IT-Sicherheit Warum der Bundestag ein leichtes Ziel für Hacker ist
Berlin Die Angreifer kamen aus dem Ausland, so viel konnte die Polizei aus sichergestellten Datenfragmenten noch herauslesen. Doch dann verläuft sich die Spur.
Sicher ist nur, dass die Hacker nachsetzten, dass sie wiederkamen, insgesamt vier Mal. Am 30. Januar nahm der Grünen-Politiker Omid Nouripour seine Internetseite schließlich vom Netz. Seither ist sie nicht mehr zu erreichen.
Hackerangriffe auf deutsche Abgeordnete sind keine Ausnahme, sie sind Alltag. Auch drei Jahre nach der großen Cyberattacke auf das deutsche Parlament ist der Bundestag der Bedrohung kaum gewachsen.
Dabei werden die digitalen Gefahren immer größer. Die Abwehr von Cyberattacken und IT-Spionage ist eine der wichtigsten Aufgaben, die die deutsche Politik bewältigen muss.
Erst gerade hat ein Hackerangriff auf das Auswärtige Amt Aufsehen erregt. Doch der Bundestag ist besonders verletzlich. Als legislatives Staatsorgan befinden sich seine Computersysteme außerhalb des gesicherten Regierungsnetzes.
Vor allem Mitglieder von wichtigen parlamentarischen Gremien, die an strategisch bedeutenden Gesetzesentwürfen arbeiten oder staatliche Geheiminformationen erhalten, sind attraktive Ziele für Cyberkriminelle und ausländische Nachrichtendienste.
„Es ist erschreckend, wie schlecht wir vor Angriffen aus dem Netz geschützt werden“, klagt Nouripour. Er hat es sich im Abgeordnetenrestaurant bequem gemacht, hinter ihm breitet sich die matschige Reichstagswiese aus. Der Grüne erhebt schwere Vorwürfe gegen die Sicherheitsbehörden, vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Das BSI sehe sich lediglich als Dienstleister für die Sicherheitsarchitektur des Bundes, kritisiert er: „Aus den Angriffen auf Abgeordnetenbüros wurden anscheinend keine Lehren gezogen, trotz der aktuellen Bedrohungslage und Angriffen aus Russland und China.“
Daten darüber, wie häufig Cyberangriffe auf Abgeordnete sind, sind schwer zu bekommen. Die Bundestagsverwaltung blockt Anfragen ab. Doch das Ausmaß der Gefahr zeigen Erfahrungen aus den USA.
Im Wahlkampf 2016 war es Hackern gelungen, auf die Computersysteme der Demokratischen Partei und auf das E-Mail-Konto des Wahlkampfmanagers der Demokratin Hillary Clinton zuzugreifen. Für Amerikas Geheimdienste steht fest: Die Angreifer waren russische Cyberagenten, ihr Ziel war es, dem Republikaner Donald Trump zum Sieg zu verhelfen und das Vertrauen der Amerikaner in ihr politisches System zu erschüttern. Beides ist den Angreifern geglückt.
Das BSI weiß um die politische Bedeutung von Cyberattacken auf das Parlament. Den Vorwurf, nicht genug zum Schutz der Abgeordneten zu tun, weist die Bonner Behörde entschieden zurück.
Ein Sprecher berichtet über „Sensibilisierungsveranstaltungen“, bei denen die Abgeordneten und ihre Mitarbeiter über Methoden der Angreifer aufgeklärt werden. Zudem habe man dem Bundestag das Filtersystem für schadhafte Software zur Verfügung gestellt.
Ein Problem dabei: Viele Parlamentarier nutzen ihre Smartphones und Tablets außerhalb des Büros – und sind damit leichter angreifbar.
Für weiterreichende Maßnahmen fehlt dem BSI das Mandat. Die Behörde ist nur beratend tätig, gegen eine engere Zusammenarbeit gibt es Vorbehalte im Bundestag. Grund ist die Gewaltenteilung: Das Parlament soll die Regierung überwachen – nicht umgekehrt. Doch jetzt kommt Bewegung in die Debatte.
Der ehemalige Parlamentarische Staatssekretär im Bundesjustizministerium, Ulrich Kelber (SPD), plädiert für eine Neuorganisation des BSI. „Ein Schutz der Bundestagsabgeordneten durch das BSI wäre wünschenswert“, sagte der Bundestagsabgeordnete dem Handelsblatt. „Dazu müsste das BSI aber aus Innenministerium herausgelöst und unabhängig werden, ich befürworte das.“
Auch die FDP macht sich für eine bessere Einbindung des BSI stark. „Es wäre wünschenswert, die Bundestags-IT weiter zu stärken, um der besonderen Rolle und Rechtsstellung des Parlaments Rechnung zu tragen. Dem BSI könnte hier eine unterstützende Tätigkeit zukommen“, sagte Fraktionsvize Michael Theurer dem Handelsblatt.
