Suchen

Kommentar zur LÜKEX 2011: Bund und Länder üben den Cyber-War Im Cyber-Krieg muss Deutschland Angriffe verhindern statt Schäden verringern!

| Autor / Redakteur: Martin Kuppinger / Peter Schmitz

Bund und Länder haben in dieser Woche mit der LÜKEX 11 den „Cyber-Ernstfall“ geprobt, einen koordinierten Angriff auf staatliche Institutionen, Energieversorger, Krankenhäuser und andere Stellen. Auch wenn das wichtig ist: Noch wichtiger ist es, die Risiken solcher Angriffe gezielt zu verringern.

Firmen zum Thema

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.
Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Die LÜKEX (Länder Übergreifende Krisenmanagementübung / EXercise) ist eine alle zwei Jahre stattfindende Übung, bei der Bund und Länder die Reaktion auf Krisenszenarien üben. Das waren in den vergangenen Jahren beispielsweise massive Wintereinbrüche oder terroristische Anschläge. Dieses Jahr ging es nun um die Reaktion auf massive Angriffe über das Internet.

Das ist keineswegs ein unrealistisches Szenario. Estland ist bereits im April 2007 Opfer eines solchen Angriffs geworden. Und seitdem sind die Angreifer noch professioneller geworden. Hinter Stuxnet und Duqu stecken mutmaßlich staatliche Angreifer. Ein Angriff unlängst auf AT&T ist nach Angaben der philippinischen Polizei und des FBI von einer terroristischen Vereinigung unterstützt worden. Auch die technische Umsetzung von Angriffen ist ausgefeilter geworden. Kurz: Die Bedrohungslage hat sich verschärft.

Leider zeigen die erfolgreichen Angriffe auf vertrauliche Daten bei RSA Security und auf verschiedene CAs (Zertifizierungsstellen), dass auch Unternehmen, die vergleichsweise gut geschützt sind, nicht gegen erfolgreiche Angriffe gefeit sind. Anders formuliert: Wenn schon diejenigen, bei denen man eine starke Absicherung voraussetzen sollte (und bei denen es diese zumindest teilweise auch gab), Opfer von Angriffen werden können, wie soll dann ein Schutz bei der breiten Masse der staatlichen Institutionen funktionieren?

Ein Ansatz kann eine stärkere Standardisierung der Schutzmaßnahmen sein. IT-Schutz nicht als Aufgabe der einzelnen Behörde und Organisation, sondern als koordinierte Maßnahme. Das hat allerdings den grundlegenden Nachteil, dass sich dann auch überall die gleichen Löcher finden werden – denn absoluten Schutz gibt es nicht. Dennoch wird man das durchschnittliche Schutzniveau so wohl deutlich steigern können.

(ID:30637430)