SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Manuel BohéWie Sicherheitskultur und Sicherheitsempfinden unsere Entscheidungen bestimmen. Ein Bericht von von Manuel Bohé, Concepture.

Seit 2007 gibt es die Initiative „Forschung für zivile Sicherheit“ in deren Rahmen Forscher Technologien entwickeln um die Gefahren des Terrors wenigstens einzudämmen. Die Projekte werden vom Bundesministerium gefördert und auf der Wunschliste der Interessenten findet sich so ziemlich alles, von intelligenter Videoüberwachung über Körperscanner oder Scanner für Container zur Durchleuchtung des Frachtgutes in den Häfen dieser Welt. Und seit Hackerangriffe auf kritische Infrastrukturen nicht mehr allein in Literatur und Film anzutreffen, sondern eine reale (tägliche) Gefahr geworden sind, arbeiten Sicherheitsexperten daran die Infrastruktur sicherer zu machen.

Auch wenn die Gefahr eines kompletten Ausfalls eher gering zu sein scheint, wären allein schon Ausfälle in Teilbereichen fatal, weil sie die Grundbedürfnisse von vielen Menschen betreffen und gleichzeitig einen Kaskadeneffekt aufweisen. Viele Experten bezeichnen zwei Dinge als Achillesferse in einem solchen Szenario eine lang anhaltenden großflächigen Stromausfalls. Zum einen die Treibstoffversorgung der Netzersatzanlagen und der Einsatzfahrzeuge, primär mit Diesel. Und zum anderen die Kommunikationsfähigkeit der Akteure im Stromausfall. Gegen beides wappnet man sich mit Technik und Methoden.

Big Data: Analysen für die Ermittlungsarbeit

Zu diesen Technologien zählt auch die Analyse von Daten, von Big Data. Mit deren Hilfe gelang es beispielsweise den letzten der flüchtigen Terrorverdächtigen von Paris festzusetzen wie die Wirtschaftswoche im Frühjahr letzten Jahres berichtete. Telefon- und Chatprotokolle, Log-Dateien, Profile in sozialen Medien und Bewegungsprofile sind ausgewertet und korreliert worden – und das in einem bisher nicht bekannten Ausmaß. Auch für die Vorhersage potenzieller Straftaten spielen solche Analysen schon länger eine wichtige Rolle in der Ermittlungsarbeit.

In diese Forschung fließen viel Zeit, Geld und Expertenwissen. Trotzdem bleibt die ernüchternde Erkenntnis, dass sich diese Technologie offensichtlich eher für Bereiche eignet, in denen die Kriminalität vorhersehbarer ist als in anderen. Wo aber irrationale Elemente eine fast genauso große Rolle spielen - etwa bei Terrorschlägen - werden die Prognosen schnell wackliger. „Wohnungseinbrüche sind leichter zu berechnen als Terroranschläge“ so die Wirtschaftswoche an gleicher Stelle.

Gefühl oder Fakt: Was wir für sicher halten

Ein bekanntes Zitat von William G. T. Shedd lautet „Ein Schiff ist am sichersten im Hafen – aber dafür ist es nicht gebaut“. Soll es seiner Bestimmung entsprechen muss es den zumindest sicher geglaubten Hafen verlassen und auf das offene Meer hinausfahren. Überträgt man das Bild auf den öffentlichen Raum, bleibt auch uns gar nichts anderes übrig, wenn das öffentliche Leben nicht zum Erliegen kommen soll. Was aber heißt das für Sicherheitskonzepte im öffentlichen Raum und welche Rolle spielt neben den zur Verfügung stehenden Technologien und Methoden das Sicherheitsempfinden, die Sicherheitskultur eine bestimmten Landes?

Unterschiedliche Sicherheitskonzepte zweier Staaten

Im Zuge zu entwickelnder Sicherheitskonzepte hatten wir die Gelegenheit die Sicherheitskonzepte zweier Staaten miteinander zu vergleichen. Israel und Deutschland. Auf den ersten Blick vielleicht ein ungewöhnlicher Vergleich, der aber gerade deswegen zur Erhellung beitragen kann.

Am 19. Dezember 2016 wurde mit einem polnischen Lkw auf den Weihnachtsmarkt auf dem Berliner Breitscheidplatz ein Terroranschlag verübt. Unmittelbar danach wurden Stimmen der Opferanwälte laut, man hätte besser vorbereitet sein können. Insbesondere mit dem Wissen um das Attentat von Nizza fragte man nicht ganz unberechtigt, warum Betonpoller, die einen Großteil der fatalen Folgen hätten verhindern können, erst nach dem Anschlag an solchen Orten aufgestellt worden sind.

