1 Einleitung

Die NSA-Debatte drehte sich in Deutschland überwiegend um Spionage und den „Datenschutz“ – insbesondere auch in solchen Fällen, in denen es um Angriffe auf IT-Systeme etwa von Tele-kommunikationsunternehmen ging. Die Spionage der NSA war jedoch zu keinem Zeitpunkt allein darauf gerichtet, Terroristen oder andere Verdächtige zu ermitteln, sondern immer auch da-rauf, IT-Systeme zu manipulieren und zu sabotieren. Auch dies gehört zu ihren Aufgaben: Jeder NSA-Direktor ist als Komman-deur des US Cyber Commands zugleich zuständig für die Pla-nung, und Ausführung offensiver und defensiver Cyber-Opera-tionen der vier US-Teil streitkräfte1 und der Nachrichtendiens-te. Dieser Teil der NSA-Arbeit hat jedoch weit größere Folgen als die reine Spionage.

Es ist daher an der Zeit, die ans Tageslicht gebrachten Doku-mente und die begleitende Berichterstattung aus dem Blickwinkel der IT-Sicherheit zu betrachten. Zur Bewertung der bestehenden Risiken ist das Ausmaß der Kompromittierung von Sicherheits-funktionen von IT-Systemen und Internet-Kommunikation ab-zuschätzen. Schließlich ist zu fragen, welche Gegenmaßnahmen Sicherheitsverantwortliche ergreifen sollten und welche Unter-stützung sie dabei von staatlicher Seite erhalten. Die sich daraus ergebenden Folgerungen sind von gravierender Bedeutung für die

1 Mission Statement of the U.S. Cyber Command, http://www.stratcom.mil/factsheets/Cyber_Command/

IT-Sicherheit im engeren Sinne und die nationale und internatio-nale Sicherheit im weiteren.

2 NSA: Hacker im Cyberkrieg

Die Berichterstattung zu den Überwachungssystemen von NSA und ihren Partnerdiensten2, allen voran der britische GCHQ, mit den Codenamen „PRISM”, „XKeyScore” und anderen3 macht es überflüssig, deren Eigenschaften zur Überwachung des Internets hier zu wiederholen. Um nun die Bedeutung der NSA für die IT-Sicherheit abzuschätzen, lassen sich die bekannt gewordenen Un-terlagen und Berichte in Bezug auf Reichweite, Mitteleinsatz und speziellen Zugangsmöglichkeiten von Angriffen analysieren.

2.1 Reichweite

XKeyScore sammelt und analysiert nicht nur Kommunikations-inhalte, sondern erhebt zu den beobachteten IT-Systemen deren Typ und sicherheitsspezifische Details, sucht diese Zielsysteme sodann automatisiert auf bekannte Schwachstellen ab, wozu zu-sätzliche Schwachstellendatenbanken angebunden sind, und ver-sucht in ausgesuchten Fällen außerdem, die Zielsysteme automa-tisiert mit Schadsoftware zu infizieren.4 XKeyScore ist den An-gaben zufolge daher nicht nur ein Spionage- sondern zugleich ein Angriffssystem.

Die zunehmend automatisierte Infiltration von IT-Sytemen mit Hilfe spezieller Datenbanken wurde schon in den 1990er Jah-

2 Gemeint sind damit die seit 1947 vertraglich verbundenen Dienste GCHQ (UK), DSD (Australien), CSEC (Kanada) und GCSB (Neuseeland).

3 Siehe die umfangreiche Dokumentation und Zusammenstellung von Mate-rialien durch The Guardian: http://www.theguardian.com/world/nsa

4 Konrad Lischka, Christian Stöcker: NSA-System XKeyscore: Die Infrastruk-tur der totalen Überwachung; Spiegel Online, 31.07.2013; http://www.spie-gel.de/netzwelt/netzpolitik/xkeyscore-wie-die-nsa-ueberwachung-funktio-niert-a-914187.html;

Ingo Ruhmann

ist wissenschaftlicher Referent und Lehrbeauftragter im Studiengang „Security Management“ an der FH Brandenburg.

E-Mail: ruhmann@fh-brandenburg.de

Ingo Ruhmann

NSA, IT-Sicherheit und die Folgen

Eine Schadensanalyse

Es ist Aufgabe von Nachrichtendiensten wie der NSA, Kommunikationsinhalte auszuspio nieren und Verschlüsselungsverfahren auszuhebeln, auch wenn den meisten Beobachtern das Ausmaß dieser Spionage erst durch die Enthüllungen von Edward Snowden deutlich geworden ist. Die technische und personelle Ausstattung macht die NSA zugleich auch zur potentiell mächtigsten Organisation der Computersabotage. Der Beitrag nimmt aus Sicht der IT-Sicherheit Stellung zu den Konsequenzen für die Sicherheit und Vertrauenswürdig keit unserer weltweit vernetzten IT-Infrastruktur.

40 DuD • Datenschutz und Datensicherheit 1 | 2014

FORUM

ren beschrieben.5 XKeyScore ist nur der bisher letzte Schritt von Softwareentwicklungen, die der Sammlung, Analyse und Ma-nipulation des Datenverkehrs im Internet dienten6 und nur ei-nes von mehreren Dutzend bekannten Digital Network Intelli-gence (DNI)-Werkzeugen, die heute von der NSA eingesetzt wer-den.7 Die zuvor entwickelten DNI-Systeme werden dazu genutzt, Internet-Knoten punkte unter die Kontrolle der NSA bringen zu können.

Zuständig für Entwicklung und Einsatz automatisierter An-griffswerkzeuge und gezielte Angriffe ist bei der NSA das Office of Tailored Access Operations (TAO) der Signals Intelligence-Ab-teilung der NSA.8 Die heute etwa 600 Mitarbeiter der TAO-Grup-pe haben sich seit 1998 sowohl in IT-Systeme per Internet einge-hackt als auch Agenten bzw. Militärs vor Ort damit beauftragt, sich physischen Zugang – etwa durch Einbruch – zu den zu ma-nipulierenden IT-Systemen zu verschaffen und Schadsoftware zu installieren. Solche geheimdienstlichen Operationsformen des physischen Zugangs – heute Off-Net Operations genannt9 – wurden bereits seit den 1970er Jahren von US-Diensten einge-setzt, vor Jahrzehnten in den Medien beschrieben10 und konti-nuierlich verbessert11.

