1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen

Bundestag offline wegen Hackerangriff

Matthias von Hein20. August 2015

Ein Vierteljahr hat es gedauert, jetzt nutzt die Bundestagsverwaltung die Sommerpause: Vier Tage schaltet sie das sogenannte Parlakom-Netz ab, um es von Schadsoftware zu säubern. Experten sind skeptisch, ob das reicht.

https://p.dw.com/p/1GIN1
Symbolbild Cyberangriff auf den Bundestag (Foto: picture alliance/dpa)
Bild: picture-alliance/dpa/R. Jensen

Mitte Mai bemerkten Sicherheitsexperten den Cyberangriff auf den Bundestag. Anfang Juni wurde er öffentlich bekannt. Seitdem arbeiten die Bundestagsverwaltung und ein IT-Sicherheitsunternehmen aus Karlsruhe an der Sanierung des rund 20.000 Rechner umfassenden Netzwerkes des Bundestags - ohne dass sie den Angriff bislang stoppen konnten.

Darum schreiben sie jetzt das nächste Kapitel in der Saga um Eindringlinge in das digitale Herz der deutschen Demokratie: Der Bundestag ist mindestens vier Tage lang offline. Bis Montag soll das Bundestagsnetzwerk neu aufgesetzt werden, sollen Teile der Hard- und der Software ausgetauscht oder neu aufgespielt werden.

Trojaner tief im System

Die eingeschleuste Schadsoftware, soviel ist bekannt, hat sich tief im System eingenistet. Die Angreifer haben sich Administratorenrechte verschafft. Sie haben sogar den sogenannten Verzeichnisdienst des Netzwerkes übernommen. Dieses Herzstück des Netzes regelt das Zusammenspiel aller Komponenten. Und die Angreifer haben mindestens 20 Gigabyte Daten abgesaugt. Vor allem auf Word-Dokumente hatten sie es abgesehen.

Die Bundestagsverwaltung gibt sich zurückhaltend, was Auskünfte über die vorgesehenen Reparaturarbeiten angeht. Eine Interviewanfrage der Deutschen Welle lehnte sie schriftlich ab. In der entsprechenden Mail begründet sie das so: "Dieser Fall zeigt sehr anschaulich, wie sinnvoll es ist, technische Details über das eigene IT-System nicht zu veröffentlichen."

Portrait Sandro Gaycken (Foto: Open Source Press / dpa)
Sandro Gaycken: "Risiko, dass der Angreifer noch drin ist"Bild: picture-alliance/dpa

Schadsoftware äußerst resistent

Der Berliner Cybersicherheitsexperte Sandro Gaycken bezeichnet das Vorgehen der Bundestagsverwaltung als "geheimniskrämerisch". Gaycken hielte es für das Sicherste, die gesamte Hardware auszutauschen und alle Daten manuell zu übertragen, nachdem sie auf Schadsoftwarebefall geprüft worden sind. Gerade bei einem so ausgefeilten Angriff wie dem auf den Bundestag könne man nie sicher sein, dass nicht irgendwo noch ein Schadprogramm drin stecke.

Was jetzt unternommen werde, so Gaycken gegenüber der DW, sei allerdings deutlich kleinformatiger: "Man will das ganze System ja innerhalb von vier Tagen neu aufsetzen. Das heißt: Da wird vermutlich das Betriebssystem neu installiert. Man wird ein paar Daten auslagern, scannen und dann wieder drauf laden. Da gibt es ein hohes Risiko, dass der Angreifer noch in irgendeiner Form drin ist." Gaycken kennt eine ganze Reihe von Attacken, bei denen die Schadsoftware so einen Systemneustart überlebt hat.

Drittgeräte nicht überprüft

Kritisch blickt auch Arne Schönbohm auf die Anstrengungen, den feindlichen Trojaner im System loszuwerden. Der Präsident des Cybersicherheitsrats Deutschland bemängelt im DW-Interiew vor allem, "dass die Drittgeräte, die die Abgeordneten mitnutzen, nicht Bestandteil der Überprüfung sind". Damit meint Schönbohm zum Beispiel Rechner in den Wahlkreisbüros der Abgeordneten.

Neben den technischen Maßnahmen hält Schönbohm es für entscheidend, dass die Abgeordneten und ihre Mitarbeiter sensibilisiert werden - mit Schulungen, die obligatorisch sind. Der Sicherheitsexperte verweist darauf, dass man bei der Überprüfung nach dem Trojanerangriff nebenbei noch eine Fülle anderer Schadsoftware auf den Bundestagsrechnern gefunden habe.

Keine neue Kommunikationskultur

Bereits sensibilisiert ist der CDU-Abgeordnete Patrick Sensburg. Für den Vorsitzenden des NSA-Untersuchungsausschuss ist zum Beispiel die Verschlüsselung von Emails Routine. Im DW-Interview gesteht er allerdings ein, nicht zu wissen, wie weit diese Vorsicht unter seinen Abgeordnetenkollegen verbreitet ist. Dass sie nach dem Hackerangriff ihren Umgang mit Daten geändert hätten, dass sie eine andere elektronische Kommunikationskultur entwickelt hätten, spürt Sensburg nicht. Er entschuldigt seine Kollegen aber damit, dass sie sich immer schon Gedanken gemacht hätten, über welches Medium sie kommunizieren.

Der CDU Abgeordnete Patrick Sensburg beim NSA-Untersuchungsausschuss am 05.06.2014 in Berlin (Foto: Maurizio Gambarini/dpa )
Verschlüsselt schon lange seine Emails: Patrick SensburgBild: picture-alliance/dpa

Arne Schönbohm vom Cybersicherheitsrat sieht das etwas differenzierter: "Die Abgeordneten sind ein großer Kreis - und der ist so heterogen wie die Bevölkerung insgesamt." Einige nähmen Sicherheitsfragen sehr ernst. Andere aber dächten, sie hätten gar keine relevanten Daten und es sei doch alles gar nicht so schlimm. Allerdings beobachtet Schönbohm auch, dass die Sensibilität im Zuge der Beratungen zum IT-Sicherheitsgesetz insgesamt zugenommen hat. Das haben die Abgeordneten Mitte Juni verabschiedet - und unter dem frischen Eindruck des Hackerangriffs die Bestimmungen noch einmal verschärft: Zunächst sollten nur Unternehmen der sogenannten kritischen Infrastrukturen die Sicherheitsanforderungen des Bundesamtes für Sicherheit in der Informationstechnik erfüllen, also etwa Energieversorger und Luftverkehrsfirmen. Jetzt müssen das auch Bundesbehörden.