vorangehende Seite
end
Datenschutz
Sicherheit im Umgang mit digitalen Daten
Datenschutz im Internet Sicherheit - Cyberkriminalität
Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken 2018
BAKOM Bekämpfung von Cyberkriminalität auf .ch- und .swiss-Websites 2017
VBS Cyberkriminalität, Sicherheit und Staatsgrenzen 2011
Datenschutz im Internet Berichte
Wer das gleiche Passwort mehrfach nutzt, hilft den Angreifern 2018
Verschlüsselungstrojaner und missbräuchliche Mails 2017
MELANI Cyberangriffe - Massive Zunahme 2013 2013
MELANI Cyberangriffe nehmen zu 2011 2011
MELANI Drive-By: Massenhacks gegen Webseiten 2008 2008
Datenschutz Informationen
Europarat Der Europarat und der Kampf gegen die Computerkriminalität
ICT-Glossar Fachbegriffe
Datenschutz Weitere Informationen
Informations- und Kommunikationstechnologie
Cyberkriminalität, Sicherheit und Staatsgrenzen
Referat von Bundesrat Ueli Maurer, Chef des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport VBS, gehalten am CIO-Forum vom 16. Juni 2011 in Zürich.
Nichts erklärt so gut ein neues Phänomen wie ein alter Volksreim:

"Als Gutenberg den Druck erfand, der Herrgott ihm zur Rechten stand, jedoch ohn' allen Zweifel, zur Linken stand der Teufel."

Der Spruch umschreibt zutreffend, wie grosse Erfindungen im Guten wie im Schlechten tiefgreifende Auswirkungen haben. Es gibt keine bedeutende Erfindung, die nicht sofort auch für Kriminalität oder Krieg missbraucht worden wäre.

Der Vergleich mit der Erfindung des Buchdrucks liegt nahe. Damals wie heute werden durch wissenschaftliche Errungenschaften die Kommunikation revolutioniert.

Die letzte Kommunikationsrevolution hat mit Reformation und Aufklärung die westliche Welt grundlegend umgestaltet. Und wahrscheinlich stehen wir auch heute am Anfang von grossen gesellschaftlichen und politischen Veränderungen.

Denn mit den neuen Medien und Kommunikationsmitteln entstehen neue politische Möglichkeiten. Macht kann auf neue Art hinterfragt und herausgefordert werden.

Beispiele liefert die Aktualität viele, schauen wir uns nur kurz das momentan prominenteste an:

Die sogenannte Jasmin-Revolution, also die Demonstrationen und Unruhen, die seit dem Januar den arabischen Raum erschüttern: Die Ursachen sind von Land zu Land verschieden; und auch die Forderungen und Hoffnungen der Demonstranten oder Rebellen sind nicht einheitlich. Gemeinsam aber ist diesen Protesten, dass Internet und Handy vor allem in den Anfangsphasen bei der Mobilisierung der Massen eine grosse Rolle spielten.

Die neuen Medien lassen sich schwieriger kontrollieren; Neuheiten verbreiten sich schnell, auch über die Grenzen hinweg. Die Ereignisse in Tunis befeuerten die Demonstranten in Kairo; der Erfolg der Revolution in Kairo war sofort in Syrien und Jemen bekannt usw. - usf. Die Regierungen reagierten unbeholfen, indem sie zeitweise das Mobiltelephonnetz abschalteten. Aber herkömmliche Repression und herkömmliche Zensur lassen sich mit den neuen Medien ziemlich leicht ausdribbeln.

Der arabische Raum ist nur ein Beispiel für eine weltweite Entwicklung: Die zunehmende Bedeutung des Internet und der Mobiltelephone für politische Auseinandersetzungen. Eine Zahl zur Illustration: Am 13. Januar 2011 übertraf Facebook die 600 Millionen-Grenze, momentan soll es weltweit bereits über 674 Millionen Mitglieder haben.

Virtueller Raum als neues Schlüsselgelände

Die Welt wird mit dem virtuellen Raum um eine Dimension erweitert. Und in dieser neuen Dimension gibt es keine klar ersichtlichen Grenzen oder Fronten. Sogar die Unterscheidung in Krieg und Frieden wird hinfällig. Es finden Aktionen statt, die grosse Auswirkungen haben können. Aber Urheber und Absichten bleiben häufig im Dunkeln.

