Archiv

IT-Sicherheit beim Bund
Vernetzte Unsicherheit

IT-Sicherheitsberater kritisieren immer wieder die Schwachstellen bei der IT-Beschaffung des Bundes. Denn die Vergabe von Aufträgen an Sicherheitsunternehmen ist nicht nur unübersichtlich, auch gelten die genutzten Systeme als veraltet und unsicher. Experten vermuten dahinter Absicht.

Von Peter Welchering und Manfred Kloiber |
    Bundeskanzlerin Angela Merkel sitzt am 27.03.2014 im Kanzleramt in Berlin bei einer Pressekonferenz..
    In Sachen IT-Sicherheit ist die Bundesregierung "vorsintflutlich", so ein Vorwurf. (Maurizio Gambarini, dpa picture-alliance)
    "Ausspähen unter Freunden, das geht gar nicht."
    Sagte Bundeskanzlerin Angela Merkel im Oktober des vergangenen Jahres. Und was sie da sagte, hat nun Folgen. So trennt sich die Bundesregierung vom amerikanischen Kommunikationsunternehmen Verizon, das bisher die Datenkommunikation und die Telefonie für den Deutschen Bundestag und verschiedene Dienststellen der Bundesverwaltung abgewickelt hat. Verizon gilt als einer der wichtigsten Partner der National Security Agency, des technischen Geheimdienstes der USA. Die Agenten der NSA haben nicht nur das Handy der Kanzlerin abgehört, sondern sich vermutlich auf vielen Wegen Zugang zu regierungsamtlichen Daten verschafft. Höchste Zeit also, sich von einem Kommunikationsunternehmen zu trennen, das vermeintlich eng mit der NSA zusammenarbeitet.
    Höchste Zeit auch, sich um transparente Sicherheitsstandards zu kümmern. Sicherheitsstandards, mit denen die Mail-Server, die Smartphones und insgesamt die Regierungsnetze besser geschützt werden. Denn hier hat die Bundesregierung einen enormen Nachholbedarf, meint Hartfrid Wolff, früherer Bundestagsabgeordneter der FDP und ehemaliges Mitglied des Parlamentarischen Kontrollgremiums:
    "Viele schütteln nur den Kopf. Die wissen, Moment mal, eigentlich ist die gesamte Entwicklung, Internet, Digitalisierung der Wirtschaft, kein Prozess, der von gestern auf heute kam. Aber manchmal hat man den Eindruck, dass diese Bundesregierung immer noch nicht ganz genau weiß, wie sie damit umgehen soll, bis hin dazu, dass sogar einige Mitglieder der CDU fordern, zum Schutz vor Cyber-Kriminellen in Zukunft wieder Schreibmaschinen einzusetzen. Diese Bundesregierung ist vorsintflutlich."
    US-Botschaft in Berlin, im Hintergrund der Bundestag
    US-Botschaft und Bundestag in Berlin: Nach dem Abhörskandal trennt sich der Bund vom amerikanischen Unternehmen Verizon. (AFP / Odd Andersen)
    Die notwendigen Sicherheitsstandards gibt es. Wissenschaftlich bewiesene Methoden, Kommunikationsnetze und informationstechnische Infrastruktur abzusichern, sind verfügbar. Und viele IT-Sicherheitsunternehmen sowie Hersteller von Hochsicherheitslösungen scharren bereits mit den Füßen. Doch im Augenblick passiert so gut wie nichts. Der Computerwissenschaftler und Sicherheitsberater Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg erklärt diese Situation so:
    "Das ist eine Frage des politischen Willens, nichts weiter! Wenn die Regierung deutlich machen würde, dass sie erhebliches Interesse hat und bereit ist, Anreize zu geben, dann wird sich der ein oder andere oder drei potenzielle Hersteller genau überlegen, ob sie das Geschäft nicht mitnehmen. Das Geschäft IT-Sicherheit, das in der Kommunikation und in der Speicherung, wird in der Zukunft ein riesiges sein. Das haben Carrier in Deutschland, das haben Gerätehersteller in Deutschland schon verstanden. Was fehlt, ist eine vertrauenswürdige Absichtserklärung der Regierung, dass sie tatsächlich nachhaltig sichere IT-Entwicklungen fördern wird."