Die genaue Zahl der durch das TAO seit 1998 verübten Cyber-angriffe ist unbekannt. Aus NSA-Unterlagen ergibt sich jedoch, dass allein im Jahr 2011 durch TAO 231 Cyberangriffe mit zehn-tausenden infizierten IT-Systeme durchgeführt wurden. Operati-ve Zielmarke des TAO für Angriffe in den Folgejahren sind meh-rere Millionen infizierte IT-Systeme.12

Zur Abschätzung des Umfangs der Angriffe in der Zeit vor 2011 lassen sich andere Quellen heranziehen. So ist bekannt, dass die Schadsoftware „Stuxnet“ im Auftrag der US-Adminis tration mit

5 Vgl. Ute Bernhardt, Ingo Ruhmann: Der digitale Feldherrnhügel; Military Systems: Informationstechnik für Führung und Kontrolle; in: Wissenschaft und Frieden, Dossier Nr. 24, Heft 1, 1997. Dort beschrieben ist die Arbeit mit der „Con-stant Web“ Datenbank zur Sammlung von Informationen und Angriffswegen auf IT-Systeme, die nach der Jahrtausendwende mit anderen Systemen gekop-pelt wurde und heute Teil der an XKeyScore angebundenen Referenz-Datenban-ken ist, so: F. Winters: AFIWC: Putting intelligence at your fingertips; in: intercom, Feb., 2003, S. 6f; http://www.afnic.af.mil/shared/media/document/AFD-070205-047.pdf

6 Vgl. den Report und die Kongressdebatte über geschätzte Kosten in Höhe von 2 Mrd.-Dollar für in den Jahren 2005-2007 entwickelte NSA-Sys-teme, insbesondere das abgebrochene „Trailblazer”-Projekt zur massi-ven Datensammlung und „Turbulence” zur selektiven Kontrolle von Inter-net-Knotenpunkten, Web Traffic Überwachung und selektiven Modifikation von Datenpakten: Siobhan Gorman: Costly NSA initiative has a shaky take-off, Baltimore Sun, Feb. 11, 2007, http://articles.baltimoresun.com/2007-02-11/news/0702110034_1_turbulence-cyberspace-nsa

7 Schon 2006 wurde eine Liste von über 500 IT-Systemen publiziert, die von der NSA und dem DoD zur Aufklärung eingesetzt und entwickelt wurden – ne-ben Constant Web auch solche zur Telekommunikationsüberwachung, vgl: Wil-liam Arkin: Telephone Records are just the Tip of NSA’s Iceberg; Centre for Re-search on Globalization, Montreal, 14.05.2006; http://www.globalresearch.ca/telephone-records-are-just-the-tip-of-nsa-s-iceberg/2444. Arkin veröffentlichte bereits 2012 die Existenz des NSA-Programms XKeyscore, allerdings ohne weitere Details: NSA Code Names Revealed, 13.03.2012; http://williamaarkin.wordpress.com/2012/03/13/nsa-code-names-revealed/

8 Matthew M. Aid: Inside the NSA’s Ultra-Secret China Hacking Group; in: For-eign Policy, 10. Juni, 2013; http://www.foreignpolicy.com/articles/2013/06/10/inside_the_nsa_s_ultra_secret_china_hacking_group?page=0,1

9 Matthew M. Aid, a.a.O.10 Jay Peterzell: Spying and Sabotage by Computer. Time, March 20, 1989, S. 4111 so: David Fulghum: What goes There? Cybersentries block access to crucial

Systems, Aviation Week & Space Technology, 19.11.2012, S. 53-5412 Barton Gellman, Ellen Nakashima: U.S. Spy agencies mount-

ed 231 offensive cyber operations in 2011, documents show; in: Washing-ton Post, 31. Aug. 2013; http://articles.washingtonpost.com/2013-08-30/world/41620705_1_computer-worm-former-u-s-officials-obama-administration

dem Ziel entwickelt wurde, Siemens-Industriecom puter in ira-nischen Urananreicherungsanlagen zu manipulieren und da-mit die dortige Anreicherung zu sabotieren.13 Geschädigt wur-de von Stuxnet jedoch auch Siemens in zweifacher Hinsicht: Die Siemens-Software wurde durch den Trojaner kompromittiert und die Übertragung per USB-Stick brachte Wartungstechniker in den Verdacht der Mittäterschaft.

Die Analyse von Stuxnet zeigte neben den extremen Aufwän-den auch, dass aus derselben Quelle offensichtlich mehrere Vari-anten der Schadsoftware in Umlauf gebracht wurden.14 Stuxnet teilt sich signifikante Teile des Codes mit den Trojanern „Wiper” und „Duqu”. Zur Steuerung dieser Trojaner wurden „verschiede-ne Plattformen zur Entwicklung mehrerer Cyberwaffen“ identi-fiziert.15 Während Stuxnet Industriesysteme manipulierte, infi-zierten die anderen Schadprogramme über 350.000 IT-Systeme in Handel, Banken und bei privaten IT-Systemen allein im Nahen Osten.16 Zusätzlich zur Stuxnet-Familie tauchte 2012 die eben-falls sehr spezifisch auf persische IT-Systeme im Finanzsektor ab-zielende Business Datenbank-Sabotagesoftware „Narilam“17. Wie Stuxnet verfügten auch die anderen Trojaner über signifikante Schadprozeduren.

Diese Beispiele machen deutlich, dass die von US-Diensten aus-gehenden Attacken ein Ausmaß erreicht haben, das mindestens gleichzusetzen ist mit den Schäden durch klassische so genann-te „Cyber-Kriminelle“.

2.2 Mitteleinsatz

Die der NSA zur Verfügung stehenden Ressourcen sind weit jen-seits der Größenordnung, die anderen Hackern oder „Cyber-Kri-minellen“ zur Verfügung stehen. Die NSA erhielt 2013 allein für ein Programm zur Schadsoftware-Verbreitung 652 Mio. Dol-lar18, weitere 10 Mrd. Dollar für das „Gemeinsame Kryptologi-sche Programm“ für „bahnbrechende kryptoanalytische Fähig-keiten […], um den Internetverkehr auszuwerten“.19 Die Arbeit des GCHQ unterstützt die NSA ebenso mit substantiellen Sum-men20 sowie Unternehmen, zu deren Daten die NSA Zugang er-

13 David E. Sanger: Obama Order Sped Up Wave of Cyberattacks Against Iran; New York Times, June 1, 2012, p. A1; http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html

14 Alexaner Gostev: Kaspersky Security Bulletin 2012. Cy-ber Weapons, http://www.securelist.com/en/analysis/204792257/Kaspersky_Security_Bulletin_2012_Cyber_Weapons.

15 Diese wurden Flame, Tilded und Gauss genannt; vgl.: Kaspersky Lab Re-search Proves that Stuxnet and Flame Developers are Connected, June 11, 2012, http://www.kaspersky.com/about/news/virus/2012/Resource_207_Kaspersky_Lab_Research_Proves_that_Stuxnet_and_Flame_Developers_are_Connected

16 Alexander Gostev: Kaspersky Security Bulletin 2012. Cyber Weapons, a.a.O. Inzwischen ist klar, dass Banken und Handel auch in Europa Ziele der NSA sind.

