30
Tillmann Schuize Bedingt abwehrbereit

Tillmann Schuize Bedingt abwehrbereit · 2013. 7. 23. · 4.4.2 Hacker, Cracker und Script-Kiddies 89 4.4.3 Innentater / Outsourcing 91 4.4.4 Industrie- und Wirtschaftsspionage 92

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

  • Tillmann Schuize

    Bedingt abwehrbereit

  • Tillmann Schuize

    Bedingt abwehrbereit Schutz kritischer Informations-lnfrastrukturen in Deutschland und den USA

    VS VERLAG FOR SOZIALWISSENSCHAFTEN

  • Bibliografische information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet uber abrufbar.

    1. Auflage Januar 2006

    Alle Rechte vorbehalten © VS verlag fiir Sozialwissenschaften/GWV Fachverlage GmbH, Wiesbaden 2006

    Lektorat: Monika Miilhausen / Katrin Schmitt

    Der VS Verlag fur Sozialwissenschaften ist ein Unternehmen von Springer Sclence+Business Media. www.vs-verlag.de

    Das Werk einschlieBlich aller seiner Telle ist urheberrechtlich geschutzt. Jede Verwertung auBerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustlmmung des Verlags unzulassig und strafbar. Das gilt insbesondere fur Vervielfaltigungen, Ubersetzungen, Mikroverfilmungen und die Einspel-cherung und Verarbeitung in elektronischen Systemen.

    Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten waren und daher von jedermann benutzt werden durften.

    Umschlaggestaltung: KiinkelLopka Medienentwicklung, Heidelberg Druck und buchbinderische Verarbeitung: MercedesDruck, Berlin Gedruckt auf saurefrelem und chlorfrei gebleichtem Papier Printed in Germany

    ISBN 3-531-14866-4

  • Meinen Eltern und Doris

    In Erinnerung an Willi Stein

  • Sicherheit in der Informationstechnik / IT-Sicherheit 64

    4.1 Was ist IT-Sicherheit? 64

    4.2 Grundziele der IT-Sicherheit 69

    4.3 Ursachen fur unzureichende IT-Sicherheit 71 4.3.1 Automatisierung 74 4.3.2 Komplexitat 75 4.3.3 Kosten 77 4.3.4 Monokulturen 79 4.3.5 Sicherheitsbewusstsein 80

    4.4 Ursachen ftir IT-Storungen und Angriffe auf IT 84 4.4.1 Viren, Wurmer und andere Schadprogramme 86 4.4.2 Hacker, Cracker und Script-Kiddies 89 4.4.3 Innentater / Outsourcing 91 4.4.4 Industrie- und Wirtschaftsspionage 92 4.4.5 Cyberterrorismus 94 4.4.6 Information Warfare / Hacker Warfare / Cyberwar 99 4.4.7 Weitere Ursachen 104

    4.5 IT-Sicherheit und die Theorie der offentlichen Giiter 106 4.5.1 IT-Sicherheit als offentliches Gut 106 4.5.2 Die Verantwortung des Staates fur IT-Sicherheit 108

    Kritische (Informations-) Infrastrukturen 112

    5.1 Abgrenzung des Schutzes kritischer Informations-Infrastrukturen 117

    5.2 Die Bedeutung des Schutzes kritischer Informations-Infrastrukturen 121

    5.3 Interdependenzen zwischen kritischen Infrastrukturen 123

    5.4 Kritische Infrastrukturen in den USA und in Deutschland 127 5.4.1 Kritische Infrastrukturen in den USA 127 5.4.2 Kritische Infrastrukturen in Deutschland 132

    5.5 Die Wahrscheinlichkeit weit reichender Storungen in kritischen Informations-Infrastrukturen 135

    5.6 Kritische Informations-Infrastrukturen und die Theorie der offentlichen Giiter 139

  • 5.6.1 Die Relevanz kritischer Informations-Infrastrukturen fiir das offentliche Gut der nationalen Sicherheit 140

    5.6.2 Die Verantwortung des Staates fiir den Schutz kritischer Informations-Infrastrukturen 142

    6 Meilensteine beim Schutz kritischer Informations-Infrastrukturen (1996-2001) 144

    6.1 USA 145 6.1.1 Meilensteine von Anfang bis Mitte der Neunzigerjahre 145 6.1.2 President's Commission on Critical Infrastructure

    Protection 147 6.1.3 Presidential Decision Directive 63 148 6.1.4 Critical Infrastructure Assurance Office 150 6.1.5 National Infrastructure Protection Center 152 6.1.6 National Plan 1.0 153

    6.2 Deutschland 155 6.2.1 Interministerielle Arbeitsgruppe Kritische Infrastrukturen.. 155 6.2.2 Der Abschlussbericht der AG KRITIS 157 6.2.3 Enquete-Kommission „Die Zukunft der Medien in

    Wirtschaft und Gesellschafl - Deutschlands Fortschritt auf dem Weg zur Informationsgesellschaft" 159

    6.3 Vergleich und vorlaufige Bewertung 160

    7 Schutz kritischer Informations-Infrastrukturen als Teil nationaler SicherheitspoUtik (2001-2004) 164

    7.1 USA 165 7.1.1 National Security Strategy of the United States of

    America 165 7.1.2 Executive Order 13228 167 7.1.3 Executive Order 13231 168 7.1.4 USA-PATRIOT Act 169 7.1.5 National Strategy for Homeland Security 172 7.1.6 National Strategy for The Physical Protection of Critical

    Infrastructures and Key Assets 174 7.1.7 National Strategy to Secure Cyberspace 175 7.1.8 Homeland Security Presidential Directive 7 180

    7.2 Deutschland 182

  • - ' 7J|^?^the Anti-Terror-PakfeJtei........ 182 "' T.^^NationalerPlanKRITIS 185

    7.3 V^peich und vorlaufige Bewertung 186

    8 Staatlic#lBStitutionen (2001-2004) 191

    8.1 USA;, .;.. 192 8.1.i;jfDepartment of Homeland Security 192 8.1:2; InitiativenandererRessortsundstaatlicherInstitutionen....204

    8.2 DepSbhland 205 %li%{i Projektgruppe Kritische Infrastrukturen 206 8.2iJ Bundesamt fur Sicherheit in der Informationstechnik 209 8.23, Bundesamt fur Bevolkemngsschutz und

    . Katastrophenhilfe 215 8.2.4 Bundeskriminalamt 217 8.2.5 Weitere Initiativen der Bundesministerien 217

    8.3 Vergleich und voriaufige Bewertung 220

    9 Staatliche Kooperationen und Initiativen des Privatsektors (2001-2004) 224

    9.1 Die Umsetzung des Schutzes kritischer Informations-Infrastrukturen nach der Theorie der offentlichen Giiter 224

    9.2 Die Notwendigkeit von Kooperationen 227

    9.3 Leitbild der mehrseitigen Sicherheit 228

    9.4 USA 233 9.4.1 Information Sharing and Analysis Centers 234 9.4.2 Infragard 238 9.4.3 Partnership for Critical Infrastructure Security 239 9.4.4 Internet Security Alliance 240 9.4.5 National Cyber Security Partnership 242 9.4.6 Protected Critical Infrastructure Information Programm 243

    9.5 Deutschland 245 9.5.1 Arbeitskreis Schutz von Infrastrukturen 246 9.5.2 Kooperation KRITIS 247 9.5.3 CERT-Verbund Deutschland 248 9.5.4 BITKOM 249

    10

  • 9.5.5 Initiative D21 250

    9.6 Vergleich und vorlaufige Bewertung 251

    10 Staaten iibergreifende Initiativen (2001-2004) 257

    10.1 IT-Sicherheit als globales offentliches Gut 259

    10.2 USA 261

    10.3 Deutschland 263

    10.4 Internationale Kooperationen, Initiativen und Abkommen 264

    10.5 Hindemisse fur intemationale Kooperationen 271

    10.6 Vergleich und vorlaufige Bewertung 274

    11 Bewertung des Schutzes kritischer Informations-Infrastrukturen ...277

    11.1 USA 277 11.1.1 Erfolge 278 11.1.2 Defizite 280

    11.2 Deutschland 283 11.2.1 Erfolge 284 11.2.2 Defizite 286

    12 Handlungsoptionen fiir Deutschland 289

    12.1 Faktor Mensch 289

    12.2 Faktor Politik 292

    12.3 Faktor Wirtschaft 308

    12.4 Faktor Technik 311

    13 Die Anwendbarkeit der Theorie der offentlichen Giiter 316

    14 Fazit 319

    Literaturverzeichnis 324

    Anhang 345

    11

  • Abbildungsverzeichnis

    Abbildung 1:

    Abbildung 2:

    Abbildung 3:

    Abbildung 4:

    Abbildung 5:

    Abbildung 6:

    Abbildung 7:

    Abbildung 8:

    Abbildung 9:

    Abbildung 10:

    Abbildung 11

    Abbildung 12

    Abbildung 13

    Kategorisierung wirtschaftlicher Giiter 38

    Art von SicherheitsverstoBen und Angriffsmethoden 88

    Die sieben Saulen des Information Warfare 100

    Gliederungsebenen kritischer Infrastrukturen 115

    US-Infrastruktur-Interdependenzen 126

    Organigramm des Department of Homeland Security 193

    Organisation des lAIP-Direktorats 195

    Organisation des Fachbereichs 1.2 im BSI 210

    Aufgabenwahmehmung beim Schutz kritischer Infrastrukturen 216

    In den Schutz kritischer Infrastrukturen eingebundene Ministerien 219

    Struktur offentlich-privater Kooperationen in den USA 235

    Sector Assessment Model zur Priorisierung von Sektoren...298

    Risikoanalyse zur Bewertung IT-abhangiger Prozesse 309

    12

  • Tabellenverzeichnis

    Tabelle 1

    Tabelle 2

    Tabelle 3

    Tabelle 4

    Tabelle 5

    Tabelle 6:

    Tabelle 7:

    Tabelle 8:

    Tabelle 9:

    Gemeldete IT-Vorfalle 66

    Einschatzung der Bedeutung von IT-Bedrohungen 73

    Programmzeilen in Microsoft Windows-Versionen 75

    Hindemisse fiir bessere IT-Sicherheit 83

    Kritische Infrastruktursektoren im intemationalen

    Vergleich 114

    Abgrenzung von CIP, CUP und IT-Sicherheit 120

    PG KRITIS - beteiligte Referate des Bundesinnenministeriums 207 Parameter mehrseitiger Sicherheit angewendet auf den Schutz kritischer Informations-Infrastrukturen 233

    ISACs in den USA 237

    13

  • Abkjirzungsverzeichnis

    AA Auswartiges Amt a.a.O. am angegebenen Ort ACIP Analysis and Assessment for Critical Infrastructure Protection AG KRITIS Arbeitsgruppe Kritische Infrastrukturen AKIS Analyse Kritischer Infrastruktur-Sektoren AKSIS Arbeitskreis Schutz von Infrastrukturen AKW Atomkraftwerk ARPANET Advanced Research Projects Administration Network ATP Anti-Terror-Paket BBK Bundesamt fiir Bevolkerungsschutz und Katastrophenhilfe BfV Bundesamt fur Verfassungsschutz BGS Bundesgrenzschutz BKA Bundeskriminalamt BMBF Bundesministerium fiir Forschung und Entwicklung BMI Bundesministerium des Innem BMVg Bundesministerium der Verteidigung BMWA Bundesministerium fiir Wirtschaft und Arbeit BSA Business Software Alliance BSI Bundesamt fiir Sicherheit in der Informationstechnik BT Bundestag BVA Bundesverwaltungsamt BVerfG Bundesverfassungsgericht BZS Bundesamt fiir Zivilschutz CAPPS Computer-Assisted Passenger Prescreening System CDU Christlich Demokratische Union CEN Comite Europeen de Normalisation CEO Chief Executive Officer CERN Conseil Europeen pour la Recherche Nucleaire CERT Computer Emergency Response Team CERT/CC Computer Emergency Response Team Coordination Center CÎ RCO Critical Information Infrastructure Research Co-ordination CIA Central Intelligence Agency CIAO Critical Infrastructure Assurance Office

    14

  • CII Act Critical Infrastructure Information Act CUP Critical Information Infrastructure Protection CIO Chief Information Officer CIP Critical Infrastructure Protection CIWG Critical Infrastructure Working Group CIWIN Critical Infrastructure Warning Information Network CIWN Critical Infrastructure Warning Network COTS Commercial off-the-shelf CRN Comprehensive Risk Analysis and Management Network CRS Congressional Research Service CSTARC Cyber Security Tracking, Analysis & Response Center CSU Christlich Soziale Union CYTEX Cyber Terror Exercise DDoS Distributed Denial of Service DDSI Dependability Development Support Initiative DFN Deutsches Forschungsnetz DHS Department of Homeland Security DOD Department of Defense DoS Denial of Service DSL Digital Subscriber Line (digitale Teilnehmerverbindung) E- Electronic EAPC Euro-Atlantic Partnership Council ebd. ebenda EGC-Group European Goverment CERTs Group EDV Elektronische Datenverarbeitung EMP Elektromagnetischer Puis ENISA European Network and Information Security Agency EO Executive Order EPCIP European Programme for Critical Infrastructure Protection ESS Europaische Sicherheitsstrategie ETH Eidgenossische Technische Hochschule EU Europaische Union evtl. eventuell Fi&E Forschung & Entwicklung FBI Federal Bureau of Investigation FedCIRC Federal Computer Incident Response Center FEMA Federal Emergency Management Agency FFRDC Federally Funded Research and Development Center FIDNet Federal Intrusion Detection Network FOIA Freedom of Information Act

    15

  • GAO General Accountability Office GASP Gemeinsame AuBen- und Sicherheitspolitik GAU GroBter anzunehmender Unfall GG Grundgesetz GI Gesellschaft fur Informatik GIG-BE Global Information Grid Bandwidth Expansion GSHB Grundschutzhandbuch HERF High Energy Radio Frequency Hrsg. Herausgeber HSI Homeland Security Institute HSIN-CI Homeland Security Information Network - Critical

    Infrastructure HSOC Homeland Security Operation Center HSPD Homeland Security Presidential Directive HSS Homeland Security Strategy I3P Institute for Information Infrastructure Protection lABG Industrieanlagen Betriebsgesellschaft lAIP Information Analysis and Infrastructure Protection ICCC International Common Criteria Conference IDS Intrusion Detection System IRIA Investigative Research for Infrastructure Assurance ISA Internet Security Alliance ISAC Information Sharing and Analysis Center ISB Informatikstrategieorgan Bund ISP Internet Service Provider ISTS Institute for Security Technology Studies IT Informationstechnik ITG Informationstechnische Grundbildung ITAA Information Technology Association of America ISSE Information Security Solutions Europe luK- Informations- und Kommunikations-IVBB Informationsverbund Bonn-Berlin KMU Kleine und mittelstandische Untemehmen KRITIS Kritische Infrastrukturen LAN Local Area Network LUKEX Lander iibergreifende Krisen-Management Exercise MAD Militarischer Abschirmdienst MELANI Melde- und Analysestelle Informationssicherheit NASCIO National Association of State Chief Information Officers NATO North Atlantic Treaty Organisation

    16

  • NCS National Communications System NCSS National Cyber Security Summit NCSD National Cyber Security Division NCSP National Cyber Security Partnership NCW Network Centric Warfare NESA National Emergency Supply Agency NGO Non-Governmental Organisation NIAC National Infrastructure Assurance Council N i c e National Infrastructure Coordination Center NIFIS Nationale Initiative fur Intemet-Sicherheit NIPC National Infrastructure Protection Centre NISAC National Infrastructure Simulation and Analysis Centre NISCC National Infrastructure Security Co-ordination Centre NIST National Institute for Standards and Technology NP Nationaler Plan NRC National Research Council NSA National Security Agency NSC National Security Council NSIRC National Security Incident Response Center NSTAC National Security Telecommunications Advisory Committee NSS National Security Strategy NTISSC National Telecommunications and Information Systems

    Security Committee o.A. Oder Ahnliches OECD Organisation for Economic Co-operation and Development OHS Office of Homeland Security OMB Office of Management and Budget OPM Office of Personnel Management OSTP Office of Science and Technology Policy PATRIOT Providing Appropriate Tools Required to Intercept and

    Obstruct Terrorism PC Personal Computer PCCIP Presidential Commission on Critical Infrastructure Protection PCII Protected Critical Infrastructure Information PCIPB President's Critical Infrastructure Protection Board PCIS Partnership for Critical Infrastructure Security PDD Presidential Decision Directive PfP Partnership for Peace PG KRITIS Projektgruppe Kritische Infrastrukturen PIN Personal Identification Number

    17

  • PPP Public Private Partnership QATT Qualified Anti-Terrorism Technology R&D Research & Development RAM Random Access Memory RegTP Regulierungsbehorde Telekommunikation und Post RMA Revolution in Military Affairs S. Seite SAFETY Support Anti-Terrorism by Fostering Effective Technologies SALT Strategic Arms Limitation Talks SCADA Supervisory Control and Data Acquisition SEMA Swedish Emergency Management Agency SPD Soziale Partei Deutschland THW Technisches Hilfswerk TK Telekommunikation UdSSR Union der Sozialistischen Sowjet-Republiken UNO United Nations Organisation USA United States of America USCNS/21 US Commission on National Security 21 st Century vgl. vergleiche WID Warn- und Informationsdienst WLAN Wireless Local Area Network WM Weltmeisterschafl WPISP Working Party on Information Security and Privacy WWN Watch and Warning Network WWW Worid Wide Web Y2K Year 2000 z.B. zum Beispiel z.T. zum Teil

    18

  • Vorwort

    Die vorliegende Arbeit lag dem Promotions-Prufungsamt der Philosophischen Fakultat der Westfalischen Wilhelms-Universitat in Miinster zur Begutachtung vor. Sie wurde am 21.07.2005 durch den Promotions-Priifungsausschuss unter Vorsitz von Dekan Prof. Dr. Dr. h.c.Wichard Woyke als Dissertation mit dem Titel „Der Schutz kritischer Informations-Infrastrukturen als Problem der nationalen Sicherheit. Die Losungsversuche Deutschlands und der USA" im Fach Politikwissenschaft angenommen.

    Diese Arbeit verbindet zwei Ziele: Zum einen setzt sie sich mit dem Ein-fluss von Informationstechnik (IT) auf Sicherheitspolitik auseinander. Eine Thematik, die immer groBere Bedeutung erfahrt. Die Arbeit zeigt, dass sich die Abhangigkeit westlicher Industrienationen von der IT in entscheidender Weise auch auf die Politik und die Politikwissenschaft auswirkt. Zum anderen stellt sie ein Grundlagenwerk zum Schutz kritischer Informations-Infi-astrukturen dar. Eine vergleichbare Darstellung gibt es in Deutschland bislang nicht. Das Inte-resse fiir die Folgen der IT-Nutzung entstand im Rahmen des Hauptseminars „Die Gestaltung der digitalisierten Informationsgesellschaft als politische Heraus forderung, betrachtet unter besonderer Beriicksichtigung von Fragen der Netzwerksicherheit" am Institut fiir Politikwissenschaft der Universitat Miinster im Sommersemester 2000 mit einem Referat iiber die Kryptokontroverse in den USA. Seitdem befasse ich mich mit den Auswirkungen der IT auf (Sicherheits-) Politik und das Interesse daran wachst weiter.

    Diese Arbeit ware nicht moglich gewesen ohne die groBe Hilfe von Men-schen, die mich in den letzten Jahren beratend, kontrovers diskutierend, kon-struktiv kritisierend oder aufinuntemd begleitet und damit mafigeblich zur ihrer Fertigstellung beigetragen haben. Ganz besonders danken mochte ich diesem Zusammenhang meinem Doktorvater Prof. Dr. Paul Kevenhorster sowie mei-nem Zweitgutachter Prof. Dr. Friso Wielenga fiir ihre intensive und gute Betreuung in den letzten Jahren. Danken mochte ich auch meinem „Stab" an Korrektoren, die immer und immer wieder meine Entwiirfe durchsahen und kommentierten: Henning Hehemann, Dr. Susanne Jantsch, Dr. Meinhard Kneller, Anja Maier, Stefan Ritter sowie Giinter Schulze. Zum Gelingen dieser Arbeit haben auch meine Kollegen und Vorgesetzten wahrend der Zeit im Bundesamt fiir Sicherheit in der Informationstechnik (BSI) in Bonn beigetragen. Hier gilt mein Dank vor allem Marit Blattner-Zimmermann, Joachim Weber und den Kollegen des Referats „Kritische Infî astrukturen". Zentrale Erkenntnisse konnte ich zudem uber einige gezielte Expertengesprache erlangen, in denen weiterhin Rainer Arnold, Eric Goetz und Dr. Hartmut Isselhorst wertvoUe Beitrage lieferten.

    19

  • Hervorheben mochte ich auch drei Personen, ohne die diese Dissertation in der jetzigen Form nicht entstanden ware. Danken mochte ich deshalb Prof. Dr. Olaf Winkel, der in mir das Interesse an kritischen Informations-Infrastrukturen weckte. Femer Arved Fuchs, der mir die Moglichkeit gab, neben der Dissertati-on einen lang gehegten Traum zu verwirklichen: Zentrale Teile dieser Arbeit entstanden im Sommer 2003 an Bord des Segelschiffs „Dagmar Aaen" im Packeis der Nordwestpassage auf 71° 27' N - 96° 06' W. Danken mochte ich aber vor allem meiner Freundin Carina, die ftr die vielen Stunden und Tage meiner physischen und psychischen Abwesenheit Verstandnis hatte, mich in Zeiten des Zweifels aufbaute, mich zum Weitermachen ermutigte und immer fur mich da war.

    Entstanden ist eine Dissertation, die trotz nicht ausbleibender Widrigkeiten Spafi gemacht hat. Es wiirde mich freuen, wenn sie dazu beitragt, auch bei anderen das Interesse an dieser bedeutenden sicherheitspolitischen Herausforde-rung unserer Zeit zu wecken.

    Tillmann Schulze Bonn, im Oktober 2005

    20

  • „States, like people, are insecure in proportion to the extent of their freedom. If freedom is

    wanted, insecurity must be accepted." Kenneth N. Waltz^

    1 Einleitung

    Ein Leben ohne Energie, fliefiendes Wasser, standige Erreichbarkeit, funktionie-rendes Gesundheitswesen. Nicht vorstellbar? Die meisten dieser (Dienst-) Leistungen nutzen wir tagtaglich. Doch wer macht sich Gedanken daruber, warum wir das konnen? Kaum jemand ist sich bewusst, welche Rolle Informati-onstechnik (IT) mittlerweile spielt, um uns diese standige Verfiigbarkeit zu ermoglichen.^ Aber was geschieht, wenn aufgrund von Storungen der IT solche Leistungen nicht mehr zur Verfiigung stehen? Einen Stromausfall in Wohnung oder Haus fiir ein paar Minuten oder Stunden haben die meisten schon erlebt. Die Schaden halten sich hier in Grenzen. Doch es gibt auch Zwischenfalle anderer Dimension: Mobilfunknetze brechen groBflachig zusammen, der Luft-verkehr wird empfindlich gestort, Banken konnen keine Transaktionen mehr vomehmen. Und das iiber viele Stunden hinweg, manchmal sogar iiber Tage.̂ Die Ursachen konnen Storungen oder Ausfalle der Informationstechnik sein, die Folgen sich auf die Sicherheit eines Staates auswirken. Damit wird die Sicher-heit der Informationstechnik zu einem Problem der Politik. Was in Deutschland von politischer Seite aus getan wird und getan werden kann, um solche Vorfalle zu verhindem bzw. um potenzielle Schaden moglichst gering zu halten, damit

    Waltz, Kenneth N.: Theory of International Politics. Reading 1979. S. 6. „Informationstechnik" beschreibt elektronische Verfahren zur Verarbeitung von Informationen und Daten (EDV), aber auch den Bereich der Telekommunikation. Informationstechnik wird in dieser Arbeit synonym zum BegrifF der „Informationstechnologie" verwendet. Letzterer wird z.T. noch um die akademische Ausbildung sowie die entsprechenden Berufe erganzt. Vgl. www.netlexikon.de [Stand: 23.07. 2004]. In Fachkreisen wird zwischen beiden Begriffen je-doch kaum noch unterschieden. Dies ist vor allem durch das Englische zu erklaren, wo aus-schliefilich der Begriff „information technology" Verwendung fmdet. Eine ausfiihrliche Darstellung vergleichbarer Zwischenfalle findet sich in Kapitel 5.5.

    21

  • befasst sich diese Arbeit. Um die deutschen MaBnahmen besser bewerten zu konnen, werden diese mit denen der USA verglichen.'^

    1.1 Zur (politischen) Bedeutung von Informationstechnik

    Informationstechnik ist aus der heutigen Zeit nicht mehr fortzudenken.^ In unserem Leben nimmt IT eine immer dominierendere Rolle ein. Informations-technik bestimmt inzwischen grundlegend die Gesellschaft in Industriestaaten wie Deutschland und das Miteinander von Staaten. Wirtschafl, offentliche Verwaltung, das Militar, aber auch die Burger westlicher Industrienationen sind heute mindestens zu groBen Teilen, zumeist jedoch vollstandig von IT abhan-gig.^ Dabei sind Abhangigkeiten von Technologien entstanden, die „erstens nur wenige verstehen, zweitens Anfalligkeiten haben und von denen drittens die wenigsten wissen, wie man Schaden repariert"7

    Wenn aber die Sicherheit und damit die fehlerfreie Funktionsfahigkeit von Informationstechnik nicht mehr zu gewahrleisten ist, konnen zentrale Prozesse gestort Oder unterbrochen werden und fuhren , je nach Umfang und Zeitdauer zu einer schwerwiegenden Gefahrdung der (...) Sicherheit eines Staates und ent-

    Im Rahmen des Vergleiches werden im Folgenden die USA immer vor Deutschland genannt, da sie der Staat sind, der als erster den Schutz kritischer Informations-Infrastrukturen themati-sierte. tJber den Vergleich hinausgehende Kapitel befassen sich ausschlieBlich mit Deutsch-land. Myriam Dunn spricht in diesem Kontext von einer noch anhaltenden „Informations-Revolution": „The Information Revolution is an ongoing dynamic development that adds in-creased speed, greater capacity, and enhanced flexibility to the gathering procession, transmis-sion of data into knowledge, hence significantly enhancing humankind's ability to communi-cate. Falling costs, increased availability, greater utility, and ease of use have lead to an im-mense proliferation of Information und Communication Technologies, the tools of the Infor-mation Revolution, making society in developed countries thoroughly dependent on them." Dunn, Myriam: Information Age Conflicts. A Study of the Information Revolution in a Chang-ing Operating Environment. Ziirich 2002. S. 64. Es besteht allgemeiner Konsens darin, dass IT in der Zukunfl eine immer dominierende Rolle einnehmen wird. Dabei wird aber darauf verwiesen, dass dieser Trend nicht alle Staaten be-trifft, sondem einige Lander nicht in der Lage sind und sein werden, von der Informations-technik in vollem Umfang zu profitieren. Aus der geringeren Nutzung der Informationstechnik folgt wiederum eine geringere Abhangigkeit von der IT. Vgl. dazu: National Intelligence Council: Global Trends 2015: A Dialogue About the Future With Nongovernment Experts. Washington 2000. Illinger, Patrick: „Problem ist die Unkenntnis". Hacker Mtiller-Maguhn: Gefahr im Internet beherrschbar. In: Siiddeutsche Zeitung vom 4.11.2000. S. 6. Vgl. dazu aber auch Keven-horster, Paul: Politik im elektronischen Zeitalter. Politische Wirkungen der Informationstech-nik. Baden-Baden 1984. S. 33 und S. 364. Ktinftig zitiert als: Kevenhorster, Paul: Politik im elektronischen Zeitalter.

    22

  • sprechend zu einer Bedrohung fiir Leib und Leben der Burger".̂ Das politisch-administrative System eines Staates kann so nachhaltig gestort werden, dass es nicht mehr in der Lage ist, das erforderliche GrundmaB an Sicherheit und Ordnung zu garantieren. Die nationale Sicherheit ware dann bedroht.̂ Zudem sind heute alle Staaten miteinander vemetzt. Storungen in der IT konnen auf-grund von Interdependenzen Folgen fur andere Lander hervomifen. Die Vor-stellung Ulrich Becks von einer „Risikogesellschaft" aus den Achtzigerjahren erfahrt in diesem Kontext eine besondere Bedeutung.̂ ^ Andreas Wenger spricht aufgrund der Abhangigkeit modemer Gesellschaften von IT-Systemen vom Wandel der globalen Informationsgesellschaft hin zu einer „Weltrisikogesell-schaft".̂ ^

    Technik allein kann den „gesellschaftlichen Risikofaktor IT" nur bedingt eingrenzen.̂ ^ Kein technischer Ansatz, keine technische Losung hat als singula-res Produkt die Chance auf langfristigen, nachhaltigen Erfolg.̂ ^ Solche Konzep-te bediirfen der Implementierung in eine iibergreifende Strategic, in die auch

    Cemy, Dietrich: Schutz kritischer Infrastrukturen in Wirtschaft und Verwaltung. In: Geiger, Gebhard: Sicherheit in der Informationsgesellschaft. Gefahrdung und Schutz informationsab-hangiger Infrastrukturen. Baden Baden 2000. S. 22. Vgl. Bendrath, Ralf: Elektronisches Pearl Harbor oder Computerkriminalitat? Die Debatte uber Infrastruktursicherheit und der institutionelle Wandel in den USA. In: S+F, Vierteljahres-schrift fur Sicherheit und Frieden, 2/2000. S. 135f. Vgl. Beck, Ulrich: Risikogesellschaft. Auf dem Weg in eine andere Modeme. Frankfurt am Main 1986. Der Begriff der Risikogesellschaft charakterisierte in den Achtzigerjahren den Entwicklungsstand einer Gesellschafl, die nicht nur im Bereich der Informationstechnik, son-dem allgemein durch groBere Technikrisiken gekennzeichnet ist. Dazu auch: Sieber, Ulrich: Informationsgesellschaft und innere Sicherheit. In: Bundesministerium des Innem (Hrsg.): In-formationsgesellschaft und innere Sicherheit. Bonn 1996. Zur Bedeutung des Begriffes des Ri-sikos fiir die intemationale Sicherheitspolitik vgl. Daase, Christopher et al. (Hrsg.): Internatio-nale Risikopolitik. Der Umgang mit neuen Gefahren in den intemationalen Beziehungen. Ba-den-Baden 2002. Vgl. Wenger, Andreas et al.: Critical Information Infrastructure Protection (CUP): Eine sicherheitspolitische Herausforderung. In: Forschungsstelle fiir Sicherheitspolitik und Kon-fliktanalyse, ETH Zurich (Hrsg.): Bulletin zur schweizerischen Sicherheitspolitik 2002. S. 119. Kunftig zitiert als: Wenger, Andreas et al.: Sicherheitspolitische Herausforderung. Trotzdem tragt die Technik entscheidend zur Sicherheit der Netze bei. Ohne z.B. Kryptogra-phie, Firewalls oder speziell Hardware-Implementationen konnte fiir luK-Technologien keine Sicherheit erreicht werden. "Technologies do not work in isolation. Cybersecurity solutions make use of people, process, and technology." General Accountability Office: Technology Assessment. Cybersecurity for Critical Infrastructure Protection. Washington 2004. S. 11. Kunftig zitiert als: GAO: Cyberse-curity for CIP. Vgl. aber auch Winkel, Olaf: Sicherheit in der digitalen Informationsgesell-schaft. IT-Sicherheit als politisches, okonomisches und gesellschaftliches Problem. In: Aus Po-litik und Zeitgeschichte 41/42 2000. S. 19-30. Kunftig zitiert als: Winkel, Olaf: Sicherheit in der Informationsgesellschaft.

