Cyber-AbwehrDigitale Aufrüstung
Seite 2/2:

Was genau zählt zu den "kritischen Infrastrukturen"?

Eine wichtige Rolle bei der datenschutzrechtlichen Bewertung spielt auch die Frage, was genau unter den kritischen Infrastrukturen zu verstehen ist, die Einstein 3 schützen soll. Fällt darunter auch die Suchmaschine Google ? Werden bald alle Suchanfragen studiert, alle E-Mails von Googlemail durchsucht, alle Textdokumente, die auf Google-Docs gespeichert werden, maschinell gegengelesen? Oder beschränkt sich Einstein 3 ausschließlich auf hochsensible technische Anlagen wie Kraftwerke? »Die Regierung hat mitgeteilt, dass sie von Fall zu Fall entscheiden wird, was unter kritische Infrastruktur fällt«, sagt Bürgerrechtlerin Richardson.

Um eine Stellungnahme gebeten, verweist das Heimatschutzministerium auf die Beurteilung eines Tests von Einstein 3. Test und Bericht liegen mehr als eineinhalb Jahre zurück. Darin heißt es, dass Informationen, die während des Tests gesammelt werden und die in keinem Zusammenhang mit der IT-Sicherheit stehen, unter Beachtung der dafür einschlägigen Gesetze an US-Geheimdienste und Vollzugsbehörden weitergegeben werden dürfen. Zudem beschränkt sich der Datenschutz erklärtermaßen auf US-Amerikaner, von der Privatsphäre von Ausländern ist nicht die Rede.

Sean McGurk, Direktor der Abteilung für nationale Cybersicherheit des Heimatschutzministeriums, gab dem Repräsentantenhaus gegenüber im Mai vergangenen Jahres zu Protokoll, dass Einstein 3 in jenem Testlauf über 36.000 potenzielle Bedrohungen für die Infrastruktur abwehren konnte.

Ein ähnliches Projekt, wenn auch in viel kleinerem Umfang, haben das Verteidigungs- und das Heimatschutzministerium im Mai gestartet. Dabei werden rund 20 Rüstungsfirmen, ebenso wie bei Einstein 3 mit technischer Hilfe der NSA und in Zusammenarbeit mit vier großen Internetzugangsanbietern, gegen bösartige Cyberangriffe geschützt. Nach Angaben des stellvertretenden Verteidigungsministers William Lynn konnte das Pilotprojekt Hunderte von Einbruchsversuchen abblocken und sei zugleich »kosteneffektiv«.

Nach Angaben der Washington Post wird der nationale Sicherheitsrat bald darüber debattieren, ob das Programm auf andere Bereiche der kritischen Infrastrukturen ausgedehnt wird, zum Beispiel auf Finanzinstitute unter staatlicher Aufsicht, Atomkraftwerke und nationale Forschungslabore. Möglicherweise wird es also Einstein 3 eines Tages ergänzen.

Zur Startseite
 
Leserkommentare
  1. Ein Land welches fuer Stuxnet verantwortlich ist hat moralisch nicht das Recht anderen Laendern Moralpredigten vorzuhalten.

  2. PGP und SSL sind unterschiedliche Konzepte und so nicht miteinander zu vergleichen. Daher ist der Hinweis aus Wikileaks und PGP bzw. SSL so nicht korrekt.

    Ansonsten haben Sie natürlich recht, die Sicherheit eines Systems hängt immer am Nutzer bzw. den Menschen, die mit dem System interagieren. Egal ob Endanwender oder selber Entwickler (siehe Erstflug der Ariane 5).

    Die meisten Anwender interessieren sich nicht für die Themen IT-Sicherheit, daher sollte hier meiner Meinung nach dringend nachgesteuert werden, siehe u.a.:

    http://futurezone.at/netz...
    http://www.golem.de/1111/...

    Reaktionen auf diesen Kommentar anzeigen
    • rvn
    • 04. Februar 2012 20:34 Uhr

    sind nicht so vergleichbar, allerdings bin ich mir z.B. sicher, dass bei PGP (selbst wenn der Nutzer es benutzt) kaum ein durchschnittlicher Endanwender hergehen wird, um den PGP Fingerprint des heruntergeladenen Schlüssels des Empfängers zu verifizieren. Er wird den Empfänger nicht besuchen oder anrufen und ihm vorlesen, welchen Fingerprint er vor sich hat, und ob der stimmen würde. Das System ist mit zu vielen Hindernissen behaftet, um den Laien dazu zu bringen, es wirklich zu nutzen.

    Bei SSL würde ich aber auch sagen, dass der Nutzer auch nicht auf selbst-signierte Zertifikate achten würde. Er wird vom Browser gewarnt, dass die Website ihr Zertifikat selbst unterschrieben hat, aber er wird einfach 4 mal auf "Weiter" klicken, um endlich an die Seite zu kommen.

