Aleksandra SOWA, Natalia MARSZAŁEK: Wer bedroht den Bundestag? Fuß in der Tür

de Language Flag Wer bedroht den Bundestag?
Fuß in der Tür

Photo of Aleksandra SOWA

Aleksandra SOWA

Leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst-​​Görtz-​​Institut für Sicherheit in der Informationstechnik. Sowa ist Autorin diverser Bücher und Fachpublikationen und begleitete u.a. als Mitglied der Internet Redaktion die Wahlkampftour des Bundeskanzlers a.D. Gerhard Schröder.

Ryc.: Fabien Clairefond

Andere Texte

Photo of Natalia MARSZAŁEK

Natalia MARSZAŁEK

Absolventin der Fachrichtung Innere Sicherheit mit Spezialgebiet System- und Informationssicherheit. Liest Fantasy. Liebt Hohe Tatra. Schreibt Prosa.

Wieder wurde eine Partei kurz vor den Wahlen gehackt. Wieder stehen ausländische Geheimdienste im Verdacht, Wahlen beeinflussen zu wollen. Nun werden auch deutsche Politiker nervös. Schließlich stehen die 27. Bundestagswahlen vor der Tür.

Nachdem die Partei des französischen Kandidaten für das Amt des Präsidenten, Emmanuel Macron, bekannt gegeben hat, dass sie wenige Tage vor der Wahl zum Ziel massiver und organisierter Attacken wurde[1] und entwendete Dokumente – vermischt mit gefälschten – auf Pastebin veröffentlicht wurden, wurde es auch für manche deutsche Politiker brenzlig. „Hackerangriffe auf Macron und der Versuch, Wahlen zu beeinflussen, zeigen, wie ernst das Thema für die Bundestagswahl wird“, schrieb der Netzpolitiker Lars Klingbeil (MdB) auf Twitter. „Wer nicht glaubt, dass das Gleiche nicht auch im deutschen Wahlkampf passiert, ist naiv.“

Der erste (bekannte) Hack des Bundestags, bei dem auch E-Mails von Abgeordneten gestohlen wurden, liegt noch nicht einmal zwei Jahre zurück. Anfang Mai 2015 informierte das Bundesamt für Verfassungsschutz den Deutschen Bundestag und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber, dass „mindestens zwei Rechner aus dem Netz des Deutschen Bundestags kompromittiert wurden“[2]. Das BSI übernahm zwar die Untersuchung der Vorfälle aus dem Jahr 2015, doch der BSI-Präsident, Arne Schönbohm, scheint keine Gelegenheit auslassen zu wollen, zu betonen, dass das BSI für die IT-Infrastruktur des Deutschen Bundestags nicht zuständig und damit für den (die) Bundestags-Hack(s) nicht verantwortlich sei. Gemeinsam mit einem externen Dienstleister untersuchte das BSI den Vorfall und stellte dabei weitere Auffälligkeiten und Anomalien fest. Der Angriff entsprach dem Muster einer typischen APT-Attacke, bei der zuerst einzelne Rechner infiziert und diese dann als Eingangstor für weitere Attacken, das Hoch- und Herunterladen von Dokumenten, Schadsoftware etc., genutzt wurden. „Aufgrund der Analyse des Vorfalls ist davon auszugehen, dass es die Täter unter anderem auf ausgewählte E-Mail-Postfächer abgesehen haben“[3], fasste das BSI seine Ergebnisse im Bericht Die Lage der IT-Sicherheit in Deutschland 2015 zusammen. Die Täter konnten nicht ermittelt werden. Die APT-Attacke entsprach einem Muster, das „von nahezu allen bekannten Cyber-Spionagegruppen angewandt wird“. Die Stellungnahme des BSI zum Cyberangriff auf den Deutschen Bundestag ist nur eine halbe Seite lang.[4]

Trotz fehlender Beweise hält sich das Gerücht über die russischen Hacker, die im Auftrag des Kreml die Wahlen in den USA, in Frankreich und nun auch in Deutschland beeinflussen wollten und wollen, hartnäckig. Auch wenn die Urheber der Attacke nicht eindeutig festgestellt werden konnten – Evgeny Kaspersky nennt nicht ohne Grund Attribution als eine der größten Herausforderungen für die Informationssicherheit –, befürchten Abgeordnete, dass vor der Bundestagswahl sensible Inhalte aus den gestohlenen E-Mails veröffentlicht werden könnten, beispielsweise von ausländischen Geheimdiensten, die auf diese Weise die deutschen Politiker erpressen und in letzter Konsequenz aber auch das Wahlergebnis beeinflussen könnten.