    Zersplitterte Zuständigkeiten
    Nicht nur die Absichtserklärung der Regierung in Sachen IT-Sicherheit und Beschaffung abhörfester Kommunikationslösungen fehlt, sondern zuallererst eine Gesamtstrategie in Sachen Cybersicherheit. Die Politikwissenschaftlerin Beate Neuss, die mit ihrem Team an der Technischen Universität Chemnitz seit einiger Zeit über Cybersicherheitsstrategien und Cybersicherheitspolitik forscht, sieht hier dringenden Handlungsbedarf:
    "Weil über das Internet und den Cyberspace insgesamt alle Bereiche miteinander vernetzt worden sind. Wenn Unsicherheit in einem Bereich besteht, kann die sehr leicht dazu führen, dass das überschwappt in ganz andere Bereiche, vom Militär in die Industrie, ins Ausland, in die internationalen Kontakte. Wir haben eine vernetzte Unsicherheit."
    Vernetzte Unsicherheit und fehlende Transparenz hängen zusammen. Und sie prägen das Regierungshandeln in Sachen Cyberinfrastruktur in Bezug auf die Bundesregierung selbst und die Bundesverwaltung. Das beginnt - wie so oft in Behörden - bei der Zuständigkeit. Und die ist zersplittert.
    Das Beschaffungsamt des Bundesinnenministeriums ist der größte Einkäufer von Informationstechnik für den Bund. Es versorgt nicht nur die Dienststellen des Ministeriums selbst, sondern auch die verschiedenen Bundesämter, wie das Bundesamt für Kartografie und Geodäsie, das Statistische Bundesamt, das Bundesamt für Verfassungsschutz, das Bundesamt für Sicherheit in der Informationstechnik oder etwa das für Migration und Flüchtlinge.
    Für die Bundeswehr kümmert sich die Abteilung Ausrüstung, Informationstechnik und Nutzung im Verteidigungsministerium um den Kauf von Servern, Software und Trojanern für die digitale Kriegsführung. Auf die Verträge, die diese Beschaffungsstellen des Bundes schließen, hat wiederum die Beauftragte der Bundesregierung für Informationstechnik Einfluss.
    Diesem Einfluss entzogen ist die Beschaffungsstelle des Deutschen Bundestages, die Kommunikationsdienstleistungen, Mail-Server und Arbeitsplatzrechner für die Abgeordneten und ihre Mitarbeiter in eigener Regie einkauft. Bestimmte sicherheitsrelevante Produkte, wie zum Beispiel Kryptohandys, müssen dabei auch noch vom Bundesamt für die Sicherheit in der Informationstechnik für den Dienstgebrauch zertifiziert sein. Das schafft eine gewisse Unübersichtlichkeit. So waren an der Zertifizierung sowie Definition von Sicherheitsstandards und Beschaffung der beiden Kryptohandys für die Kanzlerin vom Bundesministerium für Wirtschaft und Technologie über das Innenministerium bis hin zu den mit Cybersicherheit befassten Spiegelreferaten im Bundeskanzleramt mehr als ein Dutzend Regierungsstellen beteiligt.
    Geheimsache
    Ist die Kommunikation des Bundestages unzureichend gesichert? (dpa / Hans-Jürgen Wiedl)
    So viel Unübersichtlichkeit verhindert Transparenz. Nicht einmal die Kriterien und Sicherheitsanforderungen bei der Auswahl eines neuen Kommunikationsdienstleisters will das zuständige Bundesministerium des Inneren öffentlich machen. Eine entsprechende Interviewanfrage weist Tobias Plate vom Leitungsstab Presse so ab:
    "Als ein Pressesprecher des Bundesinnenministeriums teile ich Ihnen auf Ihre Anfrage Folgendes mit: Ich bitte um Verständnis, dass zum jetzigen Zeitpunkt das von Ihnen gewünschte Gespräch leider nicht möglich ist. Hinsichtlich der Umstellung von Verizon auf einen neuen Anbieter befinden wir uns mitten im Vergabeverfahren. Zudem sind die genauen Kriterien der Vergabe nicht für eine öffentliche Berichterstattung geeignet, da eine Offenlegung mit Sicherheitsinteressen der Bundesrepublik Deutschland nicht vereinbar wäre."
