Moderator:
Hallo und herzlich willkommen beim 2. Chat von staat-modern und
politik-digital in der Reihe: "Mail to: Moderner Staat". Unser heutiger
Gast ist ein Experte auf dem Feld der Internet-Sicherheitstechnik:
Andre Reisen, Diplom-Physiker und Oberregierungsrat im
Bundesministerium des Innern im Referat Sicherheit in der
Informationstechnik. Unser Thema heute: Wie sicher ist das Netz?
Herzlich Willkommen, Herr Reisen!

Andre Reisen:
Herzlichen Dank für die Einladung, an diesem Chat teilzunehmen. Ich
begrüsse auch die Teilnehmer an ihren Tastaturen und Bildschirmen und
freue mich auf einen angenehmen Gedankenaustausch.

Moderator: Wir steigen gleich mit den ersten Fragen ein, würde ich vorschlagen:

anthraxx: Lässt sich Deutschland mit einer DDoS Attacke vom restlichen Internet abschneiden?

Andre Reisen:
Die DDoS-Angriffe im letzten Jahr haben gezeigt, dass einzelne
Dienstleister durchaus angreifbar sind. Die Angriffe zielten jedoch auf
Einzelne und nicht gegen die gesamte Infrastruktur des Internets. Auch
wenn Angriffe gegen Netzknoten-Rechner denkbar sind, gehen wir nicht
davon aus, dass die Kommunikation im Internet völlig zum Erliegen
kommen kann.

Martin:
Hallo Herr Reisen, rechnen Sie mit der Möglichkeit, dass
Cyber-Terroristen einen breit angelegten Angriff auf die
IT-Infrastruktur Deutschlands starten könnten?

Andre Reisen:
Es gibt einzelne Verfahren, kritische Infrastrukturen anzugreifen. Dies
ist aber nur theoretischer Natur, konkrete Bedrohungen sind uns nicht
bekannt. Die genannten einzelnen Verfahren, wie die zuvor genannten
DDoS-Angriffe richten sich mehr gegen Einzelne, entstammen in der Regel
dem Hackermilieu und sind Cyber-Terroristen nicht zuzuordnen.

Moderator: Hier ist der zweite Teil der Frage interessant:

spitzbub: Wie gross ist die Gefahr, dass Terroristen einen Cyberwar beginnen und was könnten solche Attacken beinhalten?

Andre Reisen: Der erste Teil der Frage ist bereits beantwortet, von Attacken gehe ich nicht aus.

Moderator: Interessant wäre vielleicht darzustellen, welche Bedrohungsszenarien überhaupt existieren?

Andre Reisen:
In erster Linie sind gerichtete Angriffe gegen die Verfügbarkeit
einzelner Rechner denkbar, ggf. auch von Infrastruktur-Unternehmen, im
Bereich der Energiewirtschaft, der Telekommunikation etc. Es ist jedoch
nicht wahrscheinlich, dass die gestörten Rechner einen nachhaltigen
Schaden im jeweiligen Bereich verursachen.

Moderator: Zur Sicherheit im Online-Banking kommen wir ein wenig später. Hier
die nächste Frage:

Martin:
Herr Reisen, gibt es Planspiele, die einen solchen Angriff
durchspielen. Der KRITIS-Bericht hat aufgezeigt, dass es Schwachstellen
gibt.

Andre Reisen:
Es ist für Ende des Jahres ein Planspiel vorgesehen, dass einen
informationstechnischen Angriff auf die BRD simuliert. Das Planspiel
ist als Management-Planspiel konzipiert und soll die organisatorischen
Abläufe zwischen Telekommunikationsunternehmen, Energieversorgern und
den Behörden aufzeigen. Das zugrunde liegende Szenario ist nicht vor
dem Hintergrund einer aktuellen Bedrohungslage entwickelt worden.

spitzbub:
Werden unsere Server ebenso überwacht wie die in den USA nach dem
Attentat in New York? Dort haben Sicherheitsdienste angeblich Stunden
nach dem Anschlag Abhör-Software an verschiedenen Stellen
installiert…

Andre Reisen: Nein.

hanno: Werden die Terroranschläge Auswirkungen auf die Sicherheitsplanung haben?

Andre Reisen: Unmittelbar. Haushaltsmittel in Höhe von 3 Milliarden DM sind
hierfür bereits vorgesehen.

GastimChat: Wie sieht das konkret aus?

Andre Reisen: Über den Schlüssel zur Aufteilung dieses Betrages wird zur Zeit noch innerhalb der Bundesregierung beraten.

g360710:
Welche weiteren Massnahmen sind von der Regierung geplant, um Daten im
Internet transparenter zu machen? Wird man in Zeiten des Terrors noch
"gläserner"? Worin liegt der Unterschied zu vorher?