    23

  • politische Prozesse, rechtliche Setzungen und soziologische Analysen einfliefien mussen. Die dabei auftretenden Fragen sind viel komplexer und damit auch schwieriger zu beantworten als die rein technischen; ihnen kommt aber im Hinblick auf die angestrebte Sicherheit eine hohere Bedeutung zu. Fiir Staaten bedeutet dies: Es bedarf einer ganzheitlichen Auseinandersetzung mit den Risiken der Nutzung von IT und damit auch mit den Anforderungen ihrer Absicherung.

    1.2 Fragestellung und Ziel der Arbeit

    Gefahren, die fur einen voll vemetzten Staat durch den Einsatz von Informati-onstechnik entstehen konnen, werden besonders deutlich bei der Auseinander-setzung mit der IT in kritischen Infrastrukturen.̂ "* Kritische Infrastrukturen, als offentliche oder private Institutionen oder Einrichtungen, die essenzielle Aufga-ben innerhalb eines Staates erfiillen, gelten als Rtickgrat, aber auch als neuralgi-sche Punkte eines jeden hoch technisierten Staates. Sie konnen ihre (Dienst-) Leistungen nicht mehr ohne den massiven Einsatz von IT anbieten. Um dies zu gewahrleisten, bedarf es des Schutzes der in kritischen Infrastrukturen benotig-ten Informationstechnik: Es bedarf des Schutzes kritischer Informations-Infrastrukturen/^ allgemein als CIIP - Critical Information Infrastructure Pro-tection - bezeichnet.

    In der Vergangenheit kam es immer wieder zu Zwischenfallen in kritischen Infrastrukturen, deren Ursachen in Storungen oder Ausfallen der Informations-technik zu erklaren waren. Bislang fehlt es allerdings noch an gesicherten Angaben zu solchen Vorfallen, auch Bedrohungs- und Kritikalitatsanalysen sind

    Als Infrastruktur wird eine Einrichtung bezeichnet, die in einem festgelegten organisatorischen oder geografischen Bereich Dienstleistungen anbietet. Dabei sollen unter einer Infrastruktur nicht nur bauliche Anlagen verstanden werden. Die in Infrastrukturen ablaufenden Prozesse, die eingesetzte (Informations-) Technik sowie die dort arbeitenden Menschen spielen ent-scheidende RoUen, damit eine Infrastruktur ihre (Dienst-) Leistungen anbieten kann. Kritische Infrastrukturen sind „Organisationen und Einrichtungen mit wichtiger Bedeutung fiir das staatliche Gemeinwesen, bei deren Ausfall oder Beeintrachtigung nachhaltig wirkende Versorgungsengpasse, erhebliche Storungen der offentlichen Sicherheit oder andere dramati-sche Folgen eintreten wiirden." (Fiir Deutschland gultige Definition. Siehe dazu auch Kapitel 5.4.2). Kritische Informations-Infrastrukturen sind kritische Infrastrukturen oder Anteile einer kritischen Infrastruktur, deren Funktion nur durch den Einsatz von IT gewahrleistet wird oder die eine deutliche Abhangigkeit von der Informationstechnik aufweisen. Storungen und Aus-falle in kritischen Informations-Infrastrukturen konnen die gleichen weit reichenden, katastro-phalen Auswirkungen haben wie solche, deren Ursachen physisch bedingt sind (z.B. Anschla-ge mit Sprengstoff oder Folgen von Naturkatastrophen). Siehe dazu auch Kapitel 5.1.

    24

  • noch sehr selten.'^ Selbst an grundlegenden Ubersichten wie der Darstellung kritischer Prozesse'^ innerhalb einzelner Infrastnikturen mangelt es. Noch schlechter sieht es aus, wenn es um die Analyse der IT-Abhangigkeit dieser Prozesse geht. Auch hier besteht noch ein deutliches Defizit an validen Informa-tionen.

    Fiir die Politikwissenschaft ist vor allem die Frage von Bedeutung, wer die Verantwortung fiir die Sicherheit der in kritischen Infrastnikturen eingesetzten Informationstechnik tragt. Sind die Betreiber kritischer Infrastnikturen allein fur den entsprechenden Schutz ihrer IT-Systeme verantwortlich, oder ist dies auch Oder sogar ausschheBlich Aufgabe des Staates, da Storungen und Ausfalle die nationale Sicherheit beeintrachtigen konnen? Diese grundsatzliche Frage soil im Rahmen dieser Arbeit unter der Anwendung der Theorie der offentlichen Giiter beantwortet werden.

    In den USA wurden bereits Mitte der Neunzigerjahre politische Entschei-dungen und MaBnahmen getroffen, die explizit auf den Schutz kritischer Infra-stnikturen und in diesem Kontext auch auf die IT in kritischen Infrastnikturen abzielten. Doch erst nach den Terroranschlagen vom 11. September 2001 erkannten die hochsten Regierungskreise das voile Bedrohungspotenzial, das durch nicht angemessen geschiitzte kritische Infrastnikturen fur die nationale Sicherheit entstehen kann. Nachdem die US-Regierung erste Ergebnisse verof-fentlicht hatte, begannen auch andere Staaten sich mit dieser Problematik intensiver zu beschaftigen.

    Die Bundesrepublik Deutschland unterscheidet sich in Bezug auf ihre Ab-hangigkeit von der Informationstechnik, aber auch in der Bedeutung kritischer Infrastnikturen ftir die nationale Sicherheit, kaum von den USA. Bei den in beiden Staaten als kritisch bewerteten Infrastnikturen sind keine signifikanten Unterschiede auszumachen.̂ ^ Es entstand im Vorfeld dieser Arbeit aber der Eindruck, dass Deutschland beim Schutz kritischer Infrastnikturen hinter den USA, aber auch hinter anderen europaischen Staaten zuruckliegt.̂ ^

    In Bedrohungsanalysen wird im gegebenen Kontext untersucht, welchen spezifischen Bedro-hungen eine Infrastruktur ausgesetzt ist. Dagegen bewertet eine Kritikalitatsanalyse die Wahr-scheinlichkeit von Storungen in einer kritischen Infrastruktur und die Auswirkung einer poten-ziellen Stoning und setzt diese in ein Verhaltnis zueinander. (Arbeits-) Ablaufe innerhalb einer Infrastruktur, ohne die diese ihre (Dienst-) Leistungen nicht Oder nur stark eingeschrankt anbieten kann. Gemeint sein konnen damit z.B. Turbinen in ei-nem Kraftwerk, aber auch ein Intranet oder femgesteuerte Leitsysteme. Siehe dazu Tabelle 5: auf Seite 114. Staaten wie die Schweiz, die Niederlande oder Schweden sind hier weiter, bzw. man setzt sich dort mit dem Schutz kritischer Informations-Infrastrukturen schon langer auseinander als in Deutschland. So hat sich die schwedische Regierung im Rahmen des „Jahrtausendproblems" Y2K mit dem Schutz kritischer Informations-Infrastrukturen befasst. Fiir die Schweiz ist eine intensive Auseinandersetzung mit dem Schutz kritischer Infrastnikturen in alien Ministerien zu

    25

  • Es ist Ziel dieser Arbeit, durch einen direkten Vergleich der Mafinahmen zum Schutz kritischer Informations-Infrastrukturen in den Vereinigten Staaten und in Deutschland herauszuarbeiten, wie sich diese Unterschiede darstellen, ob sich Defizite in der deutschen Politik abzeichnen und welche (politischen) Folgen diese haben konnten. Femer soil gepriift werden, ob in den Vereinigten Staaten ergrifFene MaBnahmen auch in Deutschland geeignete Instrumentarien darstellen. Zudem ist zu klaren, wo in den USA bislang Probleme aufgetreten sind, die in Deutschland vermieden werden konnen, und wie sich die Bundesre-publik durch eigene Ansatze und gezielte MaBnahmen im weltweiten Vergleich besser positionieren kann. Hierzu werden am Ende dieser Arbeit konkrete Handlungsvorschlage entwickelt.