Am 8. Januar 2017 lenkt ein Attentäter einen Lkw in Jerusalem absichtlich in eine Gruppe von Soldaten. Wenn es um den Terror im öffentlichen Raum geht wird schnell deutlich, dass wir sehr unterschiedlich auf Terror reagieren und vor allem welche Reaktion darauf wir als angemessen empfinden oder eben nicht. Betrachtet man diese Einstellungen genauer, kristallisieren sich einige wesentliche Unterschiede heraus. Um es gleich vorweg zu nehmen, Israel setzt bei seinen präventiven Maßnahmen sehr stark auf nachrichtendienstliche Aktivitäten. Dabei werden Informationen aus unterschiedlichen Quellen abgefangen, um beispielsweise einen Anschlag zu verhindern.

1. Die Waffen

Nachdem in Alufa zwei israelische Soldaten niedergestochen worden waren, drängte Jerusalems Bürgermeister im Zuge der angespannten Sicherheitslage darauf, dass es israelischen Bürgern noch weiter erleichtert werden sollte, eine Waffe bei sich zu tragen. Dabei wird es als Vorteil angesehen, dass praktisch jeder über eine militärische Grundausbildung verfügt und unter der Bevölkerung zahlreiche Veteranen der verschiedenen militärischen Einheiten sind. Also gewöhnt, und „angemessen“ in der Lage sich entsprechend zu verteidigen. Für die Vertreter des Vorschlags ist klar: damit sind die Bürger selbstbewusster und sicherer.

Ganz anders das eher nebulöse Sicherheitsgefühl der Deutschen, wenn sie sich Waffen zur „Selbstverteidigung“ im Internet bestellen oder – um es etwas niederschwelliger anzusetzen – Pfeffersprays nach den Silvesterereignissen in Köln an den Kassen der größten deutschen Drogeriemarkt-Kette reißenden Absatz finden. Gefühlte Sicherheit versus faktische Sicherheit? Waffen gehören in Israel an vielen Plätzen zum alltäglichen Stadtbild. Und neben dieser sichtbaren Präsenz tragen sowohl Beamte als auch Privatpersonen verdeckt Waffen. Wie viele, können wir letzten Endes nur erahnen.

Während in Israel also ein wachsender Anteil der Bevölkerung bereits bewaffnet ist (oder zukünftig sein wird) konnte man kurz vor Weihnachten in Deutschland eine andere Schlagzeile lesen: „Nach Anschlag - Polizisten schützen Weihnachtsmarkt mit ungeladenen Waffen“. Verschiedene Medien hatten darüber berichtet, dass nach dem Anschlag in Berlin Nordrhein-Westfalen die Polizeipräsenz verstärkt habe. Die Polizisten seien teilweise sogar mit Maschinenpistolen ausgestattet. In einem Fall in Köln steckten die Magazine aber nicht in den Waffen, sondern in der Westentasche der Uniform. Ausgelöst hatte den Wirbel ein Foto, das der Kölner Stadtanzeiger veröffentlicht hatte, und auf dem am Rudolfplatz in Köln zwei Polizistinnen mit Maschinenpistolen ohne Magazin zu sehen waren.

2. Die Menschen

Waffen tragen gehört in Israel zum Stadtbild. Und wer nachts feiern geht, ist in aller Regel militärisch und einsatztechnisch vergleichsweise gut ausgebildet. Beides macht zumindest für das Sicherheitsempfinden einen erheblichen Unterschied zu Staaten aus in denen das praktisch undenkbar und/oder nicht gewünscht ist. In Deutschland hat sich nach Umfragen zu Beginn dieses Jahres trotz der terroristischen Anschläge auf den Berliner Weihnachtsmarkt das Sicherheitsempfinden übrigens nicht grundlegend gegenüber den vorhergehenden Jahren geändert. Deutlich mehr als die Hälfte der Befragten empfinden Deutschland als überwiegend sicher.

Allerdings regiert nicht nur Gelassenheit. n-tv online schreibt sogar „Die Angst geht um in Deutschland“. Neben Pfefferspray sind offensichtlich verstärkt scharfe Waffen zum Selbstschutz gefragt. Allerdings, hier darf bei weitem nicht jeder legal eine Waffe tragen, und das Deutsche Waffengesetz gilt allgemein als eines der strengsten der Welt. Wer legal eine Waffe tragen will, hat eine ganze Reihe von Voraussetzungen zu erfüllen.

