Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen ersten Bericht zur „Lage der IT-Sicherheit in Deutschland 2005“ vorgelegt. Die amtliche Bestandsaufnahme analysiert die gegenwärtige IT-Sicherheitslage, beschreibt Schwachstellen und Bedrohungen der bundesdeutschen IT-Systeme, liefert einen Ausblick auf die künftig zu erwartende Entwicklung und skizziert Ansätze für Gegenmaßnahmen. „Wirtschaft und Gesellschaft sind auf eine sichere Informationstechnik angewiesen“, erklärt BSI-Präsident Udo Helmbrecht im Vorwort des Berichts. IT-Sicherheit sei Teil der Inneren Sicherheit und müsse daher als nationale Aufgabe verstanden werden.
Schutz des deutschen IT-Nervensystems
Der Lagebericht des BSI ergänzt den „Nationalen Plan zum Schutz der Informationsinfrastrukturen“ (NPSI), den Bundesinnenminister Otto Schily kürzlich in Berlin präsentierte. Schilys Sicherheitsplan will Deutschlands IT-Infrastrukturen besser vor Gefahren aus dem Netz schützen. Gefahr drohe vor allem von Kriminellen und Terroristen, denen es darum gehe, aus ihren Angriffen auf IT-Systeme finanziellen Nutzen zu ziehen oder größtmöglichen volkswirtschaftlichen Schaden anzurichten. Prävention, Reaktion und Nachhaltigkeit – so heißen die drei Schutzschilde, mit denen das IT-„Nervensystem unseres Landes“ vor den allgegenwärtigen Bedrohungen aus dem Netz bewahrt werden soll.
Prävention, Reaktion, Nachhaltigkeit
Präventive Maßnahmen sollen in allen Teilen der Bevölkerung das Wissen insbesondere über Bedrohungen und Schutzmöglichkeiten verbessern, formulieren die Verfasser aus dem Innenministerium recht vage ihre Strategie. Sie beschränken sich auch sonst auf allgemeine Aussagen. Beschrieben werden lediglich die Symptome (Verbreitung von Schadprogrammen), ohne darauf hinzuweisen, dass beispielsweise die Windows-Monokultur im Bereich der Betriebssysteme den Nährboden für sicherheitsrelevante Angriffe liefert. Auch sonst bietet Schilys Plan nur grobe Orientierungspunkte, wie man die eigenen IT-Strukturen schützen will. So soll beim BSI das Krisenreaktionszentrum IT des Bundes eingerichtet werden, um „IT-Krisen frühzeitig zu erkennen und diesen gezielt entgegenzuwirken“. Neu ist diese Ankündigung allerdings keineswegs. Bisher schon informierte das BSI zuverlässig über drohende Viren- und Wurmattacken und liefert auf seinen Webseiten leicht verständliche Hinweise und Tipps, wie sich sowohl Privatanwender als auch Unternehmen wirkungsvoll schützen können.
Viele alte Hüte im BSI-Bericht
Der nun vom BSI vorgelegte Bericht analysiert die bundesdeutsche IT-Sicherheitslage detaillierter, obwohl er prinzipiell nur zusammenfasst, was anderswo schon wesentlich genauer beschrieben wurde. So klingt es reichlich antiquiert, wenn der BSI-Bericht in seiner Einleitung von neuen Bedrohungsformen spricht und damit die Verbreitung von Schadprogrammen via Emails meint. Auch Vorhersagen, dass die Gefahren durch Schadprogramme künftig noch wachsen werden, die Spamflut weiter steigen werde und auch neue Kommunikationstechniken wie Voice over IP, WLAN oder die Mobilfunkkommunikation zum Ziel von Schadprogrammen und Angriffen werden könnten, sind keineswegs neu.
Ross und Reiter
Interessant wird der BSI-Bericht an den Stellen, an denen er wie zum Beispiel im Analyse-Teil „Schwachstellen und Bedrohungen von IT-Systemen“ konkreter wird sowie Ross und Reiter nennt. Die Qualität einer Software, heißt es hier, mache sich auch daran fest, „ wie gut und schnell der Hersteller mit einem Update reagiert und so das Ausnutzen (…) der Sicherheitslücke durch ein Schadprogramm verhindert“. Zu oft seien jedoch heute die Updates selbst fehlerhaft, „beheben nicht die Schwachstelle und ihre Einführung erfolgt zu spät.“ Besser kann man die oft kritisierte, von Microsoft vielfach noch immer praktizierte Update-Politik nicht beschreiben.
Zurück zur News-Übersicht