    1.3 Forschungsstand

    Wissenschaft und Forschung befassen sich erst seit rund 10 Jahren intensiver mit Aspekten der IT-Sicherheit in kritischen Infrastrukturen. In den USA sind einige renommierte Forschungseinrichtungen entstanden, die sich mit dieser Problematik auseinandersetzen,^^ und auch in Europa haben sich Zentren gebil-det, die in diesem Bereich wertvolle Arbeit leisten.^^ In Deutschland wurde der Forschungsbedarf erst sehr spat erkannt. Dabei fallt weiterhin auf, dass IT-Sicherheit - bzw. die Auswirkungen nicht angemessener IT-Sicherheit - bislang fast ausschlieBlich eine Domane technikorientierter Forschung geblieben ist.̂ ^ Wissenschaftler aus anderen Fachbereichen widmen sich diesem Problemfeld noch sehr sporadisch.^^ Gerade in den Sozialwissenschaften und hier vor allem

    verzeichnen, die sich mit den Bereichen Landesverteidigung und Zivilschutz beschaftigen. Auch die Schweizer Armee ist in den Schutz kritischer Infrastrukturen involviert. Zudem hat die Schweiz mittlerweile das Auswerte- und Meldesystem MELANI (Melde- und Analysestel-le Informationssicherheit) in Betrieb genommen. Eines der wenigen operablen Systeme dieser Art weltweit. Vgl. www.melani.admin.ch [Stand: 02.02.2004].

    °̂ Z. B. George Mason University in Washington, Carnegie Mellon University in Pittsburgh oder das Dartmouth College in Hanover, New Hampshire.

    ^̂ Hier ist vor allem die ETH Zurich zu nennen. ^̂ Das Horst Gortz-Institut am europaischen Kompetenzzentrum fiir IT-Sicherheit „Eurobits" in

    Bochum ist eine der Ausnahmen, wo der Interdisziplinaritat groBe Bedeutung zugeschrieben wird. Vgl. www.eurobits.de [Stand: 13.03.2004].

    ^̂ Das Institut ftir Informations-, Telekonmiunikations- und Medienrecht der rechtswissenschaft-lichen Fakultat der Universitat Munster beispielsweise forscht seit einigen Jahr in den Berei-chen IT-Sicherheit und Schutz kritischer Infrastrukturen. Vgl. dazu z.B. Sonntag, Matthias: IT-Sicherheit kritischer Infi-astrukturen. Von der Staatsaufgabe zur rechtlichen Ausgestaltung. I-naugural-Dissertation. Rechtswissenschaftliche Fakultat der Westfalischen Wilhelms-Universitat Miinster. Munster 2003. Oder Holznagel, Bemd: Recht der IT-Sicherheit. Miin-chen 2003. Die Dissertation von Matthias Sonntag ist die bislang einzige Dissertation einer

    26

  • in der Politikwissenschaft wird der Einsatz von Informationstechnik die meisten Forschungsgebiete zukunftig deutlich pragen. Verwiesen sei beispielsweise auf die Bereiche E-Govemment, E-Commerce oder Cyber-Kriminalitat. Findet in der deutschen Politikwissenschaft kurz- und mittelfiistig keine adaquate Ausei-nandersetzung mit IT-spezifischen Problemen start, so besteht die Gefahr akuter Defizite, da das notwendige Grundlagenwissen nicht vorhanden ist und Wissen-schaftler anderer Lander gegenuber den deutschen einen signifikanten Vor-sprung erlangen.

    Die vorliegende Arbeit befindet sich an der Schnirtstelle zwischen Sicher-heitspolitik und dem Einfluss von Informationstechnik. Politikwissenschaftliche Arbeiten dieser Art bilden in Deutschland eine Ausnahme.̂ "* Eine politikwissen-schaftliche Dissertation, die sich mit dem Schutz kritischer Informations-Infi-astrukturen auseinandersetzt, wurde bislang noch nicht angefertigt.^^

    1.4 Quellen- und Literaturlage

    Auch wenn der Schutz kritischer Infi-astrukturen noch ein vergleichsweise junges Forschungsfeld darstellt, so bestand trotzdem die Moglichkeit, auf eine Vielzahl von Quellen zurlickzugreifen. Dabei muss einschrankend darauf verwiesen werden, dass die Informationstechnik und damit auch der Schutz kritischer Informations-Infi-astrukturen so dynamische Felder darstellen, dass oft schon Quellen aus den Jahren 2000 oder 2001 flir diese Arbeit nur noch von eingeschranktem Wert waren.

    So war es fiir diese Arbeit unerlasslich, kontinuierlich neue Quellen zu re-cherchieren. Uber das Internet gab es Zugriffsmoglichkeiten auf Gesetze,^^

    deutschen Fakultat, die sich mit dem Schutz kritischer Informations-Infrastrukturen auseinan-dergesetzt hat. Dennoch gibt es Ausnahmen. So z.B. Paul Kevenhorster, der sich schon zu Beginn der Achtzigerjahre intensiv mit der Ausgestaltung von PoHtik im Zeitalter von Kommunikations-und Informationstechnik befasste. Vgl. Kevenhorster, Paul: Politik im elektronischen Zeitalter. Es gibt andere politikwissenschaftliche Arbeiten, die den Schutz kritischer Informations-Infrastrukturen zum Inhalt hatten, so z.B. die Magisterarbeit von Thomas Beer: Unsicherheit und Risiko informationsbasierter Gesellschaften. Hausarbeit zu Erlangungen des akademi-schen Grades eines Magister Artium. Ludwig-Maximilians-Universitat Miinchen 2003. Aber auch die Diplomarbeit von Jan Kuhn: Kritische Informationsinfrastrukturen und die Sicherheit westlicher Industrienationen. Universitat Hamburg 2004. Alle wichtigen US-Gesetze und Erlasse konnten iiber das Internet recherchiert werden. So z.B. der USA PATRIOT Act (siehe Kapitel 7.1.4) oder verschiedene Executive Orders (siehe Kapi-tel 7.1.2 Oder 7.1.3).

    27

  • Studien,̂ ^ Berichte,̂ ^ Protokolle von Ausschusssitzungen,^^ Reden^^ oder elektronisch verfugbare Fachzeitschriften.̂ ^ Femer bestand iiber Mailinglisten,^^ elektronische Nachrichtendienste^^ oder Webseiten von Forschungseinrichtun-gen̂ "̂ die Moglichkeit, sich zeitnah iiber aktuelle Entwicklungen zu informieren. Dementsprechend hoch ist der Anteil von Quellen, die durch Links belegt werden.

    Die Bedeutung des Internets mindert dennoch nicht den Wert spezifischer Fachliteratur. Zu den Bereichen Sicherheitspolitik,̂ ^ IT-Sicherheit, aber auch

