Dass der Bundestag auch bei der Netzsicherheit auf seine Unabhängigkeit von der Regierung pocht, erleichtert es den Hackern. Jetzt soll nachgerüstet werden – wie, ist allerdings umstritten.
Berlin - Der Bundestag ist in der deutschen Demokratie der Souverän. Aber er hat die Souveränität über sein Computernetz verloren. Wie gravierend das ist, dämmert den 631 Abgeordneten auch gut vier Wochen nach dem Beginn der bisher massivsten Cyber-Attacke auf das Parlamentsnetz erst allmählich. Aber im Verborgenen ist der eingeschleuste Trojaner immer noch in Lauerstellung. Unschädlich ist er noch nicht.
Unangenehm ist das für den Bundestag nicht nur, weil er Unternehmen der Daseinsvorsorge gerade jetzt Mindestsicherheitsstandards für IT-Sicherheit und Meldepflichten auferlegt, die er selbst nicht erfüllt. Peinlich ist es vor allem, weil das Parlament die Achillesferse bei der IT-Sicherheit der Verfassungsorgane ist.
Künast: „Wir haben die Schlacht verloren“
Innenminister Thomas de Maizère (CDU) wies am Freitag in der Bundestagsdebatte diplomatisch zurückhaltend, aber unmissverständlich darauf hin, dass die Regierung ihre Netze ausreichend schütze und der Bundestag nicht. „Das Schutzschild, das die Bundesregierung und die Bundesverwaltung um sich gezogen haben, funktioniert“, sagte de Maizière. „Und es funktioniert ziemlich gut.“ Für den Bundestag gilt aktuell das Gegenteil. Noch ist der größte Hackerangriff, wie Bundestagspräsident Norbert Lammert (CDU) einräumen musste, „nicht endgültig abgewehrt und beendet“. „Das Netz ist kompromittiert“, urteilte die Linkspolitikerin Petra Sitte. „Wir haben eine Schlacht verloren, und wir wissen noch nicht einmal gegen wen“, setzte die Grünen-Abgeordnete Renate Künast hinzu.
„Der Bundestag ist derzeit bei der Cyber-Sicherheit angreifbarer als andere Verfassungsorgane“, sagte der CDU-Sicherheitspolitiker Clemens Binninger der StZ, und eine Erklärung dafür hat er auch: „Das liegt daran, dass die Bundesregierung, der Bundesrat und das Bundesverfassungsgericht ganz oder teilweise von dem Schutzschirm profitieren, den das Bundesamt für die Sicherheit der Informationstechnologie (BSI) aufgerichtet hat.“ Der Bundestag dagegen hat sich anders aufgestellt.
Firewall der Bundesregierung wehrt täglich Angriffe ab
Hätte der angeblich durch eine Mail eingeschleuste Trojaner den Bund infiltrieren wollen, hätte dessen IT-Schutzwall, der laut de Maizière „nicht unerhebliche Geldmittel“ kostet, ihn wohl abgefangen. Nach Angaben von Binninger kontrolliert das BSI für den Bund zwei Dinge: An den Ein- und Austrittspunkten des Netzes wird der gesamte Mailverkehr auf Schadsoftware untersucht. Außerdem werde der Zugriff auf Internetseiten gestoppt, deren Server im Verdacht stehen, Teil eines infizierten, von Kriminellen oder Spionagediensten genutzten Bot-Netzes zu sein. Täglich fange das BSI so bis zu 20 verseuchte Mails ab und verhindere 3000 Zugriffe auf gefährliche Seiten im Netz.
Wegen der Unabhängigkeit des Parlaments und der Freiheit der Abgeordneten hat der Bundestag seinerzeit entschieden, nicht den BSI-Schutzschirm des Bundes zu nutzen, sondern selbst für die IT- Sicherheit zu sorgen. Norbert Lammert wies darauf hin, dass „alles, was die Sicherheitsinfrastruktur des Bundestags ausmacht“ gemeinsam beschlossen worden sei. Sicherheitsexperte Binninger bescheinigte dem Parlament durchaus, „ein ordentliches eigenes Sicherheitsniveau für sein Netz aufgebaut“ zu haben. „Aber wir müssen heute erkennen, dass das nicht reicht, und dass die Angriffstechnologien sich so rasch weiterentwickeln, dass eine einzelne IT-Abteilung da auf Dauer nicht Schritt halten kann“. Zudem sei das Parlamentsnetz „besonders komplex, weil die Fraktionen eigene Netze und die Abgeordneten häufig individuelle Wünsche hätten. Dadurch ist das Bundestagsnetz schwerer zu schützen, als die Netze der Regierung“, sagt er.
Binninger: „Abgeordnete müssen auf Sonderwünsche verzichten“
Die anonymen Hacker führen den Parlamentariern ihre Verletzbarkeit vor Augen. Innenminister de Maizière bot Hilfe an, betonte aber, dass er die Entscheidungshoheit des Parlaments respektiert. Sein Parteifreund Clemens Binninger mahnte, die Unabhängigkeit des Parlaments sei zwar ein hohes Gut, dürfe aber nicht zum Sicherheitshindernis werden. Es gehe nicht nur darum, rasch die Kontrolle über das Bundestagsnetz zurückzuerobern. „Wir müssen das Parlamentsnetz für die Zukunft besser sichern. Entweder wir brauchen dazu die Hilfe des BSI oder wir müssen mit einem – deutschen – Dienstleister zusammenarbeiten, der genauso kompetent ist“, betonte er. „Mittelfristig werden wir nicht umhinkommen, die Struktur unseres Netzes zu vereinfachen, auch wenn dann Sonderwünsche von Fraktionen und Abgeordneten reduziert werden müssen.“