https://www.faz.net/-gpf-84edq

Hacker-Attacke auf Bundestag : Eine informationstechnische Katastrophe

Das Reichstagsgebäude in Berlin, Sitz des Deutschen Bundestages: Von außen gesichert und überwacht, aber die Angreifer sitzen im IT-System des Parlaments Bild: dpa

Vielen Abgeordneten ist ihre Unabhängigkeit heilig – und ihre Bequemlichkeit. Der Hackerangriff auf das Parlament zeigt nun, wie gefährlich das ist. Bundestagspräsident Lammert warnt, der Angriff sei noch nicht abgewehrt.

          Morgens um sieben ist die Welt noch in Ordnung. Das weiß jeder, der den gleichnamigen Film gesehen hat. Dass diese Weisheit schon eine halbe Stunde später nichts mehr wert sein kann, erfuhren die Mitglieder der Kommission für den Einsatz neuer Informations- und Kommunikationstechniken und -medien – abgekürzt: IuK – des Bundestages am Donnerstag. Da sprach zu früher Stunde ein Mann zu den Mitgliedern des IuK, der in jüngster Zeit sehr hässliche Nachrichten für das höchste deutsche Parlament hat.

          Mona Jaeger

          Redakteurin in der Politik.

          Eckart Lohse

          Leiter der Parlamentsredaktion in Berlin.

          Die gehen in etwa so: Das gesamte Computersystem des Bundestages ist von einem Hackerangriff schwer getroffen, es sind Daten gestohlen worden. Längst steht im Raum, dass weite Teil der Software ausgetauscht werden müssen. Möglicherweise auch Teile der Hardware.

          Bei den Abgeordneten war Michael Hange erschienen, der Präsident des Bundesamtes für die Sicherheit in der Informationstechnik. Das in Bonn ansässige BSI ist, kurz gesagt, zuständig für die Sicherheit der Computersysteme der Bundesregierung und der ihr nachgeordneten Behörden. Ja, ganz recht: der Bundesregierung. Und nicht des Bundestages!

          Was wie ein Detail aus den Untergeschossen der Verwaltungsarbeit klingt, ist der Dreh- und Angelpunkt einer informationstechnischen Katastrophe, von der selbst hauptamtliche Beschwichtiger im politischen Berlin sagen, dass sie etwas Derartiges noch nie erlebt hätten. So tief sitzen die Angreifer seit Mitte Mai im System des Bundestages, dass zwar der Verlust, der sogenannte Abfluss, von Daten schon feststeht, das Ausmaß aber noch lange nicht.

          Auf den Servern und Festplatten des Parlaments liegen nicht nur Geburtstagsbriefe des Abgeordneten A an die Abgeordnete B. Hier finden sich sämtliche Daten, auf denen die Gesetzgebung des größten Mitgliedstaates der Europäischen Union fußt. Aber mehr noch: Durch den engen Austausch zwischen Parlament und Regierung nicht nur bei der Gesetzgebung, sondern auch etwa wenn Untersuchungsausschüsse das Verhalten des Verteidigungsministers oder der Mitarbeiter des Kanzleramtes aufklären wollen, finden sich in den Speichern des Bundestages Tausende und Abertausende Seiten von Regierungsdokumenten.

          Dass der ehemalige SPD-Bundestagsabgeordnete Sebastian Edathy Internetseiten besucht haben soll, auf denen kinderpornographisches Material angeboten wurde, konnte etwa nur festgestellt werden, weil Daten aus dem System des Bundestages rekonstruiert werden konnten.

          Es lässt sich leicht ausmalen, was alles passieren und wer alles erpressbar werden kann, wenn die Daten in falsche Hände gelangten. Dass die falschen Hände dort sind, danach sieht es nun sehr eindeutig aus. Wo genau sie sind, das scheint jedoch noch nicht sicher erkannt worden zu sein, auch wenn die Aufklärung des Falles nun über einen Monat dauert. Doch deuten immer mehr Hinweise aus dem Parlament und der Regierung darauf hin, dass eine staatliche Institution hinter dem Angriff steht, möglicherweise aus Osteuropa. Ob es sich dabei um den russischen Geheimdienst handelt, ist allerdings noch nicht geklärt.

