IT-Sicherheit - eine griechische Tragödie

Die abstrakte Warnung vor der Verletzlichkeit der Informationsgesellschaft scheint mittlerweile in handliche Problempakete zerlegt. Gegen Computerviren helfen Virenscanner, Sicherheitslöcher in Software werden regelmäßig mit Softwarepatches ausgebessert. Den Schutz "kritischer Infrastrukturen" gegen konzertierte Angriffe hat der Staat zu seiner Aufgabe gemacht. Wer noch Fragen hat, kann sich an Beratungsunternehmen wenden.

Die Herstellung von IT-Sicherheit ist zu einem Problem des Endanwenders geworden. Der systemische Charakter dieses Problems wird nur noch vereinzelt sichtbar. Der als Y2K-Problem bezeichnete Übergang zum Jahr 2000 zeigte die Folgen eines flächendeckenden Konstruktionsfehlers von Software für das Funktionieren der gesamten IT-Infrastruktur. Diesmal half kein Patch für einen Abschnitt eines millionenfach eingesetzten Softwareprodukts, diesmal ging es um eine millionenfach individuell implementierte Softwarelösung, nach der Stück für Stück gesucht werden musste.



Y2K - Keine Pause für Sisyphus

In den Prognosen und Szenarien zum Y2K-Problem wurden bisweilen Auswirkungen in apokalyptischen Ausmaßen beschrieben. Den Jahreswechsel verbrachten IT-ExpertInnen von Regierungen, Banken, Energieversorgern, Einsatzleitstellen, militärischen Frühwarnzentren und vielen anderen in ihren Krisenzentren. Nachdem der Jahreswechsel ohne den befürchteten großen Crash vorüberging, wurden höhnische Kommentare laut, man sei auf eine umsatzsteigernde Aktion der IT-Industrie hereingefallen.

Reingefallen war man jedoch nur auf die Mechanismen der Medienöffentlichkeit, für die keinen Wert hatte, was nicht den hochgesteckten Katastrophenerwartungen entsprach. Das globale Bankensystem konnte nicht ausfallen, weil der Interbankenhandel einfach ausgesetzt wurde. Große deutsche Chemieunternehmen fuhren ihre umweltkritischen Anlagen herunter. Krankenhäuser operierten mit laufenden Notstromaggregaten. Allen Unkenrufen zum Trotz waren vorher in vielen Teilen von Wirtschaft und Verwaltung Hard- und Software ausgewechselt worden. Mit 6-stelligen Summen startete das Wirtschaftsministerium im Herbst noch eine Aufklärungskampagne zur Umrüstung für kleine und mittelständische Unternehmen. Die Bundesregierung konnte sich zum Jahreswechsel zuversichtlich zeigen, weil in den entsprechenden Gremien klar war, wie weit die Umstellung ob Fehlerbehebung, Systemumstellung oder Abschaltung - gediehen war. Große Unternehmen  wie die Banken prüften ihre IT-Systeme bereits seit 10 Jahren. Nach Schätzungen der Gartner Group sind allein in den USA 600 Milliarden Dollar für die Behebung des Y2K-Fehlers aufgewandt worden. Die Umstellungsarbeiten sind außerdem immer noch nicht abgeschlossen. In diesem Jahr werden die als nicht kritisch klassifizierten Systeme umgestellt(1).

Und natürlich gab es zum Jahreswechsel Softwareprobleme: ein ausgefallenes japanisches Kernkraftwerk, unkontrolliert am Himmel trudelnde Satelliten, Stromausfall in einem afrikanischen Staat, fehlerhafte Buchungen bei Fluggesellschaften, fehlerhafte Kassensoftware bei einer großen Kaufhauskette. Doch diese erschienen als Probleme einzelner Staaten und Individuen und brachten nicht die Menschheit als Gesamtes in Gefahr. Spötter behaupten, dies seien etwa so viele Computerprobleme gewesen, wie an jedem normalen Tag. War diese Prophylaxe also umsonst?(2)



Kassandras des Cyberspace

Mit der Erleichterung über das Ausbleiben einer Katastrophe tritt die Frage nach der Verletzlichkeit der Informationsgesellschaft wieder in den Hintergrund. Nach dem die Defizitanalysen zum Y2K-Problem in die Schubladen gewandert sind, fällt lediglich der absolute Mangel an Informationen zur Art und Weise auf, welche Schäden ohne Umstellungsmaßnahmen gedroht hätten und wie diese Maßnahmen ausgesehen haben. Nur Einzelfälle gelangten an die Öffentlichkeit. Gravierendes Beispiel hierzulande war der Totalausfall des Berliner Einsatzleitsystems der Feuerwehr(3), der mindestens drei Tote forderte.

