Angriff aufs Netz des Bundestags: Einfach mal abschalten

Berlin taz | Wenn es um die Sicherheit der Computer anderer Institutionen geht, ist der Deutsche Bundestag um gute Ratschläge nicht verlegen: An diesem Freitag beschließt das Parlament das „IT-Sicherheitsgesetz“. Es soll die Betreiber wichtiger Infrastruktureinrichtungen verpflichten, das Sicherheitsniveau ihrer Computersysteme zu erhöhen und Behörden und Nutzer sofort über Störungen durch Schadprogramme zu informieren.

Für das eigene Netzwerk des Bundestags kommt diese Aufforderung hingegen zu spät. Schon Anfang Mai war bekannt geworden, dass die Rechner des Bundestages von einer komplexen Schadsoftware befallen sind, die ein Ausspähen der Daten aller 20.000 Nutzer ermöglichen. Abgeordnete und ihre Mitarbeiter sind ebenso betroffen wie die gesamte Verwaltung.

Doch erst einen Monat später wird jetzt sichtbar, wie groß das Problem ist: Die Angreifer, über deren Herkunft und Motivation noch immer nichts bekannt ist, haben die zentrale Schaltstelle des Netzwerkes, den sogenannten Verzeichnisdienst, unter ihre Kontrolle gebracht und können vermutlich auf sämtliche gespeicherten Daten zugreifen – bis heute. Einzelne Systeme, die von der Schadsoftware gesäubert wurden, waren nach taz-Informationen schon nach wenigen Tagen wieder befallen.

Ein Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI), der am Donnerstag dem Ältestenrat des Bundestags vorgestellt wurde, schlägt nun vor, das Computersystem des Parlaments komplett neu aufzubauen. Zwar könne die Hardware vermutlich weiter genutzt werden, sagte ein EDV-Insider aus dem Bundestag der taz. Alle Rechner und Server müssen aber vollständig gelöscht und mit neuer Software ausgestattet werden – ein Vorgang, der Monate in Anspruch nehmen dürfte, in denen die Computer im Bundestag wohl nicht oder nur eingeschränkt zur Verfügung stehen werden.

Verwunderung über Gelassenheit

Obwohl die Administratoren keine Kontrolle mehr über das Netzwerk haben und der Angriff andauert, werden die Rechner in den Abgeordnetenbüros bisher völlig normal weitergenutzt. Am 21. Mai schrieb Bundestagspräsident Norbert Lammert eine beschwichtigende Mail an alle Parlamentarier. Man arbeite „unter Hochdruck an einer Lösung“ und habe „Gegenmaßnahmen“ ergriffen, erklärte Lammert. Datenabflüsse seien „bisher nicht nachweisbar“.

Bei IT-Experten herrscht Verwunderung über diese Aussage. „Eigentlich müsste man das System sofort komplett abschalten“, sagt ein Insider. Denn weil alle Daten auf zentralen Servern liegen und die Angreifer über alle Zugangsdaten verfügen, könnten sie Informationen nicht nur über das Internet abziehen, sondern auch an jedem beliebigen Rechner im Bundestagsnetz auf einen USB-Stick oder eine externe Festplatte kopieren. Erfasst werden solche Datenströme nicht – das würde in die Freiheit der Abgeordneten eingreifen.

Offizielle Informationen für die Öffentlichkeit gibt es nur spärlich. Die Bundestagsverwaltung mochte nicht mal die Mitglieder der Kommission nennen, die sich mit dem Fall beschäftigen. Das Präsidium äußerte sich nach der Sitzung des Ältestenrats zunächst nicht; bekannt wurde lediglich, dass Lammert einen weiteren Brief an die Abgeordneten schreiben will. Auch das BSI, das das Parlament berät, lehnte jeden Kommentar mit Verweis auf die laufenden Beratungen ab.

Wer soll helfen?

In den Parlamentsbüros ist die Spähattacke am Donnerstag Gesprächsthema Nummer eins. Doch konkrete Informationen gibt es auch hier nicht – zum Ärger der Betroffenen. „Ich erwarte von der Bundestagsverwaltung, dass sie die Abgeordneten über die Gefährdung informiert und auch Empfehlungen gibt, wie wir angesichts des Angriffs unsere Kommunikation schützen können“, sagte der SPD-Netzexperte Lars Klingbeil dem epd. Auch Konstantin von Notz, IT-Experte der Grünen, kritisiert die interne Kommunikation: „Da muss man künftig vieles besser machen“, sagte er im RBB.

Doch nicht nur bei der Information über das Problem gibt sich die Bundestagsverwaltung verschlossen. Auch zur Lösung gibt es noch keinen konkreten Plan. Tatsächlich steht der Bundestag dabei vor einem großen Problem: Die Verwaltung, die schon bei der laufenden Netzwerk-Administration regelmäßig auf externe Dienstleister zugreifen muss, verfügt nicht annähernd über die notwendige Kompetenz und Manpower, um das Netzwerk des Parlaments mit einem erhöhten Sicherheitsniveau neu aufzubauen.

Der Bundestag muss sich also helfen lassen – doch von wem? Dass der Verfassungsschutz bei der Aufklärung mitwirkt, hat zwar selbst die Linksfraktion akzeptiert; doch dass sich das Parlament beim Aufbau seines Computersystems komplett in die Abhängigkeit von Bundesbehörden wie dem Verfassungsschutz oder dem BSI begibt, dürfte auf Vorbehalte stoßen – schließlich ist die Gewaltenteilung zentral für die Demokratie. Und auf große US-Konzerne mag der deutsche Gesetzgeber in Zeiten der NSA-Abhöraffäre vermutlich auch nicht uneingeschränkt vertrauen.

Fest steht nur: Auch wenn das Gesetz zur Verbesserung der IT-Sicherheit am Freitagmittag verabschiedet ist, wird sich das Parlament noch lange mit dem Thema beschäftigen müssen.