INSIGHT-Cybercrime in Deutschland - Kampf um die Meldepflicht
Braunschweig-aktuell :: Nachrichten :: Hobbys :: Internet
Seite 1 von 1
INSIGHT-Cybercrime in Deutschland - Kampf um die Meldepflicht
Andy So Jun 16, 2013 9:55 pm
Berlin (Reuters) - Bonn, Godesberger Straße: Die Wand des Großraumbüros ist gespickt mit mehreren Großbildschirmen, auf denen Datenströme entlang flimmern.
Ab und zu zeigt ein drastischer Ausschlag der "Traffic"-Graphik an, dass gerade wieder ein Massenangriff auf das Datennetz des Bundes erfolgt. Hier im Nationalen Lagezentrum des Bundesinstitut für Sicherheit in der Informationstechnologie (BSI) befindet sich das Herzstück im Kampf gegen die wachsende Bedrohung von Cyberangriffen. Aber einige entscheidende Elemente fehlen. Denn zu sehen ist nur, was sich im Netz des Bundes abspielt. Die Angriffe gegen das Rückgrat der Industrienation Bundesrepublik, die stark verästelte Unternehmenslandschaft, sind nirgends zu sehen.
Geht es nach Hans-Peter Friedrich und BSI-Chef Michael Hange, dann muss sich dies unbedingt ändern. Seit Monaten hat sich der Bundesinnenminister einem Kampf verschrieben, den er allerdings gerade zu verlieren droht. Eigentlich wollte er die Unternehmen zumindest in den für eine Volkswirtschaft so sensiblen Bereichen wie Energie, Wasser und Gesundheit verpflichten, größere Cyber-Angriffe direkt an das BSI zu melden. "Nur so können andere Unternehmen gewarnt werden, die Ziele eines vergleichbaren Angriffs werden könnten", warnte Friedrich in den vergangenen Monaten vielfach.
In mehreren Runden hat der CSU-Politiker im vergangenen Jahr mit den Verantwortlichen der verschiedenen Unternehmen gesprochen. Er hat erklärt, geworben und gebeten. Seit Anfang März ist er dann einen entscheidenden Schritt weiter gegangen: Seither liegt sein Entwurf für ein neues IT-Sicherheitsgesetz vor, das etwa die Meldepflicht und den Aufbau firmeninterner Abwehrpläne festschreiben soll.
Aber nun ist sein Vorstoß in der Ressort- und Verbandsabstimmung in Berlin einfach steckengeblieben. Am 14. Juni soll es zwar noch einmal eine Anhörung der Verbände geben. Aber in mehr oder weniger freundlichen Worten haben die großen betroffenen Verbände die Meldepflicht bereits in der Anhörungsfrist bis zum 4. April abgelehnt.
Der eigentliche politische Grund für das Scheitern ist allerdings ein anderer: Erneut scheitert der CSU-Politiker an einem FDP-geführten Ministerium. Bei der Vorratsdatenspeicherung verweigerte das Justizministerium die Umsetzung der entsprechenden EU-Richtlinie. Diesmal schaltet das von FDP-Chef Philipp Rösler geführte Bundeswirtschaftsministerium im Konzert mit der Industrie auf stur, was Friedrich schon im Februar zu der wütenden Einschätzung brachte: "Der Wirtschaftsminister hat den Ernst der Lage nicht erkannt." Dort verweist man aber auf die negativen Reaktionen der Betroffenen. Wie so oft geht es um die politische Grundsatzentscheidung: Reichen Aufklärung und das Vertrauen auf die Selbstverantwortung und Anstrengungen der Firmen? Oder ist die Cyber-Bedrohung für ein Industrieland wie Deutschland so groß, dass der Staat sich nicht auf Zusagen der Firmen und deren Partikularinteressen verlassen darf?
Eine Einigung über die Meldepflicht ist deshalb trotz aller Beteuerungen des Innenministeriums nicht in Sicht, heißt es in Regierungskreisen. Weil das Bundeskabinett wegen des Streits auch im Juni keinen überarbeiteten Gesetzentwurf vorlegen kann, kann das Vorhaben schon wegen des Zeitverzugs zumindest nicht mehr in dieser Legislaturperiode umgesetzt werden. "Die Chance ist gering", räumt ein Beteiligter resigniert ein. Statt dessen gehen das BSI und das Innenministerium vorsorglich den zweitbesten Weg: Mitte Mai wurde die "Allianz für Cybersicherheit", ein freiwilliger Zusammenschluss für alle interessierten Behörden und Firmen, mit einem Beirat aufgewertet - dem neben Verbandsvertretern auch der IT-Direktor im Bundesinnenministerium und der BSI-Direktor angehören. Die Allianz setzt auf die von der Wirtschaft bevorzugte freiwillige Meldung von Angriffen.
ERFORDERN NEUE GEFAHREN NEUE ANTWORTEN?
Dabei gibt es Gründe für Friedrichs Besorgnis: "Wir erleben fünf gezielte Angriffe allein gegen die Bundesverwaltung täglich", sagt Stefan Ritter, Leiter des Nationalen Lagezentrums im BSI. Mal geht es um Spionage, mal wird versucht, Schadsoftware auf Rechnern zu installieren, mal werden Seiten mit Datenmengen bis zu Dutzenden Gigabyte pro Sekunde überschwemmt. Aber während sich das Internet-Netz des Bundes noch einfach beobachten lässt, weil es nur zwei Einwahlknoten hat, können die Sicherheitsbehörden nur erahnen, was sich im Internet im Rest von Deutschland abspielt.
Eine leise Ahnung bekommt man, wenn man die Ergebnisse der "Allianz für Cybersicherheit" betrachtet, um zumindest eine gemeinsame Gesprächsplattform zu haben. In der freiwilligen Meldestelle sind in den vergangenen sechs Monaten 24 schwerere Vorfälle registriert. Die Deutsche Telekom als Netzbetreiberin registriert nach eigenen Angaben mittlerweile 450.000 Angriffe pro Tag. Ende 2012 waren es noch 350.000, im Jahr davor nur die Hälfte. Sechsmal innerhalb der vergangenen sechs Monate wandten sich deutsche Unternehmen hilfesuchend an das Lagezentrum, weil sie Opfer schwerwiegender Angriffe wurden, erläutert Ritter.
Das Problem: Mit sehr großer Wahrscheinlichkeit ist das nur die Spitze des Eisbergs, die Dunkelziffer ist groß. So scheuen laut BSI-Chef Hange viele Firmen den Weg zu den Behörden, geschweige denn an die Öffentlichkeit. Nach Berichten, dass der Stahlkonzern Thyssen-Krupp Opfer eines Angriffes geworden sein soll, teilte das Unternehmen nur lapidar mit: "Der Schutz vor Cyber-Attacken ist eine Herausforderung, um die man sich kümmern muss." Niemand will gerne Opfer sein.