Zum mangelnden Problembewußtsein vor dem Y2K gesellt sich nun danach mangelnder Erfahrungsaustausch. Trotzdem allen Beteiligten und auch der interessierten Öffentlichkeit die Abhängigkeit von funktionierenden IT-Systemen eindringlich vor Augen geführt wurde, hat sich die Diskussion um die systematische Verminderung der Verletzlichkeit der Informationsgesellschaft seit Ende der 80er Jahre nur geringfügig weiterentwickelt.

In ihrem grundlegenden Werk beschrieben Roßnagel, Wedde, Hammer und Pordesch 1989 ein Szenario, das weder etwas von seiner Aktualität eingebüßt hat, noch durch andere Szenarienentwürfe ersetzt wurde(4). Darin brach in der informations- und kommunikationstechnologisch voll versorgten Stadt Düsselberg des Jahres 2019 durch den Ausfall von drei Kommunikationsvermittlungsstellen das Chaos aus. Ohne Datenaustausch brach der von Leitrechnern gesteuerte Verkehr zusammen, die per Datenleitung gesteuerte Warenzulieferung für produzierende Unternehmen ebenso wie für den Supermarkt an der Ecke funktionierte nicht mehr. Ohne Lagerhaltung brachen Produktion und Versorgung zusammen. Doch auch vorhandene Waren konnte niemand mehr kaufen, denn der elektronische Zahlungsverkehr, der das Bargeld weitgehend abgelöst hatte, war nicht mehr möglich. Polizei und Rettungsdienste konnten weder alarmiert noch koordiniert werden. Ohne Fernwirken und -messen konnten weder Brände noch Einbrüche erkannt werden. Es kam zu Einbrüchen und Plünderungen.

Wenn sich dieses Szenario liest wie viele der zum Y2K publizierten Schilderungen der Konsequenzen, so liegt dies zum einen an der Qualität der Vorausschau. Zum anderen läßt sich dank der Entwicklung des Internets und der dadurch viel enger gewordenen Verkopplung verschiedener Lebensbereiche ein viel weiter gehendes Schadensszenario entwickeln. Doch gehört dies allenfalls zum Repertoire jener, die über die Folgen von Information Warfare auf die zivilen IT-gestützten Infrastrukturen nachdenken.

Damit bewahrheiten sich wiederum die Ideen der Gruppe um Roßnagel, die noch von verschiedenen Problemursachen ausgingen. Nicht nur der vorsätzliche Mißbrauch, sondern auch fehlerhafte Konstruktion und Bedienung dieser IuK-Systeme waren für sie Ursachen dieser Gefahren. Ihrer Bewertung nach können die Gefahren bei Ausfall dieser IT-Systeme unverantwortbar groß werden, weshalb diese Systeme unter allen Umständen gegen Fehler und Störungen gesichert werden müssen. Fehlerfreie Systeme wird es auch in Zukunft nicht geben, doch kann wenigstens gegen den vorsätzlichen Mißbrauch stärker als bisher vorgegangen werden.

Möglichkeiten zur Umgehung technischer Mißbrauchssicherungen werden auch organisatorische Schutzmaßnahmen notwendig machen. Um den Mißbrauch zu erschweren, sah die Autorengruppe 1989 voraus, werden IT-Fachleute verstärkt Sicherheitsüberprüfungen unterzogen. Um den Mißbrauch durch Externe zu verhindern, wird es zu geheimdienstlicher Ausspähung und polizeilichen Aktionen gegen alle, die möglicherweise etwas gegen IT-Systeme unternehmen könnten, kommen.

Genau dies findet sich heute bei den US-Einrichtungen zum Schutz kritischer Infrastrukturen gegen sogenannte Cyberterroristen. Als Cyberterrorismus werden dabei generell Information Warfare-Aktivitäten durch Einzelne oder kleine Gruppen verstanden, genauer: "Anyone with the capability, technology, opportunity, and intent to do harm"(5). Mit den heute im Internet frei angebotenen Manipulationswerkzeugen ist so gut wie jeder technisch nicht völlig laienhafte Internet-Nutzer zu schwerwiegenden Eingriffen in IT-Systeme in der Lage.

In einem Staat, in dem fast alle BürgerInnen Zugang zu IT-Systemen haben, ist aus diesen Argumentationsweisen zu folgern , alle Möglichkeiten der Überwachung und Kontrolle umfassend gegen die Mehrzahl der BürgerInnen einzusetzen. Die Umstände werden es dabei notwendig machen, Freiheitsrechte bis hin zu einem faktischen Grundrechtsschwund abzubauen. Bei dem Konflikt zwischen der Wahrung von Grundrechten des Individuums und der Sicherheit der Allgemeinheit vor Ausfall lebenswichtiger IT-Systeme werde nach Ansicht der Gruppe um Roßnagel auch das Bundesverfassungsgericht letztlich eine Güterabwägung zugunsten der Sicherheit treffen müssen.

