Tillmann Schuize Bedingt abwehrbereit 2013. 7. 23.آ  4.4.2 Hacker, Cracker und Script-Kiddies 89...

download Tillmann Schuize Bedingt abwehrbereit 2013. 7. 23.آ  4.4.2 Hacker, Cracker und Script-Kiddies 89 4.4.3

of 30

  • date post

    27-Jan-2021
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of Tillmann Schuize Bedingt abwehrbereit 2013. 7. 23.آ  4.4.2 Hacker, Cracker und Script-Kiddies 89...

  • Tillmann Schuize

    Bedingt abwehrbereit

  • Tillmann Schuize

    Bedingt abwehrbereit Schutz kritischer Informations-lnfrastrukturen in Deutschland und den USA

    VS VERLAG FOR SOZIALWISSENSCHAFTEN

  • Bibliografische information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet uber abrufbar.

    1. Auflage Januar 2006

    Alle Rechte vorbehalten © VS verlag fiir Sozialwissenschaften/GWV Fachverlage GmbH, Wiesbaden 2006

    Lektorat: Monika Miilhausen / Katrin Schmitt

    Der VS Verlag fur Sozialwissenschaften ist ein Unternehmen von Springer Sclence+Business Media. www.vs-verlag.de

    Das Werk einschlieBlich aller seiner Telle ist urheberrechtlich geschutzt. Jede Verwertung auBerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustlmmung des Verlags unzulassig und strafbar. Das gilt insbesondere fur Vervielfaltigungen, Ubersetzungen, Mikroverfilmungen und die Einspel- cherung und Verarbeitung in elektronischen Systemen.

    Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten waren und daher von jedermann benutzt werden durften.

    Umschlaggestaltung: KiinkelLopka Medienentwicklung, Heidelberg Druck und buchbinderische Verarbeitung: MercedesDruck, Berlin Gedruckt auf saurefrelem und chlorfrei gebleichtem Papier Printed in Germany

    ISBN 3-531-14866-4

  • Meinen Eltern und Doris

    In Erinnerung an Willi Stein

  • Sicherheit in der Informationstechnik / IT-Sicherheit 64

    4.1 Was ist IT-Sicherheit? 64

    4.2 Grundziele der IT-Sicherheit 69

    4.3 Ursachen fur unzureichende IT-Sicherheit 71 4.3.1 Automatisierung 74 4.3.2 Komplexitat 75 4.3.3 Kosten 77 4.3.4 Monokulturen 79 4.3.5 Sicherheitsbewusstsein 80

    4.4 Ursachen ftir IT-Storungen und Angriffe auf IT 84 4.4.1 Viren, Wurmer und andere Schadprogramme 86 4.4.2 Hacker, Cracker und Script-Kiddies 89 4.4.3 Innentater / Outsourcing 91 4.4.4 Industrie- und Wirtschaftsspionage 92 4.4.5 Cyberterrorismus 94 4.4.6 Information Warfare / Hacker Warfare / Cyberwar 99 4.4.7 Weitere Ursachen 104

    4.5 IT-Sicherheit und die Theorie der offentlichen Giiter 106 4.5.1 IT-Sicherheit als offentliches Gut 106 4.5.2 Die Verantwortung des Staates fur IT-Sicherheit 108

    Kritische (Informations-) Infrastrukturen 112

    5.1 Abgrenzung des Schutzes kritischer Informations- Infrastrukturen 117

    5.2 Die Bedeutung des Schutzes kritischer Informations- Infrastrukturen 121

    5.3 Interdependenzen zwischen kritischen Infrastrukturen 123

    5.4 Kritische Infrastrukturen in den USA und in Deutschland 127 5.4.1 Kritische Infrastrukturen in den USA 127 5.4.2 Kritische Infrastrukturen in Deutschland 132

