Lehre aus dem Bundestagshack: Ohne Schulung und Beratung geht’s nicht

Kürzlich erschien auf der berühmten Seite 3 der Süddeutschen Zeitung unter dem Titel „War was?“ ein Artikel über den Hackerangriff auf den deutschen Bundestag vom vergangenen Frühjahr (Artikel kostenpflichtig zum Download). Der SZ-Redakteur Johannes Boie erzählt darin die Geschichte des Versagens nahezu aller beteiligten Personen und Institutionen beim Umgang mit dem digitalen Einbruch. Einige Details verdienen es dabei, besonders hervorgehoben zu werden:

Da wäre zum Beispiel der erste Hinweis auf den Befall durch einen Trojaner. Er kam von der Mitarbeiterin eines Bundestagsabgeordneten, die festgestellt hatte, dass sie auf ihrer Tastatur keine Akzente mehr schreiben konnte. Sie wandte sich an die Technik-Hotline und erklärte bereits beim ersten Anruf, dass sie sich mit Computern auskenne und es sich möglicherweise um einen Virus handele. Nacheinander taten drei Techniker den Vorfall als harmlos ab, zeigten der Frau, wie man Akzente auch auf andere Art und Weise erzeugen kann und installierten einige Programme neu.

Das darf in einem sicherheitskritischen Bereich, wie es das Netzwerk des Parlaments nun einmal ist, nicht passieren. Administratoren und Servicekräfte müssen die Anzeichen für einen Angriff oder Befall kennen und sofort reagieren. Etliche Schulungs- und Sicherheitsunternehmen bieten entsprechende Kurse für Administratoren an. Mit dem Titel Certified Ethical Hacker des EC-Council existiert sogar eine Art inoffizielles Diplom.

Dazu kam, dass Monate vergingen, bis die Sicherheitslücke geschlossen und die Bundestagsrechner neu aufgesetzt werden konnten. Tatsächlich mussten die Techniker bis zur Sommerpause warten. Im SZ-Artikel erklärt Ernst Hebeker, der Chef des Pressereferats im Bundestag, dass es ein schlechtes Signal gewesen wäre, wenn das Parlament eines Hightech-Landes wie der Bundesrepublik aufgrund eines Virenbefalls nicht hätte tagen können.

Diese Angst vor einem Reputationsverlust ist kein Einzelfall. Experten gehen davon aus, dass die große Mehrheit der Hackerangriffe und Datendiebstähle auf Behörden und Unternehmen niemals gemeldet wird, um in der Öffentlichkeit kein schlechtes Bild abzugeben. Um Gefährdungen besser einschätzen und andere Organisationen warnen zu können, ist jedoch eine zentrale Informationsstelle unabdingbar. Aus diesem Grund hat der Bundestag im Sommer das IT-Sicherheitsgesetz verabschiedet. Es verpflichtet unter anderem Betreiber kritischer Infrastrukturen wie Energieversorger, Banken oder Netzbetreiber, Angriffe auf ihre Computer oder Netzwerke sofort dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Aber auch Unternehmen, die dazu nicht verpflichtet sind, sollten Sicherheitsvorfälle den Behörden an die Behörden weitergeben. Alle deutschen Landeskriminalämter haben mittlerweile Anlaufstellen für Cyberkriminalität eingerichtet, die nicht nur Fälle aufnehmen, sondern die Firmen auch in Sicherheitsfragen beraten. Wahlweise ist auch der Verfassungsschutz im jeweiligen Bundesland eine geeignete Anlaufstelle. 

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Der ganze Artikel: Lehre aus dem Bundestagshack: Ohne Schulung und Beratung geht’s nicht