Damit zeichnen sich grosse strategische Veränderung ab: Der virtuelle Raum wird zum Schlüsselgelände, wenn es um die Durchsetzung von Interessen geht.

Das zeigt sich nur schon darin, wie die Grossmächte in den Bereich Cyber-Krieg und Cyber-Abwehr investieren. Die USA beispielsweise verabschiedeten in den vergangenen Jahren immer wieder grosse Programme für die Cyber-Sicherheit; eines der aktuelleren soll 2009 im Umfang von 17 Milliarden Dollar lanciert worden sein.[1] Und die NATO hat in Tallinn ein Zentrum zur Cyber-Abwehr eingerichtet und letztes Jahr in Lissabon einen Gipfel zu Cyber-Strategien abgehalten.[2]

Aber nebst solchen offen deklarierten Positionsbezügen im Cyber-Raum haben wir es heute vor allem mit weitgehend unbekannten Akteuren zu tun, die mit weitgehend unbekannten Mitteln weitgehend unbekannte Ziele verfolgen. Für die Landessicherheit sind insbesondere zwei Arten von solchen neuen, unbekannten Akteuren bedeutsam:

Hacker:

Hacker, organisiert oder als Einzelkämpfer. Gemeinsam haben sie nur eines: Ihr Vorgehen und ihre Taten. Sie verschaffen sich illegalen Zugriff auf Daten, die sie einsehen, verfälschen, kopieren, beschädigen, löschen usw. So wie zum Beispiel letzte Woche auf die amerikanische Bank City-Group, als nach einem Hacker-Angriff offenbar hundertausende von Kunden ihre Bankkarten nicht mehr benutzen konnten. Oder über die Pfingsten, als Hacker den Server des US-Senats knackten[3] und das Computer-System des IWF angriffen.[4]

Oft ist unklar, wer dahinter steht und welche Ziele verfolgt werden. Von wirtschaftlichen bis zu ideologischen Motiven ist alles möglich, nicht zuletzt auch ein Wettbewerbsgeist in der Hacker-Szene: Prestige hat, wer etwas knacken kann.

Staaten:

Die andere Gruppe sind Staaten, die ihre Aktivitäten perfekt tarnen. Der virtuelle Raum gibt dazu neue, ungeahnte Möglichkeiten. Nachrichtenbeschaffung oder Sabotage kann so verschleiert werden, dass man bestenfalls irgendwie und irgendwo etwas feststellt, aber den Urheber nicht erfassen kann. Und selbst wenn die Spuren in ein Land zurückverfolgt werden können, ist noch nicht bewiesen, dass wirklich der Staat involviert ist. Grossmächte machen nach Zwischenfällen regelmässig private Hacker verantwortlich. Diese sollen sich aus eigenem Antrieb, aus patriotischem Überschwang gewissermassen, mit Attacken in politische Auseinandersetzungen mit ausländischen Grossunternehmen oder sogar mit Staaten einmischen.

Die neuen Möglichkeiten im virtuellen Raum verändern auch die Konfliktführung. Da stehen wir ebenfalls bestimmt erst am Anfang grosser Veränderungen. Bereits jetzt aber können wir feststellen, wie der Cyber-Raum zum Gefechtsfeld wird:

Georgienkrieg:

Der Georgienkrieg von 2008 lieferte uns zuerst einmal die Bilder, die unsern Vorstellungen vom konventionellen Krieg entsprechen. Die russischen Operationen mit den schweren Waffen erinnerten uns an den 2. Weltkrieg: Panzervorstösse, vorbereitendes Feuer mit Artillerie und Raketenwerfer auf Dörfer und Städte.

Was die Bilder nicht zeigten, war der Krieg hinter der Kulisse: Die herkömmliche Kriegsführung wurde durch Internet-Angriffe begleitet. Während des Konflikts wurden Online-Portale der georgischen Regierung und von georgischen Banken gestört. Die Georgier dagegen nutzten das Internet erfolgreich für Propagandazwecke.