          Dass es bisher noch so viele Fragezeichen gibt, hat mit dem Verhalten des Bundestages zu tun. Dieser ist ein eigenständiges Verfassungsorgan. Als solcher hat das Parlament entschieden, sich nicht dem IVBB zu unterwerfen oder nur sehr eingeschränkt. Der IVBB ist der Informationsverbund Berlin Bonn. In diesem befinden sich die Computersysteme der Bundesregierung und der ihr nachgeordneten Behörden. Nach allem, was man hört, gelingt es dem IVBB bisher sehr gut, die große Menge an Cyberattacken auf die Bundesregierung, die Rede ist von 90.000 jeden Monat, abzuwehren.

          Das liegt daran, dass im IVBB viele Internetseiten grundsätzlich gesperrt sind und nur nach einer ausdrücklichen Bitte freigeschaltet werden. Ein Verfahren, dass womöglich auch den Bundestag schützen könnte. Von dessen IT-System gibt es zwar auch einen Strang zum IVBB, ganz abgenabelt ist das Parlament also nicht. Am Wochenende, wenn es Kapazitätsprobleme gibt, nutzt der Bundestag schon mal den IVBB für Teile seines Internetverkehrs. Im Wesentlichen verlässt man sich unter der Reichstagskuppel jedoch auf das eigene Netz.

          Kontrollierte Kontrolleure?

          Der Bundestag ist eben nicht die Regierung, sondern die Gesamtheit der frei gewählten Abgeordneten, die die Regierung ja gerade kontrollieren sollen. Da wollen die Parlamentarier nicht die Regierungsbehörden an ihr Allerheiligstes, ihre Daten, gelangen lassen. Der CDU-Innenpolitiker Clemens Binninger kritisiert diese Einstellung. „Das halte ich für unverantwortlich“, sagte er am Donnerstag. Der Bundestag hat zwar auch eine eigene IT-Abteilung, aber die ist mit einem Angriff dieser Größenordnung offenbar komplett überfordert.

          Es gibt aber noch einen viel simpleren Grund, warum der Bundestag derart einfach angegriffen werden kann: Die Abgeordneten sind bequem. Früher musste jeder USB-Stick, den ein Parlamentarier von draußen mitbrachte, von IT-Fachleuten kontrolliert und für den Einsatz freigegeben werden. Das ist mühsam. Deswegen haben die Abgeordneten durchgesetzt, dass sie seit einiger Zeit relativ uneingeschränkt eigene Hard- und Software an die Bundestagscomputer anschließen können.

          Geduldete Aufklärer

          Aber das ist gefährlich. Jetzt probt man offenbar wieder die Rolle rückwärts: Laut Teilnehmern der IuK-Kommission ist man sich einig, bald wieder restriktivere Regeln beim Umgang mit USB-Sticks und anderem einzuführen. Möglich wäre auch, dass es zukünftig zwei Systeme für die Abgeordneten gibt: eines, das offen und damit gefährdet ist, und ein zweites, das gesichert ist, auf dem dann alle sehr vertraulichen und geheimen Informationen liegen und ausgetauscht werden.

          Gerade einmal zwei Mitarbeitern des BSI wurde die Tür zu den Serverräumen des Bundestages geöffnet, als Anfang Mai die Cyberattacke bekannt wurde. Die dürfen mithelfen bei der Aufklärung, würden von manchen Abgeordneten aber nur geduldet, heißt es. Die Vorbehalte gegen die Behörde sind offenbar groß. „Manche lassen die Russen oder Chinesen lieber mitlesen, als das BSI“, schimpft SPD-Mann Gerold Reichenbach. Er findet die Diskussion um die Mitarbeit der Sicherheitsbehörden „ziemlich gaga“.

          Wie empfindet die Behörde selbst, das BSI, die Debatte? Das erfährt man nicht. Denn sagen darf das BSI nichts. Deswegen ist auch nicht im einzelnen bekannt, was Hange am Donnerstag früh gesagt hat. Die Pressestelle seines Hauses bestätigte am 15. Mai in dürren Worten den Angriff und fügte hinzu, dass mehr nicht mitgeteilt werde. Bei dieser Haltung blieben die Bonner Sicherheitsfachleute auch am Donnerstag.

          Das Bundesinnenministerium verweist pflichtgemäß darauf, dass nur der Bundestag Auskunft gebe über den Vorgang. Der Hinweis nützt aber nicht viel, denn die Spitze des Bundestages, Präsident Norbert Lammert und seine Leute, hüllen sich seit einem Monat fast vollständig in Schweigen. So sehr, dass sich kürzlich Abgeordnete der Grünen bei Lammert schriftlich beschwerten, sie erführen immer nur durch öffentlich gewordene Äußerungen aus den Sicherheitsbehörden, wie es um ihre Datensicherheit bestellt sei. Nun, nach der jüngsten Sitzung des Ältestenrats, der mit dem Thema auch befasst ist und zu dem unter anderem die Spitze der Bundestagsverwaltung gehört, soll es aber einen Rundbrief des Präsidiums geben, in dem die Abgeordneten über mögliche Konsequenzen informiert werden.

