Vernetzte Unsicherheit im Bundestag

https://blog.wdr.de/digitalistan/vernetzte_unsicherheit_im_bund/

Vernetzte Unsicherheit im Bundestag

Kommentare zum Artikel: 4

Die Computersysteme des Bundestages und des Bundeskanzleramtes gelten als beliebte Angriffsziele ausländischer Nachrichtendienste. Die haben hier oft leichtes Spiel, weil eine umfassende Sicherheitsstrategie für Regierungsnetzwerke fehlt. Das macht Angriffe auf die Server des Bundestages so leicht.

Auge im Datenstream; Rechte: dpa
Bundestag und Bundeskanzleramt: beliebte Angriffsziele für Cyber-Attacken

Die Angriffsliste ist lang: Im Januar 2015 griffen Berkut-Aktivisten deutsche Regierungsnetze an und legten die Web-Server von Kanzleramt und Bundestag einige Stunden lahm. Im Oktober vergangenen Jahres kaufte nach Erkenntnissen mehrerer Sicherheitsexperten eine chinesisch-koreanische Hackergruppe für eine Viertelmillion Dollar Angriffssoftware im Darknet genannten dunklen Teil des Internet ein, die Sicherheitslücken der Bundestagssysteme passgenau berücksichtigte.
Der Deutsche Bundestag musste sich im vergangenen Jahr von seinem Kommunikationsdienstleister Verizon trennen. Lange Zeit war über die Zusammenarbeit von Verizon mit der NSA diskutiert worden, ehe der Bundestag sich zu diesem Schritt entschloss.

Bundestag als weit geöffnetes System

Unter Hackern gelten die Router des Deutschen Bundestages als weit geöffnete Systeme. Die Bundestagsverwaltung wähnte sich hier auf der sicheren Seite, weil man sich für Router eines amerikanischen Anbieters entschieden hatte. In dessen Geräten stecken aber nun gerade diejenigen chinesischen Bauelemente, für die auf dem schwarzen Markt Angriffssoftware gehandelt wird.
Es verwundert nicht, dass beim neuesten Angriff auf das Rechnernetz des Bundestages auch die völlig unzulänglich abgeschotteten Systeme des NSA-Untersuchungsausschusses penetriert wurden. Britische und amerikanische Dienste vermuten dort wichtige Dateien.
Bereits in der Vergangenheit bedienten sich nordamerikanische und britische Nachrichtendienste exzellent ausgebildeter rumänischer Hackergruppen, wenn sie Regierungsziele in Deutschland angreifen wollten. Würden diese Angriffe aufgedeckt, wären politische Probleme leicht aus der Welt zu schaffen. Es wäre dann eben ein östlicher Geheimdienst gewesen, der diesen Angriff beauftragt hätte.

Sicherheitsstandards werden nicht beachtet

„Bundesregierung und die im Bundestag vertretenen Parteien müssen in Sachen IT-Sicherheit endlich Flagge zeigen“, meint der Sicherheitsforscher und Informatikprofessor Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg.
Entsprechende Sicherheitsstandards gibt es. Wissenschaftlich bewiesene Methoden, Kommunikationsnetze und informationstechnische Infrastruktur abzusichern, sind verfügbar. Doch im Augenblick passiert so gut wie gar nichts. Denn es fehlt eine Cyber-Gesamtstrategie, die auch Kriterien für die sichere Regierungs-IT und deren Beschaffung umfassen würde.
„Da hat die Bundesregierung Nachholbedarf“, meint auch die Politikwissenschaftlerin Professor Beate Neuss, die mit ihrem Team an der Technischen Universität Chemnitz seit einiger Zeit über Cybersicherheitsstrategien und Cybersicherheitspolitik forscht.