Dem nun bekannt gewordenen geheimen Bericht der Firma Secunet zufolge, der im Auftrag der Bundesverwaltung im Februar 2017 erstellt worden sein soll, ist die IT des Bundestags auch aktuell noch immer für Hackerangriffe anfällig. In den Systemen wurden zahlreiche Sicherheitslücken festgestellt, berichteten NDR und Süddeutsche Zeitung[5], aber auch Die Zeit[6] ausgehend von dem geheimen Bericht. Offen zugängliche Netzwerkanschlüsse, zu viele verschiedene Endgeräte, kein Gerätemanagementsystem, keine Sperren gegen das Installieren und Ausführen von Software und Apps, offene USB-Anschlüsse. Der Internetverkehr kann abgehört und mitgeschnitten werden, Hacker können sich Zugriff auf das Bundestagsnetz verschaffen, indem sie Geräte der Abgeordneten und Mitarbeiter mit Schadsoftware infizieren etc.

Im Zusammenhang mit diesem „geheimen“ Bericht stellen sich zwei interessante Sicherheitsfragen. Erstens, wenn das Dokument tatsächlich „geheim“ ist, warum erfährt man davon aus der Presse? Und zweitens: Warum ist der Bericht zur Sicherheitslage der IT-Infrastruktur des Bundestages überhaupt geheim? Hat nicht jeder Bürger das Recht darauf, zu erfahren, wie es um die Sicherheit des größten repräsentativen Gremiums in Deutschland steht? Und zwar nicht erst aus der Zeitung, Pastebin oder über WikiLeaks, sondern vom Bundestag direkt?

Stattdessen wird in dem Bericht bemängelt, dass die Abgeordneten bei ihrer Arbeit USB-Sticks, verschiedene Endgeräte oder nicht zertifizierte Software und Apps nutzen. Unkontrolliert. Doch obwohl man von einigen der Abgeordneten durchaus etwas mehr Security-Awareness erwarten dürfte – insbesondere von denjenigen, die auf ihren „Privilegien“ beharren und sich an der Pforte des Bundestags nicht ausweisen möchten –, sollten auch die Volksvertreter die Vorzüge der IT und des Internets für ihre Arbeit nutzen dürfen. Während das Beharren der Parlamentarier auf unkontrollierten Zutritt zum Bundestag nicht nur für die Pförtner ein Problem darstellt, die am Einlass „beschimpft und beleidigt“ werden, wie Hans-Martin Tillack im Stern berichtete[7], sondern auch die Sicherheit des Reichstags gefährden kann, gilt für die Cybersicherheit nicht mehr das Entweder-oder-Prinzip. Früher hieß es tatsächlich, dass ein besserer Schutz der IT-Infrastruktur nur gegen Einbußen in der Benutzerfreundlichkeit (Usability) zu erreichen sei. Mit dem Ergebnis übrigens, dass die Systeme bald weder sicher noch einfach zu bedienen waren. „Keep things human“, riet daher mit Verweis auf den Cybersecurity Director des britischen Geheimdienstes GCHQ, Ciaran Martin, dem Wired: Halte die Prozeduren einfach, auch wenn sie nicht die höchste Sicherheit bieten, dafür es aber wahrscheinlicher ist, dass sich die Nutzer an den Standard halten.[8]

Während BSI-Präsident Arne Schönbohm beim Sicherheitspolitischen Forum NRW auf das Publikum zeigend noch von der Schwachstelle Mensch sprach (Wer hat Sicherheitsprogramme auf dem Smartphone?) und (sinngemäß) betonte, dass „wir, wie wir hier sitzen, die größte Schwachstelle sind, weil wir nicht richtig sensibilisiert wurden“, klärt Bruce Schneier auf[9], dass das Problem gar nicht der Nutzer – also weder der Abgeordnete noch seine Referenten – sei. Sicherheit sei eine Verknüpfung aus Technologie, Prozessen und Menschen. Die „Cloud“ sei nichts anderes als ein Raum voller Server, der gekühlt, gelüftet sowie gewartet wird und für den es Zutritts-, Zugriffs- und Zugangsberechtigungen geben sollte. Das Passwortmanagement könne vereinfacht und so gestaltet werden, dass man sich nicht für jedes System ein neues Passwort ausdenken muss, die dann natürlich alle auf dem Rechner, im Browser oder auf einem Smartphone gespeichert werden müssen. Oder für alle Systeme dasselbe Passwort verwenden. Anlagen zu Mails (ob mit Schadsoftware infiziert oder sauber) könnten in einer gesicherten Cloud geöffnet werden, wo Schadsoftware weder dem Endgerät noch der IT-Infrastruktur einen Schaden zufügen kann. Das Gleiche sei für Apps und Software möglich.

„Stop trying to fix the user“, tönte es deswegen im letzten Jahr aus dem Blog des US-Sicherheitsgurus Bruce Schneier. Natürlich sollten Abgeordnete keine völlig ungesicherte private Hardware nutzen. Es sei dennoch töricht, erklärt Schneier, den Menschen zu sagen, sie sollten nicht auf Links klicken, nachdem man gerade zwanzig Jahre dafür gebraucht hat, sie daran zu gewöhnen, genau dies zu tun.