Nicht zuletzt deshalb ist seit Anfang dieses Jahres die Nachfrage nach dem sogenannten „kleinen Waffenschein“ deutlich angestiegen: „Dieser ermächtigt den Inhaber zum Führen von Signal-, Reizstoff- und Schreckschusswaffen außerhalb des eigenen Grundstücks oder der eigenen Wohnung. Ohne diese Genehmigung dürfen diese Waffen nur innerhalb dieses begrenzten Raumes geführt werden, gekauft werden dürfen sie allerdings von jedem Erwachsenen gegen Vorlage seines Altersnachweises. Voraussetzungen für einen kleinen Waffenschein sind: persönliche Zuverlässigkeit, keine Vorstrafen und die fachgerechte Unterbringung der Waffe.“

3. Der Datenschutz

Deutschland ist eines der Länder, das sich die Wahrung der Privatsphäre und den Datenschutz ganz besonders auf die Fahnen schreibt. Pläne wie die zur flächendeckenden Videoüberwachung sind denn schon vor den großen NSA-Leaks auf herbe Kritik gestoßen. Der Schutz der Privatsphäre und der Datenschutz im Allgemeinen werden allerdings zumeist nicht in direktem Zusammenhang mit der Sicherheit potenzieller Opfer betrachtet. Allerdings gibt es seit den Terroranschlägen auf deutschem Boden Anzeichen, dass sich diese Haltung in Teilen der Bevölkerung ändert. Seit den Terroranschlägen vom 11. September 2001 haben sich bereits etliche Gesetze geändert. Viele stellten sich schon damals die Frage, ob wir uns zwischen Freiheit und Sicherheit entscheiden müssen. Und beantworteten die Frage je nach politischem Standort oder/und persönlichem Sicherheits-/Freiheitsempfinden.

Die Bundeszentrale für politische Bildung schreibt in einem ihrer Themenblätter für das Beispiel Kameraüberwachung:
“Freiheit und Sicherheit bedingen einander und stehen zugleich in einem Spannungsverhältnis. Kameraüberwachung an Bahnhöfen gehört inzwischen zum Alltag. Wie stark hat sich dadurch die Sicherheit vor einem Terroranschlag erhöht? (...) Weder der Staat noch die Bahn haben die Mittel, um an sämtlichen Bahnhöfen Kontrolleure mit Detektorschleusen aufzustellen, um das Gepäck sämtlicher Fahrgäste genauso wie an Flughäfen zu durchleuchten. Wollte man eine solche Fahrgast- und Gepäckkontrolle mit einem vertretbaren Aufwand erreichen, müsste die Zahl der Bahnhöfe drastisch verringert werden. Dadurch würde – was niemand will – die Bewegungsfreiheit der Menschen äußerst eingeschränkt. Folglich wird man mit diesem Risiko leben müssen.“ So die Schlussfolgerung.

Israel ist einer der weltweit führenden Staaten, wenn es um Technologien für die Cybersicherheit geht. Startups in diesem Feld werden von der Regierung stark gefördert. Während in Deutschland Mangel an gut ausgebildeten IT-Sicherheitskräften herrscht „rekrutieren“ Startups in Israel ihre technischen Mitarbeiter im ganz praktischen Sinne. Sie kommen nämlich in aller Regel aus der Unit 8200, der Einheit im israelischen Militär, die sich mit Cybersicherheit und digitaler Spionage beschäftigt. Sie gilt als Eliteeinheit mit rigiden Einstellungstests. „Der Ursprung des Stuxnet-Wurms, der im Jahr 2010 Steuerungssysteme iranischer Anlagen zur Uran-Anreicherung lahm legte, wird etwa in dieser Militäreinheit vermutet.“ Militär, Nachrichtendienste und Startups sind in ein und demselben Ökosystem eng miteinander verbunden. Internationale Freundschaften gelten da durchaus auch für den Austausch von Daten untereinander.

4. Die Sicherheitslayer

Der internationale Flughafen Ben Gurion in Tel Aviv gilt als der sicherste Flughafen der Welt. So beginnen beispielsweise die Kontrollen bereits in einem Areal von etwa 4 Kilometern vor dem Flughafen. Die Straßen sind gewunden und so dimensioniert, dass sie im Falle eines Alarms den wirksamen Einsatz von Sicherheitskräften gewährleisten.

Schauplatz Deutschland. Egal, ob in Frankfurt, in München, in Stuttgart – die erste Kontrolle einer Person überhaupt findet statt, wenn die betreffende Person ins Videobild läuft. Oder wenn sie in den Sichtbereich des Sicherheitspersonals kommt. Unabhängig davon, ob die Person harmlos ist oder kriminelle, wenn nicht terroristische Absichten hegt. Wie also diejenigen mit den nicht ganz so harmlosen Ansichten erkennen? Mittels Videoanalyse? Wir verfügen zwar über technisch hochwertige Systeme, aber ganz soweit sind sie dann doch nicht.

Was tut man in Ben Gurion? Man fragt. Und zwar nach den Modellen der (vorausgehenden) Threat Analysis und dem sogenannten Predictive Profiling. Ein Begriff, der gerade in Deutschland umstritten ist.

