World Wide War: Angriff aus dem Internet (German Edition)

wäre gewährleistet.
    Die Rolle des Staates besteht jedoch nicht nur darin, den Schutz zu finanzieren. Die staatlichen Stellen sollten auch eigene Informationen über Malware zur Verfügung stellen (wenn nötig als Black Box), Anreize für Unternehmen schaffen, Hackerangriffe aufzudecken, und Strukturen etablieren, die den Datenschutz und die Wahrung der Bürgerrechte gewährleisten. Im Gegensatz zu einem einzelnen Verteidigungssystem, das dem Staat gehört und von ihm betrieben wird (wie etwas das »Einstein«-System, das vom Ministerium für Heimatschutz zur Absicherung der Behörden geschaffen wurde), wäre dieses System vielschichtiger und variabler und könnte bei privaten IT-Unternehmen den Wettbewerb fördern und Innovationen vorantreiben. Wenn die Regierung vom unmittelbaren Ausbruch eines Cyberkriegs wüsste oder wenn der Krieg bereits ausgebrochen wäre, könnten verschiedene staatliche zentrale Netzwerkverwaltungen mit privaten IT-Sicherheitsfirmen und den Netzwerkverwaltungen wichtiger privater Einrichtungen zusammenarbeiten und die Abwehr koordinieren. Doch dafür muss die Regierung im Vorfeld ein spezielles Kommunikationsnetzwerk zwischen den Netzwerkverwaltungen einrichten, das der höchsten Sicherheitsstufe unterliegt, vom Internet völlig losgelöst ist und sich auch sonst vom Internet unterscheidet. (Die Tatsache, dass ein derartiges Netzwerk erforderlich ist, sagt einiges über das Internet aus.)
    Der zweite Bestandteil einer defensiven Triade ist ein sicheres Stromnetz. Am einfachsten nähert man sich dieser Problematik mit der Frage, warum das Stromnetz überhaupt mit dem Cyberspace verbunden ist. Ohne Strom funktionieren viele essenzielleDinge in unserem Leben nicht, zumindest nicht für längere Zeit. Bei einem Cyberanschlag wäre es daher naheliegend, Teile des Eastern oder Western Interconnect abzuschalten, der beiden großen Stromnetze, die die USA und Kanada mit Energie versorgen. (Texas verfügt über ein eigenes Stromnetz.) Eine Notstromversorgung ist zeitlich begrenzt und dafür berüchtigt, dass sie nicht funktioniert, wenn man sie braucht. Können die beiden nordamerikanischen Stromnetze, die Hunderte Kraftwerke und Umspannwerke umfassen, vor Hackerangriffen geschützt werden?
    Ja, allerdings nur mit einer zusätzlichen gesetzlichen Regelung. Wir müssen von staatlicher Stelle vorschreiben, dass die Steuerung der Stromerzeugung und -verteilung vom Internet losgelöst wird. Für das Netzwerk der Stromversorger sollten Zugangsbeschränkungen und -kontrollen bestehen. Das wäre gar nicht so teuer, aber versuchen Sie das einmal den Stromerzeugern zu erklären! Auf die Frage, welche Bereiche gefährdet seien und den Vorschriften für Cybersicherheit unterliegen sollten, antworteten die Energiekonzerne, dass 95 Prozent ihrer Unternehmen nicht betroffen seien. Ein Experte für Cybersicherheit, der mit den wichtigsten Sicherheitsunternehmen zusammenarbeitet, sagte, er habe Firmen gefragt, die mit Energieversorgern gearbeitet hätten, ob sie vom Internet aus zugreifen könnten auf deren Netzwerke zur Kontrolle der Stromversorgung. Alle sechs Firmen bejahten diese Frage. Wie lange sie gebraucht hätten? Keine hatte länger als eine Stunde benötigt. In der Zeit hackten sie sich über die öffentliche Website des Unternehmens in dessen Intranet und dann über die »Bridge«, die alle haben, zum Kontrollsystem. Einige Firmen waren noch schneller, indem sie sich die Internet-Telephonie (Internet-Protokoll-Telephonie, Voice over IP – VOIP) zunutze machten und sich über die VOIP-Telefone in den Kontrollräumen ins System einloggten. Diese Telefone sind, wie der Name schon sagt, mit dem Internet verbunden. Wenn sie sich im Kontrollraum befinden, sind sie wahrscheinlich auch mit dem Netzwerk verbunden, das die Stromerzeugung und -verteilung koordiniert.Clever, was? Aber es wird noch besser. Bei einigen Unternehmen werden die Befehle an die einzelnen Komponenten des Stromnetzes unverschlüsselt gesendet, etwa per Richtfunk. Man braucht nur in der Nähe zu sitzen und auf der gleichen Frequenz, die das Energieunternehmen nutzt, aber mit mehr Energie zu senden, schon kann man selbst die Befehle geben (wenn man die Befehlssoftware kennt).
    Die amerikanische Energieaufsichtsbehörde (FERC) hat versprochen, dass sie ab 2010 Energieunternehmen bestrafen will, die ihre IT-Netzwerke nicht schützen. Sie hat jedoch nicht gesagt, woher sie wissen will, welches Unternehmen gegen die Auflagen verstößt, denn