Hacker-Angriff auf den Bundestag: Es ist noch nicht beendet
Die Trojaner-Attacke auf das Netz des Bundestages lässt die Parlamentarier nackt dastehen. Ihre Reaktion: die Ausweitung des IT-Sicherheitsgesetzes.
Dieses System besteht aus Windows-Rechnern, einer zentralen IT-Verwaltung und vielen Restriktionen. Vor allem aber besteht es, aus Renners Sicht, aus Lücken. Als die Thüringer Politikerin im September 2013 für die Linkspartei in den Bundestag einzog, wandte sie sich an die Bundestagsverwaltung. Sie wollte an den Parlamentscomputern so frei arbeiten, wie es ihr passte: Nicht nur E-Mails verschlüsseln, sondern auch über das Chatprotokoll Jabber überwachungssicher kommunizieren. Sie wollte mit der Software Truecrypt einen digitalen Bunker für ihre sensiblen Dateien besitzen. Kurz: Sie wollte alles tun, was aus ihrer Sicht nötig war, um ein Mindestmaß an digitalem Selbstschutz zu erreichen.
Die IT-Verwaltung des Deutschen Bundestags arbeitet aber nach eigenen Regeln, die ebenfalls einem Sicherheitsgedanken unterliegen: Um zu gewährleisten, dass Abgeordnete oder deren Mitarbeiter sich keine schädliche Software installieren können, hat die Parlamentsverwaltung eine äußerst restriktive Netzwerkumgebung aufgesetzt, die bis heute das digitale Standardinventar von Abgeordneten darstellt. Das freie Mandat wird allerdings unter Windows verwaltet, einem Betriebssystem, das als besonders anfällig für Attacken gilt.
Schon seit vier Wochen wird das Bundestagsnetz angegriffen. Bundestagspräsident Norbert Lammert (CDU) teilte am Donnerstagabend zwar mit, in den zurückliegenden zwei Wochen sei es nach den bisherigen Erkenntnissen zu keinen Datenabflüssen mehr gekommen. Das aber bedeute nicht, dass der Angriff „endgültig abgewehrt und beendet wäre“. Lammert dachte schon vorher laut darüber nach, das gesamte Bundestagsnetz neu aufzusetzen.
Trojaner noch immer aktiv
Nach allem, was bislang bekannt ist, dürfte es sich um einen der schwersten digitalen Angriffe auf ein westliches Parlament handeln. Nach dem derzeitigen Stand der Ermittlungen soll das Computersystem des Bundestags bei der schweren Attacke mit Hilfe von E-Mails angegriffen und mit Schadsoftware infiziert worden sein. Besonders brisant: Obwohl die Angriffe seit Wochen bekannt sind, bekommt der Bundestag sie nicht in den Griff, die Trojaner sind noch immer aktiv. Bundesinnenminister Thomas de Maizière (CDU) vermutet einen ausländischen Nachrichtendienst hinter dem Angriff.
Es ist ein digitales Erdbeben. Denn dem eigens vom Bundestag betriebenen Netz namens „Parlakom“ gehören rund 20.000 Rechner an. Es handelt sich nicht um ein IT-Problem, sondern um ein politisches Desaster. Denn niemand weiß, welche sensiblen Daten aus der Arbeit der Abgeordneten abgezweigt wurden und wohin diese Daten gingen.
Martina Renner konnte abhörsicher kommunizieren. Sie verfügt über Möglichkeiten, ihre Dateien in einem der sichersten Speicherprogramme der Welt zu hinterlegen. Es ist die Software, die auch Edward Snowden benutzt. Und doch ist sie vom Hackerangriff auf den Bundestag ebenso betroffen wie ihre Kollegen. Denn bislang ist noch unklar, wie der Trojaner arbeitet. Wenn dabei ein sogenannter Keylogger im Einsatz war, der die Tastaturanschläge von Computernutzern aufzeichnet, könnten die Angreifer schon längst über jene Passwörter verfügen, die nötig sind, um all die verschlüsselten E-Mails und digitalen Tresore zu entsperren. Ihre vielen schönen Programme haben Renner vielleicht nichts genützt.
Was ist mit den Daten aller anderen?
Wenn aber eines der mutmaßlich sensibelsten Netzwerke der Republik schon nicht zu schützen ist – wie steht es dann erst um die Daten von Unternehmen, Arbeitnehmern oder Verbrauchern, die massenhaft auf großen Servern quer durch die Republik gespeichert sind? Und: Wer muss verantwortlich sein, wenn es um den Schutz von Daten geht: der Gesetzgeber? Die IT-Zentrale da oben – oder die Nutzer da unten?
Unter dem Eindruck der Attacke auf den Bundestag verabschiedeten die Parlamentarier am Freitag das IT-Sicherheitsgesetz und weiteten es, anders als zuvor geplant, auf Behörden aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll festlegen, welche Anforderungen an die Sicherheit ihrer Computersysteme und Netzwerke die Bundesbehörden in Zukunft erfüllen müssen.
Ähnliche Mindeststandards müssen künftig wichtige Unternehmen vorweisen, etwa Banken, Wasserwerke, Energieunternehmen oder die Bahn. Sie müssen erhebliche Störungen durch Cyberangriffe künftig melden. Inwiefern auch der Deutsche Bundestag von dem neuen Gesetz profitiert, ist allerdings offen. Das Parlament hatte sich in der Vergangenheit vorbehalten, sein Netz selbst zu betreuen und die Verantwortung dafür nicht wie die Ministerien in die Hände des BSI zu legen.
Martina Renner hat sich bereits einen neuen PGP-Schlüssel generiert, ihr alter könnte kompromittiert sein. Die Obfrau im NSA-Untersuchungsausschuss arbeitet im Moment auf ihrem privaten Rechner. Als Renner das letzte Mal für ihre digitale Sicherheit sorgen wollte, dauerte es Monate, bis ihr Team mit dem entsprechenden Plug-in durch die IT-Abteilung des Bundestags ausgestattet war. Im aktuellen Fall ist die Herausforderung komplexer. Das neue Pilotprojekt trägt zwar noch keinen Namen, aber die Testphase läuft.
40.000 mal Danke!
40.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Was uns besonders macht? Sie, unsere Leser*innen. Sie wissen: Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Wir suchen auch weiterhin Unterstützung: suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus – schon mit 5 Euro im Monat! Jetzt unterstützen
meistkommentiert
Tabubruch der CDU
Einst eine Partei mit Werten
Trump und die Ukraine
Europa hat die Ukraine verraten
Social-Media-Star im Bundestagswahlkampf
Wie ein Phoenix aus der roten Asche
Krieg und Rüstung
Klingelnde Kassen
Gerhart Baum ist tot
Die FDP verliert ihr sozialliberales Gewissen
Mitarbeiter des Monats
Wenn’s gut werden muss