Regierung verhindert Transparenz

Vernetzte Unsicherheit und fehlende Transparenz hängen zusammen. Und sie prägen das Regierungshandeln in Sachen Cyberinfrastruktur der Bundesregierung und der Bundesverwaltung. Nicht einmal über die Kriterien und Sicherheitsanforderungen bei der Auswahl eines neuen Kommunikationsdienstleisters will die Bundesregierung öffentlich diskutieren.
Auch die Bundestagsverwaltung setzt auf „Security by obscurity“. Sicherheit durch Verschleierung, nannten Sicherheitsanalysten vor 20 Jahren diese regierungsamtliche Strategie. Wenn niemand genau Bescheid weiß, wie ein Computersystem konfiguriert und gestaltet ist, erschwert man möglichen Angreifern das Geschäft.
So lautete damals das Vorurteil. Inzwischen wissen aber die Sicherheitsexperten: Je transparenter Systeme sind, um so zuverlässiger sind sie. Hackerangriffe und Spionageattacken machen sich stets Sicherheitslücken zunutze. Ohne diese Lücken kann ein Computer- und Kommunikationssystem nicht erfolgreich angegriffen werden.
Ist ein System dagegen offen und transparent, werden die Schwachstellen schnell erkannt und vor allem sofort geschlossen. Dahinter steckt der simple Grundsatz, dass sechs Augen mehr sehen als zwei. Doch die Bundesregierung verhindert diese Transparenz der Regierungssysteme – und beruft sich dabei auf angebliche Sicherheitsinteressen. Experten wie der Sicherheitsberater Hartmut Pohl vermuten aber für diese systematische Abschottung auch noch andere Gründe.

Sicherheitslücken ermöglichen Cyberangriffe

„Es gibt keinen Angriff, der nicht eine Sicherheitslücke ausnutzt“, meint Pohl. Werden diese Sicherheitslücken veröffentlicht und dann geschlossen, sind Angriffe nicht mehr erfolgreich. Deshalb fordern Sicherheitsforscher schon seit längerer Zeit eine Meldepflicht für Sicherheitslücken.
Dennoch hat diese Forderung im Regierungshandeln keinerlei Berücksichtigung gefunden. Und deshalb unterbleiben auch bei der Beschaffung von Servern, Software und Routern zum Beispiel des Deutschen Bundestages wesentliche Sicherheitstests.

Über den Autor

Peter Welchering arbeit seit 1983 für Radio, Fernsehen und Print (u.a. Deutschlandradio, ZDF, verschiedene ARD-Sender, FAZ) und hat verschiedene Lehraufträge an Journalistenschulen in Deutschland und anderen Ländern. Online ist Welchering seit 1983.

4 Kommentare

  1. Heinrich am

    Ich würde auf den entsprechenden Servern einfach ein Nacktfoto von Hillary Clinton hinterlegen. Dann wäre da ganz schnell Ruhe.

  2. Don.Corleone am

    die bu-regierungskaste m. Oberhäuptling merkel/cdu strotzt vor Inpomeptenz, Ignoranz, Frecheheit, notorische Lügengebäude , Unterwürfigkeit, Lakaienhaftigkeit, Masoschismus,
    WER beendet d. Katasstrophe ?
    TOTAL-Ausverkauf an d. restliche Welt -Ukraine-Griechenland – brüssel-Israel ,
    Flüchtlings-Misere .Wie lange erträgt d. Deutsche Volk d. Amtsmissbrauch u. d. permanente
    Demütigung d. Volkes Willen ?

  3. Ironduke am

    Das übliche Problem, egal ob bei Behörden oder bei großen Firmen: Je höher die Leute in der Hierarchie stehen, desto weniger sind sie gewillt, elementare Sicherheitsmaßnahmen einzuhalten und auf Bequemlichkeiten zu verzichten. Dinge, die sie von nieder-Rangigen selbstverständlich verlangen. Abgeordnete dürfen – ebenso wie Firmenvorstände – um alle Regeln der IT-Sicherheit herum arbeiten. Dabei sind es genau diese, die täglich mit den vertraulichsten Informationen hantieren.

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage: *

Top