    Z.B. VoBbein, Jom und VoBbein, Reinhard: KES/KPMG: Sicherheitsstudie 2002 - Lagebe-richt zur IT-Sicherheit. Teil 1. www.itseccity.de/content/markt/studien/021005_mar_stu_kesl. html [Stand: 23.04. 2003]. Besonders zu erwahnen sind die Reporte des US-amerikanischen General Accountability Office (GAO - www.gao.gov) oder des Congressional Research Service (CRS - www.loc.gov/ crsinfo/). Seit mehreren Jahren veroffentlichen beide Institutionen regelmaBig Berichte zu Teilbereichen des Schutzes kitischer Informations-Infrastrukturen. Im Rahmen der Recherchen zu dieser Arbeit wurde eine Vielzahl von so genannten Aus-schuss-„Hearings" analysiert, so z.B. Schneier, Bruce: Overview of the Cyber Problem - A Nation Dependent and Dealing with Risk. Hearing before the Subcommitee on Cybersecurity, Science, and Research and Development Committee on Homeland Security. United States House of Representatives. Washington 2003. Oder Watson, Kenneth C: Hearing on Creating the Department of Homeland Security: Consideration of the Administration's Proposal. Wa-shington 2002. Der ZugrifF auf Reden des ehemaligen US-Ministers fur Homeland Security, Tom Ridge, und von US-Prasident Bush war uber die Homepage des Department of Homeland Security mog-lich. Vgl. www.dhs.gov [Stand: 02.11.2004]. Beitrage des deutschen Innenministers Otto Schi-ly stammten aus Zeitungsinterviews (z.B. Schily, Otto: „Wir sind gegen Cyberterror gewapp-net". Interview mit der Zeitung „Die Welt" vom 20. Januar 2004. www.welt.de/data/2004/01/ 20/225673.html [Stand: 23.02.2004]). Vor allem aber aus der Dokumentation „Nach dem 11. September 2001. Mafinahmen gegen den Terror. Dokumentation aus dem Bundesministerium des Innem." des Bundesministerium des Innnem (Hrsg.). Berlin 2003. Kiinftig zitiert als: BMI: Mafinahmen gegen den Terror. z.B. Berinato, Scott: The Truth About Cyberterrorism. In: CIO Magazine, 15. Marz 2002. www.cio.com/archive/031502/truth.html [Stand: 11.11.2003]. z.B. die Mailingliste „infowar.de" des Diplom-Politologen Ralf Bendrath. Vgl. userpage.fu-berlin.de/~bendrath/liste.html [Stand: 12.12.2004]. Hier sind vor allem die News-Seiten www.heise.de und de.intemet.com zu nennen. Sehr hilfreich war vor allem vor die Seite „Security in The News" des Investigative Research for Infrastructure Assurance (IRIA) Projektes am Institute for Security Technology Studies (ISTS) am Dartmouth College (news.ists.dartmouth.edu/ [Stand: 23.07.2004]) mit aktuellen Informationen zur Lage in den USA sowie die „Critical Infrastructure Protection der Informa-tion Warfare Site" (IWS) aus GroBbritannien, die von Graduierten des Department of War Studies am King's College in London betrieben wird. Hier war der Zugriff auf viele Basis-Dokumente zum Schutz kritischer Informations-Infrastrukturen moglich. Vgl. www.iwar.org.uk/cip/ [Stand: 12.12.2004]. Hier sind vor allem die Werke von Barry Buzan zu nennen: Buzan, Barry: People, States and Fear. An Agenda for International Security Studies in the Post-Cold War Era. New York u.a.̂

    28

  • zum Schutz kritischer Infrastrukturen konnte auf Standardwerke und andere Veroffentlichungen zuriickgegriffen werden, die eine fiindierte Gmndlagenar-beit ermoglichten.̂ ^ Dabei konnten einige wenige Beitrage von deutschen Politikwissenschaftlem verwendet werden, die sich mit Teilaspekten des Schut-zes kritischer Informations-Infrastrukturen befassten. Zu nennen sind hier vor allem Alexander Siedschlag^^ und Olaf Winkel.̂ ^ Beitrage aus Fachzeitschrif-ten̂ ^ sowie Sammel- und Tagungsbanden"̂ ^ runden den Fundus „klassischer" Quellen ab.

    Genutzt werden konnte auch die Bibliothek des Bundesamtes fur Sicherheit in der Informationstechnik (BSI). Hier gilt es zu erwahnen, dass der Verfasser bei Fertigstellung dieser Arbeit iiber 18 Monate in einer Teilzeitanstellung im Bundesamt fiir Sicherheit in der Informationstechnik tatig war. Die Anstellung im Referat „Kritische Infrastrukturen", die Einbindung in verschiedene Projekte, die Zusammenarbeit mit dem fiir IT-Sicherheit zustandigen Referat IT 3 im Bundesministerium des Innem in Berlin sowie die aktive Teilnahme an nationa-len wie intemationalen Konferenzen und Workshops erlaubten einen tief gehen-den Einblick in die deutschen, aber auch in die intemationalen Aktivitaten zum Schutz kritischer Informations-Infrastrukturen. Der Verfasser ist sich der Prob-lematik bewusst, dass durch diese Tatigkeit die Stellung des BSI, bzw. die des

    1991. Und Buzan, Barry: Security, the State, the „New World Order". In: Lipschutz, Ronnie D. (Hrsg.): On Security. New York 1995. S. 197-211. Fur den Schutz kritischer Informations-Infrastrukturen ist vor allem das CIIP-Handbook der ETH Zurich hervorzuheben. In den beiden Ausgaben aus den Jahren 2002 und 2004 werden am Beispiel ausgewahlter Staaten die MaBnahmen zum Schutz kritischer Informations-Infrastrukturen inventarisiert sowie verschiedene Modelle vorgestellt. Vgl. Wenger, Andreas et al.: International CUP Handbook. An Inventory of Protection Policies in Eight Countries. Zu-rich 2002. Und Dunn, Myriam und Wigert, Isabelle: International CUP Handbook 2004. An Inventory and Analysis of Protection Policies in Fourteen Countries. Edited by Andreas Wenger and Jan Metzger. Zurich 2004. Download unter www.isn.ethz.ch/cm/_docs/ CIIP_Handbook_2004_web.pdf [Stand: 02.02.2004]. Vgl. Siedschlag, Alexander: Internationale Sicherheitspolitik im Intemet-Zeitalter. In: Siedschlag, Alexander und Bilgeri, Alexander: Kursbuch Internet und Politik. Band 2/2002. Schwerpunkt: Elektronische Demokratie im intemationalen Vergleich. Opladen 2003. Kunftig zitiert als: Siedschlag, Alexander: Internet und Politik. Vgl. Winkel, Olaf: Demokratische Politik und Kommunikation im 21. Jahrhundert. Informati-onstechnischer Wandel und demokratischer ProzeB, betrachtet aus der Vogelperspektive. Miinster 1999. Und Winkel, Olaf: Sicherheit in der Informationsgesellschaft. Hilfreich z.B. die Beilage der Zeitung „Das Parlament" „Aus Politik und Zeitgeschichte". FUr die USA hervorzuheben ist „Foreign Affairs". Zu nennen z.B. der Sammelband „IT-Sicherheit in der Informationsgesellschaft - Schutz kritischer Infrastmkturen": Holznagel, Bemd u.a. (Hrsg.): IT-Sicherheit in der Informationsge-sellschaft - Schutz kritischer Infrastrukturen. Miinster 2001. Sowie Von Knop, Jan und Frank, Hans (Hrsg.): Netz- und Computersicherheit. Sind wir auf einen Angriff auf unsere Informati-ons-Infi^stmkturen vorbereitet? Bielefeld 2004.

    29

  • Referates „Kritische Infrastrukturen" entweder zu wenig kritisch, oder aber -um dem Vorwurf der Voreingenommenheit zu begegnen - zu kritisch bewertet wird. Es sei an dieser Stelle explizit darauf verwiesen, dass die vorliegende Arbeit nicht im Auftrag des oder fur das Bundesamt fiir Sicherheit in der Infor-mationstechnik verfasst wurde. Die Unterstiitzung seitens des BSI war rein ideell.

