piwik no script img

Hacker-Angriff auf den BundestagEs ist noch nicht beendet

Die Trojaner-Attacke auf das Netz des Bundestages lässt die Parlamentarier nackt dastehen. Ihre Reaktion: die Ausweitung des IT-Sicherheitsgesetzes.

Anlass zur Debatte: Bundesinnenminister Thomas de Maizière im Bundestag. Foto: dpa

BERLIN taz | Martina Renner trug im Juli 2014 einen kleinen Sieg davon. Der Mitarbeiter aus dem Referat IT 2 im Deutschen Bundestag war endlich da, um an den Rechnern der Abgeordneten und ihrer Mitarbeiter ein Plug-in zu installieren, ein kleines Computerprogramm. In der Parlamentsverwaltung nannten sie es „Pilotprojekt E-Mail-Verschlüsselung mit PGP“. Ein Jahr war seit den Veröffentlichungen Edward Snowdens vergangen. Nun sollten auch einige Bundestagsabgeordnete verschlüsselte E-Mails empfangen können. Martina Renner hatte gegen das System gewonnen, zumindest ein bisschen.

Dieses System besteht aus Windows-Rechnern, einer zentralen IT-Verwaltung und vielen Restriktionen. Vor allem aber besteht es, aus Renners Sicht, aus Lücken. Als die Thüringer Politikerin im September 2013 für die Linkspartei in den Bundestag einzog, wandte sie sich an die Bundestagsverwaltung. Sie wollte an den Parlamentscomputern so frei arbeiten, wie es ihr passte: Nicht nur E-Mails verschlüsseln, sondern auch über das Chatprotokoll Jabber überwachungssicher kommunizieren. Sie wollte mit der Software Truecrypt einen digitalen Bunker für ihre sensiblen Dateien besitzen. Kurz: Sie wollte alles tun, was aus ihrer Sicht nötig war, um ein Mindestmaß an digitalem Selbstschutz zu erreichen.

Die IT-Verwaltung des Deutschen Bundestags arbeitet aber nach eigenen Regeln, die ebenfalls einem Sicherheitsgedanken unterliegen: Um zu gewährleisten, dass Abgeordnete oder deren Mitarbeiter sich keine schädliche Software installieren können, hat die Parlamentsverwaltung eine äußerst restriktive Netzwerkumgebung aufgesetzt, die bis heute das digitale Standardinventar von Abgeordneten darstellt. Das freie Mandat wird allerdings unter Windows verwaltet, einem Betriebssystem, das als besonders anfällig für Attacken gilt.

Schon seit vier Wochen wird das Bundestagsnetz angegriffen. Bundestagspräsident Norbert Lammert (CDU) teilte am Donnerstagabend zwar mit, in den zurückliegenden zwei Wochen sei es nach den bisherigen Erkenntnissen zu keinen Datenabflüssen mehr gekommen. Das aber bedeute nicht, dass der Angriff „endgültig abgewehrt und beendet wäre“. Lammert dachte schon vorher laut darüber nach, das gesamte Bundestagsnetz neu aufzusetzen.

Trojaner noch immer aktiv

Nach allem, was bislang bekannt ist, dürfte es sich um einen der schwersten digitalen Angriffe auf ein westliches Parlament handeln. Nach dem derzeitigen Stand der Ermittlungen soll das Computersystem des Bundestags bei der schweren Attacke mit Hilfe von E-Mails angegriffen und mit Schadsoftware infiziert worden sein. Besonders brisant: Obwohl die Angriffe seit Wochen bekannt sind, bekommt der Bundestag sie nicht in den Griff, die Trojaner sind noch immer aktiv. Bundesinnenminister Thomas de Maizière (CDU) vermutet einen ausländischen Nachrichtendienst hinter dem Angriff.

Es ist ein digitales Erdbeben. Denn dem eigens vom Bundestag betriebenen Netz namens „Parlakom“ gehören rund 20.000 Rechner an. Es handelt sich nicht um ein IT-Problem, sondern um ein politisches Desaster. Denn niemand weiß, welche sensiblen Daten aus der Arbeit der Abgeordneten abgezweigt wurden und wohin diese Daten gingen.

