IT-Beschaffung des Staates: Mit Paragraphen gegen Spione

Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

IT-Beschaffung des Staates Mit Paragraphen gegen Spione

Lauscht da jemand mit? Die Bundesregierung will die Behörden besser vor Kriminellen und Spionen schützen: Neue Musterverträge für IT-Systeme sollen schädliche Software und Hintertüren ausschließen. Doch das kostet.
10.05.2016 - 06:18 Uhr

„Der Staat lässt die Muskeln spielen“

Düsseldorf Ob es die NSA war? Oder doch ein anderer Geheimdienst? Das lässt sich heute kaum noch nachvollziehen. Auf einmal standen jedenfalls einige Zeilen im Programmcode, die da nicht hingehörten. Im Dezember machte der Netzwerkausrüster Juniper öffentlich, dass ein Betriebssystem für Firewalls jahrelang zwei Hintertüren enthielt. Wer sie kannte, konnte bei tausenden Geräten den verschlüsselten Datenverkehr überwachen.

Das US-Unternehmen hat die Sicherheitslücken inzwischen geschlossen. Doch der Fall illustriert ein grundsätzliches Problem. Spätestens mit den Snowden-Enthüllungen ist klar geworden, dass Geheimdienste in aller Welt großen Aufwand betreiben, um Regierung, Ministerien und Behörden auszuspionieren.

Dem soll ein Riegel vorgeschoben werden. Seit März müssen die Lieferanten von Hardware staatlichen Kunden in Deutschland schriftlich zusichern, dass ausgelieferte Geräte „frei von Schaden stiftender Software“ sind, es also zum Beispiel keine Zugriffsmöglichkeiten für Geheimdienste geben darf.

Hackerangriffe auf staatliche Einrichtungen

Kriminelle stehlen 24.000 Dokumente mit Daten des US-Verteidigungsministeriums. Nach offiziellen US-Angaben sind die Hacker im Auftrag eines ausländischen Geheimdienstes in Rechner einer Vertragsfirma des Pentagons eingedrungen.

Es wird bekannt, dass der Internationale Währungsfonds (IWF) Opfer einer Cyber-Attacke geworden ist. Medienberichten zufolge gab es einen Angriff auf das System, in dem hochvertrauliche Daten über die Finanzsituation verschiedener Länder gespeichert sind.

Bundespolizei und Zoll in Deutschland werden Opfer eines Hacker-Angriffs. Die Gruppe „No-Name Crew“ hat nach eigenen Angaben von einem Rechner der Bundespolizei Daten der Zollfahndung gestohlen und ins Internet gestellt.

Hacker legen für mehrere Stunden die Website des US-Geheimdienstes CIA lahm. Auch Internetseiten der Vereinten Nationen, eines mexikanischen Bergbau-Verbandes und des US-Bundesstaates Alabama werden angegriffen.

Mehrere Internetseiten der Nato werden stundenlang durch Hackerangriffe lahmgelegt. Die „Integrität der Datensysteme der Nato“ sei dadurch nicht beeinträchtigt worden, erklärt die Organisation.

Hacker verschaffen sich Zugang zum Twitter- und zum YouTube-Konto des US-Zentralkommandos Centcom mit Sitz in Tampa (Florida). Centcom koordiniert unter anderem die Luftschläge gegen die Terrormiliz Islamischer Staat (IS) im Irak und in Syrien.

Die Personalbehörde der US-Regierung unterrichtete nach eigenen Angaben etwa vier Millionen Amerikaner über einen möglichen Diebstahl sensibler Daten. Hinter dem massiven Cyberangriff werden Medien zufolge Hacker aus China vermutet.