Das zweite Problem ist die Unwissenheit, die trotz der Aufklärungsarbeit etwa der "Allianz für Cybersicherheit" und mittlerweile auch vieler Industrie- und Handelskammern noch groß zu sein scheint: "Gerade viele kleinere und mittlere Firmen, die sich keine eigenen Sicherheitsabteilungen leisten können, merken nicht einmal, dass sie Opfer eines Angriffs geworden sind", sagt Frank Giessen von der Firma Symantec, die Sicherheitskonzepte anbietet. "In vielen Behörden sowie kleinen und mittleren Unternehmen fehlt das Bewusstsein, welche Gefahren tatsächlich existieren", fügt Ralf Kaschow, Geschäftsführer der Cyber-Akademie (CAk), einer privaten Fortbildungseinrichtung, hinzu.
Dabei wollte Friedrich Deutschland auf dem Gebiet der Cyber-Sicherheit zum Vorreiter machen, nachdem man die Bedeutung lange unterschätzt hatte. Auch die US-Regierung und die EU-Kommission basteln an einer Meldepflicht für Unternehmen, weil die neue Art der Bedrohung aus Sicht vieler Militärs ein Zusammenrücken von Staat und Wirtschaft nötig macht. Doch US-Präsident Barack Obama war in der ersten Amtszeit am US-Kongress gescheitert. Die EU-Kommission ist mit ihrer Arbeit noch nicht soweit. Aber überall wächst die Nervosität, dass man sich zunehmend Gegnern gegenüber sieht, die die westlichen Industriegesellschaften aus kriminellen oder politischen Motiven im Mark treffen können.
GEFÄHRLICHE VERNETZUNG - ZUGRIFF AUF INDUSTRIELLE HERZKAMMER
Anfang April, Congress-Centrum Hannover: Die sonst so nüchterne Bundeskanzlerin Angela Merkel redet sich bei der Eröffnung der Hannover-Messe zunehmend in Begeisterung. Das neue Zauberwort sei "Industrie 4.0", die Integration von IT-Technik und Produktion. Digitalisierung und Vernetzung von Produktionsprozessen seien in der Bedeutung nur mit der Entwicklung der Dampfmaschine vergleichbar, schwärmt die Kanzlerin. Und nachdem die USA die digitale Revolution bestimmt hätten, hätten Deutschland und Europa mit "Industrie 4.0" nun die Chance, das nächste Zeitalter prägen, "wirkliche Fußspuren" zu hinterlassen.
Was die Physikerin im Kanzleramt begeistert, ist genau das, was dem Kryptologen Hange im BSI die Sorgenfalten auf die Stirn treibt. Denn der Einzug der IT-Technik in nahezu alle Lebens- und Wirtschaftsbereiche, die zunehmende Vernetzung und Steuerung über das Internet von Produktionsprozessen bedeutet für ihn eine "Ausweitung der Kampfzone". Mit der Vernetzung können Angreifer nicht mehr nur millionenfach persönliche Daten stehlen. Über das Internet gesteuerte Produktionsprozesse öffnen Hacker auch den Weg in die Herzkammern der deutschen Industriegesellschaft. Spätestens der sogenannte Stuxnet-Angriff auf iranische Atomanlagen, der über Schwachstellen in der Software von Microsoft und der Betriebssoftware von Siemens lief, hat die neue Dimension gezeigt. "Die Sicherheitsdienste beobachten, dass sich die Angriffe auf die Steuerungssysteme von Infrastruktureinrichtungen häufen", bestätigt BSI-Chef Hange. Dazu gehören etwa Kraftwerke und Wasserwerke, an denen Manipulationen vorgenommen wurden.
"Mit der zunehmenden Integration von IT-Systemen in den Produktionsprozess ist eine Schwelle überschritten worden. Falls die IT ausfällt, droht auch ein Produktionsstillstand", warnt auch Andreas Schlayer, Experte für IT-Risiken beim Rückversicherer Munich Re. Dort beobachtet man die Entwicklung sehr aufmerksam mit Blick auf mögliche Schadensfälle, aber auch neue Absicherungs-Produkte. Denn die wachsende Gefahr spiegelt sich im Versuch der Unternehmen wider, sich gegen alle möglichen Schäden aus dem Internet abzusichern. "Es hat in den vergangenen Jahren eine starke Nachfrage nach Versicherungen gegen Cyber-Angriffe gegeben", sagt Schlayer. Allein in den USA sei das Vertragsvolumen für den Schutz gegen den Diebstahl persönlicher Daten von 400 Millionen Dollar (2011) auf eine Milliarde Dollar gestiegen. Mittlerweile böten auch in Europa zwölf Firmen Versicherungen zur Absicherung gegen mögliche Schäden an, darunter die Munich Re.
Wie einfach die Manipulationen zu sein scheinen, machte vor kurzem die Computerzeitschrift "ct" öffentlich. Über Sicherheitslücken in den Steuerungsmodulen konnten die Journalisten etwa in Hunderte von Heizungsanlagen in Einfamilienhäusern ebenso eindringen wie in die Wasserversorgung eines Gefängnisses oder eine Brauerei. Die Übung war harmlos und sollte nur die Öffentlichkeit und die betroffenen Firmen alarmieren. Nur die Aufdeckung der Schwächen der einen ermöglicht allen einen besseren Schutz - das ist auch die Idee hinter der Meldepflicht.
Ansonsten, so wird etwa im Innenministerium argumentiert, können Kriminelle Schwachstellen immer weiter nutzen, um Firmen etwa mit der Androhung von Schäden zu erpressen. Terroristen könnten einfach nur das Ziel der Zerstörung haben. Das Problem: Etwa die Vernetzung gerade im Strombereich steht erst am Anfang. Mit der Energiewende ändert sich die Struktur des Netzes, das von Zehntausenden dezentralen kleinen Stromerzeugern dominiert wird. Für Hacker sind diese entstehenden Schnittstellen für die Steuerung ein El Dorado, meint man beim BSI. Aber welch gravierende Konsequenzen dies auch in anderen Bereichen haben kann, zeigt der Hacker-Angriff auf den Twitter-Account der Nachrichtenagentur AP, bei dem mit gefälschten Tweets für kurze Zeit die Börsenkurse in Turbulenzen gebracht wurden.
SCHÜTZEN, NICHT MELDEN
"Die Meldepflicht hat deshalb enorme Bedeutung", ist Frank Giessen von Symantec überzeugt. "Wir haben eine Zeitbombe vor uns." Es reiche ein Angriff auf das schwächste, ungeschützte Glied in dieser vernetzten Welt, um andere in Mitleidenschaft zu ziehen. Und die Branchen sind nach Meinung der Sicherheitsbehörden sehr unterschiedlich aufgestellt. So attestieren sie etwa den Banken große Anstrengungen im Bereich der Cyber-Sicherheit. Denn diese wurden früh Opfer von Angriffen und verwalten mit die sensibelsten Daten. "US-Banken müssen regelmäßige Angriffe von 100 Gigabyte pro Sekunde abwehren", sagt Ritter, der Leiter des Nationalen Lagezentrums. Andere Bereiche etwa im Gesundheitswesen, aber durchaus auch Kraftwerksbetreiber gelten als nachlässiger.