17 Symantec Security: W32.Narilam – Business Databa-se Sabotage; 22 Nov 2012, http://www.symantec.com/connect/blogs/w32narilam-business-database-sabotage

18 Barton Gellman, Ellen Nakashima: U.S. Spy agencies mount-ed 231 offensive cyber operations in 2011, documents show; in: Wash-ington Post, 31.08.2013; http://articles.washingtonpost.com/2013-08-30/world/41620705_1_computer-worm-former-u-s-officials-obama-administration

19 Zitiert nach: Barton Gellman, Greg Miller: U.S. spy network’s successes, failures and objectives detailed in ‘black budget’ summary: Washington Post, 29.08.2013, http://www.washingtonpost.com/world/national-security/black-budget-summary-details-us-spy-networks-successes-failures-and-objecti-ves/2013/08/29/7e57bb78-10ab-11e3-8cdd-bcdc09410972_print.html. Im Detail: FY 2013 Congressional Budget Justification, National Intelligence Program Sum-mary; http://s3.documentcloud.org/documents/781537/cbjb-fy13-v1-extract.pdf

20 Nick Hopkins and Julian Borger: NSA pays £100m in secret funding for GCHQ; The Guardian, 1.08.2013, http://www.theguardian.com/uk-news/2013/

DuD • Datenschutz und Datensicherheit 1 | 2014 41

FORUM

hält.21 Zur Kryptographie erklärt die NSA, dass ihr in den letz-ten Jahren bahnbrechende Erfolge bei der Entschlüsselung auch vor einiger Zeit schon gespeicherter, verschlüsselter Kommuni-kationsinhalte gelungen sind. Dies ist als starkes Indiz dafür zu werten, dass der NSA das Kompromittieren von Kryptoverfah-ren gelungen sein könnte.

Damit verfügen die NSA und Partnerdienste allein in 2013 über insgesamt mindestens 12 Mrd. US-Dollar für die Datensamm-lung, -analyse sowie das Brechen von Chiffren und Sicherheits-vorkehrungen.

2.3 Spezielle Zugangsmöglichkeiten

Die NSA hat offenbar – obwohl dies zu den am wenigsten ein-deutigen Aussagen gehört – Möglichkeiten genutzt, IT-Unterneh-men dazu zu bewegen, dem Dienst Zugang zu Interna zu gewäh-ren und dort direkt Informationen zu sammeln oder Systeme im Sinne der Nachrichtendienste umzugestalten. Nichts Besonderes ist dabei der (wie auch in vielen anderen Ländern) gesetzlich ge-regelte Zugang von Strafverfolgern und Nachrichtendiensten zu Daten und kommunizierten Inhalten überwachter Personen im Rahmen der Telekommunikationsüberwachung. Hinzu kommt allerdings, dass die NSA nicht nur Zugang zur Kommunikation klar definierter Zielpersonen oder –gruppen erhielt. Über die Be-fugnisse zur Kommunikationsüberwachung war es auch mög-lich, bestimmte Verschlüsselungen auszuhebeln. Bei den bekannt gewordenen Fällen wurden Provider dazu verurteilt, den zentra-len Schlüssel zur Entschlüsselung der Daten aller ihrer Kunden an die NSA herauszugeben.22 Es gibt keine legalen Möglichkei-ten für die Anbieter, sich diesen Mitwirkungsaufforderungen zu entziehen, wenn man das Geschäft nicht – wie die Anbieter ver-schlüsselter Kommunikation Lavabit und Silent Circle – schlie-ßen will, um Zwangsgeldzahlungen zu entgehen.23 Angesichts dieser Rechtslage ist in den USA keine anbieterseitig verschlüs-selte webbasierte Datenübermittlung und -haltung möglich, die für die NSA nicht zugreifbar wäre.

Eine Besonderheit ist es, Produkte mit unauffälligen Hintertü-ren und Schwachstellen zu versehen. So konnte sich der „Flame“-Trojaner unbemerkt verbreiten, weil Microsoft-Zerti fikate ver-wendete, die – so Microsoft – wegen „älteren Kryptographie-Al-gorithmen“ auch von Unbefugten erzeugt werden konnten.24 Die IT-Sicherheitsfirma RSA wiederum warnt heute vor ihrem eige-nen Softwareentwicklungswerkzeug „BSafe“, das Kryptoverfah-ren mit von der NSA entwickelten Elliptischen Kurven enthält.25

aug/01/nsa-paid-gchq-spying-edward-snowden 21 Ewen MacAskill: NSA paid millions to cover Prism compliance costs for

tech companies, The Guardian, 23.08.2013, http://www.theguardian.com/world/2013/aug/23/nsa-prism-costs-tech-companies-paid

22 Jürgen Schmidt: Todesurteil für Verschlüsselung in den USA; Heise Secu-rity, 4.10.2013, http://www.heise.de/security/artikel/Todesurteil-fuer-Verschlues-selung-in-den-USA-1972561.html

23 Um der NSA keinen Zugang zu Kundendaten zu geben, ha-ben die Anbieter Lavabit und Silent Circle ihre Angebote einge-stellt und alle Kundendaten gelöscht. Hayley Tsukayama: Lavabit, Si-lent Circle shut down e-mail: What alternatives are left?; in: the Washington Post, 09.08.2013, http://articles.washingtonpost.com/2013-08-09/business/41216973_1_washington-post-e-mail-service-alternatives

24 Microsoft Security Research & Defense: Microsoft certification authority signing certificates added to the Untrusted Certificate Store, 3 Jun 2012, http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx

25 Marin Majica: Sicherheitsfirma RSA warnt vor sich selbst; 20.09.2013; http://www.zeit.de/digital/datenschutz/2013-09/rsa-bsafe-kryptografie-nsa

Schwachstellen dieser Art sind nicht nur schwer auffindbar, son-dern kompromittieren insbesondere die Schutzmechanismen von weiteren Systemen und haben damit weit reichende Folgen.