Martina Renner konnte abhörsicher kommunizieren. Sie verfügt über Möglichkeiten, ihre Dateien in einem der sichersten Speicherprogramme der Welt zu hinterlegen. Es ist die Software, die auch Edward Snowden benutzt. Und doch ist sie vom Hackerangriff auf den Bundestag ebenso betroffen wie ihre Kollegen. Denn bislang ist noch unklar, wie der Trojaner arbeitet. Wenn dabei ein sogenannter Keylogger im Einsatz war, der die Tastaturanschläge von Computernutzern aufzeichnet, könnten die Angreifer schon längst über jene Passwörter verfügen, die nötig sind, um all die verschlüsselten E-Mails und digitalen Tresore zu entsperren. Ihre vielen schönen Programme haben Renner vielleicht nichts genützt.

Was ist mit den Daten aller anderen?

Wenn aber eines der mutmaßlich sensibelsten Netzwerke der Republik schon nicht zu schützen ist – wie steht es dann erst um die Daten von Unternehmen, Arbeitnehmern oder Verbrauchern, die massenhaft auf großen Servern quer durch die Republik gespeichert sind? Und: Wer muss verantwortlich sein, wenn es um den Schutz von Daten geht: der Gesetzgeber? Die IT-Zentrale da oben – oder die Nutzer da unten?

Unter dem Eindruck der Attacke auf den Bundestag verabschiedeten die Parlamentarier am Freitag das IT-Sicherheitsgesetz und weiteten es, anders als zuvor geplant, auf Behörden aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll festlegen, welche Anforderungen an die Sicherheit ihrer Computersysteme und Netzwerke die Bundesbehörden in Zukunft erfüllen müssen.

Ähnliche Mindeststandards müssen künftig wichtige Unternehmen vorweisen, etwa Banken, Wasserwerke, Energieunternehmen oder die Bahn. Sie müssen erhebliche Störungen durch Cyberangriffe künftig melden. Inwiefern auch der Deutsche Bundestag von dem neuen Gesetz profitiert, ist allerdings offen. Das Parlament hatte sich in der Vergangenheit vorbehalten, sein Netz selbst zu betreuen und die Verantwortung dafür nicht wie die Ministerien in die Hände des BSI zu legen.

Martina Renner hat sich bereits einen neuen PGP-Schlüssel generiert, ihr alter könnte kompromittiert sein. Die Obfrau im NSA-Untersuchungsausschuss arbeitet im Moment auf ihrem privaten Rechner. Als Renner das letzte Mal für ihre digitale Sicherheit sorgen wollte, dauerte es Monate, bis ihr Team mit dem entsprechenden Plug-in durch die IT-Abteilung des Bundestags ausgestattet war. Im aktuellen Fall ist die Herausforderung komplexer. Das neue Pilotprojekt trägt zwar noch keinen Namen, aber die Testphase läuft.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

6 Kommentare

 / 
Kommentarpause ab 30. Dezember 2024

Wir machen Silvesterpause und schließen ab Montag die Kommentarfunktion für ein paar Tage.
  • „IT des Deutschen Bundestages fremdkontrolliert. Oppositionsabgeordnete ratlos.“

     

    Unter dem Titel wollte ich einen Link zum Thema weitergeben (nicht diesen hier: Frau Renner ist verdient den höchsten Respekt, dass sie sich für wirkliche Sicherheit eingesetzt hat!).

     

    Dann haben mich meine eigenen Worte wie ein Schlag getroffen.

     

    „IT des Deutschen Bundestages fremdkontrolliert. Oppositionsabgeordnete ratlos.“

     

    In welcher Welt leben wir? Ist das ein Agententhriller oder düstere Science Fiction? So eine Titelzeile würde in Star Wars passen, als Zeitungsmeldung während der Imperator den Senat übernimmt. Aber in unserer Welt hat sie nichts verloren.

     

    In dem Artikel fragt Tabea Rößner hilflos:

     

    Sollen wir nur noch … ohne elektronische Geräte arbeiten?

     

    Ja. Natürlich! Wie sonst? Ihre IT ist aktuell erwiesenermaßen fremdgesteuert. Die können Sie nicht verantwortungsvoll verwenden!

     

    Wenn Ihre Autos mit Bomben gespickt wären, würden Sie damit hoffentlich auch nicht fahren, und genauso sollten Sie jetzt gerade ihre IT Infrastruktur behandeln.

     

    Nutzen Sie, bis das akute Problem behoben ist, die Bundestags-Stenografen, wenn ihnen ihre eigenen handschriftlichen Notizen zu langsam sind. Die mögen grummeln, aber sie sind gerade Ihre einzige Hoffnung für sichere und gleichzeitig schnelle Aufzeichnungen.