    Neben der Einsicht von zur Veroffentlichung freigegebenen Dokumenten bot sich die Moglichkeit der Kenntnisnahme so genannter „Verschlusssachen". Die Inhalte dieser Dokumente konnten zwar fur diese Arbeit nicht verwendet werden, ermoglichten jedoch ein besseres Verstandnis ftir das untersuchte Problemfeld. Sehr hilfreich war auch die Nutzung der BSI-Datenbank zu IT-spezifischen Vorfallen in kritischen Infrastrukturen. Es bot sich hierdurch die Moglichkeit, besser einzuschatzen, wie verwundbar die IT in kritischen Infra-strukturen schon heute ist und welche Folgen Storungen oder Ausfalle in der Zukunft haben konnten."*^

    1.5 Methode

    Der vorliegenden Arbeit liegt eine qualitativ-interpretative, vergleichende Analyse der MaBnahmen zum Schutz kritischer Informations-Infrastrukturen in den Vereinigten Staaten und in der Bundesrepublik Deutschland zugrunde. Der Aufbau richtet sich dabei an der Politikfeldanalyse (Policy-Studie) aus/^ Es ist Ziel der Arbeit zu erarbeiten, welche Resultate (policy) sich beim Schutz kriti-scher Infrastrukturen ergeben, wenn in einem gegebenen politischen System (polity) eine bestimmte, aber durchaus veranderbare Problemlosungsstrategie (politics) eingeschlagen wird."*̂ Dieses Vorgehen wird dabei weiter vertieft, indem der Inhalt der Politik beschrieben, der Einfluss der Rahmenbedingungen bewertet, die Auswirkung institutioneller Arrangements und politischer Prozes-se auf die Substanz der Politik untersucht sowie die Konsequenzen der politi-schen Entscheidungen fur die Gesellschaft ermittelt werden. Problematisch ist dabei, dass der Schutz kritischer Informations-Infrastrukturen nicht einem

    Zur BSI-Datenbank siehe auch Kapitel 5.5. „Policy umschreibt die inhaltlichen Aspekte von Politik und untersucht dabei v.a. die Frage nach den Gegenstanden, Zielen und Wirkungen polit., i.d.R. staatl. Aktivitaten." Jann, Wemer: Politikfeldanalyse. In: Nohlen, Dieter und Schultze, Rainer-Olaf (Hrsg.): Lexikon der Politik-wissenschaft. Band 2. Munchen 2002. S. 665f. Vgl. Schubert, Klaus: Politikfeldanalyse. Eine Einfuhrung. Opladen 1997. S. 27. Vgl. Kevenhorster, Paul: Politikwissenschaft. Band 1: Entscheidungen und Strukturen der Politik. Opladen^ 2003. S. 393. Kiinftig zitiert als: Kevenhorster, Paul: Entscheidungen und Strukturen.

    30

  • singularen Politikfeld zugeordnet werden kann. Hier ist ein deutlicher Quer-schnittscharakter auszumachen; der Schutz kritischer Informations-Infrastrukturen beruhrt das Politikfeld Sicherheitspolitik ebenso wie z.B. Wirt-schafts- Oder Verteidigungspolitik. Trotzdem erscheint in beiden untersuchten Staaten eine relativ eindeutige Zuordnung moglich. Deiin bei Politikfeld iiber-greifenden Policies, die die Kooperation mehrerer Ministerien erforderlich machen, bleibt in der Regel ein Ressort federfuhrend."*̂

    Die Entwicklung konkreter Handlungsoptionen zum Schutz kritischer In-formations-Infrastrukturen in Deutschland ist ein zentrales Ziel dieser Arbeit."^ Der abschliefiende Entwurf von praktikablen Problemlosungsoptionen steht am Ende einer Phase der Problemorientierung, die an den von Harold D. Lasswell entwickelten fiinf Schritten der Problemorientierung ausgerichtet wurde:

    Klarung der Ziele: Welcher Zustand ist erstrebenswert? Beschreibung gesellschaftlicher Trends: Welche Entwicklung kommt den Zielen entgegen und welche laufen ihnen zuwider? Analyse der Bedingungen: Welche Faktoren bestimmen die genannten Trends? Projektion von Entwicklungsverldufen: Welcher Zustand und welche Diskrepanzen sind zu erwarten, wenn die bisherige Politik fortgesetzt wird? Formulierung, Evaluierung und Auswahl politischer Handlungsalternati-ven: Welche Strategien tragen unter den gegebenen Bedingungen am ehes-ten zur Verwirklichung der Ziele bei?"*̂

    Fiir die Analyse von Politikinhalten im Rahmen der Politikfeldanalyse wird die Inhalts- bzw. Dokumentenanalyse als geeignete Methode bezeichnet. Die Technik der Dokumentenanalyse, die sich in der politikwissenschaftlichen Forschung bewahrt hat,"*̂ beschreibt ein elementares Verfahren im Sinne einer

    Vgl. Lange, Hans-Jiirgen: Innere Sicherheit als Netzwerk. In: Lange, Hans-Jiirgen: Staat, Demokratie und innere Sicherheit. Opladen 2000. S. 241. Fiir die USA fallt die Bewertung in-sofem leicht, als der Schutz kritischer Informations-Infrastrukturen seit einiger Zeit in den Verantwortungsbereich des Department of Homeland Security fallt. Fiir Deutschland ist diese Zuordnung nicht ganz so einfach moglich, eine Federfuhrung des Bundesministeriums des In-nem ist jedoch auszumachen. Ziel der Politikfeld-Analyse ist es unter anderem, praktische Erkenntnisse zu sammeln und diese in Form von Politikberatung weiterzugeben. Vgl. Schubert, Klaus und Klein, Martina: Das Politiklexikon. Bonn 1997. S. 214. Vgl. aber auch Jaim, Werner: a.a.O. S. 666. Vgl. Lasswell, Harold: A Pre-View of Policy Sciences. New York 1971. S. 39. Vgl. Reh, Werner: Quellen- und Dokumentenanalyse in der Politikfeldforschung: Wer steuert die Verkehrspolitik? In: Alemann, Ulrich von (Hrsg.): Politikwissenschaftliche Methoden. Opladen 1995. S. 244.

    31

  • qualitativ-interpretativen Vorgehensweise."*^ Da bei der Erforschung des Schut-zes kritischer Informations-Infrastrukturen der Einordnung artikulierter Interes-sen sowie politischer Standpunkte ein besonderes Gewicht zukommt, bietet eine qualitative Analyse die Moglichkeit, den materiellen Gehalt der Quellen ursach-lich und insofem eingehender und differenzierter zu ermitteln als anhand quanti-tativer Untersuchungsraster.^^ In der politikwissenschaftlichen Untersuchung des Schutzes kritischer Informations-Infrastrukturen bietet die Dokumentenana-lyse auf der Basis von Originalquellen der Akteure die Option, die Positionen und Keminteressen im diesem Bereich zu extrahieren und in einen Gesamtzu-sammenhang zu stellen.^^

    Um die gewonnenen Ergebnisse abzusichem und diese um weitere Sicht-weisen zu erganzen, wurden Informationsgesprache mit nationalen und intema-tionalen Experten fur Sicherheitspolitik, IT-Sicherheit und Schutz kritischer (Informations-) Infrastrukturen gefuhrt.^^ Informationsgesprache, bzw. die explorative Konversation stellen die informellste und am wenigsten strukturierte Form der mundlichen Datenermittlung dar. Da die Gesprachsteilnehmer aber alle Freiheiten der intensiven Erorterung der interessierenden Punkte besitzen, kann der Informationsgehalt sehr viel hoher sein als bei standardisierten Formen der Datenermittlung. Bei Experten-Interviews nimmt diese Methode einen wichtigen Platz ein.̂ ^

    1.6 Aufbau der Arbeit

    Ein groBes Problem beim Schutz kritischer Informations-Infrastrukturen entsteht dadurch, dass nicht endgiiltig geklart ist, wer die Verantwortung dafiir tragt, dass diese angemessen geschiitzt werden. Der Staat ist verantwortlich fur die Gewahrleistung nationaler Sicherheit, es stellt sich aber die Frage danach, ob er auch ftir den Schutz kritischer Informations-Infrastrukturen verantwortlich ist, wenn diese sich in privatem Besitz befinden. Die Theorie der offentlichen Giiter bietet hier ein hilfreiches Instrumentarium, um diese Frage zu klaren. Aus den in Kapitel 2 gewonnenen Ergebnissen ergibt sich eine argumentative Grundlage, von der aus die bestehenden Verantwortlichkeiten im Verlauf der Arbeit geklart und Handlungsoptionen abgeleitet werden konnen.

    32

    ebd. S. 204. ebd. S. 203. Vgl. Patzelt, Werner: Einfuhnmg in die Politikwissenschaft. GrundriB des Faches und studienbegleitende Orientierung. Passau"̂ 2001. S. 149. Siehe Anhang. Vgl. Alemann, Ulrich von und Fomdran, Erhard: Methodik der Politikwissenschaft. Eine Einfiihrung in Arbeitstechniken und Forschungspraxis. Stuttgart et al."* 1990. S. 168.