Andre Reisen:
Notwendig ist ein ausgewogenes Verhältnis zwischen Belangen des
Datenschutzes und den Interessen der Strafverfolgungs- und
Sicherheitsbehörden. Für mehr Sicherheit im Internet setzen wir aber in
erster Linie auf die Eigenverantwortung der Diensteanbieter und
unterstützen diese beim Aufbau sogenannter Sicherheitsinfrastrukturen.
Hier ist vor allem die Einführung von Verfahren der elektronischen
Signatur und der Verschlüsselung von Bedeutung. Zur Zeit planen wir
zudem den Aufbau eines Verbundes sogenannter
Computer-Emergency-Response-Teams, der im Rahmen einer gemeinsamen
Kooperation von Stellen in der Wirtschaft, Forschung und der Behörden
als eine Art Frühwarnsystem fungieren kann.

Moderator: Wird dies im Innenministerium angesiedelt sein?

Andre Reisen:
Diese CERTs rekrutieren sich aus den zuvor genannten Bereichen. Der
CERT-Verbund im BSI (Bundesamt für Sicherheit in der
Informationstechnik) wird der Beitrag des Bundes an dieser
Infrastruktur sein. Das BSI unterstützt auch beim Aufbau solcher Teams.
Weitere Teams existieren im deutschen Forschungsnetz (DFN-CERT) und bei
einigen Grossunternehmen. Diese sollen im Rahmen der Kooperation für
diesen Verbund gewonnen werden.

Martin:
Herr Reisen, wie sieht die Kompetenzverteilung beim Kampf gegen den
Cyberterrorismus aus? Hier sind viele Behörden beteiligt: BND, BMI,
Verteidigung, Justiz, BSI etc. Eine Koordination lässt sich jedoch
nicht erkennen!

Andre Reisen:
Der BND ist für Aufklärung im Ausland zuständig, das BMI für Fragen der
inneren Sicherheit, das Verteidigungsministerium für äussere
Sicherheit, das BMJ für Gesetzgebung im Bereich Privatrecht und
Strafrecht (vor allem), das BSI für Fragen der IT-Sicherheit. Die
erforderliche Koordination all dieser Bereiche
findet in ausreichendem Masse statt.

tom: Wäre hier nicht eine Ressourcenbündelung BKA + BGS sinnvoll? Kompetenz und Manpower?

Andre Reisen:
Es kommt gerade darauf an, alle unterschiedlichen Facetten des Problems
in der jeweilig zuständigen Behörde zu behandeln und die bereits
angesprochene Kooperation sicher zustellen.

Martin: Wie sieht die Zusammenarbeit mit anderen Ländern und Regierungen beim Kampf gegen den Cyberterrorismus aus?

Andre Reisen:
Neben den jetzt stattfindenden bilateralen Gesprächen haben in der
Vergangenheit vor allem Diskussionen zu Cyber-Crime stattgefunden. Hier
sind vor allem zwei Initiativen von Bedeutung: 1. Die aktuellen
Beratungen im Europarat zu einem Übereinkommen zur
Datennetz-Kriminalität und 2. die Beratungen der EU-Mitgliedstaaten
sowie der
Kommission bezüglich der dieses Jahr seitens der Kommission
veröffentlichten Mitteilung zur "Schaffung einer sicheren
Informationsgesellschaft durch Verbesserung der Sicherheit von
Informationsstrukturen und -bekämpfung von Computer-Kriminalität" und
"Sicherheit der Netze und Informationen: Vorschlag für einen
europäischen Politikansatz". Cyber-Terrorismus kann vor dem Hintergrund
der aktuellen Ereignisse in den USA zukünftig eine stärkere Rolle
spielen als bisher.

Martin:
Herr Reisen, die momentanen Aktivitäten beschränken sich auf die
Defensive. Gibt es Pläne, im Konfliktfall selbst offensive
Cyberattacken gegen die Gegner zu fahren?

Andre Reisen:
Selbstverteidigung ist sicherlich ein legitimes Mittel. Konkrete
Überlegungen, ob oder ob nicht, möchte ich an dieser Stelle nicht
diskutieren.

anthraxx: Wieviele Angriffe werden auf staatliche Systeme im Schnitt ausgetragen?

Andre Reisen:
Staatliche Systeme waren auch von den Virenattacken wie "I Love You"
betroffen (auch wenn unser Antivirenschutz sehr gut ist.(;-)). Konkrete
Zahlen habe ich nicht.

Moderator: Hier eine Nachfrage zum eben behandelten Thema "Selbstverantwortung der Provider":

GastimChat:
Die Provider schaffen es aber noch nicht mal, strafrechtlich belangbare
Inhalte, wie Kinderpornos aus dem Netz zu verbannen, wie soll dann
Eigenverantwortung in Bezug auf mögliche Terroranschläge möglich sein?

Andre Reisen:
Ich möchte nochmal betonen, dass Terroranschläge und Fragen der
Sicherheit im Internet zunächst einmal nichts miteinander zu tun haben.
Selbstverständlich können auch Terroristen sich des Internets als
Kommunikationsplattform bedienen. Die Selbstregulierung, von der ich
gesprochen habe, zielt in erster Linie darauf, dass
Internetdienstleister, die in ihrem Bereich erforderlichen
Sicherheitsmassnahmen ergreifen, damit die Nutzer z.B. sicher am
e-commerce teilnehmen können. Selbstverantwortung bedeutet aber auch,
dass Contentprovider die von ihnen bereit gestellten Inhalte auf
strafbare Inhalte freiwillig untersuchen.