Mit Hochdruck arbeiten nun IT-Dienstleister und Hardwarehersteller daran, die Folgen der Regelung herauszuarbeiten. Eines ist mittlerweile klar: Mehr Transparenz bedeutet auch mehr Kosten. Und: Auch wenn viele deutsche Unternehmen zusichern, dass ihre Geräte die Bedingungen erfüllen, in dem von vielen ausländischen Anbietern geprägten IT-Markt wird so mancher mit der neuen Vorschrift hadern. „Aus Gesprächen in der Branche wissen wir, dass nicht alle Hersteller so einfach in der Lage sein werden, ihren Partnern und Kunden die Backdoor-Freiheit ihrer Produkte zu garantieren“, sagt Ralf Koenzen, Gründer und Geschäftsführer des deutschen Router-Spezialisten Lancom: „Die neuen Vertragsbedingungen sind für sie eine harte Nuss.“

Der Staat gehört zu den größten Kunden der Technologiebranche. 2013 gaben Bund, Ländern und Kommunen nach einer Schätzung des Digitalverbands Bitkom 20,4 Milliarden Euro für IT und Telekommunikation aus. Aktuelle Zahlen liegen nicht vor, die Summe dürfte in den nächsten Jahren aber deutlich steigen: So will Bundesregierung die vielen Rechenzentren der Bundesverwaltung in einer „Bundes-Cloud“ bündeln.

Bei der Beschaffung stellen die Behörden allgemeine Geschäftsbedingungen auf, im Juristendeutsch „Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen“, kurz EVB-IT. Wenn ein Dienstleister wie Bechtle, Computacenter oder T-Systems ein System installiert, muss er also gewährleisten, dass keine der Komponenten heimlich und unerwünscht Daten überträgt. Passiert das doch, muss er nachbessern. Erst wenn das nicht gelingt, droht eine Rückabwicklung des Vertrags. Damit handelt es sich um eine vergleichsweise weiche Regelung. Eine härtere Formulierung, etwa in Form einer Garantie, konnte die IT-Branche in den Verhandlungen jedoch verhindern.

Das Bundesinnenministerium hofft, „dass die neuen Bedingungen künftig zu noch mehr Aufmerksamkeit für IT-Sicherheitsinteressen der öffentlichen Hand führen – auch in den Lieferketten“, wenn IT-Dienstleister sich bei ihren Zulieferern absichern. Die Behörde sieht in den neuen Verträgen daher einen „Baustein von mehreren für mehr IT-Sicherheit, der allein nicht schon ausreicht, auf den allerdings auch nicht verzichtet werden sollte“.

Die Branche hingegen hadert mit der neuen Vorschrift. Durch die Klausel würde ein erheblicher Aufwand entstehen, heißt es etwa bei T-Systems. Vor allem aber: Der Verkäufer werde – abweichend vom gesetzlichen Leitbild — in eine Haftung für Aussagen des Lieferanten beziehungsweise den Eigenschaften eines von ihm nicht hergestellten Produkts genommen. Sprich: Wie kann man für etwas garantieren, was andere zugeliefert haben.

„Die Regelungen können zu mehr Transparenz führen“, sagt Steven Handgrätinger, Leiter des Geschäftsbereichs öffentliche Auftraggeber bei Bechtle. Denn wenn der Bieter die Haftung übernehme, müsse er die Lieferanten genauer überprüfen. Das macht Arbeit und Kosten. „Wir werden in den Beschaffungsprozess einen Mechanismus integrieren, der die Qualität dieser Hersteller sicherstellt“, so Handgrätinger.

Hinzu kommt: Kein noch so gut formulierte Mustervertrag wird unbemerkte Sicherheitslücken wie im Fall Juniper ausschließen können. Dafür ist IT zu komplex: „Es handelt sich um ein strukturelles Problem“, sagt Felix Zimmermann, Bereichsleiter „Public Sector“ beim Bitkom. IT könne unterschiedlich genau überprüft werden, 100prozentige Sicherheit gebe es aber nicht.

