Der Schutz der digitalen Infrastruktur des Bundestags hat versagt. Noch ist unklar, warum. Ein Grund könnte aber das schwach ausgestattete BSI sein.
Ein auf einem Handy gespeichertes Foto des Plenarsaals des Bundestages in Berlin (Archivbild) | © Rainer Jensen/dpa
Es ist ein beispielloser Angriff auf ein Bundesorgan. Seit Dienstag attackieren Unbekannte nach Spiegel-Informationen das Intranet des Deutschen Bundestags. Am Freitag war zeitweise das ganze Intranet lahmgelegt, der Bundestag nahezu arbeitsunfähig.
Noch ist es zu früh, der digitalen Infrastruktur des Bundes eine generelle Anfälligkeit zu unterstellen. Angriffe auf dieses und andere Bundesorgane sind schließlich nicht unüblich und werden oft abgewehrt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrierte 2014 bis zu 20 Angriffe auf das Regierungsnetz ? jeden Tag. Davon habe ein Angriff pro Tag einen gezielten, nachrichtendienstlichen Hintergrund gehabt, schreibt das BSI in seinem Lagebericht. Die Behörde ist dafür zuständig, die Computersysteme von Bundesbehörden und Bundesregierung abzusichern.
Doch in letzter Zeit sind die Angriffe erfolgreicher geworden: Ende vergangenen Jahres entdeckte man auf dem Rechner einer Mitarbeiterin von Angela Merkel den Trojaner Regin. Der britische Geheimdienst GCHQ hat den Trojaner entwickelt. Regin kann auf infizierten Rechnern unter anderem Screenshots machen, den Datenverkehr überwachen und sogar gelöschte Dateien wiederherstellen.
Seit Anfang 2015 war klar: Man ist verwundbar
Der nächste Angriff folgte kaum zehn Tage später: Prorussische Berkut-Aktivisten griffen die Seiten von Bundestag und Bundeskanzleramt im Januar 2015 an. Seitdem war klar, dass die IT-Infrastruktur der Bundesorgane zumindest verwundbar ist. Die Seiten bundestag.de und bundeskanzleramt.de waren damals für mehrere Stunden nicht erreichbar. Ursache war eine sogenannte Distributed-Denial-of-Service-Attack (DDoS), bei der die Server des Opfers mit unzähligen Anfragen überlastet werden und daraufhin zusammenbrechen.
Die Angreifer bedienen sich dabei meist sogenannten Bot-Netzwerken, das sind ganze Netzwerke von gekaperten Rechnern (Bots). Deren Nutzer wissen meist nicht davon, dass ihr Rechner Anfragen verschickt. Wie genau die Angreifer diesmal vorgingen, ist noch nicht geklärt. Eine Sprecherin des Bundestags wollte sich nicht zu den Einzelheiten äußern. Es könnte sich jedoch wieder um eine DDoS-Attacke handeln.
Das BSI ist unterfinanziert und nicht unabhängig
Unabhängig von der Methode der Angreifer zeigt der Erfolg, dass der Bundestag offenbar nicht genug abgesichert ist. Für die Sicherung ist neben der IT-Abteilung des Bundestags vor allem das BSI zuständig. Sie ist auch in die derzeitigen Ermittlungen des Angriffs eingebunden.
Die Behörde ist aber immer noch nicht stark genug aufgestellt. Zum einen ist sie unterfinanziert. Deutlich wurde das im Fall massenhaft gestohlener Benutzerdaten Ende 2013. 16 Millionen E-Mail-Zugangsdaten waren damals abhanden gekommen. Das BSI war erst einen Monat später in der Lage zu reagieren, weil sie eine Lösung für die Bürger vorbereitete. Ein Jahr später musste das BSI wegen Geldmangels sogar einige Projekte stoppen.
Security by obscurity
Ein weiteres Problem ist ein anhaltender Interessenkonflikt: Das BSI handelt noch immer nicht als unabhängige Bundesbehörde, sondern ist dem Innenministerium unterstellt. Das ist nicht nur schlecht für die Bundesbürger, deren digitale Rechte das BSI ebenfalls bestmöglich zu schützen hat. Es ist auch schlecht für die finanziell und inhaltlich unabhängige Arbeit des BSI. SPD, Grüne und Die Linke fordern daher seit Langem die Reform der Behörde.
Das Blog Digitalistan sieht möglicherweise noch einen anderen Grund. Die Bundestagsverwaltung setze noch immer auf Security by obscurity. Damit ist Sicherheit durch Verschleierung gemeint. Sicherheitsprogramme und -infrastruktur des Bundes seien noch immer nicht Open Source. Das heißt, das Gerüst der eingesetzten Sicherheitsprogramme, also der Programmcode, kann noch immer nicht von allen auf Schwachstellen durchsucht werden.
Kommendes IT-Sicherheitsgesetz soll Rolle des BSI stärken
Stattdessen setzt man weiterhin auf die vermeintlich sicheren, geschlossenen Lösungen. Sicherheitslücken werden so langsamer gefunden, Angriffe erfolgreicher. Laut der Politikwissenschaftlerin Beate Neuss fehle es an einer Cyber-Gesamtstrategie der Bundesregierung. Das sagte sie gegenüber Digitalistan.
In ihrem Entwurf für ein kommendes IT-Sicherheitsgesetz will die Bundesregierung kritische Infrastrukturen künftig besser schützen. Neben kritischen privaten Infrastrukturen wie Stromnetzen soll auch die Rolle des BSI gestärkt werden. Leider ist von einer finanziellen und unabhängigeren Rolle des BSI bisher nicht die Rede.