Das ganze läuft im Wesentlichen in vier Stufen ab:

  • Erste Risikoeinstufung und Datenauswertung
    Dazu werden diverse Quellen herangezogen wie etwa eine Barzahlung des Flugtickets, die Herkunft, das äußere Erscheinungsbild und so weiter. Anhand einer ersten Risikoeinstufung werden Reisende entsprechenden Risikogruppen zugeordnet und diese beispielsweise anhand farbiger Label auf den Gepäckstücken kenntlich gemacht.
  • Perimeter: Erster Sicherheitscheck
    „Wo kommen Sie her? Was haben Sie dort gemacht?“ Reisende werden schon beim ersten Sicherheitscheck fast vier Kilometer vor dem Flughafen von Sicherheitspersonal befragt. Die Fragen sind freundlich und wirken zunächst unverfänglich, zum Beispiel "Wo waren Sie hier in Israel? Was haben Sie dort gemacht?" Wer darauf antwortet "Strandurlaub in Tel Aviv" wird in eine andere Risikogruppe fallen, als derjenige der angibt, "Freunde in Ramallah" besucht zu haben.
  • Security Check: Weitere Sicherheitsbefragung im Flughafen
    Innerhalb des Flughafens findet dann eine weitere Befragung statt. Die Fragen zielen wieder auf den Grund der Reise und die besuchten Orte ab. Nicht selten wird ein Beleg erwartet wie etwa ein Foto, das man auf dem Smartphone zeigen kann. Doch die Fragen können auch in eine völlig andere Richtung gehen. So zum Beispiel "Wie lautet der Name Ihrer Mutter / Ihres Vaters". Ob die Daten dann tatsächlich vollständig vorliegen ist vielleicht fraglich. Aber auch hier gilt, dass Namen, insbesondere arabisch klingende, zu einer bestimmten Risikoeinstufung führen.
  • Security Check 2 nach Bedarf
    Je nach Einschätzung der Lage kann ein Reisender zu einem zweiten Gespräch gebeten werden. Etwa wenn ein Reisender Zeichen von Nervosität zeigt oder aufgrund seiner Antworten bereits in eine höhere Risikogruppe eingestuft worden Ist.

Der grundlegende Unterschied zu Deutschland besteht darin, dass wir alle Personen gleich behandeln und ihnen identische Fragen stellen (zum Beispiel ob sie etwas zu verzollen haben). Im Gegensatz zum Predictive Profiling hat sich insbesondere seit den Silvesterereignissen in Köln 2016 der Begriff „Racial Profiling“ festgesetzt: „Racial Profiling verstößt nach Ansicht des Europäischen Netzwerkes gegen Rassismus gegen den verfassungsrechtlichen Gleichheitsgrundsatz und sei eine Form der nach internationalem Recht verbotenen Diskriminierung. In vielen Ländern wird Racial Profiling geächtet. So ist es zum Beispiel in Großbritannien und den USA verboten. In Deutschland ist Racial Profiling juristisch nicht explizit geregelt.“

In Israel sieht man Personenkontrollen eher pragmatisch: Warum sollte man all die Passagiere, die höchstwahrscheinlich keinen Anschlag verüben werden genauso prüfen, wie diejenigen, bei denen eine höhere Wahrscheinlichkeit vorliegt.

Fazit

Die israelischen Ansätze können und wollen wir in Europa nicht übernehmen. Weder wollen wir die Bevölkerung bewaffnen noch grundlegende Bestandteile des Datenschutzes aushebeln oder ganze Bevölkerungsgruppen wegen einer weniger potenzieller Täter überwachen und schärfer kontrollieren. Der größte Unterschied zwischen den Sicherheitskonzepten beider Länder liegt aber vor allem im Umgang mit Daten. Israelische Institutionen lesen praktisch alle Daten (mit), um einen wie auch immer gearteten Schaden zu verhindern. Die deutschen Institutionen und Behörden ermitteln oftmals erst, wenn ein Schaden bereits entstanden ist. Man sollte aber auch dabei nicht außer Acht lassen, dass Deutschland sich, wenn es um Ermittlung von Terrorverdächtigen geht auf Hinweise befreundeter Nachrichtendienste verlässt. Wie eben den USA oder Israel, Länder, die nicht den strikten europäischen/deutschen Datenschutzregelungen unterliegen.

Deutschland und Europa kommen nicht umhin eigene Antworten auf die veränderte Bedrohungslage zu finden. Eine wichtige Komponente sind starke Sicherheitsbehörden, die nicht nur ermitteln, wenn bereits ein Anschlag verübt wurde, sondern deren Ziel es ist, Anschläge zu verhindern.

Manuel Bohé, Concepture

 
GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet