Vernetzte Unsicherheit im Bundestag !
Die Computersysteme des Bundestages und des Bundeskanzleramtes gelten als beliebte Angriffsziele ausländischer Nachrichtendienste.
Die haben hier oft leichtes Spiel, weil eine umfassende Sicherheitsstrategie für Regierungsnetzwerke fehlt.
Das macht Angriffe auf die Server des Bundestages so leicht.
Die Angriffsliste ist lang: Im Januar 2015 griffen Berkut-Aktivisten deutsche Regierungsnetze an und legten die Web-Server von Kanzleramt und Bundestag einige Stunden lahm.
Im Oktober vergangenen Jahres kaufte nach Erkenntnissen mehrerer Sicherheitsexperten eine chinesisch-koreanische Hackergruppe für eine Viertelmillion Dollar Angriffssoftware im ******* genannten dunklen Teil des Internet ein, die Sicherheitslücken der Bundestagssysteme passgenau berücksichtigte.
Der Deutsche Bundestag musste sich im vergangenen Jahr von seinem Kommunikationsdienstleister Verizon trennen.
Lange Zeit war über die Zusammenarbeit von Verizon mit der NSA diskutiert worden, ehe der Bundestag sich zu diesem Schritt entschloss.
Bundestag als weit geöffnetes System
Unter Hackern gelten die Router des Deutschen Bundestages als weit geöffnete Systeme.
Die Bundestagsverwaltung wähnte sich hier auf der sicheren Seite, weil man sich für Router eines amerikanischen Anbieters entschieden hatte.
In dessen Geräten stecken aber nun gerade diejenigen chinesischen Bauelemente, für die auf dem schwarzen Markt Angriffssoftware gehandelt wird.
Es verwundert nicht, dass beim neuesten Angriff auf das Rechnernetz des Bundestages auch die völlig unzulänglich abgeschotteten Systeme des NSA-Untersuchungsausschusses penetriert wurden.
Britische und amerikanische Dienste vermuten dort wichtige Dateien.
Bereits in der Vergangenheit bedienten sich nordamerikanische und britische Nachrichtendienste exzellent ausgebildeter rumänischer Hackergruppen, wenn sie Regierungsziele in Deutschland angreifen wollten.
Würden diese Angriffe aufgedeckt, wären politische Probleme leicht aus der Welt zu schaffen.
Es wäre dann eben ein östlicher Geheimdienst gewesen, der diesen Angriff beauftragt hätte.
Sicherheitsstandards werden nicht beachtet
„Bundesregierung und die im Bundestag vertretenen Parteien müssen in Sachen IT-Sicherheit endlich Flagge zeigen", meint der Sicherheitsforscher und Informatikprofessor Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg.
Entsprechende Sicherheitsstandards gibt es. Wissenschaftlich bewiesene Methoden, Kommunikationsnetze und informationstechnische Infrastruktur abzusichern, sind verfügbar.
Doch im Augenblick passiert so gut wie gar nichts.
Denn es fehlt eine Cyber-Gesamtstrategie, die auch Kriterien für die sichere Regierungs-IT und deren Beschaffung umfassen würde.
„Da hat die Bundesregierung Nachholbedarf", meint auch die Politikwissenschaftlerin Professor Beate Neuss, die mit ihrem Team an der Technischen Universität Chemnitz seit einiger Zeit über Cybersicherheitsstrategien und Cybersicherheitspolitik forscht.
Regierung verhindert Transparenz
Vernetzte Unsicherheit und fehlende Transparenz hängen zusammen.
Und sie prägen das Regierungshandeln in Sachen Cyberinfrastruktur der Bundesregierung und der Bundesverwaltung.
Nicht einmal über die Kriterien und Sicherheitsanforderungen bei der Auswahl eines neuen Kommunikationsdienstleisters will die Bundesregierung öffentlich diskutieren.
Auch die Bundestagsverwaltung setzt auf „Security by obscurity".
Sicherheit durch Verschleierung, nannten Sicherheitsanalysten vor 20 Jahren diese regierungsamtliche Strategie.
Wenn niemand genau Bescheid weiß, wie ein Computersystem konfiguriert und gestaltet ist, erschwert man möglichen Angreifern das Geschäft.
So lautete damals das Vorurteil.
Inzwischen wissen aber die Sicherheitsexperten: Je transparenter Systeme sind, um so zuverlässiger sind sie.
Hackerangriffe und Spionageattacken machen sich stets Sicherheitslücken zunutze.
Ohne diese Lücken kann ein Computer- und Kommunikationssystem nicht erfolgreich angegriffen werden.
Ist ein System dagegen offen und transparent, werden die Schwachstellen schnell erkannt und vor allem sofort geschlossen.
Dahinter steckt der simple Grundsatz, dass sechs Augen mehr sehen als zwei.
Doch die Bundesregierung verhindert diese Transparenz der Regierungssysteme - und beruft sich dabei auf angebliche Sicherheitsinteressen.
Experten wie der Sicherheitsberater Hartmut Pohl vermuten aber für diese systematische Abschottung auch noch andere Gründe.
Sicherheitslücken ermöglichen Cyberangriffe
„Es gibt keinen Angriff, der nicht eine Sicherheitslücke ausnutzt", meint Pohl.
Werden diese Sicherheitslücken veröffentlicht und dann geschlossen, sind Angriffe nicht mehr erfolgreich.
Deshalb fordern Sicherheitsforscher schon seit längerer Zeit eine Meldepflicht für Sicherheitslücken.
Dennoch hat diese Forderung im Regierungshandeln keinerlei Berücksichtigung gefunden.
Und deshalb unterbleiben auch bei der Beschaffung von Servern, Software und Routern zum Beispiel des Deutschen Bundestages wesentliche Sicherheitstests.