    Keine Angaben zu Richtlinien und Prozessen
    Ähnlich zugeknöpft gibt sich das 1991 gegründete Bundesamt für die Sicherheit in der Informationstechnik, das heute dem Innenministerium untersteht. Es ging aus der Zentralstelle für das Chiffrierwesen hervor, die früher dem Bundesnachrichtendienst unterstellt war. Auf die Frage, wie das Bundesamt bei der Beauftragung von Kommunikationsprovidern Sicherheitsaspekte klärt, will der Pressesprecher des BSI nur schriftlich antworten.
    "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Aufgabe, Stellen des Bundes zu Fragen der IT-Sicherheit zu beraten. Hierzu zählt insbesondere die allgemeine Beratung zu Fragen der Sicherheit unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen, aber auch die Prüfung und Bewertung konkreter Produkte, Systeme oder Komponenten (...). Das Bundesamt unterstützt die Stellen des Bundes ferner durch die Definition von Standards und technischer Richtlinien, die in Ausschreibungen zugrunde gelegt werden können."
    Genau nach diesen Standards und technischen Richtlinien hatte der Deutschlandfunk gefragt. Wir wollten wissen, wie solch ein Vergabeprozess abläuft. Immerhin geht es hier um öffentliche Gelder. Und wir wollten wissen, wie denn das BSI zum Beispiel die Verwaltung des Deutschen Bundestages oder das Innenministerium bei der Suche nach einem neuen Provider ganz konkret unterstützt. Gibt es Checklisten, die abgearbeitet werden? Existiert ein Katalog mit technischen Richtlinien? Wie läuft der Beratungs- und Prüfprozess ab? Die nächste Antwort des BSI fiel kurz aus:
    "Zu den Prüfmethoden macht das BSI keine Angaben."
    Security by obscurity - Sicherheit durch Verschleierung, nannten Sicherheitsanalysten vor 20 Jahren diese regierungsamtliche Strategie. Wenn niemand genau Bescheid weiß, wie ein Computersystem konfiguriert und gestaltet ist, erschwert man möglichen Angreifern das Geschäft. So lautete damals das Vorurteil.
    Pohl: Prüfstandards für die Regierungs-IT reichen nicht aus
    Inzwischen wissen aber die Sicherheitsexperten: Je transparenter Systeme sind, umso zuverlässiger sind sie. Denn Schwachstellen werden schnell erkannt und behoben. Dahinter steckt der simple Grundsatz, dass sechs Augen mehr sehen als zwei. Doch die Bundesregierung verhindert diese Transparenz der Regierungssysteme - und beruft sich dabei auf Schutzinteressen. Experten wie der Sicherheitsberater Hartmut Pohl vermuten aber für diese systematische Abschottung auch noch andere Gründe:
    "Man müsste die Hardware analysieren und prüfen anhand der Dokumentation, ob die Hardware, ob das Gerät tatsächlich aus den Komponenten besteht, die in der Dokumentation beschrieben sind, erstens, und zweitens, ob diese Komponenten auch tatsächlich die Funktion ausüben, die in der Dokumentation beschrieben ist. Ich halte das bei ausländischen Geräten, bei der Hardware, und erst recht beim Betriebssystem für machbar, sicherlich, gar keine Frage, aber ich bezweifle, dass das in Deutschland gemacht worden ist."