2.4 Ziele

Die Angriffsziele der NSA sind neben Regierungen im Nahen Osten auch Regierungen und Unternehmen weltweit.26 Die NSA spioniert IT-Systeme, Gebäude und Einrichtungen der EU-Kom-mission und der UNO aus. In Deutschland gilt nicht nur die Bundeskanzlerin der NSA als „Angriffsziel“. Das kooperierende GCHQ attackierte ein belgisches Telekommunikationsunterneh-men27 und die Regierungskommunikation befreundeter Staaten.28 Dies ist auch Kenntnisstand deutscher IT-Sicherheitseinrichtun-gen. So beantwortet das CERTBw der Bundeswehr die Frage „Wer bedroht uns eigentlich?“ schon seit Jahren nicht nur mit den üb-lichen Hackern, sondern genauso mit „Traditionellen Geheim-diensten (Freund und Feind)“.29

Zwischenfazit: Bedeutung der NSA als Akteur

Bisher verfügbaren Erkenntnissen zufolge hat die NSA ein Mil-liardenbudget, Tausende von Entwicklern und IT-Spezialisten sowie spezielle Zugangsmöglichkeiten zu Unternehmensinter-na. Verglichen mit anderen Akteuren, Diensten und militäri-schen Organisationen ist die NSA mit hoher Sicherheit die der-zeit am besten ausgestattete Hackerorganisation der Welt. Die NSA nutzt diese Fähigkeiten keineswegs nur zur Spionage in IT-Systemen und Kommunikationsnetzen, sondern auch zu deren gezielter und ebenso großflächiger Manipulation und Sabotage – von einzelnen Computern bis zu Netzwerkknoten und der Kon-trolle ganzer Teilnetze. Die Ausbreitung der nach eigenen Anga-ben den US-Diensten zuzuschreibenden Schadsoftware erreich-te mindestens dasselbe Ausmaß wie Trojaner klassischer „Cy-ber-Krimineller“. Damit sind die NSA und die mit ihr kooperie-renden – teilweise auch finanzierten – Dienste wie das GCHQ die bei weitem ressourcenreichste und aktivste Organisation von Cyber-Angreifern.

Die Doppelrolle der NSA als Nachrichtendienst in der militä-rischen Organisationshierarchie und als Teil des U.S. Cyber Com-mands macht den operativen Kontext deutlich: Die NSA selbst definiert Cyber Warfare als Nutzung netzwerkgestützter offensi-ver und defensiver Fähigkeiten zur Erhaltung der eigenen Über-legenheit, bei der militärische Instrumente integriert werden.30 Sie bezeichnet in ihren Dokumenten Teile ihrer Operationen mit

26 Brasilien und Mexiko bestellen US-Botschafter ein; Die Zeit, 3.09.2013, http://www.zeit.de/digital/2013-09/brasilen-und-mexiko-empoert-ueber-nsa-spionage

27 Spähangriff auf Belgacom: Britischer Geheimdienst hackte belgische Telefongesellschaft, Spiegel Online, 20.09.2013, http://www.spiegel.de/netzwelt/web/belgacom-geheimdienst-gchq-hackte-belgische-telefonge-sellschaft-a-923224.html

28 Laut NSA-Dokumenten wurde die Kommunikation „aller Regierungen” bei G8- und G20-Treffen ausgespäht; nach: Ewen MacAskill, Nick Davies, Nick Hop-kins, Julian Borger and James Ball: GCHQ Intercepted Foreign Politicians’ Commu-nications at G20 Summits; The Guardian, Monday 17 June 2013; http://www.the-guardian.com/uk/2013/jun/16/gchq-intercepted-communications-g20-summits

29 Vgl. S. 3 des Folienvortrages von CERT Bw-Verantwortlichen auf der AFCEA 2009; dasselbe findet sich bei anderen Vorträgen: http://www.afcea.de/filead-min/downloads/Young_AFCEAns_Meetings/20090216%20Wildstacke.pdf

30 „Cyber Warfare is defined as a war fighting discipline that integrates in-struments of military power to achieve and sustain U.S. superiority in network communication through the integrated planning, execution, and assessment of

42 DuD • Datenschutz und Datensicherheit 1 | 2014

FORUM

dem militärischen Cyber Warfare-Begriff der Computer Network Operations“.31

Präsident Obama definierte 2012 das Ziel, defensive und offen-sive „Cyber Effects Operations mit anderen diplomatischen, in-formationellen, militärischen, ökonomischen, finanziellen, Spio-nage, Gegenspionage und Strafverfolgungsoptionen zu integrie-ren unter Berücksichtigung von Effektivität, Kosten, Risiken, po-tentiellen Konsequenzen, Außenpolitik, und anderen politischen Erwägungen“.32 Die NSA sichert dabei die Informationsüberle-genheit der USA. Sie beeinflusst die Entscheidungsfindung ande-rer Staaten und Organisationen durch Manipulation von Com-putersystemen und die Nutzung gewonnener Informationen für mediale und psychologische Operationen, die auf Entschei-der und das „Publikum“ zielen – also Regierungen und Bevöl-kerung. Ihrem eigenen Verständnis nach führen NSA und Part-nerdienste daher einen uneingeschränkten und unterschiedslo-sen Cyberkrieg gegen vermutete Gegner ebenso wie gegen die ei-genen Verbündeten.

3 Folgen für die zivile IT-Sicherheit

Ein Cyberkrieg der ressourcenstärksten Hackerorganisation ge-gen Freund und Feind hat für IT-Systemverantwortliche erhebli-che und unmittelbare Konsequenzen:

bisherige Bedrohungsanalysen beruhen höchstwahrschein-lich auf unvollständigen Annahmen zu Zielen, Ressourcen und Entschlossenheit von Angreifern;

bisherige Annahmen zu adäquaten Sicherheitsmechanismen müssen im Licht der Enthüllungen überprüft werden;

wesentliche IT-Sicherheitsfunktionen müssen als kompromit-tiert gelten; sie sind gegen andere Lösungen auszutauschen oder müssen in anderer Form eingesetzt werden, solange es keine Alternativlösungen gibt.

Eindeutig erfordert Cyber Warfare eine Neubewertung der zur berücksichtigenden Wahl der Mittel auf Angreiferseite und die zu treffenden Risikoüberlegungen. Stuxnet wurde noch als „Beson-derheit“ gewertet33, da es mit extrem hohem Aufwand gegen Ziele gerichtet war, die bisher aus IT-Sicherheitssicht kommerziell und

offensive and defensive capabilities.”, so: http://www.nsa.gov/about/faqs/terms_acronyms.shtml .

31 So die Dokumente unter: http://www.nytimes.com/interacti-ve/2013/09/05/us/documents-reveal-nsa-campaign-against-encryption.html?ref=us. Andere militärische Stellen in den USA definieren Cyber Warfare Ak-tivitäten konkreter: So lautet die Definition operativer Begriffe der U.S. Army: „Information Operations: Actions taken to affect adversary information and in-formation systems while defending one’s own information and information sys-tems. (Army) The employment of the core capabilities of electronic warfare, com-puter network operations, psychological operations, military deception, and operations security, in concert with specified supporting and related capabili-ties, to affect and defend information and information systems and to influence decisionmaking”. Department of the Army: Field Manual 1-02. Operational Terms and Graphics; Sept. 2004, S. 1-99. Das Field Manual 3-13 „Inform and Influence Ac-tivities” führt dazu aus: „Certain information-related capabilities affect the infra-structure that collects, communicates, processes, and stores information to sup-port targeted decisionmakers, or they influence how audiences receive, process, interpret, and use data, information, and knowledge”. Department of the Army: Field Manual 3-13. Inform and Influence Activities. January 2013, S. 1-3 http://ar-mypubs.army.mil/doctrine/DR_pubs/dr_a/pdf/fm3_13.pdf

32 So die Presidential Policy Directive (PPD) 20 vom Oktober 2012, S. 6, http://s3.documentcloud.org/documents/710230/presidential-policy-directive.pdf

33 So Dirk Häger (BSI) in Pressemeldungen 2012, vgl.: BSI: Flame keine „Su-perwaffe im Cyberkrieg“, Heise Security, 31.05.2012, http://www.heise.de/securi-ty/meldung/BSI-Flame-keine-Superwaffe-im-Cyberkrieg-1587849.html

technisch uninteressant waren. Nun muss jede IT-Risikoanalyse berücksichtigen, welche militärischen bzw. geheimdienstlichen Ziele mit einem Angriff auf IT-Systeme verfolgt werden könnten.

