Anke Domscheit-Berg sitzt seit 2017 als parteilose Abgeordnete für Die Linke im Bundestag. Schon davor beschäftigte sie sich vor allem mit digitalen Themen und ist als Netzaktivistin bekannt geworden. Als ordentliches Mitglied des Ausschusses Digitale Agenda empört sie sich über die Art, wie die Öffentlichkeit über den Hackerangriff informiert wurde.
Frau Domscheit-Berg, Sie kritisieren die Kommunikation der Bundesregierung. Die Öffentlichkeit sei zu spät über die Hackerangriff informiert worden. Andererseits könnten Hacker untertauchen, wenn sie auf diese Weise vorgewarnt werden.
Es geht nicht so sehr um die allgemeine Öffentlichkeit, als um das Parlament und seine Gremien, wie zum Beispiel das Parlamentarische Kontrollgremium und die Ausschüsse, die sich mit Digitalisierung beschäftigen. Seit mindestens einem Jahr wurde das Regierungsnetzwerk Informationsverbund Berlin-Bonn (IVBB) angegriffen, im Dezember haben die deutschen Sicherheitsbehörden den Hacker-Angriff erkannt aber erst jetzt ist das dem Parlament bekannt geworden. Mindestens das Parlamentarische Kontrollgremium hätte schon im Dezember über den Angriff informiert werden müssen. Die Regierung sah aber keinen Anlass dafür. Stattdessen erfahren wir davon aus der Presse. Das ist in meinen Augen eine Pflichtverletzung – und wir werden als Parlamentarier jetzt sehr unangenehme Fragen stellen.
Es ist das zweite Mal innerhalb weniger Jahre, dass das IT-System der Bundesregierung gehackt wurde. Was sagt das über die IT-Sicherheitssysteme der Regierung aus?
Die Hacker haben sich ein Jahr lang unbemerkt im Regierungsnetz aufgehalten. Ich glaube, das ist Antwort genug auf die Frage, wie es um die IT-Sicherheit der Bundesregierung steht.
Hinter den Angriffen werden russische Hacker vermutet. Was glauben Sie?
Es gibt Indizien dafür, dass die Angreifer aus Russland stammen könnten. Aber wir werden die Herkunft des Hacker-Angriffs vermutlich nie zweifelsfrei ermitteln können. Jeder halbwegs geschulte Hacker ist imstande, die Herkunft seines Angriffs zu verschleiern. Für die Ermittler sähe es dann so aus, als ob zum Beispiel die Server, von dem die Angriffe ausgingen, in Russland stehen würden. In Wirklichkeit könnten sie auch aus einem völlig anderen Land kommen.
Die Herkunft zu ermitteln scheint schwierig zu sein. Aber laut Sicherheitsexperten deutet die Art und Beharrlichkeit des Angriffs darauf hin, dass es sich um institutionelle Hacker handle, die keine monetären Interessen mit ihren Angriffen verfolgen.
Das sehe ich genauso. Die Dauer des Angriffs und das genaue Angriffsziel, in diesem Fall das Außen- und Verteidigungsministerium, lassen vermuten, dass es keine Hacker mit privaten Bereicherungsinteressen waren.
Welche Schwierigkeiten gibt es bei der Aufklärung?
Das Problem ist, dass manche Datenlogs nach einer gewissen Zeit automatisch gelöscht werden. Die Angreifer aber waren nach bisherigen Erkenntnissen über ein Jahr im System drin. Die Experten werden vermutlich nur eine begrenzte Zeit des Angriffs nachverfolgen können.
Wie steht es um die Verantwortung des Bundesamtes für Sicherheit und Informationstechnik (BSI)?
In meinen Augen hat das BSI versagt. Inwiefern einzelne Personen innerhalb des BSI verantwortlich für die Anfälligkeit des Regierungsnetzes sind, wissen wir noch nicht. Nur so viel: Mich lehrt die Erfahrung, dass fachfremde Führungskräfte und Mitarbeiter innerhalb solcher IT-Behörden seltener die Tragweite von Cybersicherheit und ihrer Entscheidungen diesbezüglich erkennen. Aber ein Grundproblem ist auch, dass IT-Experten in allen öffentlichen Behörden rar gesät sind. In Bundesbehörden arbeiten außerdem Tausende Mitarbeiter und zu viele halten die simpelsten Sicherheitsstandards nicht ein. Sie verwenden beispielsweise zu einfache Passwörter, nutzen für viele Logins zu oft dasselbe Passwort und öffnen Anhänge oder klicken Links in E-Mails bedenkenlos an.
Wir sprechen also über menschliches Versagen?
Nicht nur. Die Behörden sind auch technisch unterausgestattet. Sie arbeiten oft mit veralteter Software, was auch ein Einfallstor für Hacker ist. Beim Bundestagshack vor zwei Jahren waren auch zu viele Administratorenrechte ein Problem.
Welche Informationen könnten durch den Hack des IVBB gestohlen worden sein?
Zunächst sollte klar sein, dass die Hacker nicht beliebig an alle Daten herankommen konnten. Man kann sich das wie ein Haus vorstellen. Es gibt ein Vorzimmer und es gibt einen Tresorraum. In Bereichen, in denen hochsensible Daten gespeichert sind, sind die Hacker wohl eher nicht eingedrungen. Aber wie gesagt, wir wissen immer noch fast nichts über das Ausmaß des Angriffs. Dennoch ist die Tragweite des Angriffs schon jetzt immens. Denn am Regierungsnetz hängen ja nicht nur Außen- und Verteidigungsministerium, sondern auch das Bundeskanzleramt, der Rechnungshof, alle Bundesministerien und viele andere institutionelle Behörden. Wer in dem Netz einmal drin ist, war vielleicht auch dort, wir haben es nur noch nicht entdeckt.
Hackerangriff auf Datennetz des Bundes
Als das Netzwerk des Bundestages angegriffen wurde, musste das gesamte IT-System, also Soft- und Hardware, ersetzt werden. Mit welchen Kosten muss man rechnen, wenn das beim IBVV auch erforderlich sein sollte?
Es wären unvorstellbare Kosten. Wie bereits gesagt, eine Menge Behörden und Ministerien hängen am Netz des IVBB. Wenn bei allen Soft- und Hardware erneuert werden müsste, dürfte es sehr teuer werden. Wie hoch der Aufwand wirklich ist, lässt sich erst nach Analyse des Angriffs beurteilen, wenn man weiß, wo das Einfallstor war.
Was sollte Ihrer Meinung nach hinsichtlich der IT-Sicherheit der Bundesregierung geändert werden, um solche Angriffe in Zukunft zu verhindern?
Die Mitarbeiter der Behörden müssten in Sicherheitsfragen besser geschult werden. Es fehlt schlichtweg mehr Sensibilisierung für das Thema und es reicht oft, dass ein Mitarbeiter oder eine Mitarbeiterin in den Ministerien oder Behörden einen Link in einer E-Mail anklickt oder einen Anhang öffnet, um das ganze System zu infizieren. Innerhalb der Bundesverwaltung fehlt es außerdem an Fachkräften, die wirklich Ahnung von der Materie haben und die, die Ahnung haben, haben meist zu wenig zu sagen. Dafür müssten auch die Ressourcen aufgestockt werden, im übrigen auch im BSI. Außerdem sollten unsere Geheimdienste Sicherheitslücken, die ihnen bekannt sind, nicht für die eigenen Zwecke ausnutzen, sondern Hersteller darüber informieren, damit sie geschlossen werden können. Denn wie man beim beim Virus WannaCry sehen konnte, der über eine vom US-Geheimdienst NSA geheim gehaltene Sicherheitslücke Verbreitung fand, macht diese Praxis unser aller IT-Infrastruktur unsicherer. Wenn Ressourcen für IT-Sicherheit knapp sind, sollte man sie ohnehin besser auf Verteidigung konzentrieren und nicht auf Angriffe.