Stuxnet-Virus:

Bereits eine ganz andere Qualität hat der Vorfall mit dem Stuxnet-Virus vom Sommer letzten Jahres. Der Computer-Virus wurde offenbar gezielt so programmiert, dass er die Steuerungen von Industrieanlagen sabotieren kann. Das war dann bei den Zentrifugen in iranischen Uran-Anreicherungsanlagen der Fall. Das wird kaum ein Zufall sein. Wer allenfalls dahinter steht, ist jedoch nicht bekannt: Das ist typisch für die Konfliktführung im Cyber-Raum.

Übersicht über Cyber-Aktivitäten

Für uns stellt sich die Frage, was denn allenfalls auf uns zukommen kann. Zuerst einmal lässt sich die wachsende Bedeutung der neuen Medien in der Politik auch bei uns feststellen. Die Möglichkeiten zur schnellen Vernetzung begünstigen das Entstehen von Bürgerbewegungen, wie zum Beispiel letzthin gegen die Billag. Diese Entwicklung ist ein neuer Ausdruck der demokratischen Meinungsbildung, den ich positiv beurteile.

Positiv beurteile ich auch die schnelle Verbreitung von Nachrichten und Neuigkeiten in den neuen Medien: Das erschwert Heimlichtuerei und führt dazu, dass schneller aktiv informiert wird. Letztlich führt das allgemein zu mehr Transparenz. Ins Negative kippt es dann, wenn Privatsphären verletzt werden.

Die Fortschritte und Errungenschaften im virtuellen Raum haben aber nicht nur positive Aspekte. Die neuen Konflikte betreffen auch uns. Denn dass auch die Schweiz ins Visier genommen wird, ist nicht nur eine Möglichkeit, sondern ist bereits Tatsache geworden: Das EDA beispielsweise war Ziel eines Cyber-Angriffes.

Die Aktionen im Cyber-Raum sind von ganz unterschiedlicher Qualität. Es hilft, wenn wir zum besseren Verständnis zuerst begriffliche Klarheit herstellen. Da hinter den neuen Phänomenen auch nur Menschen stehen, lassen sie sich auf bekannte Grössen herunterbrechen.

Wir können die Aktionen im Cyberspace in folgende Kategorien einteilen, die Delikten in der realen Welt entsprechen:

Vandalismus: Spannungen oder besondere Ereignisse können dazu führen, dass Einzelne oder Organisationen zu Protesten aufrufen. Aber nicht zu einer realen Kundgebung, sondern zu koordinierten Aktionen im Internet. Diese richten sich gegen staatliche Stellen oder Unternehmungen. Bei solchen Internet-Protesten kann es - wie sonst bei einer Demo - zu Schäden kommen, wenn Online-Infrastrukturen gestört werden. So wie beispielsweise im Zusammenhang mit der Verhaftung von Wikileaksgründer Assange.

Kriminalität: Da ist alles denkbar, von der Verleumdung über Betrug bis hin zu Gewaltpropaganda. Es handelt sich um bekannte Delikte, die mit neuen Mitteln im virtuellen Raum begangen werden. Die Tatbestände sind strafbar, wenn sie real geschehen. Es stellen sich vorab juristische Fragen, wie es um die Strafbarkeit steht, wenn sie virtuell verübt werden.

Spionage: Ziel sind Wissensträger, ob privat oder staatlich. Attraktive Opfer in der Schweiz sind Hochschulen und Unternehmen mit renommierten Forschungsabteilungen, die weltweit zur Spitze gehören. Das Vorgehen bei solchen Delikten ist besonders subtil, weil es nicht um Schädigung, sondern um den Informationsgewinn geht. Der Eindringling wird kaum Spuren hinterlassen und ist schwierig zu entdecken.

Sabotage und Terrorismus: Solche Angriffe richten sich gegen Private, Unternehmen oder staatliche Infrastrukturen mit dem Ziel, möglichst grossen Schaden anzurichten. Die Auswirkungen beschränken sich dann nicht nur auf den virtuellen Raum, sondern können sich überall im realen Leben auswirken. Die Motive können wirtschaftlicher, ideologischer oder politischer Art sein.

Konflikt: Das ist die höchste Eskalationsstufe. Im Schatten der Anonymität kann ein eigentlicher Cyber-Feldzug lanciert werden, um einen Staat an seinen kritischen Infrastrukturen zu treffen. Damit wird das Funktionieren des Staates oder des öffentlichen Lebens beeinträchtigt.