Starke Anhaltspunkte sprechen heute dafür, dass staatliche Ak-teure Zugang zu wichtigen Herstellern von IT-Systemen unter-schiedlichster Form haben. Die Frage nach dem Zugang zu Sie-mens-Interna bei der Entwicklung von Stuxnet zeigt zugleich, welche Möglichkeiten der Einsatz „nachrichtendienstlicher Mit-tel“ mit sich bringt: Erpressung gehört zum Kerngeschäft der nachrichtendienstlichen Beschaffung.

Die Berichte auch der betroffenen Hersteller selbst über kom-promittierte Sicherheitsfunktionen machen nicht nur eine Neu-bewertung zahlreicher defensiver Sicherheitsmaßnahmen erfor-derlich. Die bisher mögliche, sicher unvollständige Auflistung wirft die Frage auf, welche IT-Sicherheitsmechanismen – nicht nur für webbasierte Anwendungen – überhaupt noch als zuver-lässig gelten können:

SSL-Verschlüsselung: Den verfügbaren Informationen zufol-ge34 ist es der NSA einerseits durch spezielle Zugänge zu Un-ternehmen und Manipulation von Softwarelösungen gelun-gen, die SSL-Verschlüsselung auszuhebeln. Besonders bedeut-sam ist jedoch die Erklärung der NSA, dass ihr das Brechen der Verschlüsselung älterer, gesammelter Daten gelungen ist35 und sie über „einige Fähigkeiten verfügt gegen die Verschlüsselung bei TLS/SSL, HTTPS, SSH, VPNs, VoIP, Webmail und andere Netzwerkkommunikationstechnologien“36

VPN-Verschlüsselung: Dieselben Dokumente geben an, dass die NSA darauf hingewirkt hat, Schwachstellen in Kryptosys-teme von diversen VPN-Produkten einzubauen.

Anonyme Internet Services: Teil der NSA-Programme ist, den Datenverkehr über anonyme Webservices im Nahen Osten mitlesen zu können – wobei unklar bleibt, ob es sich um anony-me Routingschemata oder nur einen ohne Prüfung einer Nut-zeridentifikation zu nutzenden Dienst handelt. Die NSA hat die Nutzer des Anonymisierungsdienstes TOR auf verschie-denen Wegen durch herkömmliche Schwachstellen angegrif-fen, ohne jedoch bisher TOR als System zu kompromittieren.37 Entsprechende Angriffspfade werden daher weiterhin gesucht.

Software-Zertifikate und Signaturen: Die gefälschten Micro-soft-Zertifikate des Flame-Trojaners sind ein Hinweis darauf, dass blindes Vertrauen in Zertifikatsstrukturen und deren ver-meintliche Sicherheit völlig unangebracht ist. Sicherheit ist al-lenfalls durch Kombination mit zusätzlichen Maßnahmen zu erreichen. Im Alltag fehlt es dafür aber wiederum vielfach an tauglichen Hilfswerkzeugen.

Telekommunikation: Die NSA arbeitet derzeit an der Aus-hebelung der Verschlüsselung der 4G-Mobilfunkkommuni-kation. Sie hat offenbar durch Manipulation des Synchroni-sationsrechners bzw. von Apps Zugriff auf iPhones von Ziel-

34 James Ball, Julian Borger and Glenn Greenwald: Revealed: how US and UK spy agencies defeat internet privacy and security, Guardian Weekly, Fri-day 6 September 2013, http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security und: Nicole Perlroth, Jeff Larson, Scott Sha-ne: N.S.A. Able to Foil Basic Safeguards of Privacy on Web http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?_r=0

35 Dies dürfte durch Herausgabe der Serverschlüssel gelungen sein, da nur wenige SSL-Server Perfect Forward Secrecy (siehe Gateway, DuD 11/2013) nutzen.

36 Geheimschutzregelung des Projekts „Bullrun“: Cryptanalysis and Expol-itation Services, Project Bullrun/2-16 vom 16.06.2010, http://www.theguardian.com/world/interactive/2013/sep/05/nsa-project-bullrun-classification-guide

37 Neues von der NSA: „Tor stinkt“. Heise Security, 04.10.2013, http://www.heise.de/newsticker/meldung/Neues-von-der-NSA-Tor-stinkt-1972983.html

DuD • Datenschutz und Datensicherheit 1 | 2014 43

FORUM

personen und kann die verschlüsselte Datenübermittlung von Blackberry-Smartphones mitlesen.38

Die verfügbaren Informationen erlauben keine detailgenaue Be-wertung, welche Systeme in welchem Umfang zuverlässig sind oder nicht. Die vagen Informationen machen es auch Fachleuten schwer, angemessene Aussagen zum realen Sicherheitsniveau spe-ziell von Kryptosystemen zu treffen. Solange jedoch der Umfang der Kompromittierung von Systemen, Produkten und Krypto-verfahren unklar ist, ist in einer Risikobewertung die Übermitt-lung via SSL, VPN und demnächst 4G-Telefonie grundsätzlich als ungeschützt anzusehen, Softwarezertifikate als potentiell un-zuverlässig.

Mit einem hohen Grad an Zuverlässigkeit lässt sich immerhin sagen, dass die Nutzung von Cloud-Diensten in den USA eben-so wie die Duldung von Smartphones und anderen Geräten von Mitarbeitern über eine Bring Your Own Device-Policy in Unter-nehmen heute als grobe Fahrlässigkeit im Umgang mit vertrauli-chen Unternehmensdaten gesehen werden muss. Die wenigen als wahrscheinlich zuverlässig zu bewertenden Sicherungsmechanis-men sind nicht in der Lage, alle Funktionalitäten der nun kom-promittierten Systeme zu übernehmen.

