Der Bundestag wurde vor knapp einem Jahr Opfer einer groß angelegten Cyberattacke. Kürzlich wurden neue Dokumente veröffentlicht, die teilweise erklären, was damals geschah. Fast zeitgleich stimmte das Parlament über ein IT-Sicherheitsgesetz ab. Daraus ergibt sich eine sehr interessante Parallele. Kann dieses Gesetz solche Attacken zukünftig verhindern?
Bis heute ist ungeklärt, wie der Bundestagshack ablief. Die betroffenen Behörden hüllen sich in Schweigen und es gelingt nur mühsam, Informationen über den Vorfall ans Tageslicht zu bringen. Das Linux-Magazin und Netzpolitik.org erhielten kürzlich Einblick in interne Unterlagen der IuK-Kommission. Diese Dokumente belegen, wie die Angreifer vorgingen, welche Tools sie einsetzten und deckt gleichzeitig auch gravierenden Fehler der Bundestagsverwaltung auf.
Bundestagshack: Chronologie der Ereignisse
Nach Informationen der Deutschen Presse-Agentur (dpa) starteten die Hacker ihre Aktion entweder im Dezember 2014 oder im Januar 2015. Sie infizierten zunächst mittels verseuchter E-Mails die Computer der Linksfraktion und verschafften sich so unbemerkt Zugriff zum Bundestagsnetz. Der Verfassungsschutz sperrte erstmals am 13. April 2015 einen verdächtigen Server aus. Eine nähere Überprüfung des Servers erfolgte nicht. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) vermutet, dass am 30. April 2015 der erste Computer im Bundestag mit einer Schadsoftware infiziert wurde. Die Angreifer erbeuteten zahlreiche Administratoren-Kennwörter für das Active-Directory-System des Bundestagsnetzes. Bei Routineüberprüfungen stellte die Bundestags-IT am 8. Mai 2015 unübliche Verbindungen zwischen der Bundestagsverwaltung und einem Abgeordnetenbüro fest. Daraufhin tauschten sie die verdächtigen Computer ohne nähere Prüfung aus.
Fast einen Monat, nach dem der verdächtige Server blockiert wurde, meldete sich der Verfassungsschutz. Dieser habe Informationen aus dem Ausland erhalten, dass Bundestagscomputer auffällige E-Mails versandt haben sollen. Erst zu diesem Zeitpunkt wird der Angriff ernst genommen. Das BSI und externe Berater begannen weniger Tage später mit ihrer Analyse. Der Bundestags-IT gelang es nicht sofort, den Angriff zu stoppen. Die letzte bekannte Aktion der Angreifer wird auf den 27. Mai datiert. Bis zur Abschaltung und Neuinstallation der IT-Systeme Ende August war das Bundestagsnetz nur eingeschränkt nutzbar. Seitdem stehen die Systeme den Abgeordneten wieder vollständig zur Verfügung.
Die Bundestagsverwaltung machte etliche Fehler
Aus den internen Unterlagen der IuK-Kommission geht hervor, dass die Eindringlinge gängige Malware und Open-Source-Tools verwendeten, um in das System einzudringen. Die Bundestags-IT war mit dem Hackerangriff total überfordert. Sie überprüften weder den ausgesperrten Server, noch die auffälligen Computer. Dadurch hatte die IT-Abteilung des Bundestages keine Möglichkeit, den Angriff rechtzeitig zu entdecken. Erst als der Verfassungsschutz Alarm schlug, wachten alle Beteiligten auf. Doch da war es im Grunde schon längst zu spät. Zu diesem Zeitpunkt hatten die Angreifer bereits mehrere Server unter ihre Kontrolle gebracht. Der Bundestags-IT gelang es zunächst nicht, den Hackerangriff zu stoppen.
Abgeordnete kritisierten den Bundestag, dass dieser 2009 den Anschluss des Bundestagsnetzes an das Netzwerk der Bundesregierung, welches vom BSI überwacht wird, verschlafen hat. Dadurch hätte der Hackerangriff auf den Bundestag womöglich verhindert werden können. Viele Parlamentarier zeigten sich über die mangelnde Informationspolitik der Bundestagsverwaltung verärgert. Bundestagspräsident Norbert Lammert (CDU) informierte nur sehr zögerlich über das Ausmaß des Vorfalls. Dies sorgte für reichlich Verunsicherung unter den Volksvertretern. Sie wussten weitestgehend nicht, welche Systeme und Daten von dem Cyberangriff betroffen waren. Drei Monate vergingen, bis das Bundestagsnetz schließlich abgeschaltet und neuinstalliert wurde. Das ist für eine solch kritische Infrastruktur deutlich zu lange.
