Hacker-Angriff auf den Bundestag: Es ist noch nicht beendet

BERLIN taz | Martina Renner trug im Juli 2014 einen kleinen Sieg davon. Der Mitarbeiter aus dem Referat IT 2 im Deutschen Bundestag war endlich da, um an den Rechnern der Abgeordneten und ihrer Mitarbeiter ein Plug-in zu installieren, ein kleines Computerprogramm. In der Parlamentsverwaltung nannten sie es „Pilotprojekt E-Mail-Verschlüsselung mit PGP“. Ein Jahr war seit den Veröffentlichungen Edward Snowdens vergangen. Nun sollten auch einige Bundestagsabgeordnete verschlüsselte E-Mails empfangen können. Martina Renner hatte gegen das System gewonnen, zumindest ein bisschen.

Dieses System besteht aus Windows-Rechnern, einer zentralen IT-Verwaltung und vielen Restriktionen. Vor allem aber besteht es, aus Renners Sicht, aus Lücken. Als die Thüringer Politikerin im September 2013 für die Linkspartei in den Bundestag einzog, wandte sie sich an die Bundestagsverwaltung. Sie wollte an den Parlamentscomputern so frei arbeiten, wie es ihr passte: Nicht nur E-Mails verschlüsseln, sondern auch über das Chatprotokoll Jabber überwachungssicher kommunizieren. Sie wollte mit der Software Truecrypt einen digitalen Bunker für ihre sensiblen Dateien besitzen. Kurz: Sie wollte alles tun, was aus ihrer Sicht nötig war, um ein Mindestmaß an digitalem Selbstschutz zu erreichen.

Die IT-Verwaltung des Deutschen Bundestags arbeitet aber nach eigenen Regeln, die ebenfalls einem Sicherheitsgedanken unterliegen: Um zu gewährleisten, dass Abgeordnete oder deren Mitarbeiter sich keine schädliche Software installieren können, hat die Parlamentsverwaltung eine äußerst restriktive Netzwerkumgebung aufgesetzt, die bis heute das digitale Standardinventar von Abgeordneten darstellt. Das freie Mandat wird allerdings unter Windows verwaltet, einem Betriebssystem, das als besonders anfällig für Attacken gilt.

Schon seit vier Wochen wird das Bundestagsnetz angegriffen. Bundestagspräsident Norbert Lammert (CDU) teilte am Donnerstagabend zwar mit, in den zurückliegenden zwei Wochen sei es nach den bisherigen Erkenntnissen zu keinen Datenabflüssen mehr gekommen. Das aber bedeute nicht, dass der Angriff „endgültig abgewehrt und beendet wäre“. Lammert dachte schon vorher laut darüber nach, das gesamte Bundestagsnetz neu aufzusetzen.

Trojaner noch immer aktiv

Nach allem, was bislang bekannt ist, dürfte es sich um einen der schwersten digitalen Angriffe auf ein westliches Parlament handeln. Nach dem derzeitigen Stand der Ermittlungen soll das Computersystem des Bundestags bei der schweren Attacke mit Hilfe von E-Mails angegriffen und mit Schadsoftware infiziert worden sein. Besonders brisant: Obwohl die Angriffe seit Wochen bekannt sind, bekommt der Bundestag sie nicht in den Griff, die Trojaner sind noch immer aktiv. Bundesinnenminister Thomas de Maizière (CDU) vermutet einen ausländischen Nachrichtendienst hinter dem Angriff.

Es ist ein digitales Erdbeben. Denn dem eigens vom Bundestag betriebenen Netz namens „Parlakom“ gehören rund 20.000 Rechner an. Es handelt sich nicht um ein IT-Problem, sondern um ein politisches Desaster. Denn niemand weiß, welche sensiblen Daten aus der Arbeit der Abgeordneten abgezweigt wurden und wohin diese Daten gingen.

Martina Renner konnte abhörsicher kommunizieren. Sie verfügt über Möglichkeiten, ihre Dateien in einem der sichersten Speicherprogramme der Welt zu hinterlegen. Es ist die Software, die auch Edward Snowden benutzt. Und doch ist sie vom Hackerangriff auf den Bundestag ebenso betroffen wie ihre Kollegen. Denn bislang ist noch unklar, wie der Trojaner arbeitet. Wenn dabei ein sogenannter Keylogger im Einsatz war, der die Tastaturanschläge von Computernutzern aufzeichnet, könnten die Angreifer schon längst über jene Passwörter verfügen, die nötig sind, um all die verschlüsselten E-Mails und digitalen Tresore zu entsperren. Ihre vielen schönen Programme haben Renner vielleicht nichts genützt.

Was ist mit den Daten aller anderen?

Wenn aber eines der mutmaßlich sensibelsten Netzwerke der Republik schon nicht zu schützen ist – wie steht es dann erst um die Daten von Unternehmen, Arbeitnehmern oder Verbrauchern, die massenhaft auf großen Servern quer durch die Republik gespeichert sind? Und: Wer muss verantwortlich sein, wenn es um den Schutz von Daten geht: der Gesetzgeber? Die IT-Zentrale da oben – oder die Nutzer da unten?

Unter dem Eindruck der Attacke auf den Bundestag verabschiedeten die Parlamentarier am Freitag das IT-Sicherheitsgesetz und weiteten es, anders als zuvor geplant, auf Behörden aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll festlegen, welche Anforderungen an die Sicherheit ihrer Computersysteme und Netzwerke die Bundesbehörden in Zukunft erfüllen müssen.

Ähnliche Mindeststandards müssen künftig wichtige Unternehmen vorweisen, etwa Banken, Wasserwerke, Energieunternehmen oder die Bahn. Sie müssen erhebliche Störungen durch Cyberangriffe künftig melden. Inwiefern auch der Deutsche Bundestag von dem neuen Gesetz profitiert, ist allerdings offen. Das Parlament hatte sich in der Vergangenheit vorbehalten, sein Netz selbst zu betreuen und die Verantwortung dafür nicht wie die Ministerien in die Hände des BSI zu legen.

Martina Renner hat sich bereits einen neuen PGP-Schlüssel generiert, ihr alter könnte kompromittiert sein. Die Obfrau im NSA-Untersuchungsausschuss arbeitet im Moment auf ihrem privaten Rechner. Als Renner das letzte Mal für ihre digitale Sicherheit sorgen wollte, dauerte es Monate, bis ihr Team mit dem entsprechenden Plug-in durch die IT-Abteilung des Bundestags ausgestattet war. Im aktuellen Fall ist die Herausforderung komplexer. Das neue Pilotprojekt trägt zwar noch keinen Namen, aber die Testphase läuft.