Das Resümee dieser Überlegungen der Autorengruppe war 1989, daß ein Weg in die Informationsgesellschaft unter diesen Bedingungen nicht sozialverträglich ist. Das Resümee heute lautet, dass wir weder aus dem eher technisch gelagerten Y2K-Problem für die Zukunft gelernt haben, noch haben wir die letzten 10 Jahre dazu genutzt, die Probleme der Verletzlichkeit der Informationsgesellschaft auf eine sozialverträgliche Weise anzugehen. Statt dessen nehmen dank Information Warfare und Cyberterrorismus die Spielräume sozialverträglicher Gestaltung rapide ab.



Prometheus der universellen Maschine

In mythologischer Vorzeit hielten es die Götter für besser, der Menschheit das Wissen um die Nutzung des Feuers vorzuenthalten. Auch bei der Informatik lassen sich Nutzen und Schadenspotential nicht immer trennen. Die Zuständigkeit für die Bewertung der Folgen eines Einsatzes wird der Disziplin zugeordnet, die die IT-Systeme schafft. Professionelle Ethik-Kodices - allen voran der der association for computing machinery (acm), in Deutschland der Kodex der Gesellschaft für Informatik (GI) - verpflichten deshalb IT-Experten auf korrektes Arbeiten und vor allem zur Loyalität gegenüber dem Arbeitgeber in Form der Vermeidung von Schäden. Auch die in den USA immer wieder verfolgte Idee einer Zulassung von Softwareingenieuren verfolgt unter anderem einen ähnlichen Problemlösungsansatz, der einen Entzug der Zulassung beinhaltet, sofern der IT-Experte sein Wissen zu schädigenden Aktionen eingesetzt hat.

Die Grenzen einer solchen Selbstverpflichtung zeigen sich in dem Maße, wie das Programmierwissen nicht mehr auf wenige High-Tech-Länder begrenzt, sondern weltweit verfügbar ist. Der "I-love-you-Virus" zeigte zuletzt, dass Schadensverursacher heute beispielsweise aus philippinischen Programmierschulen kommen und mit einer Berufsethik allein nicht unter Kontrolle zu bringen sind.

Folgen haben derartige Aktionen auf die Form der Schadensregulierung. Die deutschen "Hackergesetze" stellen die schadensverursachende Manipulation von IT-Systemen unter Strafe. Die Überlegungen der EU zur Computerkriminalität, das sogenannte Cybercrime-Abkommen, weitet dies auf Nutzung und Verfügung über Werkzeuge aus, mit denen Sicherheitslöcher aufgespürt werden können. Die im deutschen Recht noch vorgesehene Möglichkeit IT-Systeme ohne Schädigungsabsicht auf Schwachstellen zu prüfen, würde damit unterbunden.

Gefährlich ist die prinzipielle Stoßrichtung dieser Initiative. Eigenart der Informatik ist es, dass für jede Sicherheitslösung ein Gegenmittel konstruiert werden kann. Solange der Computer als universelle Maschine verfügbar ist, läßt sich ein Programm entwerfen, mit dem bestehende Sicherheitslösungen umgangen werden können. Die freie Programmierbarkeit des Computers ist seine genauso die Grundlage seines Erfolgs wie die Ursache seiner Verletzlichkeit.

Treibt man den Gedanken an das Verbot der Verfügbarkeit sicherheitsrelevanter Software auf die absurde Spitze, so steht am Ende der Sicherung des Computers vor Manipulation die Kontrolle über Programmierwerkzeuge, also Programmiersprachen und Compiler.

Trotz einiger Tendenzen in diese Richtung sind weder die Kontrolle über Programmierer noch die über Programmierwerkzeuge eine ernst zu nehmende Perspektive zur Herstellung von IT-Sicherheit. Sollen heute nicht die Sachzwänge für einen zukünftigen Grundrechtsabbau geschaffen werden, muss die Gestaltung von IT-Systemen an anderen Zielen orientiert werden. Demokratieerhaltende konstruktive Ansätze zur Entwicklung von IT-Systemen bilden rechtliche Anforderungen(6) oder allgemeiner auch soziale Regeln(7) auf IT-Systeme ab.



Demokratie statt Plutokratie

Eine Lösung für IT-Sicherheit liegt damit sicherlich nicht in repressiven Ansätzen. Die theoretischen Gestaltungsmodelle für die Systementwicklung finden in der Praxis jedoch kaum Anwendung. Eine Lösung liegt daher eher zwischen diesen Polen.