Die Ironie an der Geschicht ist das IT-Sicherheitsgesetz
Fast zeitgleich, während der Hackerangriff auf den Bundestag lief, wurde im Kabinett das IT-Sicherheitsgesetz verhandelt. Das Gesetz soll IT-Systeme kritischer Infrastrukturen besser schützen und Unternehmen zur Meldung von Hackerangriffen bewegen. In der letzten Legislaturperiode gab es bereits einen ersten Gesetzesentwurf, der es aber nicht mehr rechtzeitig durch die parlamentarischen Verfahren schaffte. Mitte 2014 wurde ein neuer Anlauf genommen. Der Bundestagshack ist sicherlich dafür verantwortlich, dass das Gesetz schon am 25. Juli 2015 verabschiedet wurde.
Das IT-Sicherheitsgesetz besagt:
- BSI legt nach dem „Stand der Technik“ die Mindestanforderungen der IT-Sicherheit fest
- BSI wird zur zentralen Melde- und Aufsichtsstelle für Sicherheitsvorfälle kritischer Infrastrukturen
- Folgende Bereiche gehören zu den kritischen Infrastrukturen: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen
- Bei Verstößen drohen Bußgelder von bis zu 50.000 Euro
- Hard- und Software-Hersteller müssen bei der Beseitigung von Sicherheitslücken helfen
- Interne IT-Stellen von Bundesbehörden müssen Protokoll- und Schnittstellendaten an das BSI übermitteln
- Umsetzung der Sicherheitsmaßnahmen innerhalb von zwei Jahren
- Evaluierung des Gesetzes nach vier Jahren
Nach Inkrafttreten des Gesetzes müssen Kernkraftwerke und Telekommunikationsunternehmen erhebliche Sicherheitsvorfälle unverzüglich an das BSI melden. Welche Unternehmen außerdem vom IT-Sicherheitsgesetz betroffen sind, klärt eine Rechtsverordnung. Diese wurde Anfang Februar 2016 erlassen. Aus den sieben Bereichen wurden insgesamt 700 Anlagen meldepflichtig. Zur Bestimmung, was als kritische Infrastruktur gilt, werden zwei Verfahren verwendet. Richtet sich eine Anlage an mehr als 500.000 Menschen oder wird ein festgelegter Schwellenwert (für jeden Bereich unterschiedlich) erreicht, dann unterliegt die Anlage dem IT-Sicherheitsgesetz.
Das IT-Sicherheitsgesetz greift nicht tief genug
Während der Verhandlungen im Kabinett konnten sich die Parteien nur schwerlich darauf einigen, welche Sektoren zu den kritischen Infrastrukturen zählen. Im Gesetzestext wurden dann sieben Bereiche verankert. Die weitere Festlegung überließ der Bundestag der Rechtsverordnung. Dadurch lag das Gesetz fast sechs Monate auf Eis. Durch die 500.000er-Regel und die hohen Schwellenwerte fallen viele Anlagen von vornherein raus, sodass von der Meldepflicht nur ein geringer Teil betroffen ist. Der Energiesektor liefert mit 320 Anlagen den zahlenmäßig größten Anteil, gefolgt vom Bereich Wasser mit 230 Anlagen und die Informationstechnik im engeren Sinne bildet mit ganzen 30 Anlagen das Schlusslicht.
Durch das IT-Sicherheitsgesetz soll das BSI als zentrale Melde-, Aufsichts- und Beratungsstelle für Sicherheitsvorfälle kritischer Infrastrukturen dienen. Doch die Unabhängigkeit fehlt der Behörde, wegen der großen Nähe zur Bundesregierung. Genauso ist fraglich, ob das BSI seiner Dreifachrolle überhaupt gerecht wird. In der Vergangenheit hat das BSI mehrfach bewiesen, dass seine Sicherheitsratschläge mitunter realitätsfremd sind und dadurch teilweise auch ein Sicherheitsrisiko darstellen können. Heise-Redakteur Jürgen Schmidt hatte das in seinem Kommentar „Das BSI und der Elfenbeinturm“ recht gut beschrieben.
Das Parlament klammert Bundesbehörden ganz bewusst aus dem IT-Sicherheitsgesetz aus. Die entscheidenden Verpflichtungen gelten mit dem Umsetzungsplan zum Schutz der Informationsinfrastrukturen in Deutschland (2007) und der Novellierung des BSI-Gesetzes (2008) bereits seit Jahren. Die Bundesverwaltung muss dadurch ihre IT-Systeme besonders schützen und Sicherheitsvorfälle an das BSI melden. Wie gut das funktioniert, hat der Bundestagshack eindrucksvoll bewiesen. Wenn selbst der Bundestag einem Hackerangriff ohnmächtig gegenübersteht, wie möchte dann das BSI die IT-Sicherheit kritischer Infrastrukturen besser schützen? Deshalb scheint es sehr fraglich, ob das IT-Sicherheitsgesetz in der Praxis überhaupt seinen Zweck erfüllen kann.