Aber die Firmen pochen darauf, dass eine Meldepflicht dennoch der falsche Weg sei. "Nicht alles, was gut gemeint ist, ist auch sinnvoll", sagt Matthias Wachter, Abteilungsleiter Sicherheit beim Bundesverband der deutschen Industrie (BDI). Einen "worst case" befürchten die Firmen nicht nur von den Hackern, sondern auch aus der Politik. "Wir sind gegen einen nationalen Alleingang", betont Wachter. Denn sonst drohe den Firmen, dass sie nach ihren eigenen Anstrengungen gezwungen würden, zunächst eine nationale und dann eine EU-Regelung umzusetzen. Ähnliche Vorbehalte meldet der Bankenverband an, der auf bereits existierende Meldepflichten im Finanzsektor durch das Kreditwesengesetz hinweist. "Weitere gesetzliche Regelungen sind unseres Erachtens nicht notwendig", heißt es in der Stellungnahme des Verbandes.
Sowohl BDI als auch BITKOM warnen vor einem staatlichen Eingriff in den Markt, der teuer sei, aber in Wahrheit nicht mehr Sicherheit bringe. Welche Dimension die Meldepflicht haben könnte, wenn nicht nur Deutschland, sondern in einem zweiten Schritt auch die EU aktiv wird, machte die EU-Kommission deutlich: Sie schätzt, dass die geplanten Auflagen für etwa 44.000 Unternehmen in der EU gelten könnten. Große Konzerne, die in mehreren EU-Staaten aktiv - und vernetzt - sind, verweisen auf die unklare Rechtslage, wem eigentlich ein Angriff etwa in Österreich zu melden sei - nur den dortigen, den deutschen oder gar niederländischen Behörden, wenn man auch dort aktiv sei. Deutsche Datenschützer warnen ebenfalls, weil so sehr große Mengen an Daten gesammelt werden könnten.
Auch deshalb wird im Jahresbericht der "Allianz für Cybersicherheit" die "freiwillige, anonyme Meldestelle" als Alternative gelobt, an die sich Firmen wenden könnten - aber eben nicht müssen. In den Ohren der staatlichen Sicherheitsexperten klingt es wie purer Hohn, wenn ausdrücklich darauf verwiesen wird, dass "es dem BSI möglich (ist), aufgrund der Vielzahl neuer Quellen ein wesentlich realistischeres Lagebild zu generieren". Noch realistischer wäre das Lagebild, wenn sich die Wirtschaft in die Karten schauen ließe, kontern Experten. Noch heute schüttelt BSI-Chef Hange den Kopf, dass es eineinhalb Monate dauerte, bis das BSI im Sommer 2010 einen Überblick bekam, ob die Stuxnet-Angriffe auch Schäden in Deutschland angerichtet hatten - sechs Wochen sind eine Ewigkeit im Zeitalter sekundenschneller Cyber-Attacken.
Ein wichtiger Grund für den vehementen Widerstand der Wirtschaft gegen die Meldepflicht sind aber neben der Sorge vor teuren Investitionen auch rechtliche Bedenken - und ein Machtkampf zwischen verschiedenen Unternehmen und Verbänden. Etliche Firmen wollen vor allem den Netzbetreibern die Verantwortung für mehr Sicherheit aufbürden - mit dem Argument, dass diese doch die Angriffe durch ihre Netze leiteten. Netzbetreiber wie die Deutsche Telekom pochen dagegen darauf, dass sie als Durchleiter schlecht alle Angriffe gegen einzelne Firmen abwehren könnten.
Zudem warnen sie vor einer Doppelregulierung, weil etwa das Telekommunikationsgesetz bereits vorschreibt, erhebliche Sicherheitsvorfälle an die Bundesnetzagentur zu melden. "Eine weitere gesetzliche Regelung für die Anbieter von Telekommunikationsdiensten ist nicht notwendig", betont BITKOM-Präsident Dieter Kempf. Das Innenministerium versucht, diese Ängste zu zerstreuen: "Unser dezidiertes Ziel ist, den Unternehmen keine überschießenden Verpflichtungen aufzuerlegen und Doppelbelastungen zu vermeiden, und diesbezügliche Bedenken zeitnah auszuräumen", betont ein Sprecher.
Daneben kämpfen die einen - wie der Verband kommunaler Unternehmen (VKU) - für Ausnahmen etwa für kleine Wasserwerke, während die anderen die Frage stellen, wo die "kritische Infrastruktur" eigentlich anfängt und wo sie endet. Immerhin zeigt das Stuxnet-Beispiel auch, dass auch Hersteller von Steuerungsanlagen wie Siemens genauso große Einfallstore für schwere Cyber-Schäden bieten können wie Infrastrukturbetreiber.
Der IT-Experte eines großen Energieversorgers, der namentlich nicht genannt werden will, warnt zudem, dass der die Regierung möglicherweise mit einer Meldepflicht das Gegenteil dessen erreicht, was sie möchte. Statt schnell die Daten eines Angriffs zu übermitteln oder diskret beim BSI oder anderen staatlichen Stellen um Rat zu fragen, müssten Firmen bei einer gesetzlichen Meldepflicht zunächst einmal die eigenen Rechtsabteilungen einschalten, um legale Risiken zu prüfen. Die Angst ist zudem groß, dass sensible Daten über einen Angriff in der Öffentlichkeit oder gar bei ausländischen Regierungen oder Konkurrenten landen könnten. Es gibt eine Fülle ungelöster juristischer Fragen auch für börsennotierte Unternehmen, ob und was sie etwa der Börsenaufsicht melden müssten - und was passiert, wenn sich ein vermeintlicher Angriff als Fehler in der Software oder menschliches Versagen entpuppen sollte.
Tatsächlich wirbt etwa das Bundesamt für Verfassungsschutz damit, Firmen könnten sich ohne Angst an sie wenden, dass Angriffe publik würden. "Wird der Vorfall dagegen der Polizei gemeldet, müsste diese öffentliche Ermittlungen aufnehmen", sagte eine Behördensprecherin. Die Ermittlungs-Verpflichtung der Polizei wird auch im BSI als Bremse für die Kooperation mit den Firmen gesehen - weshalb das Nationale Lagezentrum übrigens tabu ist für die Beamten des Bundeskriminalamtes, das sich im BSI nur einen Stock tiefer im Nationalen Cyber-Abwehrzentrum mit den Vertretern anderer Behörden austauscht. Übrigens geht auch Großbritannien seit Ende März zunächst den Weg einer freiwilligen Cyber-Allianz von Wirtschaft und Staat, der mehr als 160 Unternehmen beigetreten sind. Eine EU-Meldepflicht sieht die Regierung in London skeptisch.