    Nach Pohls Einschätzung reichen die Prüfstandards für die Regierungs-IT nicht aus. Zu oft unterblieben technische Prüfungen. Ein schwerwiegender Verdacht. Die zuständigen Stellen wollen sich dazu nicht äußern. Und so lässt sich ein Prüfdefizit für die Regierungs-IT weder belegen noch ausräumen. Ein anderer Grund dafür, dass die zuständigen Einrichtungen mauern, könnte Unsicherheit, sprich: mangelndes Know-how sein. Hierfür lassen sich zumindest einige Indizien finden. Hartfrid Wolff, der frühere Bundestagsabgeordnete:
    "Es fehlt zum einen an IT-Know-how der Bundesregierung und auch aller staatlichen Behörden in vielen Bereichen. Auch das Bundesamt für die Sicherheit in der Informationstechnik ist meines Erachtens deutlich unterbesetzt. Es ist sehr, sehr schwer natürlich, IT-Fachleute auch für die öffentliche Verwaltung zu gewinnen, weil der Markt leer gefegt ist. Vor allen Dingen die Wirtschaft sorgt natürlich dafür, dass sie mit besseren Jobangeboten IT-Fachkräfte abzieht. Und entscheidend ist es in meiner Sicht schon, dass es an der Stelle eine vernünftige Zusammenarbeit zwischen Wirtschaft und Politik/Behörden geben muss, um hier die bestmögliche Sicherheit auch für alle Bürgerinnen und Bürger in Deutschland herstellen zu können. Da hilft es auch ehrlich gesagt wenig, wenn man hier Gesetzesvorhaben startet, die in die Richtung gehen, dass man gegen die Wirtschaft arbeitet."
    Angela Merkel mit einem abhörsicherem Blackberry auf der Cebit 2013.
    Trotz Abhörskandal sehen IT-Experten dringenden Handlungsbedarf bei der IT-Sicherheit der Bundesregierung. (dpa / Julian Stratenschulte)
    Doch mit einer Meldepflicht für Cyberangriffe hat die Bundesregierung genau das getan. Sie hat einen enormen bürokratischen Aufwand für Unternehmen ins Werk gesetzt, statt das Wissen um die Ursachen von Hackingangriffen zu bündeln. Hartmut Pohl:
    "Es hilft uns überhaupt nicht, wenn wir oder die Sicherheitsbehörden wissen, wer wie oft angegriffen worden ist. Das ist vergleichbar einer Zählung von Bürgern in einer Großstadt, wie vielen ist denn das Portemonnaie am Wochenende geklaut worden. Das nutzt überhaupt nichts."
    Stattdessen fordern Sicherheitsberater wie Hartmut Pohl eine Meldepflicht für Sicherheitslücken.
    "Es gibt keinen Angriff, der nicht eine Sicherheitslücke ausnutzt. Keinen! Das heißt, wir müssen die Sicherheitslücken kennenlernen, die mit den Angriffen ausgenutzt werden und über die angegriffen wird. Man müsste wenn, die Unternehmen dazu verpflichten zu untersuchen, mit welchen Techniken an welcher Stelle angegriffen wurde und angesetzt wurde. Dann wird ein Schuh draus, dann haben wir eine Lösung, und dann kann die Sicherheitsbehörde sagen: Hier ist eine Sicherheitslücke, bitte schön, korrigiert die alle, patcht die, dann seid ihr gegen eine Vielzahl von Angriffen geschützt."
    Pohl: "Behörden sind auf Sicherheitslücken angewiesen"
    Diese Forderung ist nicht neu. Dennoch hat sie im Regierungshandeln bislang keinerlei Berücksichtigung gefunden. Hiermit untermauert Pohl seine Ansicht, dass Server, Software und Router des Regierungsnetzes keinen dem Stand der Prüftechnik entsprechenden Sicherheitstests unterzogen würden.
    Und Pohl hat auch dafür gleich eine Erklärung parat. Der Berater spricht aus, was Regierungsmitarbeiter inoffiziell und unter Zusicherung von Anonymität bestätigen:
    "Die Sicherheitsbehörden sind angewiesen auf bisher unveröffentlichte Sicherheitslücken, die sie ausnutzen für einen Angriff und mit deren Hilfe sie dann in Computer von Verdächtigen, von Straftätern eindringen können und deren Daten dann auch auslesen, auf gesetzlicher Basis, ganz klar. Deren Telefongespräche, deren Internet-Telefonie sie unverschlüsselt mithören können."