Das Fazit solcher Enthüllungen fällt daher noch weit gravieren-der aus als die Erkenntnis, das Zielgebiet von Spionage und Cyber-war-Operationen zu sein: Wir müssen konstatieren, dass wichtige Teile der Sicherheits-Infrastruktur des zivilen Internets ausgehe-belt und wirkungslos sind und außerdem, dass es für diverse da-von abgedeckte Funktionen keine echten Alternativlösungen gibt.

Der Bundesverband deutscher Banken hat in einer ersten Re-aktion bereits darauf hingewiesen, dass nur die Datenübermitt-lung per SSL betroffen sei, die Dienste aber nicht an die Kunden-gelder auf den Konten kämen.39 Die Kunden wird diese Erklä-rung wenig beruhigt haben, zumal die Überwachung der über SWIFT abgewickelten Geldtransfers den US-Diensten ohnehin umfassende Einblicke in internationale Finanzbewegungen lie-fert.40 Das Beispiel eignet sich jedoch gut für den Hinweis, dass NSA und Partnerdienste alles daran setzen, IT-Systeme an allen sich anbietenden Stellen anzugreifen, um auf mehreren Kanälen Daten zu sammeln und auszuwerten. Das Beispiel zeigt auch, dass hier die Verantwortung für den Umgang mit Sicherheitsdefiziten von den Anbietern auf die Kunden verlagert wird. Die Alternati-ve wäre allerdings nur, Online-Banking-Angebote einzustellen.

4 IT-Sicherheit mit radikalen Maßnahmen

Auch wenn die Anamnese schwer verdaulich ist: Wie ein Krank-heitserreger haben die NSA und mit ihr befreundete Diente das Nervensystem unserer Informationsgesellschaft zersetzt. Die Si-cherheit unserer IT-Infrastrukturen – ob kritische oder unkriti-sche – ist kompromittiert. Da die gezielt eingebauten Sicherheits-löcher und die mit hohem Aufwand entwickelten Cyberwaffen immer ein unvorhergesehenes Eigenleben entwickeln, ist zuver-

38 Laura Poitras, Marcel Rosenbach, Holger Stark: iSpy, Der Spiegel, Nr. 37, 2013, S. 144-147

39 Deutsche Kreditwirtschaft zur Online-Banking-Sicherheit; http://banken-verband.de/presse/presse-infos/deutsche-kreditwirtschaft-zur-online-banking- sicherheit

40 Auch die Überwachung des Geldverkehrs ist nicht neu: Dies war seit den 1990er Jahre Aufgabe des Financial Crimes Enforcement Network (FinCEN), vgl.: In-go Ruhmann: FinCEN: Überwachung von Finanztransaktionen in Echtzeit; in: Dat-enschutz-Nachrichten, Heft 3/4, 1995, S. 24-25

lässig zu erwarten, dass sich an irgendeiner Stelle dieser Infra-struktur Fehlfunktionen mit potentiell katastrophalen Auswir-kungen zeigen werden.

Und dies gilt auch für Hochsicherheits-Anwendungen in öf-fentlicher Verwaltung und Industrie:

das Beispiel TOR zeigt, dass Angriffe auf Endnutzer erfolgver-sprechend sind;

der Einbau von Hintertüren in IT-Systeme zeigt, dass jede Hard- und Software auch in geschützten Netzumgebungen unsicher sein kann – und zwar auch im Verlauf der Nutzung, wenn etwa die Update-Funktionen mit falschen Zertifikaten kompromittiert wurden.

Am Ende muss sich jeder – ob Unternehmensvorstand oder Bun-desminister – klar sein, dass kompromittierende Informationen aus jedem gesicherten Netz in unbefugte Hände gelangen kön-nen und werden. Das Risiko, das eine Fortführung mit bisheri-ger Technik mit sich bringt, ist daher sehr kritisch und für alle webbasierten Anwendungsfälle neu zu bewerten. Radikale The-rapien sind in vielen Bereichen unausweichlich: Infizierte Berei-che lassen sich oft nicht behandeln, sondern nur isolieren bzw. amputieren. Viele mit dem Web verbundene Dienste und Syste-me werden in Zukunft gleichermaßen weit stärker isoliert oder eingestellt werden müssen.

5 Cyberkrieg durch Geheimdienste

Die gravierenden Folgen der NSA-Aktivtäten werfen die Frage nach nichttechnischen Lösungen auf, die auf internationalen Ver-einbarungen aufsetzen. Spionage und Sabotage an und mit Com-putern sind seit 1989 nach deutschem Recht eine Straftat. Zur schnellen internationalen Kooperation wurde 2001 die Cyber Cri-me-Konvention des EU-Rates beschlossen und von einer großen Zahl von Staaten ratifiziert. Auch für Cyberwar-Attacken militä-rischen Ursprungs gibt es Ansatzpunkte, internationales Kriegs-recht zu adaptieren; das Tallinn-Handbuch der NATO ist ein sol-cher Versuch, bestehende Vereinbarungen auf Cyberkriege an-zuwenden.41

Im Tallinn-Handbuch sind auch konkrete Vorschläge für den Umgang mit Cyber Warfare-Aktionen zu finden. Demnach sind von den USA ausgehende Spionage- und Sabotageangriffe, wenn sie unabhängig von staatlichen Stellen orchestriert würden, be-reits dann als Bruch internationalen Rechts zu werten, wenn sie Schaden anrichten und nicht von Strafverfolgern unterbunden würden. Noch eindeutiger ist die Lage, wenn die Angriffe von staatlichen Stellen wie der NSA oder dem GCHQ selbst verübt werden.42 Die von der NATO beauftragten Experten halten es auf-seiten der angegriffenen Staaten für gerechtfertigt, gleichwerti-ge Gegenmaßnahmen zu ergreifen.43 Sofern Cyberangriffe sogar die Wirkung von Militärschlägen erreichen sollten, sind für die Experten auch militärische Reaktionen zulässig.44 Das Tallinn-Handbuch geht einerseits von solchen Vorkommnissen zwischen Spionage und militärischer Reaktion aus, zugleich aber klar über klassisches Kriegsrecht hinaus.

41 Michael N. Schmitt (Ed.): The Tallinn Manual on the International Law Ap-plicable to Cyber Warfare, Cambridge, 2013

42 Ebd., S. 29ff43 Ebd., S. 36f44 Ebd., S. 63ff

44 DuD • Datenschutz und Datensicherheit 1 | 2014

FORUM

Geheimdienste operieren aber außerhalb jedes internationalen Rechtsrahmens, sie sind durch keine zwischenstaatliche Verein-barung begrenzt. Es gibt daher auch keine internationale Rege-lung oder Abkommen für den Fall, dass Geheimdienste die Ur-heber von Computersabotage und –spionage sind. Die Cyber Cri-me-Konvention sieht eine entsprechende Ausnahme von der Zu-sammenarbeit in Artikel 27 vor. Es gibt auch in keinem anderen Feld der Spionage irgendeine Art von internationalem Koopera-tionsabkommen. Selbst die Zusammenarbeit von Diensten ver-hindert nicht, dass sie gegeneinander operieren. Es ist also keines-wegs ausgeschlossen, dass Cyberattacken von Geheimdiensten – wie im Tallinn-Handbuch durchgespielt – die Schwelle zu mili-tärischen Reaktionen überschreiten. Solange aber Geheimdiens-te die Urheber von Computersabotage sind, besteht wenig Hoff-nung, dass ausgerechnet Cyber Warfare der Auslöser sein soll-te, um erstmals in der Geschichte ein internationales Abkom-men zum Umgang mit Geheimdienstaktivitäten und zu deren Begrenzung zu erzielen.

