| 131 |
Direktor. |
| 132 |
• BSI |
| 133 |
o CERT Bund (IT-Lagezentrum und IT-Krisenreaktionszentrum) |
| 134 |
o Übungen – UP-KRITIS-Kontext |
| 135 |
o SCADA-Sicherheit |
| 136 |
• Nachgeordnete Behörden : BBK (mit-THW), BKA, BfV |
| 137 |
• AK KRITIS: Arbeitskreis von Behördenvertretern und |
| 138 |
ausgewählten Infrastrukturunternehmen |
| 139 |
• Maßnahmen/Instrumente: |
| 140 |
o Nationale Strategie zum Schutz Kritischer Infrastrukturen |
| 141 |
(KRITIS-Strategie) (2009) |
| 142 |
o Umsetzungsplan UP KRITIS (2007) |
| 143 |
o Nationaler Plan zum Schutz der |
| 144 |
Informationsinfrastrukturen (2005) + 2 Umsetzungspläne, |
| 145 |
2007 verabschiedet |
| 146 |
2.2.2 weitere Behörden, die an KRITIS beteiligt sind: BMWi, |
| 147 |
Bundesnetzagentur, BMJ, BMVg, BMBF, BND |
| 148 |
2.3 Internationale Ebene |
| 149 |
2.3.1 NATO |
| 150 |
2.3.2 UN |
| 151 |
2.3.3 G8 |
| 152 |
2.3.4 Internet Governance Forum |
| 153 |
|
| 154 |
III. Strategien |
| 155 |
Aufgaben Staat/Wirtschaft/Gesellschaft bei: |
| 156 |
1. Prävention & Abwehrbereitschaft |
| 157 |
o technisch |
| 158 |
- Entwicklung Hardware |
| 159 |
- Entwicklung Software |
| 160 |
- Gestaltung Informationsinfrastrukturen |
| 161 |
o organisatorisch |
| 162 |
o menschlich/gesellschaftlich |
| 163 |
- Medienkompetenz |
| 164 |
o gesetzgeberisch |
| 165 |
o international |
| 166 |
|
| 167 |
|
| 168 |
|
| 169 |
2. Erkennen und Reaktion |
| 170 |
o technisch |
| 171 |
o organisatorisch |
| 172 |
o menschlich/gesellschaftlich |
| 173 |
o gesetzgeberisch |
| 174 |
o international |
| 175 |
|
| 176 |
3. Folgeminderung und Wiederherstellung |
| 177 |
o technisch |
| 178 |
o organisatorisch |
| 179 |
o menschlich/gesellschaftlich |
| 180 |
o gesetzgeberisch |
| 181 |
o international |
| 182 |
|
| 183 |
4. Nachhaltigkeit |
| 184 |
o technisch |
| 185 |
o organisatorisch |
| 186 |
o menschlich/gesellschaftlich |
| 187 |
o gesetzgeberisch |
| 188 |
o international |
| 189 |
|
| 190 |
IV. Handlungsempfehlungen |
| 191 |
|
| 192 |
|
Vorschlag
Ertüchtigung des Artefakttransports im Internet
Dieser Vorschlag will erreichen, dass im Internet zu transportierende Artefakte so ertüchtigt werden, dass aus ihnen selbst, d.h. aus dem Inhalt eines Artefakts, ihre (Nicht-)Korrektheit, Bedeutung und Eigenschaft erkannt werden können.
Hintergrund: Die Zuverlässigkeit des Internet ist heute so desolat, dass ich frage, ob das Prinzip, auf dem das Internet aufbaut, leistungsfähig genug ist für ein Internet gemäß unseren heutigen und kommenden Anforderungen. Vielleicht befinden sich die heutigen Erbauer des Internet in einer ähnlichen Lage wie die Dombaumeister des Mittelalters, als denen die immer höher aufzutürmenden Dome zusammenbrachen., weil die Grundlagen der Steinbautechnik nicht leistungsfähig genug waren. Erst mit neuen Prinzipien und neuen Technologien wurden ein paar hundert Jahre später der Eifelturm, die Müngstener Brücke und riesige Hochhäuser gebaut.
Handlungsempfehlung: Die Enquete-Kommission könnte durch Fachleute, z.B. durch das BSI, prüfen lassen, welche Schwächen in den Prinzipien, auf denen das Internet sich heute gründet, zu dessen Mängeln führen und ob es leistungsfähigere Prinzipien für Schaffung von Artefakttransporten im Netz, wie oben als Ziel beschrieben, gibt.