    5.5 Die Wahrscheinlichkeit weit reichender Storungen in kritischen Informations-Infrastrukturen 135

    5.6 Kritische Informations-Infrastrukturen und die Theorie der offentlichen Giiter 139

  • 5.6.1 Die Relevanz kritischer Informations-Infrastrukturen fiir das offentliche Gut der nationalen Sicherheit 140

    5.6.2 Die Verantwortung des Staates fiir den Schutz kritischer Informations-Infrastrukturen 142

    6 Meilensteine beim Schutz kritischer Informations- Infrastrukturen (1996-2001) 144

    6.1 USA 145 6.1.1 Meilensteine von Anfang bis Mitte der Neunzigerjahre 145 6.1.2 President's Commission on Critical Infrastructure

    Protection 147 6.1.3 Presidential Decision Directive 63 148 6.1.4 Critical Infrastructure Assurance Office 150 6.1.5 National Infrastructure Protection Center 152 6.1.6 National Plan 1.0 153

    6.2 Deutschland 155 6.2.1 Interministerielle Arbeitsgruppe Kritische Infrastrukturen.. 155 6.2.2 Der Abschlussbericht der AG KRITIS 157 6.2.3 Enquete-Kommission „Die Zukunft der Medien in

    Wirtschaft und Gesellschafl - Deutschlands Fortschritt auf dem Weg zur Informationsgesellschaft" 159

    6.3 Vergleich und vorlaufige Bewertung 160

    7 Schutz kritischer Informations-Infrastrukturen als Teil nationaler SicherheitspoUtik (2001-2004) 164

    7.1 USA 165 7.1.1 National Security Strategy of the United States of

    America 165 7.1.2 Executive Order 13228 167 7.1.3 Executive Order 13231 168 7.1.4 USA-PATRIOT Act 169 7.1.5 National Strategy for Homeland Security 172 7.1.6 National Strategy for The Physical Protection of Critical

    Infrastructures and Key Assets 174 7.1.7 National Strategy to Secure Cyberspace 175 7.1.8 Homeland Security Presidential Directive 7 180

    7.2 Deutschland 182

  • - ' 7J|^?^the Anti-Terror-PakfeJtei........ 182 "' T.^^NationalerPlanKRITIS 185

    7.3 V^peich und vorlaufige Bewertung 186

    8 Staatlic#lBStitutionen (2001-2004) 191

    8.1 USA;, .;.. 192 8.1.i;jfDepartment of Homeland Security 192 8.1:2; InitiativenandererRessortsundstaatlicherInstitutionen....204

    8.2 DepSbhland 205 %li%{i Projektgruppe Kritische Infrastrukturen 206 8.2iJ Bundesamt fur Sicherheit in der Informationstechnik 209 8.23, Bundesamt fur Bevolkemngsschutz und

    . Katastrophenhilfe 215 8.2.4 Bundeskriminalamt 217 8.2.5 Weitere Initiativen der Bundesministerien 217

    8.3 Vergleich und voriaufige Bewertung 220

    9 Staatliche Kooperationen und Initiativen des Privatsektors (2001-2004) 224

    9.1 Die Umsetzung des Schutzes kritischer Informations- Infrastrukturen nach der Theorie der offentlichen Giiter 224

    9.2 Die Notwendigkeit von Kooperationen 227

    9.3 Leitbild der mehrseitigen Sicherheit 228

    9.4 USA 233 9.4.1 Information Sharing and Analysis Centers 234 9.4.2 Infragard 238 9.4.3 Partnership for Critical Infrastructure Security 239 9.4.4 Internet Security Alliance 240 9.4.5 National Cyber Security Partnership 242 9.4.6 Protected Critical Infrastructure Information Programm 243

    9.5 Deutschland 245 9.5.1 Arbeitskreis Schutz von Infrastrukturen 246 9.5.2 Kooperation KRITIS 247 9.5.3 CERT-Verbund Deutschland 248 9.5.4 BITKOM 249

