Kritik: IT-Sicherheitsplan der US-Regierung hat keinen Biss

EnterpriseSicherheit

Viel Lärm, wenig Substanz

Nach dem 11. September zeichnete die US-Regierung ein düsteres Bild über die Möglichkeit einer Terrorattacke über das Internet: Terroristen könnten in die Computer von Wasserwerken eindringen und die Schleusen von Staudämmen öffnen oder gar die Steuerung von Atomkraftwerken übernehmen und damit eine Katastrophe auslösen. Gegen diese Gefahr müssten Regierung, Industrie und Bürger gemeinsam entschlossen vorgehen, forderte das Weiße Haus.

Nun, über ein Jahr später, liegt der mit Spannung erwartete Entwurf zur Verbesserung der Internetsicherheit vor, und nach Ansicht von Kritikern dürften die zahnlosen Vorschläge kaum gegen eine Attacke Schutz bieten. Zudem schultere die Regierung in dem Entwurf, der nun 60 Tage diskutiert werden soll, vor allem den privaten Nutzern die Bürde auf.

Noch vor kurzem sah dies ganz anders aus. So hatte sich der Internet-Zar des Weißen Hauses, Richard Clarke, in einem Interview darüber empört, dass kaum jemand die privaten Nutzer vor einem Hackerangriff schütze. “Als Verbraucher wäre ich fuchsteufelswild, dass mich mein PC-Verkäufer, mein Internet-Provider und die Hersteller meines Betriebssystems und meiner Anwendungssoftware so verwundbar lassen”, schimpfte Clarke. Doch als Clarke jetzt den Entwurf für einen verbesserten Schutz des Internets gegen Hacker und Terroristen vorlegte, gab er der PC- Industrie und den großen Providern wie AOL nach Einschätzung von Experten einen Freibrief.

Während die Internet-Provider in den ersten Entwürfen noch dazu verpflichtet werden sollten, für ihre Kunden Firewall-Software zur Abschirmung ihrer Rechner zu installieren, heißt es jetzt nur noch, die Software solle den Kunden angeboten werden. “Das ist so, als würde man jeden Passagier bitten, seinen eigenen Fallschirm mitzubringen”, sagte Alan Paller vom SANS-Institut für Internetsicherheit.

Überhaupt wird die Industrie in Clarks Plan nur mit ein paar netten Worten bewogen, mehr für die Sicherheit zu unternehmen. Neue Gesetze oder Regeln will das industriefreundliche Weiße Haus vermeiden, um den ohnehin gebeutelten Internetfirmen keine neue Kosten aufzubürden. So bleibt der Plan, der ohnehin nur wenig Konkretes bietet, ohne Durchsetzungskraft. “Er hat keine Zähne”, urteilt der kalifornische Sicherheitsexperte Steven Kirschbaum. Ohne neue Gesetze oder Strafandrohungen stelle der Entwurf nur eine nette Presseerklärung dar.

Bei den meisten Vorschlägen Clarkes geht es auch nur um eine Verbesserung der Kommunikation zwischen Industrie und Regierung, so dass im Fall eines Angriffs alle Seiten sofort informiert werden können. Aber auch schon hier blocken viele Firmen nach Angaben von Experten ab. Sie haben Vorbehalte, den Behörden einen Hackerangriff zu melden, aus Sorge von Kunden oder Aktionären verklagt zu werden. Einer der wenigen konkreten Vorschläge ist der Aufbau eines Zentrums für Internetangriffe, das alle Informationen bündeln soll. Aber auch hier bleibt vieles offen – unter anderem die Frage, ob es sich um ein wirkliches oder ein virtuelles Zentrum handeln soll.

Von dem Plan beruhigt zeigten sich vor allem Datenschützer. Da er kaum Konkretes enthält, müssen sie sich auch kaum Sorgen machen. Der Plan sei kein Frontalangriff auf die Bürgerrechte, urteilt Chris Hoofnagle vom Electronic Privacy Information Center. Die Bürgerrechtler hatten bisher mit die stärksten Bedenken gegen den Plan. Sie fürchteten, dass persönliche Daten leichter weitergegeben werden könnten. Auch hatten sie sich dagegen gewandt, dass die Regierung und lokale Behörden sowie Versorger wie etwa Wasserwerke auf ihren Webseiten nach dem 11. September ganze Passagen und Querverweise herausgenommen hatten, um möglichen Terroristen die Recherche zu erschweren. Sie sehen darin das Recht auf Information gefährdet.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen