Archiv

Daten-Shutdown im Bundestag
"Es ist mit weiteren Angriffen zu rechnen"

Auch nach dem Daten-Shutdown im Bundestag und einer Überarbeitung der Sicherheitssysteme rechnet der Geschäftsführer des Vereins Digitale Gesellschaft mit weiteren Hacker-Angriffen. Das Problem sei, dass mit Sicherheitslücken nicht transparent umgegangen werde, sagte Alexander Sander im DLF. Es reiche nicht aus, nur sein Passwort zu ändern.

Alexander Sander im Gespräch mit Sandra Schulz |
    Der Reichstag am Abend
    Der Reichstag am Abend (dpa/Paul Zinken)
    Sandra Schulz: Was genau passiert in diesen Tagen und Stunden, das verrät die Bundestagsverwaltung nicht – aus Sicherheitsgründen. Das wirkt einerseits unfreiwillig komisch, andererseits ist es nachzuvollziehen, denn der Hackerangriff auf das Computersystem des Bundestags im Mai, der hat für erhebliche Verunsicherung gesorgt.
    Am Donnerstag ist das Computersystem des Bundestags runtergefahren worden, jetzt arbeiten die Experten daran und sehr wahrscheinlich am Montag soll dann alles wieder einsatzbereit sein, und so viel zeichnet sich ab – die Abgeordneten werden dann ein neues Passwort brauchen. Aber sind die Sicherheitslücken dann auch geschlossen? Darüber habe ich vor der Sendung mit Alexander Sander gesprochen, dem Geschäftsführer der Digitalen Gesellschaft, das ist ein eingetragener Verein, der – so hat es Alexander Sander mir erklärt – sich als Greenpeace für das Internet versteht. Als Erstes habe ich ihn gefragt, ob denn, wenn Anfang der Woche alles wieder hochgefahren wird, ob dann alles sicher sein wird?
    Alexander Sander: Nein, klar ist das auf gar keinen Fall. Also es wird wahrscheinlich sogar so sein, und mit einer sehr hohen Wahrscheinlichkeit, dass weiterhin Angriffe auf das System des Bundestags stattfinden, dass davon sicherlich auch in Zukunft möglicherweise der ein oder andere Angriff auch wieder erfolgreich sein wird. Das liegt in der Natur des Netzes, dass grundsätzlich solche relativ weit verzweigten Netze angreifbar sind und dass dann da auch immer wieder Fehler von den Benutzerinnen und Benutzern gemacht werden. Nichtsdestotrotz ist natürlich diese Maßnahme, die da jetzt ergriffen wird, sicherlich notwendig. Es müssen aber darüber hinaus noch weitere Maßnahmen ergriffen werden, um tatsächlich nachhaltig für ein sichereres System zu sorgen, als das, wie wir es bisher kannten.
    "Hacker hatten weitreichenden Zugriff"
    Schulz: Ja, dieser Hackerangriff, der Anlass war, der liegt jetzt ja schon drei Monate zurück. Heißt das, dass die Daten im Grunde so lange weiter ungeschützt waren?
    Sander: Ja, also es ist davon auszugehen, dass die Hacker einen sehr großen Zugriff auf die Daten hatten, also sehr weitreichende Zugriffsmöglichkeiten hatten. Welche Daten sie dann tatsächlich abgegriffen haben, ist nicht bekannt, aber sie sollen wohl Passwörter von Administratoren gehabt haben, und damit dürften sie eigentlich einen sehr umfassenden Datenschatz da abgegriffen haben und das auch über einen sehr langen Zeitraum.
    Also die abgegriffenen Daten sind sicherlich sehr, sehr sensibel und es werden nicht nur einige Daten, sondern sehr, sehr viele gewesen sein.
    Schulz: Und Sie haben gerade gesagt, Sie rechnen auch weiterhin mit Angriffen. Welche Art von Angriffen könnten oder würden das sein?
    Sander: Zum einen wissen wir ja seit den Snowden-Enthüllungen, dass Geheimdienste ein sehr großes Interesse daran hatten, an solche Informationen zu kommen. Der Angriff jetzt, der auf den Bundestag stattgefunden hat, zeigt auch, dass hier Geheimdienste dahinter stecken könnten, bewiesen ist das natürlich nicht.
    Also es ist davon auszugehen, dass derartige Behörden weiter versuchen werden, an diese Informationen zu kommen, nicht nur, indem sie das Bundestagsnetz angreifen, aber auch, das wird weiterhin eine Möglichkeit sein, und darüber hinaus werden natürlich auch andere, vielleicht sogar kriminelle Organisationen dann versuchen, hier Angriffe zu fahren, möglicherweise an Daten zu kommen, um vielleicht dann bestimmte Personen oder auch Gruppen vielleicht sogar zu erpressen. Es ist damit zu rechnen, dass weitere Angriffe auf das Netz des Bundestages stattfinden werden.
    "Man muss Sicherheitslücken aktiv suchen"
    Schulz: Ist ja ein recht düsteres Szenario, das Sie zeichnen. Da sind Sie sicherlich auch nicht der Einzige, der diese Einschätzung hat. Woran liegt es denn, dass auch in Zukunft, so wie ich Sie verstehe, die Sicherheit nicht höher sein wird?
    Sander: Zum einen, weil man bestimmte Voraussetzungen überhaupt gar nicht schafft, dass hier für mehr Sicherheit gesorgt werden kann. Das fängt schon damit an, wie überhaupt mit dem Finden von Sicherheitslücken umgegangen wird – das ist immer noch in so einer Schmuddelecke, es ist immer noch etwas Negatives, es wird kaum darüber berichtet, und es wird auch versucht, dass Berichte über Sicherheitslücken nicht publik werden.
    Hier sollte man eigentlich einen kompletten Paradigmenwechsel einleiten, also man muss über Sicherheitslücken berichten, man muss berichten, wie diese Angriffe stattgefunden haben, damit dann die Leute auch daraus lernen können.
    Oft ist es so zum Beispiel, dass verseuchte Dateien per E-Mail-Anhang mitgeschickt werden, also hier müssen die Leute sensibilisiert werden, dass sie bestimmte Dateien schon erkennen und diese dann nicht öffnen, um eben solche Sicherheitsrisiken zu minimieren. Auf der anderen Seite ist auch der Umgang mit diesen Netzen, wie die Benutzerinnen und Benutzer sich in diesen Netzwerken bewegen, ganz entscheidend.
    Oft ist es so, dass zum Beispiel auch verseuchte USB-Sticks benutzt werden oder Ähnliches, und wenn man hier Aufklärung schafft und die Leute für dieses Thema sensibilisiert, dann hat man schon einen Großteil der Sicherheitsrisiken minimiert. Auf der anderen Seite, wie gesagt, ist es wichtig, dass wir hier auch transparent arbeiten und dass auch versucht wird, Sicherheitslücken aktiv zu finden und diese aktiv so schnell wie möglich zu schließen. Auch das wird durch das erst kürzlich verabschiedete IT-Sicherheitsgesetz verhindert, und auch hier müssen wir in Zukunft andere Regulierungen finden.
    "Es gibt keine Pflicht, Sicherheitslücken öffentlich zu machen"
    Schulz: Warum wird es dadurch verhindert? Das ist ja nun gerade das Ziel, die Sicherheit zu erhöhen?
    Sander: Ja, das ist das Ziel, aber das Problem ist, dass hier immer noch auf Intransparenz gesetzt wird. Es gibt keine Pflicht, diese Sicherheitslücken öffentlich zu melden. Die Betroffenen werden eigentlich kaum informiert, stattdessen müssten wir dafür sorgen, dass solche Sicherheitslücken transparent gemacht werden, denn diese Angriffe haben ja meistens ein gleiches Schema, das bedeutet, immer wieder dieselben Systeme werden angegriffen. Also nehmen wir jetzt mal relativ simpel einen Windows-Rechner, der eine Sicherheitslücke hat, das ist im Grunde auf fast jedem System dann dieselbe Sicherheitslücke, die da ist und die ausgenutzt werden kann, und erst wenn diese tatsächlich transparent gemacht wird und gesagt wird, wie dieser Angriff läuft, können sich dann auch andere Verbraucherinnen und Verbraucher gegen solche Angriffe schützen.
    Bisher ist aber diese Praxis, dass versucht wird, solche Angriffe geheim zu halten, dass versucht wird, nicht zu sagen, wie viele Leute eigentlich betroffen sind von so einem Angriff, und dann heißt es immer, ja, wir müssen vielleicht mal ein Passwort ändern oder Ähnliches, aber dann ist es meistens schon zu spät. Zum Beispiel Kreditkartendaten sind schon im Umlauf und werden dann missbraucht, um dann zum Beispiel Einkäufe zu tätigen auf die Kreditkarten von den Betroffenen.
    Schulz: Aber wäre das nicht gerade noch gefährlich, zu sagen, dies und jenes ist unsere Sicherheitslücke, da würden doch möglicherweise dann noch ganz andere Hacker, die vielleicht den Weg noch gar nicht gefunden hatten, jetzt noch hellhörig und kriegen sozusagen noch eine Anleitung?