    Es fehlt das Bewusstsein, genau wie bei z.B. Ökologie. Das Ganze kam erst ins Rollen, als der Kunde das Bewusstsein für die Umwelt hatte. Das existiert für Sicherheit bisher nicht, das muss geweckt werden. Gleichzeitig muss eine Technologie her, die noch viel leichter zu nutzen ist, als PGP.

  3. Eine gute Erklärung findet sich hier: http://de.wikipedia.org/w...

    Antwort auf "Buchcode?"
    • rvn
    • 04. Februar 2012 20:34 Uhr

    sind nicht so vergleichbar, allerdings bin ich mir z.B. sicher, dass bei PGP (selbst wenn der Nutzer es benutzt) kaum ein durchschnittlicher Endanwender hergehen wird, um den PGP Fingerprint des heruntergeladenen Schlüssels des Empfängers zu verifizieren. Er wird den Empfänger nicht besuchen oder anrufen und ihm vorlesen, welchen Fingerprint er vor sich hat, und ob der stimmen würde. Das System ist mit zu vielen Hindernissen behaftet, um den Laien dazu zu bringen, es wirklich zu nutzen.

    Bei SSL würde ich aber auch sagen, dass der Nutzer auch nicht auf selbst-signierte Zertifikate achten würde. Er wird vom Browser gewarnt, dass die Website ihr Zertifikat selbst unterschrieben hat, aber er wird einfach 4 mal auf "Weiter" klicken, um endlich an die Seite zu kommen.

    Es fehlt das Bewusstsein, genau wie bei z.B. Ökologie. Das Ganze kam erst ins Rollen, als der Kunde das Bewusstsein für die Umwelt hatte. Das existiert für Sicherheit bisher nicht, das muss geweckt werden. Gleichzeitig muss eine Technologie her, die noch viel leichter zu nutzen ist, als PGP.

    Antwort auf "PGP, SSL und der User"
  4. 13. Nun...

    ... Sie suchen sich ein gutes Buch und kombinieren Ihren zu verschlüsselnden Text aus der Position von Seiten, Zeilen, Wörtern. Einfach durchzählen. Dauert natürlich ewig. Aber es wird sich immer ein analoges Buch finden welches niemand eingescannt hat und nie einscannen wird.

    Solange nur Sie und Ihr Gegenüber den Titel kennen, bleibt die Verschlüsselung sicher.

    Antwort auf "Buchcode?"
    Reaktionen auf diesen Kommentar anzeigen

    Naja, das ist aber schon etwas komplizierte anzuwenden als beispielsweise PGP. Zumal sie ja über einen sicheren Kanal transportieren müssen, welches Buch verwendet wird. Und das ist gar nicht so einfach.

    Außerdem reichen auch einfache Codewörter aus, wenn man sich vorher auf diese geeinigt hat. Sowas wie in schlechten Krimis immer im Funkverkehr verwendet wird a la »adlerhorst, hier Adlerauge, Wildgans ist gelandet« ;-)

    Die aktuellen Kryp-Algorithmen und deren Implementierungen (AES, GnuPG etc.) gelten als hinreichen sicher um bei korrektem Gebrauch auch der NSA oder dem FBI zu widerstehen :-)

    http://www.n-tv.de/techni...

  5. http://www.lesewelten.ch/...
    Europa, in Frankreich macht man sich bei Verschluesselung sogar strafbar.......

  6. .. Dank für die fundierte Antwort!!

  7. In Frankreich ist Verschlüsselung durch das Gesetz 90-1170 vom 29.12.1990 de facto verboten(62). Zwar kann man sich die Verschlüsselung nach vorheriger Hinterlegung des Schlüssels von der DISSI(63) genehmigen lassen, diese Genehmigung ist aber nach geltender Praxis nur großen Unternehmen und Banken vorbehalten(64). Zur Authentifizierung dürfen kryptographische Verfahren nach vorheriger Anmeldung benutzt werden(65). Das hat teilweise erstaunliche Auswirkungen. So werden Textverarbeitungsprogramme wie Wordperfect ohne den normalerweise enthaltenen Paßwortschutz für Textdateien geliefert, weil mit dieser Option die Datei verschlüsselt wird. Nutzer dürften theoretisch in Frankreich die Version 1.1N des Netscape WWW - Browser nicht benutzen, weil er die Übertragung von verschlüsselter Information erlaubt. Erkennbar ist die Verschlüsselung bei Netscape(66) nur daran, daß in der Statuszeile der normalerweise getrennte Schlüssel zusammenwächst.

    Das kuemmert in Europa niemanden. Europa ein Witz. Nichtmal die Gruppe die sich Piraten nennt kuemmert das. Ein boeser Witz

Bitte melden Sie sich an, um zu kommentieren

Service