Allerdings hilft die Marktwirtschaft, einige Sorgen der Firmen zu zerstreuen. MunichRe-Experte Schlayer verweist auf die sogenannten Cyber-Liability-Deckungen in den USA. "Abgedeckt werden können etwa die Kosten der Benachrichtigung, Betriebskosten, die Wiederherstellung des Systems, Haftungsansprüche bei einer falschen Meldung oder Klagen gegen das Management", sagt er. Die entscheidende Frage bei diesen meist speziell auf eine Firma zugeschnittenen Policen sei die Frage: Worin genau besteht der mögliche zu versichernde Schaden für ein Unternehmen nach einem Cyber-Angriff - im Produktionsausfall, im Reputationsverlust oder in einem absackenden Börsenkurs?
Der Siegeszug der Versicherungen hat eine positive Begleiterscheinung für die Sicherheit. "Es gibt im Cyberbereich vergleichbar etwa zur Feuerversicherung Inspektoren", erklärt Schlayer. Denn die Versicherer wollen wissen, welches Risiko sie eingehen. Also lassen sie spezialisierte Firmen wie die amerikanische NetDiligence testen, wie gut die Sicherheitsvorkehrungen von zu versichernden Unternehmen sind. "Es gibt auch sogenannte 'penetration tests', mit denen versucht wird, bei einem gezielten Angriff auf das eigene Unternehmen zu versuchen, Sicherheitslücken aufzuspüren." So paradox es klingt: Auf der einen Seite gibt es laut BSI kriminelle Hacker, die aus wenig regulierten Staaten heraus agieren und sich gezielt anheuern lassen, um Konkurrenten auszuspionieren. Auf der anderen Seite lassen sich Firmen bewusst hacken, um sicherer zu werden.
WELCHE GEFAHR IST GRÖSSER?
"Es gibt eine permanente Abwägung Sicherheit gegen Privatsphäre und Betriebgeheimnisse, Sicherheit gegen Wettbewerb", räumt auch BSI-Chef Hange ein. Kosten gegen Sicherheit, könnte man hinzufügen, denn die Cyber-Versicherungen sind nicht billig. Um den Widerstand gegen eine gesetzliche Meldepflicht zumindest in Zukunft abzubauen, verspricht er größtmögliche Anonymität und verweist darauf, dass das BSI eben keine Strafverfolgungsbehörde sei. Nur wenn große Gefahr in Verzug sei, würden das BKA oder der Bundesnachrichtendienst eingeschaltet.
In der Godesberger Straße sitzen keine Hacker-Jäger, sondern die Hacker-Abwehrer. Die eigentliche Arbeit liegt darin, sich ständig über neue Angriffe und deren Muster auszutauschen, um den immer professionelleren Angreifern größtmögliches technisches Know-how entgegensetzen zu können. Dafür arbeiten in Deutschland mittlerweile 30 sogenannte CERT-Gruppen zum Informationsaustausch zusammen, zu denen auch Teams von Dax-Konzernen wie Deutsche Telekom, Siemens, BMW oder VW gehören. Hinter den CERTs verbergen sich "Computer Emergency Response Teams", die es auch auf europäischer staatlicher Ebene gibt. Mittlerweile 13 Regierungen tauschen sich über neue Bedrohungen aus, darunter auch Norwegen und die Schweiz. Das Grundprinzip dieser verschworenen Anti-Hacker-Gemeinschaften ist beim Datenaustausch deshalb das absolute Vertrauen.
Aufklärung aller Mitarbeiter und auch der Chefetagen ist aber ebenso wichtig, sind sich alle Befragten ein. Wie weit die Kreise derer reichen, die betroffen sind, zeigt die Cyber-Akademie: Sie bietet jetzt erstmals Schulungen für Mitarbeiter kirchlicher Einrichtungen an. Das klingt zunächst absurd. Aber gerade in den Gemeinden, kirchlichen Krankenhäusern und Kindergärten wird eine sehr große Zahl personenbezogener Daten verwaltet - ein Schatz für kriminelle Hacker.
Am Ende aber, das ist die feste Überzeugung von Hange, wird man auch mit der besten Aufklärung, Schulung und Selbstverpflichtung nicht um eine gesetzliche Meldepflicht herumkommen. Der Staat müsse ein möglichst vollständiges Bild über die Angriffe aus dem Netz haben. "Es wäre besser, eine solche Debatte nicht erst zu führen, wenn es zu spät ist und wir uns um einen Schaden kümmern müssen", warnt der BSI-Chef, der allerdings auch nicht frei von Eigeninteressen ist. Denn das BSI sieht sich als künftiges Zentrum der Koordinierung - die in Deutschland aber auch bitter nötig ist.
Denn neben dem BSI rüsten derzeit auch der Bundesnachrichtendienst, die Bundeswehr und das Bundeskriminalamt ihre Cyberkapazitäten auf. Das Bundeswirtschaftsministerium hat sich einen Cyber-Kreis zugelegt und die Bundesländer folgen dem Beispiel Bayerns und Niedersachsens, eigene CERT-Teams aufzubauen - so gut sie dies angesichts leerer Kassen und eines leer gefegten Arbeitsmarktes für IT-Experten überhaupt können. "Als ob etwa eine Landesregierung in Potsdam soviel Expertise aufbauen könnte, um effektiv gegen Cyber-Angriffe aus China vorgehen zu können", spottet ein Firmenvertreter. Symantec-Experte Giessen sieht die Debatte mit einer gewissen zynischen Gelassenheit. "Die Meldepflicht wird in Deutschland und der EU ohnehin kommen - spätestens nach dem ersten verheerenden Cyber-Angriff."
Quelle
Gehackt wird überall, auch bei uns hier und in jeden anderen Internetportal.
Gut bei uns kann man nicht viel finden, außer informationen.
Aber das alleine scheint schon zuviel zusein, so das man uns hier belästigt.
Gerade ein paar Psycho's die sich was zusammenspinnen und anscheinend zuviel vor dem PC sitzen und Fernseher sind immer auf der Suche.
Die wirklichen gefährlichen übersieht man, da man sie als Spinner abtut, bis etwas passiert.
Eins darf man nicht und zwar über die Wahrheit berichten.
Wobei die Wahrheit immer in Sicht des Betrachters liegt.
So schön PC, Internet auch sein mag, es bildet einen neuen Kriegsschauplatz.
Früher war es der CB Funk, heute das Internet wo man sich fetzt, Fehlinformationen Preisgibt, gehackt, gemobbt und notfalls sogar auf der straße angegriffen wird.
Neu ist das zwar nicht, aber die masse macht es.
So toll auch das internet sein mag, es hat nicht nur Vorteile gebracht.
Genau wie der PC, hat es tücken,kann für bestimmte Ziele genutzt werden und macht jede menge Arbeit.