Aus der Informatik sind Werkzeuge und Methoden bekannt, um sicherere Systeme zu entwickeln. Die Praxis mit Open Source liefert Alternativen zu den herkömmlichen unsicheren Systemen. Zugleich ist bei Open Source die Entstehung einer IT-Sicherheitskultur in Ansätzen zu beobachten. Wegen der Offenheit und damit der Prüfbarkeit von Sicherheitsaspekten unterstützen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesministerien für Inneres sowie das für Wirtschaft und Technologie (BMI und BMWi) Open Source-Projekte. Mit diesen Ansätze werden die Grundlagen dafür gelegt, um der Tendenz zur Kontrolle entgegenzuwirken. Geändert hat dies nichts daran, dass sich vor allem die großen Hersteller von IT-Systemen erfolgreich dagegen wehren konnten, irgendeine Form der Haftung oder Qualitätskontrolle für ihre Produkte normativ zu verankern. Damit hat die IT immer noch eine rechtliche Sonderrolle, bei der die Fehlerfreiheit eines Produkts nicht vorausgesetzt werden kann. Mit Open Source entsteht ein Ansatz zu verbesserter Qualität, dessen Bedeutung für die gesamte Branche sich jedoch erst noch zeigen muss.

Eine unzuverlässig arbeitende Informationstechnik als infrastrukturelle Grundlage einer Informationsgesellschaft konfligiert mit den Pflichten einer staatlichen Daseinsvorsorge. Eine Technik, bei deren Ausfall ein zivilisiertes Zusammenleben gefährdet, bietet nicht die Sicherheit, um eine demokratische Informationsgesellschaft für alle gesellschaftlichen Interessen zu gestatten. Daseinsvorsorge setzt aber auch Hilfe zur Selbsthilfe und strukturelle Unterstützung im Sinne einer Chancengleichheit zwischen unterschiedlichen Marktteilnehmern voraus.

Dies setzt neben der Schaffung eines grundlegenden Problembewußtseins die Verfügbarkeit technischer Alternativen voraus. Voraussetzung für Alternativen ist der Erhalt und die Unterstützung von Vielfalt, die bisher vor allem durch die Forschung entwickelt wurde. Wenn Vertrauen die Basis der Informationsgesellschaft darstellt, so müssen die notwendigen Voraussetzungen geschaffen werden. Das muss auch heißen, vertrauenswürdige staatliche und nichtstaatliche Institutionen mit den notwendigen Ressourcen auszustatten, um eine Vertrauenskultur zu schaffen. Ultima ratio des Vertrauens in einem Rechtsstaat ist der Schutz individueller Grundrechte. Das bedeutet auch, als Grundverpflichtung der IT-Sicherheit rechtliche Mindestnormen zu definieren, wie dies die Forderung nach einem IT-Sicherheitsrahmengesetz illustriert(8). Zusammen genommen heißt dies, den Interessen der Marktmächte demokratische Prinzipien entgegenzusetzen.

Von all diesen vielfältigen Aufgaben zur IT-Sicherheit ist bislang nur ein Bruchteil angegangen. Die Entwicklung der Informationsgesellschaft läßt nicht noch einmal 10 Jahre Zeit, um den weiter wachsenden Defizite zu begegnen.

Fußnoten

1 Der eigentliche Test kommt noch. in: Süddeutsche Zeitung, 3.1.2000, S. 23
2  Es lebt. Wie konnte die Digitalwelt den Jahr-2000-Infekt überstehen? In: Süddeutsche Zeitung, 8./9.1.2000, S. 15
3 Richard Sietmann: Dumm gelaufen? Anatomie eines Computer-GAUs. in: c´t, Heft 13, 2000, S. 216-226
4 Alexander Roßnagel; Peter Wedde; Volker Hammer; Ulrich Pordesch: Die Verletzlichkeit der "Informationsgesellschaft". Herausgegeben vom Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein-Westfalen, in der Reihe Sozialverträgliche Technikgestaltung, 1989
5 http://www.pccip.gov/backgrd.html
6 Friedrich-L. Holl: Das Konzept der Ordnungsmäßigkeit von Informations- und Kommunikationssystemen. Dissertation. Paderborn, 1997
7 vgl. Volker Hammer: Normative Anforderungsanalyse am Beispiel der verletzlichkeitsreduzierenden Technikgestaltung; FIfF-Kommunikation, Heft 3/2000, S. 36-44
8 Ingo Ruhmann: Konsequenzen aus dem Jahr 2000 Problem; in: DuD, Nr. 7, 1999, S. 409-411

Copyright liegt bei den AutorInnen.
Dieser Beitrag erschien in der FIfF-Kommunikation, Heft 3/2000.