Ralf Krauter Wie stehen denn die Chancen, dass man die Schadsoftware im Bundestags-Netzwerk findet, Peter Welchering?
Peter Welchering: Die stehen ganz gut. Und das hat zwei Gründe. Zum einen wird sehr gründlich ausgetauscht. Also überall da, wo es Hinweise gibt, da könne Schadsoftware stecken, wird ersetzt. Das sind Betriebssystemroutinen, Anwendungssoftware, Kommunikationsprotokolle, bis hin zur Firmware, also der Steuerungssoftware, die die Hersteller von Routern und Festplatten in diesen Systemen mit ausliefern. Sogar die grundlegende Eingabe- und Ausgabesysteme von PCs, das sogenannte BIOS, also die Software, mit der ein PC startet, wird ausgetauscht. Die Bundestagverwaltung hält sich hier aktuell mit Informationen zurück. Aber sowohl von verschiedenen Abgeordneten, als auch von externen Experten und durch die Diskussionen, die seit Juni laufen, wissen wir einigermaßen, was da mit den Computernetzwerken im Bundestag jetzt passiert.
Krauter: Richtig in die Öffentlichkeit geraten sind die Hacking-Angriffe auf den Bundestag ja schon im Juni. Die Bundestagsverwaltung soll davon sogar schon einen Monat eher gewusst haben. Warum hat es solange gedauert, bis diese Reparaturaktion angesetzt wurde?
Ausmaß des Angriffs unterschätzt
Welchering: Zum einen hat man deutlich gemerkt, dass die Bundestagsverwaltung das Ausmaß des Angriffs zunächst ziemlich unterschätzt hat. Und dann waren sie etwas hilflos. in Industriebetrieben gibt es für solche Hacking-Attacken Krisenhandbücher. Die haben im Bundestag gefehlt. Und auch viele Abgeordnete waren mit der Situation überfordert. Und deshalb haben wir es jetzt mit einer sehr teuren Reparaturaktion zu tun, die aber letztlich nicht wesentlich mehr Sicherheit bringen wird.
Krauter: Was fehlt denn, um die Bundestagsnetzwerke wirklich sicher zu machen?
Welchering: Schadsoftware ist darauf angewiesen, immer Sicherheitslücken auszunutzen. Ohne Sicherheitslücken funktioniert keine Schadsoftware. Das ist auch beim Bundestagshack so. Wenn also die Netzwerke im Bundestag wirklich sicher gemacht werden sollen, müssen die zugrunde liegende Sicherheitslücken aufgespürt und geschlossen werden.
Krauter: Ist das denn nicht schon passiert? Sonst bringen doch die Reparaturarbeiten nichts.
Welchering: Das wird sowohl in der Bundestagsverwaltung als auch im Bundesamt für Sicherheit in der Informationstechnik zum Teil anders gesehen. Da geht man davon aus, dass Patches reichen und nicht systematisch nach Sicherheitslücken gesucht werden muss, um die zu schließen. Wenn etwa ein Programm in einen falschen Speicheradressbereich springt, entsteht eine Sicherheitslücke. Die kann man schließen, indem man systematisch alle Adresssprünge auswertet und gefährliche Adresssprünge unterbindet. Die Sicherheitslücke ist geschlossen. Mit einem Patch verhindert man, dass eine bestimmte Speicheradresse angesprungen wird. Die gefährlichen Speicheradressen darüber oder darunter können immer noch angesprungen werden. Die Sicherheitslücke besteht weiter.
Krauter: Aber das wäre doch erst recht ein Grund, die Sicherheitslücken ganz systematisch in den Systemen des Deutschen Bundestages zu suchen und dann zu schließen, oder?
Sicherheitslücken schließen
Welchering: Das Problem dabei. Wenn die Sicherheitslücken in den Systemen des Bundestages geschlossen werden, funktioniert Schadsoftware nicht nur nicht im Deutschen Bundestag, sondern auch auf anderen Rechnern nicht mehr. Ist eine Sicherheitslücke einmal bekannt, wird sie rasch geschlossen. Wenn sie einmal geschlossen ist, funktioniert keine Schadsoftware mehr, die diese Sicherheitslücke ausnutzt. Und das würde bedeuten, ein Bundestrojaner, die Spionagesoftware eines Bundesnachrichtendienstes, die Online-Überwachungssysteme eines Verfassungsschutzes würden auch nicht mehr funktionieren.
Krauter: Das heißt also, die Sicherheitslücken bestehen also weiter?
Welchering: Zwangsläufig. Und das sozusagen im nationalen oder staatlichen Interesse.
Krauter: Warum bestehen die Abgeordneten nicht darauf, dass diese Lücken geschlossen werden?
Welchering: Das ist in Einzelfällen passiert. Allerdings auch viele Abgeordnete sind hier schlicht überfordert. Das hat man bei der Verabschiedung des IT-Sicherheitsgesetzes gesehen. Denn da werden nur Sicherheitsvorfälle als meldepflichtig eingestuft, nicht Sicherheitslücken. Dasselbe haben wir nun jetzt im Bundestag. Viele Abgeordnete glauben, wenn die Schadsoftware beseitigt ist, sind die Netze wieder sicher. Sie wissen nicht, dass die Sicherheitslücke, die noch da ist, es erlaubt, dass dieselbe Schadsoftware rasch wieder eingeschleust werden kann.
Krauter: Ist das dann nur eine Alibi-Aktion? Wie bewerten Sicherheitsexperten das denn?
Welchering: Informatik-Professor Hartmut Pohl sagt: An die Sicherheitslücken traut man sich nicht, also betreibt man aufwendige Kosmetik, um nachweisen zu können, dass man ja etwas getan hat.