    Sander: Man muss ja nicht sagen, wie man diese Sicherheitslücke ausnutzt, sondern erst einmal ausschließlich, dass diese besteht, und dann muss man natürlich auch gleichzeitig dafür sorgen, dass diese auch schnellstmöglich geschlossen wird.
    Für beide Vorgänge könnte man sich zum Beispiel vorstellen, dass so eine Art Kopfgeldprämie ausgelobt wird, also wir sagen erst mal, es gibt ein Kopfgeld dafür, dass überhaupt Sicherheitslücken gefunden werden und dann wird noch mal ein Kopfgeld ausgeschrieben für das Schließen dieser Sicherheitslücke. So kann man auch die Leute animieren, sozusagen, an diesen Sicherheitsvorkehrungen mitzuwirken, daran mitzuwirken, Sicherheitslücken zu finden und diese aber auch gleichzeitig zu schließen und das möglichst schnell.
    Das könnte zum Beispiel ein alternatives System zu dem sein, wie wir es bisher aus dem jetzt auch verabschiedeten IT-Sicherheitsgesetz der Bundesregierung kennen.
    Schulz: Würde aber auch voraussetzen, dass die Hacker käuflich sind. Ist das so?
    Sander: Ich denke schon, dass es da einen Markt geben wird und dass es da auch in dem Sinne käufliche Hacker gibt. Also ich kann mir sehr gut vorstellen, dass dann Firmen entstehen werden, die genau darauf spezialisiert sind. Auch jetzt kennt man schon solche "Firmen" in Anführungsstrichen, die sind aber meistens im kriminellen Bereich tätig, das bedeutet, die finden Sicherheitslücken und verkaufen diese dann zum Beispiel an Kriminelle weiter, die dann diese Sicherheitslücken ausnutzen, und wenn wir hier sozusagen in diesen Markt eintreten würden und diesen Markt legalisieren würden, hätte man zum einen die Möglichkeit, dass man diesen Markt auch viel besser kontrollieren kann, und auf der anderen Seite tatsächlich dafür sorgen würde, dass ein Mehr an Sicherheit entsteht und nicht diese Sicherheitslücken geheim bleiben und ausgenutzt werden können von kriminellen oder auch Geheimdiensten.
    Eigene Kommunikation verschlüsseln
    Schulz: Ich verstehe Sie so, dass das, was jetzt gemacht wird, Ihnen überhaupt noch nicht reicht, dass alles Ihnen immer noch viel zu unsicher ist. Was würden Sie denn konkret empfehlen?
    Sander: Zunächst einmal ist es wichtig, dass man zum Beispiel seine eigene Kommunikation verschlüsselt, dass man vielleicht auch seine eigenen Dateien auf der Festplatte verschlüsselt, dass man sozusagen die Mittel, die wir als Verbraucherinnen und Verbraucher im Rahmen der digitalen Selbstverteidigung haben, auch nutzt. Das bedeutet, dass man dafür sorgt, dass seine Kommunikation zu Ende verschlüsselt ist, das bedeutet, dass nur ich und mein Kommunikationspartner diese Nachrichten lesen können und alle anderen Personen, die jetzt zum Beispiel diese E-Mail abschöpfen durch so einen Hack, dann eigentlich nur einen Datensalat vor sich haben, mit dem sich nichts anfangen können.
    Also hier müssen wir einfach schauen, dass wir unsere eigene Kommunikation verschlüsseln und selbst dafür sorgen, dass wir sichere Passwörter haben, dass wir nicht ein Passwort für sämtliche Dienste benutzen, sondern dass dieses Passwort immer ein bisschen abgewandelt ist, dass da Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen da drinnen sind und dass es nicht nur 12345 Passwort heißt, als dass wir darauf achten, auch mit unseren eigenen Systemen möglichst sicher umzugehen und auch immer wieder vergegenwärtigen, dass zum Beispiel das Schreiben einer E-Mail, wenn sie unverschlüsselt ist, vergleichbar ist vielleicht mit dem Schreiben einer Postkarte, dass ein Facebook-Post von vielen Menschen gesehen und gelesen werden kann und dass es sich hierbei eben nicht um private Kommunikation handelt und dass wir uns sowas immer wieder vergegenwärtigen und einfach versuchen, auch unsere eigenen Bewegungen im digitalen Raum so sicher wie möglich zu machen.
    Schulz: Der Geschäftsführer des Vereins Digitale Gesellschaft in Berlin, Alexander Sander, heute Morgen im Gespräch mit dem Deutschlandfunk.
    Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.