Die neue Cyber-Sicherheitsstrategie für Deutschland und das Tabuwort … ENTNETZUNG
Gespeichert von Dr. Michael Karger am
Soeben hat das Bundesministerium des Inneren die Cyber-Sicherheitsstrategie für Deutschland vorgestellt – eine wichtige Initiative angesichts der zunehmenden Bedrohung durch Cyberattacken (siehe hierzu auch heise online).
U.a. soll ein nationales Cyber-Abwehrzentrum eingerichtet und ein nationaler Cyber-Sicherheitstsrat gebildet werden. Das klingt schon ein wenig nach „Star Wars“.
STUXNET hat aber gezeigt, dass der Cyberwar keine Science Fiction mehr ist. Cyber-Attacken sind aus der Sicht des Angreifers das ideale Mittel: Hoher Schaden mit geringem Vergeltungsrisiko – denn offensichtlich ist es schwer, den Angreifer zu ermitteln.
Aber keine Initiative ohne Kritiker: Aus der Sicht von Sandro Gaycken (Technik- und Sicherheitsforscher an der TU Berlin und Mitautor eines jüngst zum Thema in der MMR erschienen Beitrags - MMR 2011, 3) bringt der Vorstoß nicht wirklich viel Neues: So erklärt er gegenüber dem Handelsblatt: „Das (…) klingt nach einer schnellen und kostengünstigen Maßnahme für ein Problem, das sich weder schnell noch günstig lösen lassen wird. Lage beobachten, Sicherheit der Systeme erhöhen, Krisenmanagement, Expertenrunden: Das klingt gut, ist aber überflüssig.“
Gaycken geht davon aus, dass die konventionellen Strategien gegen subtile Cyberangriffe nichts bringen. Er schlägt als Präventivmaßnahme u.a. etwas vor, was nach Rückfall in das informationstechnologische Steinzeitalter klingt: Die Entnetzung kritischer Infrastrukturen.
Abkoppelung von Netz – das passt in der Tat nicht zum derzeit gepflegten Hype des Immer-Mehr-Vernetzens u.a. in Gestalt des Cloud Computing. Erstaunlicherweise wird dieser Ansatz kaum diskutiert, vielleicht weil er so radikal und innovationsfeindlich klingt und in der Konsequenz auch teuer ist.
Entnetzung kann u.a. bedeuten:
- Stand-Alone Inhouse-Lösung
- Raus aus der Cloud / gar nicht hinein in die Cloud
- Kein Outsourcing kritischer Systeme / Dienstleistungen bzw. Re-Insourcing
- Beibehaltung / Wiederaufbau der eigenen IT
- Keine Ausstellung / bzw. Wiedereinstellung von Mitarbeitern und Know-how-Trägern im IT-Bereich.
Das geht voll gegen den aktuellen Trend. Und technisch / wirtschaftlich macht es auch nur als ultima ratio für "besonders" kritische Infrastrukturen Sinn. Für diese sollte aber "Entnetzung" kein Tabuwort sein, wenn sie wirksam geschützt werden müssen.