Fachleute unterscheiden dabei den Cyber-Angriff, den Cyber-Krieg und die Cyber-Abwehr.

Cyber-Angriffe: Das sind Operationen mit dem Ziel, Informationen und Systeme so zu manipulieren, dass daraus Nachteile für die Gegenseite resultieren.

Cyber-Krieg: Darunter versteht man koordinierte Cyber-Angriffe, die sich gegen die Handlungsfähigkeit eines Landes richten.

Cyber-Abwehr: Sie umfasst drei Bereiche. Das Erkennen von Cyber-Angriffen, das Abwehren und die Wiederherstellung des Funktionierens.

Freiheitliche Handlungsrichtlinien

Diese Unterscheidung ist keine theoretische Begriffsturnerei. Sie hilft, ein neues, noch unübersichtliches Phänomen zu strukturieren und zu zerlegen. Wir stellen fest, dass bei aller Neuheit doch immer wieder die bekannten Muster spielen: Die Mittel sind neu, aber die Ursachen, Motive und Ziele sind immer urmenschlich und darum uns auch gut bekannt.

Das heisst, dass wir uns entsprechend an den bewährten Grundsätzen orientieren können, nach denen unsere freiheitliche Ordnung aufgebaut ist:

Schutz der Privatsphäre: Die neuen elektronischen Möglichkeiten verführen den Staat, den Bürger unnötig zu überwachen und private Daten zu speichern. Ich stelle fest, dass speziell in supranationalen Organisationen ein starker Trend zu grossen, internationalen Datenbanken besteht, in denen wichtige Bürgerdaten erfasst und verwaltet werden. Wir müssen aufpassen, dass die Schweiz nicht im Sog internationaler Entwicklungen die Privatsphäre der Bürger einschränkt.

Schutz des Eigentums: Die freie Marktwirtschaft beruht auf einem strikten Schutz des Eigentums. Investitionen werden nur getätigt, wenn sie auch für die Zukunft gesichert sind. Und wenn garantiert ist, dass niemand Hand auf den Ertrag legen kann. Das gilt auch für Urheberrechte, Patente und geistiges Eigentum. In der modernen Wirtschaft werden immer grössere Summen in die Forschung, in die Entwicklung von Know-How investiert. Gerade für ein Land ohne Rohstoffe ist es besonders wichtig, ein Klima zu erhalten, das zu Investitionen in die Innovation ermutigt. Für den Forschungs- und Wissenschaftsstandort Schweiz ist das auch in Zukunft absolut entscheidend.

Eigentumsrechte sind in der virtuellen Welt neuen Bedrohungen ausgesetzt. Das beginnt beim einfachen Plagiat: Ein paar Mausklicks und man hat einen fremden Text kopiert und in den eigenen integriert. Und es setzt sich fort über den Datendiebstahl bis hin zur Werkspionage mit komplexen Mitteln.

Internet-Piraterie, Urheberrechtsverletzungen, Datenklau, Betriebsspionage - das alles trifft ins Mark unserer Wirtschaft. Darum ist der Eigentumsschutz einer der Bereiche, den wir mit hoher Priorität verfolgen müssen.

Strafverfolgung ist Justizsache: Wenn wir die Aktivitäten im Cyberspace ansehen, stellen wir fest, dass der grösste Teil davon alte Delikte sind, die mit neuen Mitteln begangen werden. Es ist dann vor allem eine Sache der Gesetzgebung, allfällige Lücken zu schliessen und auch die neuen Formen alter Delikte unter Strafe zu stellen (wie dies teilweise schon geschehen ist). Das kann man gezielt und mit der nötigen Zurückhaltung angehen, eine Gesetzesoffensive ist sicher nicht nötig.

Im Bereich der Bekämpfung von Cyber-Kriminalität existieren denn bereits auch schon staatliche Instrumente:

Der Bund betreibt eine "Melde- und Analysestelle Informationssicherung (MELANI)". Dabei arbeitet er mit Partnern zusammen, welche im Umfeld der Sicherheit von Computersystemen und des Internets tätig sind. Private Computer- und Internetbenutzer sowie KMU sollen in der Abwehr von Viren und Würmern unterstützt werden.