Der FDP-Digitalexperte Manuel Höferlin, hält ebenfalls einen „regelmäßigen Austausch mit dem BSI“ für sinnvoll. „Wenn es aber um eine mögliche gemeinsame Nutzung der IT-Infrastruktur mit dem BSI geht, dann sollte das Parlament aufgrund der Gewaltenteilung zwischen Legislative und Exekutive stets vorsichtig agieren“, sagte Höferlin dem Handelsblatt.
Auch der innenpolitische Sprecher Unions-Bundestagsfraktion, Volker Ullrich (CSU), mahnte angesichts der jüngsten Angriffe, „dass wir in der Abwehr noch besser werden müssen“. Ob das BSI auch verfassungsrechtlich den Bundestag schützen dürfe, sei dabei aber „nur eine theoretische Debatte“, sagte Ullrich dem Handelsblatt. „Entscheidend ist eine ausreichende IT-Sicherheitsarchitektur nach außen.“
Das BSI ist eine dem Innenministerium unterstellte Bundesbehörde mit Sitz in Bonn. Zu seinen Aufgaben gehört es, die Sicherheit in der Informationstechnik (IT) von Behörden und Unternehmen zu gewährleisten. Es hat das IT-Sicherheitskonzept für den Informationsverbund Berlin-Bonn, die interne Kommunikationsinfrastruktur des Bundes, erarbeitet. Das BSI soll auch den sicheren Umgang mit digitalen Medien von privaten Nutzern stärken. Die Behörde nahm 1991 ihre Arbeit auf. Derzeit beschäftigt sie mehr als 700 Mitarbeiter.
Wie leicht der Bundestag zum Ziel von Hackerattacken werden kann zeigt auch ein Beispiel aus dem Jahr 2015. Seinerzeit wurde der Bundestagscomputer von Kanzlerin Angela Merkel (CDU) von einem Trojaner infiziert. Dieser hat dafür gesorgt, dass in Merkels Namen E-Mails an andere Bundestagsabgeordnete verschickt wurden, die wiederum eine Schadsoftware enthielten.
Die SPD-Innenpolitikerin Saskia Esken spricht heute von einem schwerwiegenden Angriff. Dies werde daraus ersichtlich, dass damals das „Parlakom-System“ des Bundestags in der Sommerpause für einige Tage habe vom Netz genommen und neu aufgesetzt werden müssen. Schon davor sei das BSI sowohl in die forensische Untersuchung des Angriffs als auch in die Beseitigung der identifizierten Schwachstellen eingebunden gewesen, sagte Esken dem Handelsblatt.
In einer „umfangreichen Sicherheitsanalyse“ sei schließlich ein weiterer Handlungsbedarf erkannt worden, den nun in der neuen Legislaturperiode angegangen werden müsse. „Dabei geht es nicht alleine um mögliche weitere Konsequenzen aus diesem oder anderen bekannten Angriffen“, sagte Esken. „Es muss eben auch die stete Anpassung der Sicherheitsarchitektur an sich ändernden Arbeitsabläufe der Abgeordneten stattfinden wie beispielsweise der Einsatz von mobilen Geräten wie Smartphones und Tablet-Computern.“
Hinzu komm die Notwendigkeit, ein „alltagstaugliches Konzept“ zu entwickeln, wie das Wissen und das Bewusstsein für IT-sicheres Arbeiten bei Abgeordneten und ihren Mitarbeitern aktuell gehalten werden könne. „Dabei wird das BSI als die zentrale Behörde des Bundes für Kompetenz und Beratung in IT-Sicherheitsfragen auch künftig für die Bundestagsverwaltung ein wichtiger Ratgeber und Begleiter sein“, sagte Esken.
Auch Kelber hofft auf einen besseren Schutz gegen Hackerattacken. „Jeder muss mit seinem Verhalten selbst zur Datensicherheit beitragen“, betonte der SPD-Politiker. Mit Blick auf den Angriff im Jahr 2015 füge er hinzu: „Das Leck damals war durchaus auch auf Unvorsichtigkeit der Bundestagsabgeordneten zurückzuführen.“
Das Kommentieren dieses Artikels wurde deaktiviert.