Bundestags-Hack: Experten-Warnung ernst nehmen - IT-Sicherheit ist Chefsache
Das Internet ist kein "Neuland", auch die Cyberangriffe sind es nicht. Deutschland braucht zwar keine NSA-Methoden, muss die IT-Sicherheit aber genauso ernst nehmen wie die USA. Ein Kommentar.
Das Jahr 1984 war nicht nur das von George Orwell befürchtete Jahr der totalen Überwachung, sondern auch die Geburtsstunde des ersten Computervirus. In seiner Doktorarbeit hatte ein US-Wissenschaftler die Machbarkeit eines funktionierenden Virus für das Betriebssystem Unix bewiesen. Zu dieser Zeit arbeitete Angela Merkel in der Akademie der Wissenschaften der DDR. Im Jahr 2000 – die spätere Bundeskanzlerin war in diesem Jahr zur neuen CDU-Bundesvorsitzenden gewählt worden – verursachte der sogenannte Loveletter-Virus Schäden in Milliardenhöhe. Wegen dessen explosionsartiger weltweiter Verbreitung berichtete so gut wie jede Zeitung und nahezu jeder Fernsehsender über den zerstörerischen Schädling.
Wurde Angela Merkels Bundestagsbüro gezielt gehackt?
15 Jahre später ist es kaum anders: Dieses Mal wird über das Netzwerk des Bundestages berichtet, das anscheinend so löchrig ist wie ein Schweizer Käse. Auch Landtage stehen unter dem Dauerfeuer von Cyber-Attacken. Die Berichte werden täglich beunruhigender: Sogar ein Computer in Angela Merkels Bundestagsbüro wurde gehackt, heißt es. Offenbar wurden in ihrem Namen sogar Mails mit einem Link zu einem Trojaner verschickt. Dabei wissen die meisten Computernutzer im Grunde, dass sie keinesfalls jeden Anhang einer Mail öffnen dürfen, selbst wenn dort „I love You“ steht oder ein Nacktbild von Anna Kournikova offeriert wird. Sicher: Die Angreifer haben ihre Fähigkeiten seither weiterentwickelt. Es handelt sich bei ihnen nicht mehr vorrangig um fehlgeleitete Studenten, sondern um Menschen und Organisationen, die damit klare finanzielle oder politische Ziele verfolgen. Wie 2010, als das iranische Atomprogramm gezielt mit einem mehrstufigen Computerschädling namens Stuxnet erfolgreich angegriffen wurde – da hatte Merkel gerade das erste Jahr ihrer zweiten Amtszeit hinter sich. Das Internet wurde Ende der 1960er Jahre entwickelt, das World Wide Web trat vor zwanzig Jahren seinen Siegeszug an, und selbst Boris Becker sagte bereits 1999 „Ich bin drin“. Weder ist das Internet „Neuland“, noch sind es die zahlreichen Bedrohungen. Aber offenbar müssen wir schon froh sein, wenn in den Verwaltungen nicht mehr mit Windows XP gearbeitet wird. Man muss nicht wieder mit der leidigen Diskussion um einen „Internet-Führerschein“ anfangen, aber etwas mehr IT-Grundbildung jenseits von ganzseitigen Google-Aufklärungsseiten zum sicheren Umgang mit Passwörtern schadet niemandem.
Wo war der BSI-Notfallplan für diese Situation?
Viele Bedrohungen sind selbst technischen Laien ebenso bekannt wie die Existenz von Loveletter-Viren. Bei allen anderen Gefahrenquellen sollten die Warnungen der Experten beherzigt werden. Für die Unterstützung von Politik und Verwaltungen ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter ihrem Chef Michael Hange zuständig. Aus seinem Haus stammt der IT-Grundschutzkatalog. Die wichtigste aller Empfehlungen darin lautet: Sicherheit ist Chefsache. Aber auch das BSI muss sich eine Frage gefallen lassen: Wo war der Notfallplan für diese Situation?
Im Bundestag muss das Stopfen des Lochs an allererster Stelle stehen. Dass einige Abgeordnete und Fraktionen sich mehr um die Kompetenzen des Verfassungsschutzes sorgen als um die Frage, wer unberechtigt auf welche sensiblen Daten zugreifen kann, ist mit den Anforderungen an eine sichere Informationstechnik nicht kompatibel. Und auch nicht mit denen an den Politikapparat. Einen weiteren Vertrauensverlust kann sich die Politik nun wirklich nicht erlauben.
Man muss nicht mit den gleichen Methoden arbeiten wie die NSA, aber Deutschland sollte die Bedrohungen genauso ernst nehmen wie Amerika. Ein Schritt in die richtige Richtung ist, dass mit dem neuen IT-Sicherheitsgesetz nicht nur Firmen, sondern auch Behörden bestimmte Standards erfüllen müssen. Der Kampf gegen betrügerische Hacker, digitale Wirtschaftsspione und Geheimdienste ist nicht verloren, er wird allerdings auch nie zu Ende sein. Das kann kein Kanzleramtschef – wie 2013 in der NSA-Affäre – als erledigt schönreden.