Die "Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK)" ist eine von Bund und Kantonen gemeinsam betriebene Einrichtung. Sie dient u.a. als nationale Anlaufstelle für Personen, die verdächtige Internetinhalte melden möchten, sucht aber auch aktiv im Netz nach strafrechtlich relevanten Seiten.

Landessicherheit ist grundsätzlich Bundesaufgabe: Die Abwehr von Spionage gegen den Staat und von Grossangriffen auf die kritische Infrastruktur fällt dagegen in den Aufgabenbereich des Bundes. Weil es hier um die Wahrung staatlicher Interessen geht, kann sich die Schweiz - analog zur Armee - auch nicht ausschliesslich auf die Partnerschaft mit andern Staaten verlassen. Die Schweiz muss souveräne Schutzmöglichkeiten anstreben.

Weiteres Vorgehen

An diesen Schutzmöglichkeiten arbeiten wir jetzt. Der Bundesrat hat deshalb im letzten Dezember eine Projektgruppe beauftragt, unter der Führung von Divisionär Kurt Nydegger, ehemaliger Chef der Führungsunterstützungsbasis der Armee und des Zentrums für Elektronische Kriegsführung EKF, eine Nationale Strategie Cyber-Abwehr bis Ende 2011 zu präsentieren. Es geht hier also nicht um Cyber-Kriminalität, sondern um den Schutz vor schwerwiegenden Cyber-Angriffen oder gar einem Cyber-Krieg. Bei dieser höchsten Eskalationsstufe geht es um das Funktionieren von Wirtschaft, Gesellschaft und staatlichen Institutionen.

Mein Departement ist somit in doppelter Hinsicht herausgefordert:

Einerseits gehören Cyber-Aktionen, wie wir gesehen haben, immer mehr zur modernen Kriegsführung. Auch unsere Armee muss sich darauf einstellen, sowohl bei Konflikten über wie auch unterhalb der Kriegsschwelle Ziel von Cyber-Angriffen zu werden. Die Cyber-Abwehr ist darum für die Armee eine Notwendigkeit, um in Krisensituationen überhaupt handlungsfähig zu bleiben. Denn die Störungsanfälligkeit ist auch bei der Verteidigung hoch.

Armee und Armeeverwaltung basieren auf Informatiksystemen. Oft sogar auch auf privaten Mitteln. Man denke nur etwa an private Smartphones. Wir haben uns so sehr an sie gewöhnt, dass sie oft bedenkenlos eingesetzt werden. Eine militärische Übung, in der strikte per Funk und ohne das praktische Handy geführt wird, dürfte wohl die Ausnahme sein. Wenn es eilt und die Funkantenne noch nicht steht, dann befiehlt der Bataillonskommandant den Kompaniekommandanten mit dem Handy. Und das unabhängig von Sicherheitsstandards. In diesem Bereich besteht ganz sicher Handlungsbedarf.

Andererseits reichen Cyber-Bedrohungen weit über das nur Militärische hinaus. Cyber-Angriffe sind eine Gefahr für die ganze Gesellschaft - Darum ist auch die Cyber-Abwehr eine Aufgabe der ganzen Gesellschaft. Das VBS hat hier als das Departement der Sicherheit die Federführung.

Ich möchte der Strategie nicht vorgreifen. Fest steht aber, dass wir einen integralen Ansatz wählen müssen:

Instrumente der Sicherheitspolitik:

Die Cyber-Abwehr ist eines von mehreren Instrumenten der Sicherheitspolitik. Sie darf nicht ein isolierter Bereich sein; sie muss als integraler Teil unserer Landessicherheit wirken. Nur so können wir der mehrdimensionalen Bedrohung begegnen. Wichtig ist eine eingespielte Zusammenarbeit zwischen Justiz, Polizei, Nachrichtendienst, Bevölkerungsschutz, Landesvorsorge und Armee. Eine sorgfältige Aufgabenteilung ist besonders mit der Justiz und der Polizei notwendig, da diese für Internet-Kriminalität, also Cyber-Aktionen auf einer tieferen Eskalationsstufe, zuständig sind.

Innenpolitische Ebene:

Der integrale Ansatz erstreckt sich auch auf Kantone und Gemeinden. Wir werden uns nicht nur auf die Stufe Bund beschränken können, sondern weitere Partner mit einbeziehen.