          Ein Tabu für den Verfassungsschutz

          Wenn schon das BSI nicht ins Haus darf und das Innenministerium schweigen muss, dann ist eine Teilnahme des Verfassungsschutzes an der Aufklärung erst recht tabu. Vor allem Mitglieder der Linkspartei und der Grünen lehnen das kategorisch ab. Die Lage wird dadurch nicht leichter, dass ausgerechnet die zur Linkspartei gehörende Vizepräsidentin des Bundestages Petra Pau der IuK-Kommission vorsitzt. Ob sie zu den Abgeordneten gehörte, die die Debatte über den Cyber-Angriff aus den eigentlich zuständigen Fachausschüssen in die eher informell arbeitenden Gremien Ältestenrat und IuK verschoben haben, ist nicht bekannt.

          Aber die Empörung einiger Mitglieder des Innenausschusses und des Ausschusses für Digitale Agenda ist groß. Schon zwei Mal habe man den Angriff auf die Tagesordnung gesetzt – und ihn kurzfristig wieder herunternehmen müssen, weil sich niemand aus der Bundestagsverwaltung in der Lage sah, Auskunft zu geben. Wirklich die Hosen runter lassen und die ganze Hilflosigkeit eingestehen wollen sie aber auch nicht. „Eigentlich müsste die Verwaltung sagen: ,Wir haben nicht mehr die Kontrolle‘“, sagt Reichenbach.

          Kein Totalschaden?

          Dass dieses Eingeständnis eines Parlaments peinlich bis höchst gefährlich wäre, ist klar. Für Reichenbach und andere ist das aber trotzdem kein Grund, sich in Schweigen zu hüllen. Viele Kollegen seien inzwischen ungehalten über die mangelhafte Informationspolitik der Verwaltung, heißt es. Es gibt aber auch einige wenige Abgeordnete, die die Sache nicht ganz so hoch hängen wollen. „Von einem Totalschaden kann keine Rede sein“, sagt Thomas Jarzombek von der CDU-Fraktion. Außerdem würden seit zwei Wochen keine Daten mehr abfließen. Diese Mitteilung aus der IuK-Kommission ist trügerisch: Ein Abgeordneter vergleicht das mit einem Doping-Test: Nur weil der Test nichts findet, heißt das nicht, dass nicht gedopt wurde.

          Vor allem auf der linken und der grünen Seite des Bundestages wird darüber nachgedacht, noch unabhängiger von der Regierung in den Fragen der IT-Sicherheit zu werden. Mancher gibt selbstkritisch zu, dass das Thema Cybersicherheit im Bundestag bisher sträflich vernachlässigt worden sei, allerdings nicht nur im Bundestag. Dieser müsse jedenfalls prüfen, ob im Interesse der Nutzer zu viel zugelassen worden sei, was die Sicherheit gefährde. Der ein oder andere träumt von einem eigenen Sicherheitssystem des höchsten deutschen Parlaments. Am Donnerstag wurde von einem Abgeordneten erzählt, der darauf hingewiesen habe, dass der Bundestag ja auch eigene Polizeieinheiten zur Herstellung der Sicherheit im Gebäude habe.

          „Rote Zone“

          Dieses System funktioniert jedenfalls bestens, wenn auch nicht besonders benutzerfreundlich. Am Donnerstag beschäftigte sich der Ältestenrat mit dem Hackerangriff und den Folgen. Er tagte, wie üblich, auf der sogenannten Präsidialebene des Reichstages, zweite Etage, nordöstliche Ecke des Gebäudes.

          Jeder Journalist, der eine Zugangsberechtigung zum Bundestag hat, konnte mühelos dorthin gelangen, ein freundlicher Pförtner am Osteingang wies sogar den Weg. Rein in den Aufzug, Knopf für die zweite Etage drücken, aussteigen und dann nach links. Es öffnete sich automatisch eine gläserne Tür. Das Schild „Ältestenrat“ war schon nach wenigen Schritten ganz nah. Dann griff das Sicherheitssystem in Person eines Polizeibeamten des Bundestags. „Sie haben hier nichts zu suchen. Das ist die rote Zone.“ Und für Begriffsstutzige noch ein entschiedenes: „Da ist der Aufzug!“ Die Jungs müsste Norbert Lammert mal in die IT-Abteilung lassen. An ihnen käme kein Trojaner vorbei.