Was die Sensibilisierung betrifft, so soll es tatsächlich bessere Methoden geben, als USB-Anschlüsse zu sperren. Oft fehlt den Experten einfach nur Fantasie, und während sie eine mit Abwehrmaßnahmen gespickte Sicherheitsburg errichten, vergessen sie, das Holztor hinten abzusperren. (Specom od bezpieczeństwa zabrakło wyobraźni i najeżona zabezpieczeniami twierdza okazała się mieć z tyłu furtkę zamykaną na drewniany skobelek.). Eine Mauer kann man durchbrechen, erklärte Martin, manchmal hilft etwas so Triviales wie Überwachung der Anomalien bei der Stromversorgung, um Angreifer in flagranti zu erwischen. Parteien und Regierung haben noch viereinhalb Monate Zeit bis zur Wahl im September, um sich gegen die Angriffe – woher auch immer die kommen mögen – zu rüsten. Ihre Prozesse verbessern, ihre Arbeitsabläufe anpassen. Immerhin wurde dem Bundestag eine neue Firewall bewilligt. Kosten dafür: ca. 470.000 Euro.[10]

„Wenn es […] Angreifer auf den Bundestag abgesehen haben, haben sie wahrscheinlich schon den Fuß in der Tür“[11], warnt Christoph Fischer, der 2015 mit seiner Firma den Bundestags-Hack untersucht hatte. „Bei staatlichen Akteuren müssen wir mit Hightech rechnen. Die schwirrt nicht nur auf der Festplatte rum, sondern im Arbeitsspeicher. Außerdem ist solche Malware verschlüsselt. Damit ist sie extrem schwer zu entdecken.“ Und mit einer Sache müssen wir lernen zu leben, konzedierte der SciFi-Autor Rafal Kosik[12]: Wie fortgeschritten und ausgeklügelt auch die Technologie, die die Geheimnisse schützen sollte, irgendwo in einer Schlüsselposition sitzt immer ein gewisser Hans Schmidtchen, der auf eine Zigarette rausgeht und vergisst, die Tür hinter sich abzusperren. (Jakkolwiek zaawansowana by była technologia chroniąca nasze tajemnice, zawsze gdzieś w kluczowym miejscu jest pan Henio, który wyjdzie na papierosa i zostawi uchylone drzwi.)

Aleksandra Sowa
Natalia Marszałek

[1] Morenne, B. 2017. Macron Hacking Attack: What We Know and Don’t Know. NYT, 2.5.2017, https://www.nytimes.com/2017/05/06/world/europe/emmanuel-macron-hacking-attack-what-we-know-and-dont-know.html (Zugriff: 15.5.2017). [2] BSI. 2016. Die Lage der IT-Sicherheit in Deutschland 2015. Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, Nov. 2015, S. 26. [3] Ebenda. [4] Ebenda. [5] Pinkert, H. und Tanriverdi, H. 2017. Zahlreiche Sicherheitslücken im Netzwerk des Bundestags. Süddeutsche Zeitung, 12.4.2017 http://www.sueddeutsche.de/digital/it-sicherheit-zahlreiche-sicherheitsluecken-im-netzwerk-des-bundestags-1.3462578 (Zugriff: 15.5.2017). [6] Zeit Online. 2017. Zahlreiche Sicherheitslücken in der Bundestags-IT. Zeit Online, 13.4.2017, http://www.zeit.de/digital/2017-04/netzwerk-deutscher-bundestag-sicherheitsluecken-it-berlin (Zugriff: 15.5.2017). [7] Tillack, H.-M. 2017. Posse um Ausweispflicht: Wenn Abgeordnete die Pförtner beschimpfen. Stern, 6.12.2016, http://www.stern.de/politik/deutschland/bundestag–posse-um-ausweispflicht—abgeordnete-beschimpfen-pfoertner-7226592.html (Zugriff: 15.5.2017). [8] Wired. 2016. How you can protect yourself. Wired Magazine, May 2016, P 120. [9] Schneier, B. 2016. Security Design: Stop Trying to Fix the User. Schneier on Security, 3.10.2016, https://www.schneier.com/blog/archives/2016/10/security_design.html (Zugriff: 15.5.2017). [10] Zeit Online. 2017. Zahlreiche Sicherheitslücken in der Bundestags-IT. Zeit Online, 13.4.2017, http://www.zeit.de/digital/2017-04/netzwerk-deutscher-bundestag-sicherheitsluecken-it-berlin (Zugriff: 15.5.2017). [11] Fischer, C. 2017. Greifen Hacker auch die Bundestagswahl ein? Wired, 01.2017, S. 40–41. [12] Kosik, R. 2016. Nic się nie ukryje. Rafal Kosik (oficjalna strona), 3.10.2016, http://rafalkosik.com/nic-do-ukrycia (Zugriff: 15.5.2017).

Dieser Inhalt ist urheberrechtlich geschützt. Jede Weiterverbreitung ohne Genehmigung des Autors ist untersagt. 25/05/2017