Risikofaktor Mensch

Von Andreas Schneitter, December 17, 2010

Die Enthüllungen von Wikileaks und das versuchte Attentat in Stockholm haben die Bedeutung von Schutzvorrichtungen für die reale wie für die informelle Sicherheit verdeutlicht. Die jüdischen Institutionen sehen sich mit ihrem hohen Sicherheitsaufwand bestätigt.

INFORMATIONSSICHERHEIT WAHREN Informationssicherheit wahren Oftmals sind Mitarbeitende ein Risiko, da sie vertrauliche Daten kopieren und weitergeben können

Der Ort ist neu: Mit dem versuchten Selbstmordattentat in Stockholm am vergangenen Samstag rückte erstmals Schweden in den Fokus eines islamistisch motivierten Anschlags. Hintergründe des Versuchs waren, so der Ermittlungsstand, die schwedische Nationalität des Mohammed-Karikaturen-Zeichners Lars Vilks und die Stationierung von 500 schwedischen Soldaten in Afghanistan. Was bedeutet das für die Schweiz, deren Ansehen in der islamischen Welt seit der Annahme der Minarett-Initative kaum gestiegen sein dürfte?
Beim Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) ist wenig zu erfahren. «Der Sicherheitsausschuss des Bundesrats wird laufend über die neusten Kenntnisse des Nachrichtendienstes und des Staatsschutzes informiert», sagt VBS-Sprecher Martin Bühler. Departementsleiter Ueli Maurer liess verlauten, die Schweiz stehe nicht im Fokus islamistischer Terroraktivitäten, da sie – im Unterschied zu Schweden – keine Soldaten in Afghanistan stationiert habe. «Über Änderungen unseres Präventionskonzepts geben wir keine Auskunft», sagt Bührer.
Ebenso zurückhaltend äusseren sich die jüdischen Gemeinden zu ihren Sicherheitsvorkehrungen. «Solche Vorkommnisse mussten wir leider stets in unsere Sicherheitsüberlegungen einbeziehen», sagt Guy Rueff, Präsident der Israelitischen Gemeinde Basel (IGB). Das sei auch beim aktuellen, vor zwei Jahren konzipierten Sicherheitsdispositiv der IGB der Fall. Details nennt er keine, «doch wir hatten nach dem Anschlagversuch bereits Kontakt mit den polizeilichen Behörden. Neue Direktiven aus Bern seien seither nicht eingetroffen», so Rueff. Die Antwort aus Zürich geht in dieselbe Richtung: «Einem öffentlichen Medium können wir keine Auskünfte über unser Sicherheitskonzept geben, aber Fälle wie in Stockholm sind darin bereits einkalkuliert», antwortet David Solan von der Israelitischen Cultusgemeinde Zürich (ICZ). Und aus Bern: «Unser Sicherheitsdispositiv war vor Stockholm bereits sehr hoch, mehr gibt es dazu nicht zu sagen», so Edith Bino, Präsidentin der Jüdischen Gemeinde Bern (JGB).
Hohe Verschlüsselung Konkretere Auskünfte sind betreffend Informationssicherheit zu haben. Die Enthüllungen der Internetplattform Wikileaks haben auch für jüdische Organisationen die Frage nach der Sicherheit sensibler Daten – etwa der detaillierten Mitgliederlisten – neu aufgeworfen. Bei der JGB vertraut man Profis aus den eigenen Reihen die Kontrolle und die Wartung der Informatik an, wobei Edith Bino nicht den Eindruck hat, «dass die Informationssicherheit unserer Gemeinde übermässig bedroht ist». Eine Neubeurteilung der Sicherheitsarchitektur aufgrund der Popularität von Wikileaks finde vorläufig nicht statt. Dieselbe Antwort erhält man von der IGB und der ICZ. Und auch Jonathan Kreutner, Generalsekretär des Schweizerischen Israelitischen Gemeindebundes (SIG), ist sich der Gefahr bewusst, «dass wir als jüdische Organisation durch Hackerangriffe bedroht werden können. Während der Neukonzipierung unseres Internetauftritts im vergangenen Jahr haben wir daher den Verschlüsselungsgrad unserer Internetsite erhöht.»
Über Zahlen redet Kreutner nicht, aber die Informationssicherheit kostet. Wie die grösseren jüdischen Gemeinden der Schweiz verfügt auch der SIG über einen eigenen Server, die Aufsicht obliegt ausserdem einem externen Profi. Bernhard Hämmerli, Professor für Informationssicherheit an der Hochschule Technik & Architektur Luzern, glaubt, dass sich private Vereinsorganisationen oder KMUs langfristig eine eigene Sicherheitsleistung über dem absoluten Minimum gar nicht mehr leisten können. «Diese Aufgaben müssen ausgelagert werden, schliesslich benötigt man Fachleute, die die Infrastruktur laufend beobachten, die Sicherheitsprotokolle prüfen und Angriffe erkennen», bemerkt Hämmerli.

Gutes Betriebsklima

Der Fall Wikileaks hat jedoch gezeigt, dass eine hochgerüstete Infrastruktur schutzlos ist, wenn Mitarbeiter mit autorisiertem Zugang Daten kopieren und weitergeben. Max Klaus, stellvertretender Leiter der schweizerischen Melde- und Analysestelle für Informationssicherung, sagt: «Der grösste Risikofaktor ist und bleibt der Mensch. Ein vertrauenswürdiges Betriebsklima mit gut geschultem Personal ist eine wich-tige Voraussetzung.» Klaus sind Fälle von frustrierten Mitarbeitern bekannt, die – etwa bei einer Kündigung – vertrauliche Daten weitergegeben haben. «Wenn ein Angestellter mit Administratorstatus die IT sabotiert, bieten auch mehrstufige Sicherheitsmassnahmen – zum Beispiel Mehrfachautorisierungen, die man beim
E-Banking einsetzt – keinen Schutz.»