Zum Bundestags-Hack Warum es echte Sicherheit nicht geben kann

Die Rechner des Bundestages sind angegriffen worden. Welche Daten abgefischt wurden und wie der Schaden behoben werden kann, ist noch unklar. Sitzen denn im BSI und in der IT-Verwaltung des Bundestages nur Dilettanten? – Keineswegs. Die Ursache liegt tiefer. Und sie betrifft uns alle.

Schon seit Ende Mai ist bekannt, dass Hacker in die IT-Systeme des Bundestages eingedrungen sind. Weitere Informationen gab es zunächst nicht. An die Abgeordneten erging nur die Empfehlung, ihre Rechner am Abend auszuschalten.

Als ob sich dadurch noch etwas retten lässt.

Nun wurde bekannt, dass der Schaden so groß ist, dass »die Systeme neu aufgesetzt werden müssen«, was Monate dauert. Eventuell muss teilweise sogar die Hardware erneuert werden. Mit anderen Worten: Tabula rasa, Festplatte formatieren, alles neu installieren. Und offenbar ist auch Firmware betroffen, so dass sogar Hardware beschädigt oder kompromittiert wurde. Nähere Details erfährt man auch weiterhin nicht. Vielleicht weil diese Details schutzwürdig sind, vielleicht weil sich die Verantwortlichen keine Blöße geben wollen oder einfach nur, weil sie selbst noch nichts Genaueres wissen. Das Dumme ist nur: Sollten die Ursachen noch nicht restlos bekannt sein, dann nutzt auch die aufwändige Tabula rasa nichts, dann würde der Angreifer über die gleichen Wege wieder eindringen.

Da haben wir nun ein Bundesamt, das sich eigens um die Sicherheit in der Informationstechnik kümmern soll und wir haben mit dem »Center for Advanced Security Research Darmstadt« (CASED) oder z.B. den Fraunhofer-Instituten für Sichere Informationstechnologie (SIT) und für Experimentelles Software Engineering (IESE) Sicherheitsexperten, die sich mit der Materie auskennen. Wird denn von diesen Experten niemand angeheuert vom BSI und von der Regierung? Das gegenwärtige Szenario sieht jedenfalls so aus, als ob die IT-Sicherheit des Bundestags auf ganzer Linie versagt hat. Eine riesengroße Blamage.

Kritische Gefährdungslage

Das ist die eine Seite der Perspektive. Die andere Seite ist die Perspektive derjenigen, die für den Schutz der Computer- und Kommunikationssysteme verantwortlich sind. Dass IT-Sicherheit ein drängendes Thema ist und dass die Gefährdungslage kritisch ist, ist auch dem Bundestag spätestens seit der Snowden-Affäre bewusst. Schon vor einem Jahr gab es deshalb u.a. eine Anhörung von Sachverständigen im Ausschuss »Digitale Agenda« des Bundestages. Michael Hange, der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, sagte, dass durch  konventionelle Schutzmaßnahmen (Anti-Viren-Software, regelmäßige Updates, Authentifizierung, Verschlüsselung, etc.) etwa 80 Prozent der Angriffe abgewehrt werden. Auf die restlichen 20 Prozent – wenn diese Annahme stimmt – ging der Sicherheitsexperte Dr. Sandro Gaycken von der Freien Universität Berlin ein. Er machte klar, dass unsere Computer und Kommunikationsinfrastruktur grundsätzlich unsicher sind.

Unter den heutigen Marktbedingungen steht IT-Sicherheit einem wettbewerbsorientierten Geschäft diametral entgegen: Sie ist schwierig zu implementieren, teuer und zieht die Time-to-Market in die Länge. Deshalb wird IT im Wesentlichen stark unsicher entwickelt, während die Sicherheit als Zusatzaufgabe oft ausgelagert wird.