6 Cyberkrieg unter Freunden

Die Bundesregierung hat in ihrer Cyber-Sicherheitsstrategie klare Kriterien für den Umgang mit Cyberangriffen militärischer und ziviler Akteure definiert: „Kriminelle, terroristische und nach-richtendienstliche Akteure nutzen den Cyber-Raum als Feld für ihr Handeln und machen vor Landesgrenzen nicht halt. Auch mi-litärische Operationen können hinter solchen Angriffen stehen. […] Ziel der Bundesregierung ist es, einen signifikanten Beitrag für einen sicheren Cyber-Raum zu leisten“.45 „Cyber-Sicherheit in Deutschland ist der anzustrebende Zustand der IT-Sicherheitsla-ge, in welchem die Risiken des deutschen Cyber-Raums auf ein tragbares Maß reduziert sind.“46

Wie bereits erwähnt zählt das CERT der Bundeswehr bereits seit Jahren auch die befreundeten Nachrichtendienste zu den Ur-hebern von Cyberangriffen auf die eigenen Netze. Heute haben wir mit der umfassenden Kompromittierung von IT-Sicherheits-funktionen durch die NSA ein außerordentliches Risiko für den „Cyber-Raum“ insgesamt und überdies einen klar identifizierba-ren Urheber. Die zuständigen Bundesressorts haben in der Ver-gangenheit gezeigt, wie eine effektive Antwort aussehen kann auf die Absicht der NSA, den Datenverkehr auf dem Internet umfas-send zu überwachen.

Seit der Publikation und Entwicklung zivil nutzbarer Ver-schlüsselungstechnik Ende der 1970er Jahre, die in der Ent-wicklung der freien Kryptosoftware PGP kulminierte, war die NSA mit allen ihr zur Verfügung stehenden Mitteln gegen die-se Entwicklung vorgegangen: Einreise- und Publikationsverbo-te für Forscher, Verweigerung von Patenten, Exportverbote und schließlich der Versuch, Kryptographie und diverse andere wis-senschaftliche Gebiete der Informatik in den USA als born secret einzustufen mit dem Ziel, jede Publikation zu solchen Themen erst durch die NSA genehmigen zu lassen. Auch über das Ende der Ost-West-Konfrontation hinaus verlangte die NSA Ende der 1990er Jahre das Verbot aller Kryptosysteme, die nicht vorsahen,

45 Bundesministerium des Inneren: Cyber-Sicherheitsstrategie für Deutsch-land, Berlin, Februar 2011, S. 3; http://www.bmi.bund.de/SharedDocs/Down-loads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/cyber.pdf?__blob=publicationFile

46 Ebd., S. 15

über einen hinterlegten Generalschlüssel an die verschlüsselten Inhalte zu kommen (key escrow).47

Da Deutschland damals wie heute neben den großen Atom-mächten zu den wenigen Entwickler- und Anbieterstaaten von Kryptosystemen gehört, war eine Lösung des Problems ohne deutsche Zustimmung schwer möglich. Unter Bundeskanzler Helmut Kohl führte dies innerhalb der Bundesregierung zu Dif-ferenzen. Das liberale Wirtschaftsressort stellte sich öffentlich gegen key escrow-Hintertüren. Im konservativ geführten Innen-ressort wurden Sicherheitsinteressen und der Wunsch nach Da-tenzugriff abgewogen gegen das Risiko, US-Diensten damit auch den unkontrollierten Zugriff auf Daten zu ermöglichen. Am En-de wurde die Entscheidung vertagt.

Die 1998 folgende rot-grüne Bundesregierung stimmte sich mit der französischen ab und stellte sich gegen eine key escrow-Lösung und entsprechende Exportverbote. Schon 1999 setzte das Wirtschaftsressort nach und erklärte, die Entwicklung ei-ner Open Source-PGP-Variante mit öffentlichen Fördermitteln zu finanzieren. Der Position der USA war damit die Grundlage entzogen; die key escrow-Idee der NSA zu Krypto-Nachschlüs-seln verschwand von der politischen Agenda. Die Bundesregie-rung hatte damit gezeigt, dass sie gewillt war, einer unbegrenz-ten Ausspähung von Internetkommunikation und der Kompro-mittierung von Kryptosystemen zu begegnen.

Das als Reaktion auf die aktuellen NSA-Enthüllungen be-schlossene „Acht-Punkte-Programm“ der Bundesregierung48 wurde im Fortschrittsbericht vom August des Jahres49 konkre-tisiert. Als besonders bemerkenswert fällt dabei auf, dass erst-mals der Versuch unternommen werden soll, Geheimdiensthan-deln durch Abkommen zu begrenzen. Dies ist immerhin die Ab-kehr von der seit den 1950er Jahren vertraglich mit den Westal-liierten geregelten Kooperation der Nachrichtendienste auf Kos-ten der Grundrechte deutscher Bürgerinnen und Bürger, die bis dahin nur Insidern bekannt war.50

Mindestens ebenso bemerkenswert ist jedoch, dass zur IT-Si-cherheit nur verstärkte Forschung und weitere Sensibilisierungs-maßnahmen in Aussicht gestellt werden. Es fehlen jedoch Hin-weise oder gar konkrete Aussagen zu Sicherheitsmaßnahmen oder Warnungen vor kompromittierten Systemen.