Ab und zu zeigt ein drastischer Ausschlag der "Traffic"-Graphik an, dass gerade wieder ein Massenangriff auf das Datennetz des Bundes erfolgt. Hier im Nationalen Lagezentrum des Bundesinstitut für Sicherheit in der Informationstechnologie (BSI) befindet sich das Herzstück im Kampf gegen die wachsende Bedrohung von Cyberangriffen. Aber einige entscheidende Elemente fehlen. Denn zu sehen ist nur, was sich im Netz des Bundes abspielt. Die Angriffe gegen das Rückgrat der Industrienation Bundesrepublik, die stark verästelte Unternehmenslandschaft, sind nirgends zu sehen.
Geht es nach Hans-Peter Friedrich und BSI-Chef Michael Hange, dann muss sich dies unbedingt ändern. Seit Monaten hat sich der Bundesinnenminister einem Kampf verschrieben, den er allerdings gerade zu verlieren droht. Eigentlich wollte er die Unternehmen zumindest in den für eine Volkswirtschaft so sensiblen Bereichen wie Energie, Wasser und Gesundheit verpflichten, größere Cyber-Angriffe direkt an das BSI zu melden. "Nur so können andere Unternehmen gewarnt werden, die Ziele eines vergleichbaren Angriffs werden könnten", warnte Friedrich in den vergangenen Monaten vielfach.
In mehreren Runden hat der CSU-Politiker im vergangenen Jahr mit den Verantwortlichen der verschiedenen Unternehmen gesprochen. Er hat erklärt, geworben und gebeten. Seit Anfang März ist er dann einen entscheidenden Schritt weiter gegangen: Seither liegt sein Entwurf für ein neues IT-Sicherheitsgesetz vor, das etwa die Meldepflicht und den Aufbau firmeninterner Abwehrpläne festschreiben soll.
Aber nun ist sein Vorstoß in der Ressort- und Verbandsabstimmung in Berlin einfach steckengeblieben. Am 14. Juni soll es zwar noch einmal eine Anhörung der Verbände geben. Aber in mehr oder weniger freundlichen Worten haben die großen betroffenen Verbände die Meldepflicht bereits in der Anhörungsfrist bis zum 4. April abgelehnt.
Der eigentliche politische Grund für das Scheitern ist allerdings ein anderer: Erneut scheitert der CSU-Politiker an einem FDP-geführten Ministerium. Bei der Vorratsdatenspeicherung verweigerte das Justizministerium die Umsetzung der entsprechenden EU-Richtlinie. Diesmal schaltet das von FDP-Chef Philipp Rösler geführte Bundeswirtschaftsministerium im Konzert mit der Industrie auf stur, was Friedrich schon im Februar zu der wütenden Einschätzung brachte: "Der Wirtschaftsminister hat den Ernst der Lage nicht erkannt." Dort verweist man aber auf die negativen Reaktionen der Betroffenen. Wie so oft geht es um die politische Grundsatzentscheidung: Reichen Aufklärung und das Vertrauen auf die Selbstverantwortung und Anstrengungen der Firmen? Oder ist die Cyber-Bedrohung für ein Industrieland wie Deutschland so groß, dass der Staat sich nicht auf Zusagen der Firmen und deren Partikularinteressen verlassen darf?
Eine Einigung über die Meldepflicht ist deshalb trotz aller Beteuerungen des Innenministeriums nicht in Sicht, heißt es in Regierungskreisen. Weil das Bundeskabinett wegen des Streits auch im Juni keinen überarbeiteten Gesetzentwurf vorlegen kann, kann das Vorhaben schon wegen des Zeitverzugs zumindest nicht mehr in dieser Legislaturperiode umgesetzt werden. "Die Chance ist gering", räumt ein Beteiligter resigniert ein. Statt dessen gehen das BSI und das Innenministerium vorsorglich den zweitbesten Weg: Mitte Mai wurde die "Allianz für Cybersicherheit", ein freiwilliger Zusammenschluss für alle interessierten Behörden und Firmen, mit einem Beirat aufgewertet - dem neben Verbandsvertretern auch der IT-Direktor im Bundesinnenministerium und der BSI-Direktor angehören. Die Allianz setzt auf die von der Wirtschaft bevorzugte freiwillige Meldung von Angriffen.
ERFORDERN NEUE GEFAHREN NEUE ANTWORTEN?
Dabei gibt es Gründe für Friedrichs Besorgnis: "Wir erleben fünf gezielte Angriffe allein gegen die Bundesverwaltung täglich", sagt Stefan Ritter, Leiter des Nationalen Lagezentrums im BSI. Mal geht es um Spionage, mal wird versucht, Schadsoftware auf Rechnern zu installieren, mal werden Seiten mit Datenmengen bis zu Dutzenden Gigabyte pro Sekunde überschwemmt. Aber während sich das Internet-Netz des Bundes noch einfach beobachten lässt, weil es nur zwei Einwahlknoten hat, können die Sicherheitsbehörden nur erahnen, was sich im Internet im Rest von Deutschland abspielt.
Eine leise Ahnung bekommt man, wenn man die Ergebnisse der "Allianz für Cybersicherheit" betrachtet, um zumindest eine gemeinsame Gesprächsplattform zu haben. In der freiwilligen Meldestelle sind in den vergangenen sechs Monaten 24 schwerere Vorfälle registriert. Die Deutsche Telekom als Netzbetreiberin registriert nach eigenen Angaben mittlerweile 450.000 Angriffe pro Tag. Ende 2012 waren es noch 350.000, im Jahr davor nur die Hälfte. Sechsmal innerhalb der vergangenen sechs Monate wandten sich deutsche Unternehmen hilfesuchend an das Lagezentrum, weil sie Opfer schwerwiegender Angriffe wurden, erläutert Ritter.
Das Problem: Mit sehr großer Wahrscheinlichkeit ist das nur die Spitze des Eisbergs, die Dunkelziffer ist groß. So scheuen laut BSI-Chef Hange viele Firmen den Weg zu den Behörden, geschweige denn an die Öffentlichkeit. Nach Berichten, dass der Stahlkonzern Thyssen-Krupp Opfer eines Angriffes geworden sein soll, teilte das Unternehmen nur lapidar mit: "Der Schutz vor Cyber-Attacken ist eine Herausforderung, um die man sich kümmern muss." Niemand will gerne Opfer sein.
Das zweite Problem ist die Unwissenheit, die trotz der Aufklärungsarbeit etwa der "Allianz für Cybersicherheit" und mittlerweile auch vieler Industrie- und Handelskammern noch groß zu sein scheint: "Gerade viele kleinere und mittlere Firmen, die sich keine eigenen Sicherheitsabteilungen leisten können, merken nicht einmal, dass sie Opfer eines Angriffs geworden sind", sagt Frank Giessen von der Firma Symantec, die Sicherheitskonzepte anbietet. "In vielen Behörden sowie kleinen und mittleren Unternehmen fehlt das Bewusstsein, welche Gefahren tatsächlich existieren", fügt Ralf Kaschow, Geschäftsführer der Cyber-Akademie (CAk), einer privaten Fortbildungseinrichtung, hinzu.
