Expertenkommentar zu Web-Abschaltung Not-Aus-Schalter fürs Internet – der Shutdown als letzter Ausweg?

Autor / Redakteur: Maik Bockelmann / Stephan Augsten

Ein Not-Aus-Schalter fürs Internet könnte die Lösung aller Sicherheitsprobleme bedeuten. So hätte eine Malware wie Stuxnet beispielsweise keine Möglichkeit, Informationen an die Urheber zu übermitteln. Allerdings können die Konsequenzen auch für die Wirtschaft verheerend sein, eine Entscheidung für oder wider den Panik-Knopf fällt schwer.

Firma zum Thema

Kurzschlussreaktionen vermeiden: Ein Internet-Notschalter bringt diverse Probleme mit sich.
Kurzschlussreaktionen vermeiden: Ein Internet-Notschalter bringt diverse Probleme mit sich.
( Archiv: Vogel Business Media )

Die Politik ist zerstritten, ob ein Not-Aus-Schalter für das Internet den gewünschten Erfolg bringt – vor allem, weil man im Ernstfall gesamte Wirtschaft vorübergehend lahm legt. Während die USA und Österreich für einen Not-Aus-Schalter plädieren, spricht sich die deutsche Bundesregierung derzeit dagegen aus und streitet über die Zuständigkeiten.

Im ersten Moment klingt ein Not-Aus-Schalter fürs Internet nach einer guten Sache: Stellen wir uns beispielsweise vor, dass Malware wie Stuxnet in die Computersysteme gelangt ist. Von dort aus sendet sie fleißig Informationen an die jeweiligen Entwickler, die dazu gedacht ist, die Infrastruktur zu schädigen. Wird die Internetverbindung gekappt, kann nichts mehr gesendet werden und das Problem ist gelöst.

Doch was passiert im Anschluss? Natürlich können die Administratoren jetzt versuchen, die Schadcodes im abgeschotteten System aufzuspüren und zu entfernen. Gleichzeitig werden aber die Industrieanlage, das operative Geschäft und vielleicht das Unternehmen selbst komplett lahmgelegt. Alle Arbeitsprozesse, die auf die Datenübertragung angewiesen sind, stehen still.

Zudem stellt sich die Frage, was beim Wieder-Anschalten der Systeme passieren wird. Funktionieren alle Prozesse wie gewohnt oder verstecken sich nicht doch in irgendeinem Unterordner noch ein paar infizierte Skripte, die ihre Arbeit umgehend wieder aufnehmen? Das wäre besonders deswegen kritisch, weil sich die Anwender nach dem Shut-Down in Sicherheit glauben würden und möglicherweise weniger vorsichtig agieren.

Völliger Stillstand

Kann oder sollte man sich überhaupt bei jedem Angriff tot stellen? In Anbetracht der Tatsache, dass die Abstände zwischen den einzelnen Sicherheitsbedrohungen immer kürzer werden, hätten die Hacker ihr Ziel praktisch schon erreicht, bevor irgendjemand weiß, wie gefährlich der Schädling wirklich ist. Die Regierung zieht einfach den Stecker und wartet ab. Das Land und die Wirtschaft stünden still und die Hacker könnten im heimischen Kämmerlein einfach weitertüfteln, damit die regelmäßigen Shut-Downs anstelle von Malware für finanzielle Einbußen sorgen.

Auf der einen Seite sieht sich die Politik fast hilflos immer neuen Cyber-Angreifern gegenüber und ist gezwungen zu handeln. Auf der anderen Seite weiß aber niemand so recht, an welcher Stelle anzusetzen ist. Der Not-Aus-Schalter ist ein Versuch, sich dem Problem zu nähern, doch die Streitigkeiten darüber sind auf jeden Fall gerechtfertigt: Das Abschalten des gesamten Internets wäre fast so, als würden aus Angst vor Terrorangriffen alle Flughäfen, Bahnhöfe und Autobahnen gesperrt und das Land zum Stillstand verdammt.

Seite 2: Macht kontra Ohnmacht

Macht kontra Ohnmacht

Noch übt sich Deutschland in Zurückhaltung bei der Gestaltung eines solchen Gesetzes und streitet darüber, ob die Zuständigkeit bei der Polizei oder beim Bundesnachrichtendienst liegt. Auch der US-Senat hat Probleme bei der Umsetzung des Not-Aus-Schalters. Ein entsprechender Entwurf wurde bereits zum fünften Mal zur Abstimmung eingereicht. Mit diesem Gesetz wollen Behörden dazu in der Lage sein, im Fall von Cyberangriffen umgehend zu reagieren.

Kritische Infrastrukturen wie militärische Einrichtungen oder Behörden könnten durch die Staatsgewalt vom Netz getrennt werden, wenn Unternehmen und Bürger diesen Schritt im Ernstfall nicht von selbst gehen wollen. Ein solcher Eingriff in die Freiheit der Industrie und der Bürger sollte auf keinen Fall leichtfertig getätigt werden.

Zuletzt wurde eine derart weitreichende Maßnahme während des zweiten Weltkrieges auf den Weg gebracht – nämlich als die Ostküste der USA von der Regierung gezwungen wurde, während des U-Boot-Krieges alle Lichter auszuschalten, um damit den Angreifern die Sicht zu nehmen.

Freiwillig war und ist ein solcher Shut-Down in keinem Land zu bewältigen. Man sollte allerdings betonen, dass damals offiziell Krieg herrschte, der diese Art von Notstandsgesetzgebungen rechtfertigte. Die Situation heute ist eine völlig andere – zwar wird häufig in den Medien von einem weltweiten Cyberwar gesprochen, aber ob dieser die Aufhebung der Kommunikationsfreiheit rechtfertigt und ob dieser Schritt angesichts der zahlreichen Nebenwirkungen erfolgversprechend wäre, ist äußerst zweifelhaft.

Alle Konsequenzen bedenken

Wenn das Abschalten des Internets funktionieren soll, müsste sichergestellt werden, dass diese Sicherheitsmaßnahme nicht nach hinten losgeht. Über die vielen Konsequenzen, die sich aus diesem Notfallplan ergeben, haben sich die Sicherheitsverantwortlichen der Regierungen bis jetzt nur unzureichend Gedanken gemacht.

Solange nicht alle Eventualitäten ausgeschlossen werden können, sollte dieser Gesetzentwurf nicht auf den Tischen der Politik landen. Vielmehr müssen wirkungsvolle Gesetze für die IT-Sicherheit geschaffen werden, die allen Unternehmen und Bürgern zur notwendigen Grundsicherung verhelfen und die Systeme gegen die kontinuierlichen Angriffswellen wappnen.

Das eigentliche Rüstzeug muss optimiert werden: Angefangen bei weltweitem Security-Monitoring, über die Einrichtung von Schutzfunktionen bis zur Schulung von Unternehmen und Bürgern zu möglichen Sicherheitsrisiken. Ziel muss es sein, die Industrie gegenüber möglicher Bedrohungen zu sensibilisieren und ihnen im Notfall unter die Arme zu greifen.

Erst wenn diese Basis ausgebaut ist und keine Erfolge bringt, sollten drastische Maßnahmen wie Not-Aus-Schalter ins Gespräch kommen. Das wäre zwar eine schnelle Lösung, aber mit Sicherheit nicht die beste.

Maik Bockelmann ist Vice President EMEA bei Lumension Security.

(ID:2049898)