IT-Sicherheit "Extrem maßgeschneiderte Angriffe"
Der Bundestag bleibt begehrtes Ziel von Hackern. Das zeigen ausgefeilte Phishing-Attacken auf Abgeordnete. Ob das IT-System gut genug geschützt ist, darüber gehen die Ansichten auseinander.
Wer kennt sie nicht: Mails, in denen ein Millionenerbe versprochen wird. Man solle nur einen Link oder ein angehängtes Dokument öffnen. Solche Phishing-Mails verraten sich meist durch Unprofessionalität - etwa Rechtschreibfehler oder falsche Formulierungen.
Mit weit ausgefeilteren Methoden werden Bundestagsabgeordnete attackiert: Sie haben es mit Phishing-Attacken zu tun, die "mittlerweile extrem maßgeschneidert sind". Dazu würden Beziehungsgeflechte ausgespäht, um Bezug auf zurückliegende Veranstaltungen zu nehmen und mit Spitznamen zu arbeiten. Solche Mails als Phishing-Attacken zu erkennen, sei bei Hunderten täglich eingehenden Mails eine umso größere Herausforderung. Das berichtet eine Person aus dem Umfeld der IuK-Kommission, einer Unterkommission des Ältestenrates des Bundestages, die für die Abwehr von IT-Angriffen zuständig ist.
Mit Phishing-Attacken gelang es Hackern 2015, in das IT-System des Bundestages einzudringen und mehr als 16 Gigabyte Daten zu stehlen. Als Tatverdächtigen identifizierten Ermittler damals einen Mann aus Russland, der für den Geheimdienst GRU arbeiten soll.
"Weitgehend allein gelassen"
Abgeordnete bestätigen, dass sich seitdem einiges getan hat. IT-Expertin Anke Domscheit-Berg von der Linksfraktion sagt zum Beispiel, das IT-System des Bundestages sei inzwischen sicherer. Fake-Mails und schadhafte Links könnten identifiziert werden, bevor sie Probleme bereiten. Mittels Schulungen finde eine Sensibilisierung für Cybergefahren statt.
Doch aus dem Bundestag ist auch Kritik zu hören: Es handele sich lediglich um Standardmaßnahmen. Bis heute sei die IT-Sicherheit nicht besonders gut aufgestellt. Von massiven Sicherheitsvorkommnissen würden die Abgeordneten regelmäßig aus den Medien erfahren und Informationen mit tagelanger Verspätung erhalten. Dabei komme es bei IT-Angriffen oft auf Stunden an, um die eigenen Systeme abzusichern und Passwörter zu ändern.
Der Vizefraktionschef der Grünen, Konstantin von Notz, sieht eine Parallele zur Lage in der Bundesrepublik: Um die IT-Sicherheit in ganz Deutschland stehe es nach 16 Jahren Verantwortung der Union in diesem Bereich extrem schlecht. "Die Sicherheitsbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen sich den Mund fusselig und weisen in ihren Berichten seit Jahren auf die milliardenschweren Schäden durch IT-Angriffe hin."
Den Abgeordneten und Mitarbeiterinnen gehe es wie vielen Menschen und Institutionen im Land: Sie fühlten sich weitgehend allein gelassen. "Dabei stehen sie natürlich besonders im Fokus von Angreifern, aber auch von Menschen, die glauben ihren Frust 'an denen da oben' täglich durch klar strafbare Meinungsäußerungen in unzähligen Mails artikulieren zu können", sagt von Notz.
Private Daten im Netz
Zu einer Gefahr in der realen Welt kann Doxing werden: Die Veröffentlichung privater Daten wie Adressen und Telefonnummern, die wiederum für Einschüchterung und Aufrufe zu Hass und Gewalt verwendet werden. So wurden im Jahr 2019 die Daten Hunderter Politiker und anderer Persönlichkeiten im Internet veröffentlicht.
Obwohl viele Abgeordnete betroffen waren, werde bis heute verneint, dass es sich um eine Angelegenheit des Bundestages handelt, da es sich ja um private Daten ohne Mandatsbezug handele, sagt eine mit den Vorgängen vertraute Person. "Wer derart argumentiert, verkennt, dass es exakt diese Daten sind, nach denen sich jeder ausländische Geheimdienst die Finger leckt, um weitere Kampagnen zu fahren und sich immer weiter vorzutasten."