     

    http://draketo.de/it-des-bundestages-fremdkontrolliert-abgeordnete-ratlos

  • Einen grossen Dank an Frau Renner daß sie den anderen die Möglichkeiten aufzeigt (auch wenn es womöglich nicht ausreichen war).

     

    Wie die FAZ berichtete, sind nun wahrscheinlich alle Politiker in irgendeiner Form erpressbar. http://www.faz.net/aktuell/feuilleton/medien/ausgehorchter-bundestag-sie-sind-jetzt-alle-erpressbar-13644194.html

     

    In aller Konsequenz - auch um Deutschland zukunftsfähig zu machen - wir brauchen umgehend Volksentscheide auf nationaler und auch auf EU Ebene. Selbst dann, wenn es unsere Perle der Uckermark verweigert hat: http://www.abgeordnetenwatch.de/frage-778-78116--f411007.html#q411007

  • Bei Windows darf man davon ausgehen, dass das Betriebssystem bereits als Trojaner angelegt wurde. Wenn die Parlamentsverwaltung - aus welchen Gründen auch immer - mit Windows arbeitet, ist es daher auch nur logisch, dass sie eine äußerst restriktive Netzwerkumgebung aufgesetzt hat.

    Ein System, bei dem jeder User seine eigenen Programme installieren kann, die sich wiederum mit zahlreichen Fremdservern vernetzen dürfen, ist überhaupt nicht mehr administrierbar.

    Bei Linux sind solche Restriktionen von Anfang an konsequent schon im Kern angelegt worden, bei Windows gab es anfangs nur den Administrator und der durfte immer gleich alles machen. Erst als man dann auch bei Microsoft merkte, dass darin ein Sicherheitsproblem liegen könnte, wurden dem System nachträglich Rechtekataloge übergestülpt.

    Ein Parlament ist aus meiner Sicht auch nur bedingt ein sensibler Bereich, denn es sollte schon grundsätzlich ein Höchstmaß an Transparenz herstellen. In wirklich sensiblen Bereichen, wie z.B. Forschungsabteilungen, braucht man heute abgeschirmte Räume ohne jegliche Netzverbindung nach aussen. Wo man auf das Internet nicht vollständig verzichten kann und will, sind VPN-Verbindungen aber derzeit immer noch eine gute Lösung.

    • @Rainer B.:

      nomen est omen:

      "Gates" und "Windows".

       

      (open doors

      statt open source)

  • Ein IT-Gesetz hilft nicht, im StGB felht ein Paragraph: Fahrlässiges betreigen von It Netzwerken und Datensammlungen.

    .

    "Wer IT-Netzwerke... usw. so betreibt, das Daten auch anderen/dritten zugänglich werden, wird mit Gefängniss nicht unter 6 Monaten bis zu 5 Jahren bestraft! Das gilt auch für, nur mittelbar Verantwortlichen in Unternehmen und Behörden!

    .

    Und dann muss der Betreiber nachweisen, das er alle Massnahmen getroffen hat, die eine Hack im Netzwerk verhindern können:-)).....

    .

    So wird IT nicht sicher aber sicherer!

    .

    Meint

    Sikasuu

    .

    Ps. Software&Hardware aus dem Einflussbereiche der NSA, d.h. von U-SA Firmen ist qua Definition unsicher. Wer das noch nicht begriffen hat, sollte mit dem "Abakus" seine IT Dinge erledigen! Für Aufbau ud Betrieb von IT Infrastruktur, deren Hard- und Software nicht Quelloffen ist gilt das gleiche! (Kleines "Ein x eins" der IT in der Grundschule!°)

    • @Sikasuu:

      Mit so einem Gesetz wäre IT nach heutigem Stand der Sicherheit schlicht und einfach tot.

       

      Idiotie wie die Verwendung von Software, die von fremden politischen Akteuren kontrolliert wird, könnte von mir aus gerne verboten sein. Ein Netzwerk vollständig sichern ist aber schlicht und einfach nicht möglich. Heutzutage gilt: Netz oder (vielleicht) sicher.

       

      Außerdem würde der Vorschlag die Unschuldsvermutung umkehren, und die Grundlagen unseres Rechtsstaates zu erodieren, weil dann und wann in Netzwerke eingebrochen wird, halte ich für untragbar.

       

      Bei unfreier Software gebe ich Ihnen allerdings recht: Die müsste von einer auf auch im geopolitischen Spannungsfeld verlässliche Systeme achtenden IT Abteilung Tabu sein.