          Lammert: Seit zwei Wochen kein Datenabfluss

          Nach der Sitzung teilt Lammert den Abgeordneten in einer Mail, die der F.A.Z. vorliegt, mit, in den vergangenen zwei Wochen seien keine Daten mehr abgeflossen. Dies hätten die BSI-Ermittlungen und der Bundestagsverwaltung ergeben. Lammert fügt aber hinzu: „Das bedeutet nicht, dass der Angriff endgültig abgewehrt und beendet wäre.“ Der Generalbundesanwalt prüfe mittlerweile, ob ein Anfangsverdacht für eine Straftat gegeben sei. Ein entsprechender Fragenkatalog werde zeitnah vom Bundestag beantwortet.

          Die bisherigen Analysen legten nahe, neben der laufenden Bereinigung des Computersystems rasch auch damit zu beginnen, das System „mindestens in Teilen“ neu aufzusetzen. „Nach derzeitigem Kenntnisstand ist das nicht mit einem Austausch von Hardware verbunden“, schrieb Lammert. Der Bundestag werde dabei die Expertise eines noch zu beauftragenden externen Dienstleisters einbeziehen, genau wie die BSI-Beratung.

          Vier Wochen nach Bekanntwerden der Cyber-Attacke darf sich nun auch das für Spionageabwehr zuständige Bundesamt für Verfassungsschutz (BfV) um Abwehr und Aufklärung des Angriffs kümmern. Das BfV werde aber „nicht innerhalb des IT-Systems (Abgeordnetenbüros, Fraktionen, Verwaltung) des Bundestages tätig“, schrieb Lammert. Das BfV hatte den Bundestag zwar am 12. Mai über die Attacke informiert. Wegen verfassungsrechtlicher Bedenken vor allem der Opposition durfte sich der Verfassungsschutz aber bisher nicht an der Aufklärung beteiligen.

          Weitere Themen

          „Wo ist Boris?”

          TV-Duell für Tory-Vorsitz : „Wo ist Boris?”

          In einer lebendigen Debatte stellen die Kandidaten für den Vorsitz bei den britischen Konservativen unter Beweis, wie groß das Arsenal präsentabler Politiker der Tory-Partei noch ist. Boris Johnson bleibt der Runde fern – und ein anderer sticht heraus.

          Topmeldungen

          Umstrittenes Projekt: Künftig sollen Autofahrer zur Kasse gebeten werden.

          Neue Prognosen : Wird die Maut zum Minusgeschäft?

          Interne Zahlen aus dem Verkehrsministerium zeigen: Aus den erhofften 500 Millionen Euro wird wohl nichts – schuld sind Veränderungen in der Fahrzeugflotte. Die Grünen geißeln das Lieblingsvorhaben von Verkehrsminister Scheuer als „ teures und sinnloses Stammtischprojekt“.
          Die Große Koalition erzielt in der Nacht auf Montag einen Kompromiss bei der Grundsteuer (Archivbild von Angela Merkel (CDU) und Olaf Scholz (SPD)).

          Große Koalition : Union und SPD einigen sich bei Grundsteuer

          Schon beim ersten Koalitionsausschuss mit neuer Besetzung erzielt die Bundesregierung einen Kompromiss. Ist das Ausdruck einer neuen Handlungsfähigkeit? Etliche Streitpunkte können jedenfalls nicht gelöst werden.
          Suchen nach Kraft und Mut: Anne Will diskutiert mit ihren Gästen (hier Franziska Giffey und Volker Bouffier) den Zustand der Großen Koalition.

          TV-Kritik „Anne Will“ : Kein Mut in Sicht

          Deutschland driftet auseinander: Im Westen wird das Land grün, im Osten blau. Bei Anne Will geht es darum, ob die Bundesregierung noch den Willen und die Kraft hat, mit überzeugender Politik zu antworten. Das Ergebnis der Debatte ist ernüchternd.
          Für das Kaninchen war es blutiger Ernst: Prepper-Training in Thüringen

          FAZ Plus Artikel: „Prepper“-Szene : Staatsfeinde im Pfadfinderlager?

          Zombieapokalypse, Alieninvasion, Atomkatastrophe – die „Prepper“-Szene will vorbereitet sein und hortet Konserven, Gas und teilweise auch Waffen. Zudem gären rechtsextreme Ideologien. Sicherheitsbehörden stoßen an ihre Grenzen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.