Nationales Cyber-Abwehrzentrum ist sinnlos

Die Tagesschau berichtet aus einem vertraulichen Bericht des Rechnungshofes zum 2011 eröffnetenNationalen Cyber-Abwehrzentrum” (NCAZ). Darin kommt man zu einem vernichtenden Urteil:

Das Zentrum sei aktuell „nicht geeignet, die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln“.
[…]
Außerdem sei nicht klar, was das NCAZ überhaupt für Aufgaben übernehme, weil es offenbar an einer klaren Aufteilung der Zuständigkeiten mangelt.
[…]
Dem Bundesrechnungshof sei völlig unklar, „welche Produkte das Cyberabwehrzentrum regelmäßig erstellt“ – also was es überhaupt in einem Angriffsfall tut.

Wer hätte etwas anderes gedacht (ausgenommen der damalige Bundesinnenminister Hans-Peter Friedrich)? Selbst für Aussenstehende war schon vor drei Jahren deutlich erkennbar, daß mit dem NCAZ die IT-Sicherheit nicht steigen wird, denn wenn dort der Angriff entdeckt wird, ist es im Grunde schon zu spät. Genausowenig wie allein die Existenz einer Feuerwehr, die einmal am Tag tagt, Brände verhütet. Was benötigt wird, sind sichere IT-Systeme, dies würde aber enorme Investitionen von allen Seiten erfordern. Aber genau dafür ist das NCAZ weder in der Lage, noch war und ist dies seine Aufgabe. Hinzu kommt sowohl die praktisch 100%ige technische Abhängigkeit in der IT von amerikanischen Produkten bei Hard- und Software, als auch das fehlende Know-How und das Fehlen von Fachkräften in Deutschland sichere Systeme entwerfen und realisieren zu können, da IT-Sicherheit nicht wirklich Ernst genommen wurde. Weiterhin nützt eine zentrale Abwehrstelle nur dann etwas, wenn diese auch Zugriff auf die Rechenzentren aller angeschlossenen Behörden hätte. Eine vollkommen alberne Vorstellung so etwas umsetzen zu wollen. Letztlich müssen die Admins in den jeweiligen Rechenzentren ihre Systeme überwachen und ggf. Angriffe abwehren. Genau dies ist die Aufagbe des in jedem Betrieb (hoffentlich) existierenden CERT (Computer Emergency Response Team). Für den Informationsaustausch über Angriffe benötigt man ebenfalls kein NCAZ, dafür reicht eine Mailingsliste. Tatsache ist, daß die Bundesregierung ihrer Aufgabe, der Schaffung einer sicheren IT-Infrastruktur, nicht nachgekommen ist. Ursache dieser Vernachlässigung ist auf politischer Seite auf jeden Fall fehlendes Sicherheitsbewusstsein durch Inkompetenz. Allerdings müsste den mittleren Führungsebenen das Problem unter den Nägeln brennen. Warum also passiert nichts? Dringt es nach oben durch, aber die Politik stellt sich taub und ist vollkommen beratungsresistent oder dringt es nicht nach oben durch, weil mittendrin Saboteure mit einer anderen Agenda eingeschleust wurden?

Persönlich neige ich inzwischen, insbesondere auch mit Hinblick auf den Umgang mit der von Edward Snowden aufgedeckten umfangreichen Spionageaktivitäten der NSA, zu der Auffassung, daß ein wirklich funktionierendes Abwehrzentrum politisch überhaupt nicht gewollt ist, ja nicht einmal gewollt sein kann. Würde dieses Abwehrzentrum tatsächlich seine Aufgabe erfüllen, wären viele der umfangreichen Aktivitäten der (amerikanischen) Geheimdienste, allein durch die Anzahl mitwissender Personen in den an das NCAZ angeschlossenen Behörden, nicht verborgen geblieben. Aber selbst wenn die Geheimhaltung funktioniert hätte, wie hätte das NCAZ auf die Entdeckung einer klandestinen Aktivität reagieren sollen? Seine Aufgabe wäre es, diese Aktivitäten zu unterbinden, andererseits hat aber die Bundesregierung offenbar den Geheimdiensten informell einen überaus großen Handlungsspielraum eingeräumt, so daß ein Unterbinden dem Interesse der Bundesregierung und den USA sowieso zuwider laufen würde. Andererseits hätte man das NCAZ auch offiziell anweisen können, derartige Aktivitäten zu ignorieren, doch worin unterscheiden sich gedultete geheimdienstliche Spähangriffe von Abgriffen durch nicht „befreundete“ Dienste? Überhaupt nicht, wenn sie denn professionell vorgenommen werden. Die NSA hätte man wohl kaum davon überzeugen können, ihre Aktivitäten vorher anzumelden. Außerdem hätte sich die Bundesregierung dann auch amtlich und damit nachweisbar zum Mitwisser der grundgesetzwidrigen Aktivitäten der Geheimdienste gemacht, ein Vorschützen von Unwissenheit wäre dann nicht mehr möglich gewesen.

Weiterhin war der Aufgabenraum von Beginn an viel zu weit gefasst, denn es hätte sich sowohl um Prävention und Information, als auch um Abwehr von Cyber-Angriffen kümmern müssen und das alles mit weniger als 20 Mitarbeitern. Der Terminus Cyber-Angriff wiederum ist selbst sehr breit gefasst und enthält über das Verbreiten von Viren und Trojanern über Identitäsdiebstahl bis hin zu DDS-Angriffen so gut wie alles was man als, vom Anwender aus gesehen, unerwünschten Eingriff in Computersysteme bezeichnen kann. Die Bekämpfung hätte dann aber auch in irgendeiner Form polizeiliche Befugnisse erforderlich gemacht, die das NCAZ wiederum nicht besitzt.

Daher stand von Anfang an die Frage im Raum, welchem Zweck das NCAZ eigentlich dienen soll. Die IT-Sicherheit kann es nicht verbessern, dafür müssen Produkte neu entwickelt werden, Angriffe müssen lokal durch die jeweiligen CERT abgewehrt werden und als Propagandaeinrichtung um die Bevölkerung zu beruhigen taugt es ebenfalls nicht. Was also ging in den Köpfen derjenigen vor, die diese Einrichtung aus der Taufe gehoben haben?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert