Could US repel a cyberattack?

Ben Arnold und Gordon Lubold, The Christian Science Monitor, 07.06.2007

Estland fiel im Mai einer Serie von Internetattacken zum Opfer. Dabei wurden unter anderem Regierungscomputer und Bankennetzwerke mehrere Tage lahm gelegt. Zunächst vermutete man die russische Regierung hinter dem Angriff, doch dieser Verdacht ließ sich nicht bestätigen, wie ein CSIS-Bericht erst vor kurzem klarstellte. Dank einer engen und gezielten Koordinierung der Aktionen des regierungseigenen Computer Emergency Response Teams (CERT) gelang es den Esten, schwerwiegendere Schäden abzuwenden. In den USA löste der Vorfall heiße Debatten darüber aus, ob die eigenen Sicherheitsstrukturen ausreichen, um einen derartigen Cyberangriff erfolgreich abzuwehren.
Zahlreiche US-Experten warnen, ihr Land sei für einen solchen Fall nicht gewappnet und äußerst anfällig für Manipulationen im Banken-, Telekommunikations- und Regierungssektor. Der Grund für diese „Verletzlichkeit“: mangelnde Koordinierung, unzureichende Finanzierung und eine fehlende zentrale Kommandostruktur. Das US-CERT besteht derzeit aus einer kleinen Gruppe im Department for Homeland Security (DHS), über das die Experten sagen, es operiere mit einem sehr schmalen Budget und besitze nur wenig Einfluss. Insgesamt verfügt die Abteilung für nationale Cybersicherheit über ein Jahresbudget von 96 Mio. US-Dollar, davon gehen rund 46 Mio. an das US-CERT. 
Doch die mangelnde Finanzierung ist nicht das Hauptproblem. Die erfolgreiche Abwehr von Cyberangriffen auf wichtige nationale Computernetzwerke bedarf in erster Linie einer außergewöhnlichen Koordinierung, sowohl innerhalb als auch außerhalb von Regierungskreisen. Das wichtigste ist daher eine kohärente nationale Abwehrstrategie. Zwar hat das DHS seine Kapazitäten in den letzten Jahren stark ausgebaut, doch fehlt ihm nach wie vor eine effiziente Gesamtstrategie. Die frühe Internetentwicklung in den USA hat dazu geführt, dass viele unterschiedliche Sicherheitsstrategien unabhängig voneinander existieren und parallel angewendet werden. Zudem weigern sich private Unternehmen häufig, Informationen mit Konkurrenten auszutauschen. Wenn sie wollen, können sie die Ratschläge und Forderungen des US-CERT weitgehend ignorieren.
Das finanziell gut ausgestattete Pentagon beschränkt seine Sicherheitsvorkehrungen bislang auf die eigenen Militärnetzwerke. Die Air Force kündigte vor kurzem an, sie wolle ein Cyberspace-Kommando ins Leben rufen, um militärische Interessen im World Wide Web verteidigen zu können. Zwar stecken derartige Konzepte noch in den Kinderschuhen, doch langfristig bieten sich hier Möglichkeiten für Kooperation zwischen Militär, Regierung und Privatsektor. Ohne eine solche übergreifende Zusammenarbeit kommt eine nationale Abwehrstrategie nicht aus, soll sie erfolgreich sein. Die Ziele eines möglichen Cyberangriffs innerhalb eines Landes gehen längst über den traditionellen militärischen Bereich hinaus.

Zusammenfassung erstellt von Eddie Hartmann (28.06.2007)