Moderator:Wir
wechseln zu einem anderen Thema, zu dem hier bereits einige Fragen
vorliegen: Online-Banking und Sicherheit im eCommerce. Hier die erste
Frage:

GastimChat: Welche Verfahren sind für Online-Banking die sichersten. Würden Sie per e-mail Ihre Kreditkartennummer verschicken?

Andre Reisen:
Die Kreditkarteninstitute sind in der Regel relativ kulant, wenn es um
Beanstandungen geht, die eine eventuelle Kompromittierung der
Kreditkartennummer darstellen. Da dies in der Regel eine Menge Schrift
und Telefonverkehr bedeutet und die prinzipielle Möglichkeit einer
missbräuchlichen Verwendung besteht, mache ich es nicht.

ulf: Welcher Zahlungsstandard hat im Netz die besten Chancen, sich durchzusetzen?

Andre Reisen:
Grundsätzlich derjenige, der angemessene Sicherheitsmechanismen
implementiert hat und der (das ist ein nicht zu vernachlässigender
Faktor) die erforderliche Durchdringung im Markt durch hohe Kundenzahl
erreicht. Erforderlich ist ebenso, dass ein solcher Standard
"offen" ist, d.h. mit möglichst vielen Verfahren interoperabel ist. Ob
sich nun EDIFACT, HBCI, oder andere Verfahren durchsetzen, bleibt
abzuwarten. Ich setze jedoch auf Verfahren, die elektronische
Signaturen nach dem deutschen Signaturgesetz beinhalten.

Moderator: Und
im Micropayment, also für das Zahlen von Kleinstbeträgen? Gilt hier das
gleiche? Es gibt ja Stimmen, die gerade in diesem Bereich die
Möglichkeiten des Geldverdienens im Internets hoch einschätzen.

Andre Reisen:
Ich denke, dass sich hier Verfahren des m-Commerce auf Basis
entsprechender Chipkarten durchsetzen werden, z.B. ist denkbar,
zukünftig von seinem Handy (mit
implementiertem Signaturchip) in einem Schritt die Pizza zu bestellen
und zu bezahlen.

hanno: Gibt es ausser dem elektronischen Fingerabdruck noch andere Konzepte mit ähnlichem
Sicherheitsstandard?

Andre Reisen:
Es sind ebenfalls Verfahren des Iris-Scans, sowie der Gesichtserkennung
in der Erprobung. Die Verfahren sowie die erforderliche
sicherheitstechnische Evaluierung sind bisher jedoch noch nicht
standardisiert, so dass in der Erprobung zunächst die Funktionalität im
Vordergrund steht. Die erforderlichen Verfahren für eine
Sicherheitsbewertung sind in der Entwicklung. Sobald
Sicherheitsaussagen über die Verfahren getroffen werden können, werden
diese auch im Markt verfügbar werden.

brian:
Wie relevant sind die Sicherheitsunterschiede zwischen Iris-Scan und
digitalem Fingerabdruck – und welche Technik ist praktikabler?

Andre Reisen: Hierzu sind zunächst die zuvor erwähnten Sicherheitskriterien
erforderlich, zu weiteren Detailinformationen verweise ich auf zwei Studien
zum Thema: www.cesg.gov.uk/biometrics
und eine andere beim BSI, die sie unter biometrie@bsi.bund.de
erhalten können.

brian:
Welcher maximale Sicherheitsstandard ist bereits heute mit der
durchschnittlichen Technikausstattung der User z.B. beim Online-Banking
möglich?

Andre Reisen:
Fragen sie ihre Bank, ob sie ihnen einen Chipkartenleser, die
korrespondierende Smart-Card mit den kryptographischen Verfahren, die
ich oben erwähnt hatte und die zugehörige Software zur Verfügung
stellt. Online-banking, chipkartenbasiert unter Verwendung
angemessener kryptographischer Verfahren, wird von vielen Banken
bereits angeboten und sollte – sofern richtig implementiert – für
Angreifer eine meist unüberwindliche Hürde darstellen.

Moderator:
Liebe Chatter und Chatterinnen: Die Stunde ist schon wieder um. Vielen
Dank fürs Mitmachen! Leider konnten wieder einmal nicht alle Fragen
weitergeleitet werden. Im Namen von staat-modern und politik-digital
möchten wir uns auch bei Herrn Reisen für diese informative Stunde
bedanken!

Andre Reisen: Auch von meiner Seite vielen Dank für die interessanten
Beiträge. Alle Fragen, die bisher nicht beantwortet wurden, können
vielleicht durch die Webangebote des BSI (www.bsi.bund.de)
oder des BMI (www.bmi.bund.de)
beantwortet werden. Ich wünsche noch einen schönen Abend.

Moderator: Der dritte Chat der Reihe "Mail to: Moderner Staat", findet am Donnerstag, 18.
Oktober, zwischen 19 und 20 Uhr statt. Dann wird Joachim Jacob, Bundesdatenschutzbeauftragter, ihre Fragen beantworten.