Um die Täter möglicher künftiger Angriffe besser ausfindig machen zu können, schlägt Christoph Meinel vor, Protokolldaten wieder länger zu speichern. Erst Anfang Juni hatte eine Bundestags-Kommission beschlossen, die Speicherfristen drastisch zu verkürzen – von derzeit drei Monaten auf nun sieben Tage. Die Abgeordneten wollen so die Hoheit über ihre Kommunikationsdaten behalten.
Das Problem: Dieser verständliche Wunsch nach Datensicherheit steht den Sicherheitsinteressen des Bundestages insgesamt entgegen. Denn je schneller die Protokolldaten gelöscht werden, desto schwieriger ist die spätere Suche nach den Drahtziehern eines Cyberangriffes – insbesondere, wenn ein Angriff erst Tage oder Wochen nach dessen Beginn bemerkt wird. Jene Daten, die IT-Experten für eine forensische Analyse benötigen, sind dann unter Umständen längst gelöscht.
Die absurdesten Spionage-Ziele
Diese Webadresse gehört ibau, einem Dienstleister im Baubereich, der unter anderem eine Datenbank für Bauprojekte und Ausschreibungen unterhält und den jährlichen ibau-Fachkongress veranstaltet. Der war gerade wieder vor drei Wochen im alten Bundestag in Bonn. Wohlgemerkt: Im ALTEN(!) Bundestag – also eigentlich kein Grund, gleich den Geheimdienst zu schicken. Ibau wiederum gehört zur Schweizer Docu-Gruppe, die auf Bau-Fachinformationen spezialisiert ist. Die Docu-Tochter Baumarktforschung Deutschland GmbH schürft besonders tief: Ihre Informationen betreffen Straßen-, Ingenieur-, Brücken- sowie Garten- und Landschaftsbau. Ein Manager von Ibau hat nicht mehr zurück gerufen nach einem ersten freundlichen Gespräch. Ist nicht schlimm, hat sich erledigt!
Klingt gefährlich, ist aber eine legal arbeitende Werbeagentur aus Berlin. Geschäftsführer Sven Barth erfuhr durch den WiWo-Anruf, dass er gerade eine Rolle im Geheimdienst-Skandal spielt. Sein Erklärungsversuch: Vielleicht sei der „provokante Name“, den er seiner Agentur bei der Gründung 1999 gab, irgendwie im Raster der Fahnder hängen geblieben. Das passt! Aber warum interessieren die Schlapphüte sich dann auch für seniorenheim.com und orgelbau.com? In die USA eingereist ist Brandstifter Barth übrigens nach dem Anschlag aufs World Trade 2001 problemlos – und kam unbehelligt wieder heraus.
Erich Katschke, Schriftführer der Freiwilligen Feuerwehr in Ingolstadt, geht beim unerwarteten Anruf von wiwo.de erst mal auf Nummer sicher, ob wir uns nicht verwählt haben: „Meinen Sie vielleicht die Berufsfeuerwehr?“ Als ob die Berufs-Kollegen immer schon im Verdacht der Geheimdienste gestanden hätten. Aber nein: Laut der Liste im „Spiegel“, von der Katschke noch nichts wusste, interessieren sich BND und NSA nicht für die Ingolstädter Lösch-Profis, sondern ausschließlich für die 1863 gegründete Freiwillige Feuerwehr. Sie werden ihre Gründe haben. Oder auch nicht.
Das schwierigste Gespräch von allen: Eigentlich sollte die Telefonnummer, die die Homepage im Impressum angibt, Hartmut Dicke gehören. Der soll Inhaber des marxistisch-leninistischen, vielleicht auch trotzkistischen – oder maoistischen? – Verlages sein. Aber Dicke, der unter dem Pseudonym Klaus Sender sendete, sei 2008 „unter ungeklärten Umständen verstorben“, raunt eine weibliche Stimme am Telefon. Wie die Dame heißt, sagt sie nicht. Wem der Verlag jetzt gehört, fragen wir. Antwort: „Den Nachfolgern.“ Wer das ist? Keine Antwort. Die Neue Einheit ist jedenfalls KPD-nah und mit seeeehr weit links richtig eingeordnet. Ob der Verfassungsschutz die Redaktion schon mal im Visier hatte? „Das müssen Sie den Verfassungsschutz fragen“, sagt die weibliche Stimme am Telefon. Aber ist das wirklich ein Fall für die Internationale der Auslandsgeheimdienste oder für eine andere Anstalt?