Dabei wollte Friedrich Deutschland auf dem Gebiet der Cyber-Sicherheit zum Vorreiter machen, nachdem man die Bedeutung lange unterschätzt hatte. Auch die US-Regierung und die EU-Kommission basteln an einer Meldepflicht für Unternehmen, weil die neue Art der Bedrohung aus Sicht vieler Militärs ein Zusammenrücken von Staat und Wirtschaft nötig macht. Doch US-Präsident Barack Obama war in der ersten Amtszeit am US-Kongress gescheitert. Die EU-Kommission ist mit ihrer Arbeit noch nicht soweit. Aber überall wächst die Nervosität, dass man sich zunehmend Gegnern gegenüber sieht, die die westlichen Industriegesellschaften aus kriminellen oder politischen Motiven im Mark treffen können.
GEFÄHRLICHE VERNETZUNG - ZUGRIFF AUF INDUSTRIELLE HERZKAMMER
Anfang April, Congress-Centrum Hannover: Die sonst so nüchterne Bundeskanzlerin Angela Merkel redet sich bei der Eröffnung der Hannover-Messe zunehmend in Begeisterung. Das neue Zauberwort sei "Industrie 4.0", die Integration von IT-Technik und Produktion. Digitalisierung und Vernetzung von Produktionsprozessen seien in der Bedeutung nur mit der Entwicklung der Dampfmaschine vergleichbar, schwärmt die Kanzlerin. Und nachdem die USA die digitale Revolution bestimmt hätten, hätten Deutschland und Europa mit "Industrie 4.0" nun die Chance, das nächste Zeitalter prägen, "wirkliche Fußspuren" zu hinterlassen.
Was die Physikerin im Kanzleramt begeistert, ist genau das, was dem Kryptologen Hange im BSI die Sorgenfalten auf die Stirn treibt. Denn der Einzug der IT-Technik in nahezu alle Lebens- und Wirtschaftsbereiche, die zunehmende Vernetzung und Steuerung über das Internet von Produktionsprozessen bedeutet für ihn eine "Ausweitung der Kampfzone". Mit der Vernetzung können Angreifer nicht mehr nur millionenfach persönliche Daten stehlen. Über das Internet gesteuerte Produktionsprozesse öffnen Hacker auch den Weg in die Herzkammern der deutschen Industriegesellschaft. Spätestens der sogenannte Stuxnet-Angriff auf iranische Atomanlagen, der über Schwachstellen in der Software von Microsoft und der Betriebssoftware von Siemens lief, hat die neue Dimension gezeigt. "Die Sicherheitsdienste beobachten, dass sich die Angriffe auf die Steuerungssysteme von Infrastruktureinrichtungen häufen", bestätigt BSI-Chef Hange. Dazu gehören etwa Kraftwerke und Wasserwerke, an denen Manipulationen vorgenommen wurden.
"Mit der zunehmenden Integration von IT-Systemen in den Produktionsprozess ist eine Schwelle überschritten worden. Falls die IT ausfällt, droht auch ein Produktionsstillstand", warnt auch Andreas Schlayer, Experte für IT-Risiken beim Rückversicherer Munich Re. Dort beobachtet man die Entwicklung sehr aufmerksam mit Blick auf mögliche Schadensfälle, aber auch neue Absicherungs-Produkte. Denn die wachsende Gefahr spiegelt sich im Versuch der Unternehmen wider, sich gegen alle möglichen Schäden aus dem Internet abzusichern. "Es hat in den vergangenen Jahren eine starke Nachfrage nach Versicherungen gegen Cyber-Angriffe gegeben", sagt Schlayer. Allein in den USA sei das Vertragsvolumen für den Schutz gegen den Diebstahl persönlicher Daten von 400 Millionen Dollar (2011) auf eine Milliarde Dollar gestiegen. Mittlerweile böten auch in Europa zwölf Firmen Versicherungen zur Absicherung gegen mögliche Schäden an, darunter die Munich Re.
Wie einfach die Manipulationen zu sein scheinen, machte vor kurzem die Computerzeitschrift "ct" öffentlich. Über Sicherheitslücken in den Steuerungsmodulen konnten die Journalisten etwa in Hunderte von Heizungsanlagen in Einfamilienhäusern ebenso eindringen wie in die Wasserversorgung eines Gefängnisses oder eine Brauerei. Die Übung war harmlos und sollte nur die Öffentlichkeit und die betroffenen Firmen alarmieren. Nur die Aufdeckung der Schwächen der einen ermöglicht allen einen besseren Schutz - das ist auch die Idee hinter der Meldepflicht.
Ansonsten, so wird etwa im Innenministerium argumentiert, können Kriminelle Schwachstellen immer weiter nutzen, um Firmen etwa mit der Androhung von Schäden zu erpressen. Terroristen könnten einfach nur das Ziel der Zerstörung haben. Das Problem: Etwa die Vernetzung gerade im Strombereich steht erst am Anfang. Mit der Energiewende ändert sich die Struktur des Netzes, das von Zehntausenden dezentralen kleinen Stromerzeugern dominiert wird. Für Hacker sind diese entstehenden Schnittstellen für die Steuerung ein El Dorado, meint man beim BSI. Aber welch gravierende Konsequenzen dies auch in anderen Bereichen haben kann, zeigt der Hacker-Angriff auf den Twitter-Account der Nachrichtenagentur AP, bei dem mit gefälschten Tweets für kurze Zeit die Börsenkurse in Turbulenzen gebracht wurden.
SCHÜTZEN, NICHT MELDEN
"Die Meldepflicht hat deshalb enorme Bedeutung", ist Frank Giessen von Symantec überzeugt. "Wir haben eine Zeitbombe vor uns." Es reiche ein Angriff auf das schwächste, ungeschützte Glied in dieser vernetzten Welt, um andere in Mitleidenschaft zu ziehen. Und die Branchen sind nach Meinung der Sicherheitsbehörden sehr unterschiedlich aufgestellt. So attestieren sie etwa den Banken große Anstrengungen im Bereich der Cyber-Sicherheit. Denn diese wurden früh Opfer von Angriffen und verwalten mit die sensibelsten Daten. "US-Banken müssen regelmäßige Angriffe von 100 Gigabyte pro Sekunde abwehren", sagt Ritter, der Leiter des Nationalen Lagezentrums. Andere Bereiche etwa im Gesundheitswesen, aber durchaus auch Kraftwerksbetreiber gelten als nachlässiger.