Die neue Regelung sei daher eher eine Aufforderung an die IT-Branche und den Staat, sich an ein „gemeinsames Verständnis von IT-Sicherheit heranzupirschen“. Das bedeutet auch für die öffentliche Hand mehr Arbeit: „Wer IT-Sicherheit fordert, muss sie auch bewerten können“, sagt Zimmermann. Damit das schnell gehe, benötigten die Behörden ausreichend fachkundiges Personal.

Firmen wie Lancom indessen hoffen nun auf zusätzliche Aufträge. Der Netzwerkausrüster ließ gleich nach dem Beschluss des IT-Planungsrates wissen, dass er sich „bereits vor vielen Jahren“ öffentlich verpflichtet habe, Produkte „frei von jeglichen versteckten Zugangsmöglichkeiten zu halten“.

9 Security-Mythen, die Sie kennen sollten
Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
1 von 34

Fakt ist: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert.

(Foto: dpa)
Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
2 von 34

Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll.

(Foto: dpa)
Mythos: Um die Sicherheit kümmere ich mich dann, wenn mich einer versucht anzugreifen.
3 von 34

Fakt: Angriffe laufen immer, Tag und Nacht. Oft bekommen Sie davon gar nichts mit. Eine Security-Lösung mit Antivirus und Firewall sollte heute selbstverständlich sein, ebenso Up-to-Date-Systeme mit aktuellen Patches.

(Foto: dpa)
Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
4 von 34

Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden.

(Foto: dapd)
Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
5 von 34

Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht.

(Foto: dpa)
Mythos: Gefährliche Websites lassen sich direkt erkennen.
6 von 34

Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle.

(Foto: Fraunhofer - SITFrauenhofer Institut)
Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
7 von 34

Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift.

(Foto: Reuters)

Auch der Halbleiter-Spezialist Infineon versicherte umgehend, schon immer die neuen Anforderungen zu erfüllen. Mit dem Siegel „IT Security made in Germany“ will auch der Bundesverband IT-Sicherheit Teletrust die Vertrauenswürdigkeit dokumentieren: Erhalten können es Anbieter, die ihren Hauptsitz hierzulande haben, vertrauenswürdige IT-Sicherheitslösungen anbieten und die außerdem Forschung und Entwicklung in Deutschland betreiben.

Doch auch erste Unternehmen aus dem Ausland haben reagiert. Huawei etwa hat nach eigenen Angaben schon in der Vergangenheit regelmäßig erklärt, dass die eigenen Produkte keine Hintertüren enthalten – „gerade weil wir in der Vergangenheit immer wieder mit ungerechtfertigten Vorwürfen konfrontiert wurden“. Bei Bedarf werde man auch die Verträge von IT-Ausrüstern anpassen. Ähnlich sieht es bei Nokia und Ericsson aus: Falls nötig, geben sie gegenüber Systemhäusern eine Erklärung ab.

Ob die neuen Beschaffungsbedingungen deutschen Unternehmen helfen werden, ist daher fraglich. Bechtle jedenfalls schließt seinerseits keinen Lieferanten grundsätzlich aus, solange der eine entsprechende „Eigenerklärung zu unserer Absicherung“ vorlegen könne, erklärt Handgrätingert. Der Manager rechnet damit, dass alle Hardwarehersteller eine entsprechende Erklärung abgeben. Ohne diese „schließen sie sich bei Aufträgen quasi selbst aus“. Ob solche durchgereichten Erklärung am Ende wirklich helfen - keiner weiß es.

Wie die Hacker zum Ziel kommen

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Es gibt praktisch keine fehlerlose Software – wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

„Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort“: Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein – obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. „Die Handbücher mit dem Passwort stehen oft im Internet“, sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer – neben Kriminellen auch Geheimdienste – oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

Hinweis an die Redaktion >>

Startseite
E-Mail Pocket Flipboard
Mehr zu: IT-Beschaffung des Staates - Mit Paragraphen gegen Spione

Serviceangebote

Newsletter Finance Briefing

Newsletter Energie Briefing

Podcast Economic Challenges

Newsletter Morning Briefing plus

Premium-Newsletter Geldanlage

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%