Hier stoßen wir bei der Recherche auf andere Geheimnisse. Die beiden Telefonnummern auf der Website führen ins Nichts. Urheber der „Website of german organ builders“ ist ein Heiko R. mit Adressen in Nordrhein-Westfalen und der Schweiz. Aber Thomas Jann, Vorsitzender des Bundes Deutscher Orgelbauer, kennt den vermeintlichen Kollegen nicht. Janns Verdacht: „Vielleicht hat sich da einer eine Web-Adresse gesichert und will sie verhökern.“ Warum das aber BND und NSA interessieren sollte? Keine Ahnung. Wir bleiben dran.
Ist das 25-Mann-Unternehmen aus Buchholz im Erzgebirge ein Fall für Industriespionage? Es ist immerhin ein Hidden-Champion der deutschen Wirtschaft. Feine Schmuck- und Uhrenkassetten aus dem Hause Sacher stehen in Juwelier-Geschäften und Nobel-Kaufhäusern in 42 Ländern, unter anderem bei Harrods in London. Und Unternehmerin Gerhild Sacher weiß: „Wenn man in der ersten Liga mitspielen will, geht das nur über Qualität. Die Chinesen können es billiger.“ Aber spioniert haben laut der NSA-Liste nicht die Chinesen, sondern Deutsche und Amerikaner. Sohn und Mit-Geschäftsführer Ulf Sacher kommt im Gespräch spontan ein Verdacht: „Vielleicht sind die ja wegen unserer Exporte in die Arabischen Emirate und an den Persischen Golf auf uns aufmerksam geworden.“ Aber was konnten sie dann bei dem Unternehmen finden? Sacher meint: „Nichts.“
Geschäftsführer Reiner Ebner hat wie alle Betroffenen erst durch wiwo.de erfahren, dass ausgerechnet sein Pflegezentrum im bayrischen Bischofsgrün ins Visier der Geheimdienst NSA und BND geraten sein soll. Auf die skeptische Frage, welche Klientel denn so wohne in seinem Haus „am Fuße des Ochsenkopfes in idyllischer Waldrandlage“, fällt Ebner aber nichts Verdächtiges ein: „Ganz normale pflegedürftige Leute, viele davon Sozialhilfeempfänger“, sagt er. Vielleicht suchten die Geheimdienstler ja auch im Eigeninteresse einen Platz für die Jahre nach dem stressigen Dienst? Die große Sonnenterrasse des Pflegezentrum verführt laut Seniorenheim-Homepage schließlich „zum Entspannen“, und man kann dort die „Seele baumeln lassen“.
Neben längeren Speicherfristen für Protokolldaten braucht der Bundestag aus Sicht von Meinel auch bessere Sensoren. „Man braucht nun Systeme, die in Echtzeit erkennen, ob gerade ein Angriff stattfindet“, sagt der Sicherheitsexperte. Ein solches System ist die „In-Memory-Technik“, die Meinels Hasso-Plattner-Institut in Kooperation mit dem Softwarehersteller SAP entwickelt hat. In dem System werden Protokolldaten in einem riesigen Hauptspeicher vorgehalten und mit Hilfe leistungsstarker Systeme analysiert.
Solche Systeme für den Bundestag, gar ein eigenes IT-Sicherheitszentrum – das wünschen sich derzeit viele Abgeordnete. Bundestagspräsident Lammert will ihnen diesen Wunsch erfüllen. „Über die Sommerpause wird die Bundestagsverwaltung in Zusammenarbeit mit einem externen Dienstleister mit der Neuaufsetzung von Teilen des IT-Systems des Deutschen Bundestages beginnen“, heißt es in Lammerts Nachricht an die Abgeordneten.
Vier bis fünf Tage soll der Bundestag dafür vom Internet abgekoppelt werden. Wer der externe Dienstleister ist, will die Parlamentsverwaltung für sich behalten.
Lars Klingbeil, netzpolitischer Sprecher der SPD-Fraktion, kritisiert diese Kommunikationspolitik. „Die Bundestagsverwaltung informiert die Abgeordneten nur sehr selten. Viele Neuigkeiten erfahren wir aus der Presse.“
Gerüchten im Bundestag zufolge wird die Telekom-Tochter T-Systems den Auftrag erhalten. Microsoft, dessen Produkte bereits im Bundestag eingesetzt werden, hatte zwar seine Dienste angeboten. Die Parlamentsverwaltung schlug das Angebot jedoch aus. Bei diesem heiklen Thema könne man nicht auf ein US-Unternehmen vertrauen, ist als Begründung zu vernehmen.
Unklar ist noch immer, wie hoch der finanzielle Schaden durch die jüngste Cyberattacke ist. Sicherheitsexperten halten einen dreistelligen Millionenbetrag für realistisch, sollte ein größerer Austausch von Geräten nötig werden. Auch zu dieser Frage schweigt die Bundestagsverwaltung allerdings.