Nicht alle Hacker sind so freundlich wie diese Teilnehmer des Chaos Communication Congress vor wenigen Wochen - doch ist unsere Cyber-Sicherheit in Gefahr?
(Foto: Getty Images)Anti-Piraterie-Vorhaben wie SOPA und PIPA sind nicht die einzigen Internet-Gesetze, die derzeit im US-Kongress debattiert werden: Repräsentantenhaus und Senat diskutieren gerade Neuregelungen zur Cybersicherheit. Harry Reid, demokratischer Mehrheitsführer im Senat, will einen entsprechenden Entwurf noch vor dem 3. Februar zur Abstimmung bringen - nachdem die Beratungen fast zwei Jahre in Anspruch genommen hatten.
Das Schutzbedürfnis ist real, doch wie real die Bedrohung ist, kann kaum verlässlich eingeschätzt werden. Mantra-artig werden Albtraumszenarien wiederholt, dazu gehören Angriffe auf kritische Infrastrukturen wie Verkehrsnetze oder Kraftwerke, vor allem aber chinesische Online-Spionage. Dabei vermischen sich tatsächlich aufgedeckte Attacken aus China mit der derzeit beliebten anti-chinesischen Rhetorik in der US-Politik, die sich in Feldern wie der Währungs- und Handelspolitik fortsetzt.
Es ist nicht die einzige Unschärfe, denn neben dem legitimen Wunsch nach Sicherheit kritischer Informationssysteme geht es bei den aktuellen Gesetzesvorhaben auch um das Outsourcing von Cyber-Sicherheitsdienstleistungen an Privatunternehmen. In diesem Jahr werden Pentagon und andere US-Behörden insgesamt 10 Milliarden Dollar für Cybersicherheit ausgeben, alleine der Anteil des Pentagons soll Schätzungen zufolge bis 2016 auf 13 Milliarden Dollar wachsen.
Die Angst-Advokaten haben ein Motiv
Dieser Markt weckt Begehrlichkeiten: Rüstungsunternehmen wie Lockheed Martin, Northrop Grumman oder Boeing haben sich inzwischen in die Cybersecurity-Branche eingekauft und könnten nun als Subunternehmer dabei helfen, die kritischen IT-Strukturen der USA zu schützen. Damit wollen sie auch die Einnahmeverluste auffangen, die aus den Kürzungen des klassischen Verteidigungsbudgets entstehen.
Längst haben die Unternehmen dabei Unterstützung von prominenten Ex-Politikern und -Sicherheitsberatern. So warnte jüngst Michael McConell, einst oberster Geheimdienstkoordinator der USA, in einem Reuters-Interview wieder einmal eindringlich vor den Cyber-Gefahren.
Nur: McConnell ist inzwischen Vorstandsmitglied bei Booz Allen Hamilton, einer der einflussreichsten Beratungsfirmen im Bereich der Militär- und Technologieberatung. Sein Unternehmen hat jüngst ein eigenes Netzwerk von neun Cyber-Abwehrzentren aus dem Boden gestampft - und würde sich über staatliche Aufträge sicher freuen.
Ebenfalls gerne zu Wort meldet sich der ehemalige Clinton-Sicherheitsberater Richard Clarke. Der warnte in seinem Buch "Cyberwar" 2010 vor großangelegten Attacken auf die amerikanische Infrastruktur - und ist mit Good Harbor Consulting Teilhaber einer Sicherheitsfirma, deren Erfolg maßgeblich davon abhängig ist, ob Industrie und Regierung Bedarf an Beratung zum Schutz vor Internet-Attacken haben.
Nun ist Lobbyismus bei Gesetzesvorhaben nichts Verwerfliches, wenn darüber Transparenz herrscht - und die Politik am Ende unabhängig entscheidet. Es gibt Argumente für und gegen öffentlich-private Zusammenarbeit in diesem Bereich.
Wer hat die digitale Kompetenz?
Heute lassen staatliche Stellen noch die Kompetenzen beim Schutz der digitalen Infrastruktur vermissen; sie müssen also theoretisch Wissen und Mitarbeiter aufbauen oder die Aufgabe an Spezialunternehmen aus der Privatwirtschaft abgeben. Letzteres ist auf den ersten Blick womöglich kostengünstiger und logistisch simpler, wirft aber nicht nur Datenschutz-Fragen auf, sondern kann auch zur Interessensvermischung beitragen. Diese könnte am Ende in allen Konsequenzen dem ähneln, was gerne militärisch-industrieller Komplex genannt wird.
Das Problem ist, dass dem objektiv kaum einschätzbaren Risiko und Sicherheitsbedürfnis ein subjektives Bedrohungsempfinden gegenübersteht. Zwei Fälle aus der jüngeren Vergangenheit als Beispiel:
[] Mitte November berichtete Wired, dass die Pumpe eines amerikanischen Wasserwerks zerstört wurde. Zwei Wochen später stellte sich heraus: Bei der Aktion handelte es sich um schlicht um eine Fernwartung aus Russland.
[] Vor wenigen Tagen meldete das Online-Fachmagazin Nextgov.com, dass Unbekannte Anfang Dezember die Rechner der amerikanischen Eisenbahngesellschaft Northwest Rail aus dem Ausland manipuliert und Bahnsignale unterbrochen haben sollen. Das Magazin bezieht sich in seinem Bericht auf interne Behördendokumente der Transport Security Administration (TSA). Einzig: Wie im Text zu lesen steht, geht die übergeordnete Heimatschutzbehörde nach einer genaueren Untersuchung davon aus, dass es sich nicht um eine gezielte Attacke gehandelt hat - was in der Schlagzeile allerdings ignoriert wird.
So bleibt die Cyber-Bedrohung gegenwärtig, nimmt die (nicht nur mediale) Öffentlichkeit plötzlich Gefahren wahr, die sie einst ignorieren konnte - während sie sich über das wirkliche Ausmaß der Bedrohung kein Bild machen kann. Schlechte Voraussetzungen für legislative Entscheidungen - nicht nur in den USA, sondern in allen Ländern, in denen über Gesetze zur Cybersicherheit diskutiert wird.