Aber die Firmen pochen darauf, dass eine Meldepflicht dennoch der falsche Weg sei. "Nicht alles, was gut gemeint ist, ist auch sinnvoll", sagt Matthias Wachter, Abteilungsleiter Sicherheit beim Bundesverband der deutschen Industrie (BDI). Einen "worst case" befürchten die Firmen nicht nur von den Hackern, sondern auch aus der Politik. "Wir sind gegen einen nationalen Alleingang", betont Wachter. Denn sonst drohe den Firmen, dass sie nach ihren eigenen Anstrengungen gezwungen würden, zunächst eine nationale und dann eine EU-Regelung umzusetzen. Ähnliche Vorbehalte meldet der Bankenverband an, der auf bereits existierende Meldepflichten im Finanzsektor durch das Kreditwesengesetz hinweist. "Weitere gesetzliche Regelungen sind unseres Erachtens nicht notwendig", heißt es in der Stellungnahme des Verbandes.
Sowohl BDI als auch BITKOM warnen vor einem staatlichen Eingriff in den Markt, der teuer sei, aber in Wahrheit nicht mehr Sicherheit bringe. Welche Dimension die Meldepflicht haben könnte, wenn nicht nur Deutschland, sondern in einem zweiten Schritt auch die EU aktiv wird, machte die EU-Kommission deutlich: Sie schätzt, dass die geplanten Auflagen für etwa 44.000 Unternehmen in der EU gelten könnten. Große Konzerne, die in mehreren EU-Staaten aktiv - und vernetzt - sind, verweisen auf die unklare Rechtslage, wem eigentlich ein Angriff etwa in Österreich zu melden sei - nur den dortigen, den deutschen oder gar niederländischen Behörden, wenn man auch dort aktiv sei. Deutsche Datenschützer warnen ebenfalls, weil so sehr große Mengen an Daten gesammelt werden könnten.
Auch deshalb wird im Jahresbericht der "Allianz für Cybersicherheit" die "freiwillige, anonyme Meldestelle" als Alternative gelobt, an die sich Firmen wenden könnten - aber eben nicht müssen. In den Ohren der staatlichen Sicherheitsexperten klingt es wie purer Hohn, wenn ausdrücklich darauf verwiesen wird, dass "es dem BSI möglich (ist), aufgrund der Vielzahl neuer Quellen ein wesentlich realistischeres Lagebild zu generieren". Noch realistischer wäre das Lagebild, wenn sich die Wirtschaft in die Karten schauen ließe, kontern Experten. Noch heute schüttelt BSI-Chef Hange den Kopf, dass es eineinhalb Monate dauerte, bis das BSI im Sommer 2010 einen Überblick bekam, ob die Stuxnet-Angriffe auch Schäden in Deutschland angerichtet hatten - sechs Wochen sind eine Ewigkeit im Zeitalter sekundenschneller Cyber-Attacken.
Ein wichtiger Grund für den vehementen Widerstand der Wirtschaft gegen die Meldepflicht sind aber neben der Sorge vor teuren Investitionen auch rechtliche Bedenken - und ein Machtkampf zwischen verschiedenen Unternehmen und Verbänden. Etliche Firmen wollen vor allem den Netzbetreibern die Verantwortung für mehr Sicherheit aufbürden - mit dem Argument, dass diese doch die Angriffe durch ihre Netze leiteten. Netzbetreiber wie die Deutsche Telekom pochen dagegen darauf, dass sie als Durchleiter schlecht alle Angriffe gegen einzelne Firmen abwehren könnten.
Zudem warnen sie vor einer Doppelregulierung, weil etwa das Telekommunikationsgesetz bereits vorschreibt, erhebliche Sicherheitsvorfälle an die Bundesnetzagentur zu melden. "Eine weitere gesetzliche Regelung für die Anbieter von Telekommunikationsdiensten ist nicht notwendig", betont BITKOM-Präsident Dieter Kempf. Das Innenministerium versucht, diese Ängste zu zerstreuen: "Unser dezidiertes Ziel ist, den Unternehmen keine überschießenden Verpflichtungen aufzuerlegen und Doppelbelastungen zu vermeiden, und diesbezügliche Bedenken zeitnah auszuräumen", betont ein Sprecher.
Daneben kämpfen die einen - wie der Verband kommunaler Unternehmen (VKU) - für Ausnahmen etwa für kleine Wasserwerke, während die anderen die Frage stellen, wo die "kritische Infrastruktur" eigentlich anfängt und wo sie endet. Immerhin zeigt das Stuxnet-Beispiel auch, dass auch Hersteller von Steuerungsanlagen wie Siemens genauso große Einfallstore für schwere Cyber-Schäden bieten können wie Infrastrukturbetreiber.
Der IT-Experte eines großen Energieversorgers, der namentlich nicht genannt werden will, warnt zudem, dass der die Regierung möglicherweise mit einer Meldepflicht das Gegenteil dessen erreicht, was sie möchte. Statt schnell die Daten eines Angriffs zu übermitteln oder diskret beim BSI oder anderen staatlichen Stellen um Rat zu fragen, müssten Firmen bei einer gesetzlichen Meldepflicht zunächst einmal die eigenen Rechtsabteilungen einschalten, um legale Risiken zu prüfen. Die Angst ist zudem groß, dass sensible Daten über einen Angriff in der Öffentlichkeit oder gar bei ausländischen Regierungen oder Konkurrenten landen könnten. Es gibt eine Fülle ungelöster juristischer Fragen auch für börsennotierte Unternehmen, ob und was sie etwa der Börsenaufsicht melden müssten - und was passiert, wenn sich ein vermeintlicher Angriff als Fehler in der Software oder menschliches Versagen entpuppen sollte.
Tatsächlich wirbt etwa das Bundesamt für Verfassungsschutz damit, Firmen könnten sich ohne Angst an sie wenden, dass Angriffe publik würden. "Wird der Vorfall dagegen der Polizei gemeldet, müsste diese öffentliche Ermittlungen aufnehmen", sagte eine Behördensprecherin. Die Ermittlungs-Verpflichtung der Polizei wird auch im BSI als Bremse für die Kooperation mit den Firmen gesehen - weshalb das Nationale Lagezentrum übrigens tabu ist für die Beamten des Bundeskriminalamtes, das sich im BSI nur einen Stock tiefer im Nationalen Cyber-Abwehrzentrum mit den Vertretern anderer Behörden austauscht. Übrigens geht auch Großbritannien seit Ende März zunächst den Weg einer freiwilligen Cyber-Allianz von Wirtschaft und Staat, der mehr als 160 Unternehmen beigetreten sind. Eine EU-Meldepflicht sieht die Regierung in London skeptisch.
Allerdings hilft die Marktwirtschaft, einige Sorgen der Firmen zu zerstreuen. MunichRe-Experte Schlayer verweist auf die sogenannten Cyber-Liability-Deckungen in den USA. "Abgedeckt werden können etwa die Kosten der Benachrichtigung, Betriebskosten, die Wiederherstellung des Systems, Haftungsansprüche bei einer falschen Meldung oder Klagen gegen das Management", sagt er. Die entscheidende Frage bei diesen meist speziell auf eine Firma zugeschnittenen Policen sei die Frage: Worin genau besteht der mögliche zu versichernde Schaden für ein Unternehmen nach einem Cyber-Angriff - im Produktionsausfall, im Reputationsverlust oder in einem absackenden Börsenkurs?