7 IT-Sicherheit im Cyberkrieg – was tun?

Wenn wir die NSA-Enthüllungen nicht nur als Gefahr für die Persönlichkeitsrechte und Aufgabe für den Datenschutz begrei-fen sondern als das, was sie sind – nämlich ein uneingeschränk-ter Cyberkrieg gegen Freund und Feind – wäre dies der richti-

47 Eine detaillierte Aufarbeitung dieser Entwicklung ist nachzulesen in: Ingo Ruhmann, Christiane Schulzki-Haddouti: Kryptodebatten. Der Kampf um die In-formationshoheit; in: Christiane Schulzki-Haddouti (Hg.): Bürgerrechte im Netz, Bundeszentrale für politische Bildung, Bonn, 2003, S. 162-177

48 Deutschland ist ein Land der Freiheit, Presseerklärung der Bundesre-gierung vom 19. Juli 2013, http://www.bundesregierung.de/Content/DE/Arti-kel/2013/07/2013-07-19-bkin-nsa-sommerpk.html

49 BMI, BMWi: Maßnahmen für einen besseren Schutz der Privatsphäre, Fort-schrittsbericht vom 14. August 2013, http://www.bmwi.de/BMWi/Redaktion/PDF/S-T/massnahmen-fuer-einen-besseren-schutz-der-privatsphaere,property=-pdf,bereich=bmwi2012,sprache=de,rwb=true.pdf

50 Die Existenz des Abkommens zur Aushebelung des Grundrechtsartikels 10 durch die Westalliierten und dessen Fortbestehen bis dato beruht auf der Ar-beit von Josef Forschepoth: Überwachtes Deutschland. Post- und Telefonüber-wachung in der alten Bundesrepublik; Göttingen, 2012, vgl. S. 265 ff

DuD • Datenschutz und Datensicherheit 1 | 2014 45

FORUM

ge Anlass, die Reaktionen auf solche Cyberkriege zu debattieren und politische Schlussfolgerungen zu ziehen, während zugleich auf technischer Seite an der Wiederherstellung von Mechanis-men für Sicherheit und Schutz im Internet zu arbeiten sein wird.

Es ist keine Option eines funktionierenden IT-Betriebs, An-greifern die totale Kontrolle über die IT-Infrastruktur, die darü-ber laufenden Daten und deren Verwertung zu überlassen. Eben-so ist es weder rechtlich noch geschäftlich eine Option, die Daten eines Unternehmens und das Funktionieren von Unternehmens-netzwerken dem Belieben unbekannter staatlicher Stellen anheim zu geben. Denkbar sind zwei Optionen: 1. den Cyberkrieg entweder ebenfalls aufnehmen oder 2. ihn zu begrenzen durch Maßnahmen zum Schutz und zur

„Rüstungskontrolle“. Ein nüchterner Vergleich der Ressourcen wird zu der Einsicht führen, dass allein Schutz und „Rüstungskontrolle im Cyberspa-ce“ der von allen Optionen intelligenteste Weg sein dürfte. Vor-schläge dazu liegen längst auf dem Tisch.51

Nach den operativen Zielen des Cyberkrieges ist es das erklär-te Ziel, einen Gegner in seiner Entscheidungsfindung zu mani-pulieren. Wenn wir unsere Handlungsoptionen aufgeben, hat der Angreifer den Cyberkrieg ultimativ für sich entschieden. Dies be-deutet die bedingungslose Kapitulation vor einem übermächti-gen Angreifer und die Einstellung jeder Gegenwehr, aller Hand-lungen und eigenen Entscheidungen. Wir können uns vollends transparent machen und unter die Kontrolle Dritter begeben. Diesem Ziel sind NSA und ihre befreundeten Dienste schon er-staunlich nahe; wenn die Diskussion über die NSA-Enthüllungen bald folgenlos verebbt, ist es erreicht.

Wir könnten dagegen auch Ansätze zur politischen und tech-nischen Eindämmung entwickeln und umsetzen. Voraussetzen würde dies aber eine offene Analyse der eigenen Lage und die Su-che nach Lösungen. Nötig wären dazu eine verbundene zivilge-sellschaftliche und sicherheitspolitische Debatte. Wenn die Bun-desregierung hierbei keine Hilfen anbietet, steht es Verbänden und Unternehmen, der Wissenschaft und zivilgesellschaftlichen Gruppen frei, sich gegen den Cyberkrieg auf der eigenen IT-In-frastruktur zu organisieren. IT-Experten sind am ehesten in der Lage, die anstehenden Probleme zu erkennen und Lösungen aus-zuarbeiten. Zusammen mit anderen wird es nun ihre Aufgabe sein, technische ebenso wie politische Lösungen zu entwickeln, um Schutz und Sicherheit von IT-Systemen wiederherzustellen.

51 Der Bundestag hat sich schon 1995 erste Vorschläge ausarbeiten lassen, vgl.: Ralf Klischewski, Ingo Ruhmann: Ansatzpunkte zur Entwicklung von Meth-oden für die Analyse und Bewertung militärisch relevanter Forschung und En-twicklung im Bereich Informations- und Kommunikationstechnologie; Gutachten für das Büro für Technikfolgenabschätzung des Deutschen Bundestages, Bonn, März, 1995, seither liegen weiter entwickelte Ansätze vor, siehe: Stefan Krempl: Im Trippelschritt zum Cyberpeace; telepolis, 1.07.2001, http://www.heise.de/tp/artikel/3/3616/1.html; Ingo Ruhmann: Rüstungskontrolle gegen den Cyberkrieg?; in: telepolis, 4.01.2010, http://www.heise.de/tp/artikel/31/31797/1.html

Von Thomas Mann Service lernen

Bernd StaussWenn Thomas Mann Ihr Kunde wäreLektionen für Servicemanager

2012. V, 210 S. mit 9 Abb. Geb. € (D) 24,95ISBN 978-3-8349-4030-8Wenn Servicemanager exzellenten Service liefern wollen, dann sollten sie ihr Handeln weniger an abstrakten Zahlen-werten und Modellen orientieren, sondern lieber Thomas Mann lesen. Die in diesem Buch präsentierten Textpassa-gen aus seinen Novellen und Romanen zeigen, wie präzise er Dienstleistungssituationen erfasst, die von bleibender Aktualität sind. Denn bei allem technischen Wandel hat sich nichts daran geändert, wie Menschen andere Menschen im Servicekontakt erleben und wie sie als Menschen be-handelt werden wollen. Thomas Mann beschreibt meister-haft das Denken, Empfi nden und Handeln von Dienst-leistungs kunden. Daher eignen sich die geschilderten Epi-soden hervorragend dazu, zentrale Lektionen für heutige Servicemanager abzuleiten. Auf diese Weise führt uns der große deutsche Schriftsteller und Nobelpreisträger vor Augen, was modernes wissenschaftliches und praktisches Dienstleistungsmanagement ausmacht. „Wie seine litera-rischen Geschöpfe war Thomas Mann ein bürgerlicher, wohlhabender Mann mit sehr hohen Ansprüchen an Kom-fort und Servicequalität […] Was er seinen Erzähler in der Novelle ‚Das Eisenbahnunglück‘ sagen lässt, gilt absolut auch für ihn selbst: ‚Ich reise gern mit Komfort.‘“

springer-gabler.de

Änd

erun

gen

vorb

ehal

ten.

Erh

ältli

ch im

Buc

hhan

del

od

er b

eim

Ver

lag.

Einfach bestellen: SpringerDE-service@springer.com Telefon +49 (0)6221 / 3 45 – 4301

46 DuD • Datenschutz und Datensicherheit 1 | 2014

FORUM