    10

  • 9.5.5 Initiative D21 250

    9.6 Vergleich und vorlaufige Bewertung 251

    10 Staaten iibergreifende Initiativen (2001-2004) 257

    10.1 IT-Sicherheit als globales offentliches Gut 259

    10.2 USA 261

    10.3 Deutschland 263

    10.4 Internationale Kooperationen, Initiativen und Abkommen 264

    10.5 Hindemisse fur intemationale Kooperationen 271

    10.6 Vergleich und vorlaufige Bewertung 274

    11 Bewertung des Schutzes kritischer Informations-Infrastrukturen ...277

    11.1 USA 277 11.1.1 Erfolge 278 11.1.2 Defizite 280

    11.2 Deutschland 283 11.2.1 Erfolge 284 11.2.2 Defizite 286

    12 Handlungsoptionen fiir Deutschland 289

    12.1 Faktor Mensch 289

    12.2 Faktor Politik 292

    12.3 Faktor Wirtschaft 308

    12.4 Faktor Technik 311

    13 Die Anwendbarkeit der Theorie der offentlichen Giiter 316

    14 Fazit 319

    Literaturverzeichnis 324

    Anhang 345

    11

  • Abbildungsverzeichnis

    Abbildung 1:

    Abbildung 2:

    Abbildung 3:

    Abbildung 4:

    Abbildung 5:

    Abbildung 6:

    Abbildung 7:

    Abbildung 8:

    Abbildung 9:

    Abbildung 10:

    Abbildung 11

    Abbildung 12

    Abbildung 13

    Kategorisierung wirtschaftlicher Giiter 38

    Art von SicherheitsverstoBen und Angriffsmethoden 88

    Die sieben Saulen des Information Warfare 100

    Gliederungsebenen kritischer Infrastrukturen 115

    US-Infrastruktur-Interdependenzen 126

    Organigramm des Department of Homeland Security 193

    Organisation des lAIP-Direktorats 195

    Organisation des Fachbereichs 1.2 im BSI 210

    Aufgabenwahmehmung beim Schutz kritischer Infrastrukturen 216

    In den Schutz kritischer Infrastrukturen eingebundene Ministerien 219

    Struktur offentlich-privater Kooperationen in den USA 235

    Sector Assessment Model zur Priorisierung von Sektoren...298

    Risikoanalyse zur Bewertung IT-abhangiger Prozesse 309

    12

  • Tabellenverzeichnis

    Tabelle 1

    Tabelle 2

    Tabelle 3

    Tabelle 4

    Tabelle 5

    Tabelle 6:

    Tabelle 7:

    Tabelle 8:

    Tabelle 9:

    Gemeldete IT-Vorfalle 66

    Einschatzung der Bedeutung von IT-Bedrohungen 73

    Programmzeilen in Microsoft Windows-Versionen 75

    Hindemisse fiir bessere IT-Sicherheit 83

    Kritische Infrastruktursektoren im intemationalen

    Vergleich 114

    Abgrenzung von CIP, CUP und IT-Sicherheit 120

    PG KRITIS - beteiligte Referate des Bundesinnenministeriums 207 Parameter mehrseitiger Sicherheit angewendet auf den Schutz kritischer Informations-Infrastrukturen 233

    ISACs in den USA 237

    13

  • Abkjirzungsverzeichnis

    AA Auswartiges Amt a.a.O. am angegebenen Ort ACIP Analysis and Assessment for Critical Infrastructure Protection AG KRITIS Arbeitsgruppe Kritische Infrastrukturen AKIS Analyse Kritischer Infrastruktur-Sektoren AKSIS Arbeitskreis Schutz von Infrastrukturen AKW Atomkraftwerk ARPANET Advanced Research Projects Administration Network ATP Anti-Terror-Paket BBK Bundesamt fiir Bevolkerungsschutz und Katastrophenhilfe BfV Bundesamt fur Verfassungsschutz BGS B