Der Siegeszug der Versicherungen hat eine positive Begleiterscheinung für die Sicherheit. "Es gibt im Cyberbereich vergleichbar etwa zur Feuerversicherung Inspektoren", erklärt Schlayer. Denn die Versicherer wollen wissen, welches Risiko sie eingehen. Also lassen sie spezialisierte Firmen wie die amerikanische NetDiligence testen, wie gut die Sicherheitsvorkehrungen von zu versichernden Unternehmen sind. "Es gibt auch sogenannte 'penetration tests', mit denen versucht wird, bei einem gezielten Angriff auf das eigene Unternehmen zu versuchen, Sicherheitslücken aufzuspüren." So paradox es klingt: Auf der einen Seite gibt es laut BSI kriminelle Hacker, die aus wenig regulierten Staaten heraus agieren und sich gezielt anheuern lassen, um Konkurrenten auszuspionieren. Auf der anderen Seite lassen sich Firmen bewusst hacken, um sicherer zu werden.
WELCHE GEFAHR IST GRÖSSER?
"Es gibt eine permanente Abwägung Sicherheit gegen Privatsphäre und Betriebgeheimnisse, Sicherheit gegen Wettbewerb", räumt auch BSI-Chef Hange ein. Kosten gegen Sicherheit, könnte man hinzufügen, denn die Cyber-Versicherungen sind nicht billig. Um den Widerstand gegen eine gesetzliche Meldepflicht zumindest in Zukunft abzubauen, verspricht er größtmögliche Anonymität und verweist darauf, dass das BSI eben keine Strafverfolgungsbehörde sei. Nur wenn große Gefahr in Verzug sei, würden das BKA oder der Bundesnachrichtendienst eingeschaltet.
In der Godesberger Straße sitzen keine Hacker-Jäger, sondern die Hacker-Abwehrer. Die eigentliche Arbeit liegt darin, sich ständig über neue Angriffe und deren Muster auszutauschen, um den immer professionelleren Angreifern größtmögliches technisches Know-how entgegensetzen zu können. Dafür arbeiten in Deutschland mittlerweile 30 sogenannte CERT-Gruppen zum Informationsaustausch zusammen, zu denen auch Teams von Dax-Konzernen wie Deutsche Telekom, Siemens, BMW oder VW gehören. Hinter den CERTs verbergen sich "Computer Emergency Response Teams", die es auch auf europäischer staatlicher Ebene gibt. Mittlerweile 13 Regierungen tauschen sich über neue Bedrohungen aus, darunter auch Norwegen und die Schweiz. Das Grundprinzip dieser verschworenen Anti-Hacker-Gemeinschaften ist beim Datenaustausch deshalb das absolute Vertrauen.
Aufklärung aller Mitarbeiter und auch der Chefetagen ist aber ebenso wichtig, sind sich alle Befragten ein. Wie weit die Kreise derer reichen, die betroffen sind, zeigt die Cyber-Akademie: Sie bietet jetzt erstmals Schulungen für Mitarbeiter kirchlicher Einrichtungen an. Das klingt zunächst absurd. Aber gerade in den Gemeinden, kirchlichen Krankenhäusern und Kindergärten wird eine sehr große Zahl personenbezogener Daten verwaltet - ein Schatz für kriminelle Hacker.
Am Ende aber, das ist die feste Überzeugung von Hange, wird man auch mit der besten Aufklärung, Schulung und Selbstverpflichtung nicht um eine gesetzliche Meldepflicht herumkommen. Der Staat müsse ein möglichst vollständiges Bild über die Angriffe aus dem Netz haben. "Es wäre besser, eine solche Debatte nicht erst zu führen, wenn es zu spät ist und wir uns um einen Schaden kümmern müssen", warnt der BSI-Chef, der allerdings auch nicht frei von Eigeninteressen ist. Denn das BSI sieht sich als künftiges Zentrum der Koordinierung - die in Deutschland aber auch bitter nötig ist.
Denn neben dem BSI rüsten derzeit auch der Bundesnachrichtendienst, die Bundeswehr und das Bundeskriminalamt ihre Cyberkapazitäten auf. Das Bundeswirtschaftsministerium hat sich einen Cyber-Kreis zugelegt und die Bundesländer folgen dem Beispiel Bayerns und Niedersachsens, eigene CERT-Teams aufzubauen - so gut sie dies angesichts leerer Kassen und eines leer gefegten Arbeitsmarktes für IT-Experten überhaupt können. "Als ob etwa eine Landesregierung in Potsdam soviel Expertise aufbauen könnte, um effektiv gegen Cyber-Angriffe aus China vorgehen zu können", spottet ein Firmenvertreter. Symantec-Experte Giessen sieht die Debatte mit einer gewissen zynischen Gelassenheit. "Die Meldepflicht wird in Deutschland und der EU ohnehin kommen - spätestens nach dem ersten verheerenden Cyber-Angriff."
Quelle
Gehackt wird überall, auch bei uns hier und in jeden anderen Internetportal.
Gut bei uns kann man nicht viel finden, außer informationen.
Aber das alleine scheint schon zuviel zusein, so das man uns hier belästigt.
Gerade ein paar Psycho's die sich was zusammenspinnen und anscheinend zuviel vor dem PC sitzen und Fernseher sind immer auf der Suche.
Die wirklichen gefährlichen übersieht man, da man sie als Spinner abtut, bis etwas passiert.
Eins darf man nicht und zwar über die Wahrheit berichten.
Wobei die Wahrheit immer in Sicht des Betrachters liegt.
So schön PC, Internet auch sein mag, es bildet einen neuen Kriegsschauplatz.
Früher war es der CB Funk, heute das Internet wo man sich fetzt, Fehlinformationen Preisgibt, gehackt, gemobbt und notfalls sogar auf der straße angegriffen wird.
Neu ist das zwar nicht, aber die masse macht es.
So toll auch das internet sein mag, es hat nicht nur Vorteile gebracht.
Genau wie der PC, hat es tücken,kann für bestimmte Ziele genutzt werden und macht jede menge Arbeit.
Andy- Admin
- Anzahl der Beiträge : 36186
Anmeldedatum : 03.04.11
Ähnliche Themen» Cybercrime: Wirkliche Verbrecher in der virtuellen Welt
» Mel Gibson - Vom Kampf für die Freiheit zum Kampf um die Karriere
» Cybercrime - Aktenzeichen Internet
» Mel Gibson - Vom Kampf für die Freiheit zum Kampf um die Karriere
» Cybercrime - Aktenzeichen Internet
Braunschweig-aktuell :: Nachrichten :: Hobbys :: Internet
Seite 1 von 1
Befugnisse in diesem Forum
Sie können in diesem Forum nicht antworten
» Halflives
» Kupfergold
» Whitesnake
» ( ENGELSEIN ) ENGELHAI
» MALIGNANT TUMOUR
» - LEEAAV -
» (( ifa ))
» AOP Records