Aussenpolitische Ebene:
Die Zusammenarbeit auf der aussenpolitischen Ebene ist wichtig, aber auch heikel. Cyber-Aktionen haben meist einen internationalen Hintergrund. Darum sind wir auf internationale Partner angewiesen. Strafverfolgung von Cyber-Kriminalität ist häufig eine grenzübergreifende Angelegenheit. Wenn es aber um die Abwehr von schweren Cyber-Angriffen oder sogar um einen Cyber-Krieg geht, sind wir nicht mehr im Bereich der Strafverfolgung, sondern im Bereich der Sicherheitspolitik. Und als souveräner Staat dürfen wir in diesem neuen Bereich der Sicherheit nicht von andern abhängig sein.

Kritische Infrastrukturen:

Unsere moderne Gesellschaft ist verletzlich. Es gibt kritische Infrastrukturen, auf deren Funktionieren wir angewiesen sind. Das führt weiter zur Frage nach der Eigenverantwortung von Unternehmen. Inwieweit kann und muss der Staat am Schutz von Unternehmen mitwirken, die kritische Infrastrukturen betreiben? Und umgekehrt gefragt: Wie weit können Private zu einem bestimmten Schutzniveau verpflichtet werden? Technische und rechtliche Fragen sind da noch zu klären. Aber unser Ziel muss es sein, Private und Bund als Partner gegen Cyber-Angriffe zusammenzubringen.

Wirtschaftsstandort Schweiz:

Damit komme ich zur Bedeutung der Cyber-Sicherheit für den Wirtschaftsstandort Schweiz. Die Cyber-Abwehr darf für die Wirtschaft keine Belastungen und Einschränkungen bringen. Ganz im Gegenteil: Es geht darum, die Sicherheit zu erhöhen und damit die Rahmenbedingungen für die Wirtschaft zu verbessern. Wir verstehen darum die privaten Unternehmen als wichtige Verbündete. Zusammen mit der Privatwirtschaft arbeiten wir für einen sicheren Wirtschaftsstandort Schweiz. Und dies immer in Einklang mit unseren freiheitlichen Staatsgrundsätzen: Der Bürger wird in seiner Privatsphäre und in seinem Eigentum geschützt.

Damit ist das Feld abgesteckt: In den nächsten Monaten werden diese allgemeinen Grundsätze zur Strategie konkretisiert. Und diese wird dann die Basis sein für das weitere Vorgehen. Klar ist aber jetzt bereits, dass Cyber-Sicherheit nicht allein eine Staatsaufgabe sein kann. Mit den staatlichen Mitteln und Möglichkeiten stossen wir an Grenzen. Die neuen Herausforderungen im virtuellen Raum können wir nur zusammen meistern. Sicherheit ist in unserem Milizstaat schon seit jeher eine gemeinsame Angelegenheit. Aber für die Cyber-Sicherheit gilt das noch ganz besonders.

Für die Sicherheit im Cyber-Raum brauchen wir die Unterstützung der Bürger und einfachen Computer-Benutzer, der Wirtschaft und vor allem der Fachleute - also die Ihrige! Ich zähle auf Sie und danke Ihnen!

[1] Gérald Vernez, Information Warfare and National Security Policy in Switzerland, o.O., 2009, S. 47 ff.
[2] http://www.nato.int/cps/en/natolive/topics_49193.htm
[3] http://www.tagesanzeiger.ch/digital/internet/Hacker-knacken-Server-des-USSenats/story/11561970
[4] http://www.faz.net/artikel/C30350/ausmass-noch-ungewiss-hacker-greifen-iwf-an-30437917.html
Quelle: Text Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport , Juni 2011

nach oben

Weitere Informationen
0
Sicherheitsinformationen für das Internet
Der Datenschutzbeauftragte warnt
Regeln für den Passwortschutz Sicherheitstipps beim Surfen im Internet
Informationssuche im Internet Suchmaschinen
Links
Externe Links
Bundesamt für Polizei fedpol Internet-Kriminalität
Eine Website für Erwachsene zur Informationsvermittlung: www.stopp-kinderpornografie.ch
European Cybercrime Centre
European Network and Information Security Agency (ENISA)
top
zurueck