Zugang für BSI und Verfassungsschutz umstritten
Wie genau die IT-Sicherheit organisiert sein soll, darüber gehen die Ansichten auseinander - vor allem im Hinblick darauf, ob und wie viel Kooperation es mit den Bundesbehörden geben soll. Das Stichwort ist Gewaltenteilung und insbesondere der Zugang zu den Servern des Bundestages. Zugriff auf die dort abgelegten Kommunikationsdaten könnten Schlüsse auf politische Entscheidungen zulassen, ist die Sorge.
Das BSI untersteht dem Bundesinnenministerium ebenso wie das Bundesamt für Verfassungsschutz. Erst Anfang 2014 stoppte der Verfassungsschutz die Beobachtung von Bundestagsabgeordneten der Linkspartei. Entsprechend ist hier die Sensibilität hoch.
Domscheit-Berg sagt, es liege gewissermaßen in der DNA von Geheimdiensten, alle zugänglichen Daten zu sammeln. Sie erinnert an den Abhörskandal des US-Geheimdienstes NSA in Deutschland. Der Untersuchungsausschuss dazu habe festgestellt, dass auch der BND mehrfach Gesetze gebrochen habe.
Sie verteidigt die Mehrheitsentscheidung des Ältestenrates des Bundestages, das Parlamentnetz nicht an die "Netze des Bundes" anzuschließen, die die Bundesbehörden seit 2019 für den sicheren Datenaustausch nutzen. "Getrennte Netze sichern eine unabhängige Kontrolle der Bundesregierung durch das Parlament und ermöglichen eine höhere Resilienz, etwa bei Sabotage oder sonstigen Attacken", so Domscheit-Berg. Sie geht davon aus, dass die Bundestagsverwaltung für einen ausreichenden Schutz gewappnet ist.
"Auf externe Expertise angewiesen“
Die Unionsabgeordnete Andrea Lindholz, Mitglied des Parlamentarischen Kontrollgremiums, ist der Auffassung, dass es besser wäre, wenn der Bundestag die Expertise der relevanten Bundesbehörden zum Schutz aller Parlamentarier stärker nutzen würde. Angesichts des schwerwiegenden Cyberangriffs von 2015 liege es auf der Hand, deren Sachverstand rechtzeitig einzubinden. "Man ruft die Feuerwehr ja nicht erst, wenn es brennt, sondern führt auch präventiv Brandschutzübungen mit den Profis durch."
Lindholz fragt: "Vertrauen wir Parlamentarier mehr unseren Sicherheitsbehörden, die wir selbst kontrollieren und finanzieren oder vertrauen wir externen privaten Anbietern, die wir nicht ansatzweise so intensiv kontrollieren können?" Angesichts der komplexen Infrastruktur des Bundestages werde die Bundestagsverwaltung immer auf externen Sachverstand angewiesen sein. Die Vertraulichkeit der Daten kann ihrer Meinung nach durch zusätzliche parlamentarische Kontrollen sichergestellt werden.
Die Bundestagsverwaltung beschreibt auf Nachfrage von tagesschau.de den Schutz des IT-Systems als "übergreifende Aufgabe, die sich auf mehrere Organisationseinheiten der Bundestagsverwaltung verteilt". Die maßgeblichen Entscheidungen treffe der Ältestenrat des Bundestages.
"IT-Verwaltung überfordert"
Was die mit den Vorgängen vertraute Person jedoch beschreibt, erinnert an Erfahrungen mit privaten Drittanbietern, die es vielfach in Institutionen gibt: "Die Fluktuation der Mitarbeiterschaft ist extrem groß. Häufig wechseln diese just nach der Einarbeitungszeit in andere Unternehmen mit besser dotierten Stellen." Immer wieder sei aus Abgeordnetenbüros von Unzufriedenheit mit der Beratung zu hören. Es sei dringend nötig, mehr Kapazitäten für eine nachhaltige IT-Sicherheitspolitik für das Parlament zu schaffen.
Der Grünen-Politiker von Notz sagt mit Blick auf die IT-Sicherheitspolitik der Vorgängerregierung insgesamt, diese habe die IT-Sicherheit letztlich selbst gefährdet, statt sie zu erhöhen. Beispiele seien der "völlig unregulierte Handel mit Sicherheitslücken, das starre Festhalten an der anlasslosen Massenüberwachung, das Infragestellen kryptographischer Verfahren, denen im Digitalen eine wichtige Schutzfunktion zukommt und vieles mehr." Von Notz sieht nun eine Abkehr: "Es ist gut, dass sich die Ampel hiervon abwendet und im Bereich der IT-Sicherheit eine echte Kehrtwende eingeleitet hat."