    Folgt man diesem Gedanken, stellten die inländischen Sicherheitsbehörden und Nachrichtendienste das eigentliche Risiko für die informationstechnische Infrastruktur der Bundesregierung dar. Sie verhinderten letztlich, dass die Computer und Kommunikationsnetze der Regierung vor Spionageangriffen geschützt werden können.
    Diese Nachrichtendienste werden allerdings ihrerseits kontrolliert, zum Beispiel vom Parlamentarischen Kontrollgremium des Deutschen Bundestages. Diesem hat Hartfrid Wolff einige Jahre angehört.
    "Meine Erfahrung war tatsächlich, dass wir eigentlich nur darauf angewiesen waren, was uns die Nachrichtendienste erzählt haben. Das heißt, wir hatten aus rechtlichen Gründen, weil wir zum Teil nicht alles bekamen, jedenfalls nicht alle Informationen, die wir auch gegenchecken konnten über Gespräche mit Mitarbeitern. Die Abgeordneten waren im Wesentlichen darauf angewiesen, eigenständig sich Informationen zu beschaffen und zu bewerten. Selbst wenn sie zum Beispiel im IT-Bereich das entsprechende Know-how nicht hatten, sodass aus meiner Sicht es dringend notwendig ist, dass der Deutsche Bundestag sich IT-Know-how zulegt oder zumindest die gesetzliche Voraussetzung dafür geschaffen wird, dass das parlamentarische Kontrollgremium auch über Sachverständige, mögliche Externe, sich Know-how einkaufen kann, um auch wirklich die Nachrichtendienste besser kontrollieren zu können."
    Internationale Schutzklausel im No-Spy-Erlass
    Wie also kann sich die Bundesregierung unter diesen Voraussetzungen mit wirklich zuverlässiger Infrastruktur und sicheren Kommunikations-Dienstleistungen eindecken? Das zuständige Bundesinnenministerium hat sich der Herausforderung so gestellt, wie Verwaltungsjuristen das gerne tun: mit klein gedruckten Klauseln. Im Frühjahr stellte das Ministerium den Entwurf für einen sogenannten No-Spy-Erlass vor. Auftragnehmer von Bundesbehörden sollen in Zukunft eine brisante Erklärung abgeben. Zitat:
    "Der Bieter erklärt, dass er rechtlich und tatsächlich in der Lage ist, im Falle eines Zuschlages die dann im Vertrag enthaltene Verpflichtung einzuhalten, alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse vertraulich zu behandeln, insbesondere nicht an Dritte weiterzugeben oder anders als zu vertraglichen Zwecken zu verwerten. Insbesondere bestehen zum Zeitpunkt der Abgabe des Angebotes keine Verpflichtungen, Dritten solche Informationen zu offenbaren oder in anderer Weise zugänglich zu machen."
    Was sich zunächst nach einer ziemlich banalen und allgemein üblichen Geheimhaltungserklärung anhört, die natürlich nicht vor dem Zugriff eines rechtsstaatlich einwandfreien Auskunftsbegehrens schützt, entpuppt sich erst in einem ebenso harmlos anmutenden Folgesatz als internationale Schutzklausel:
    "Dies gilt nicht, soweit hierfür gesetzliche Offenlegungspflichten bestehen (etwa gegenüber Stellen der Börsenaufsicht, Regulierungsbehörden oder der Finanzverwaltung), es sei denn, solche Offenlegungspflichten bestehen gegenüber ausländischen Sicherheitsbehörden."
    BITKOM fordert mehr Klarheit
    Mit der Intention dieses Erlasses kann der BITKOM, der Bundesverband der informationstechnischen Industrie in Deutschland, im Grunde ganz gut leben, sagt Hauptgeschäftsführer Bernhard Rohleder. Der Branchenlobbyist, dessen Verband alle großen IT-Anbieter in der Bundesrepublik vertritt, viele von ihnen mit einer amerikanischen Muttergesellschaft, übt stattdessen Detailkritik. Und zwar an der Forderung, tatsächliche und rechtliche Sicherheit garantieren zu müssen:
    Bernhard Rohleder, Hauptgeschäftsführer des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM)
    Bernhard Rohleder vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) (picture alliance / dpa / Angelika Warmuth)
    "Wir sagen und wir wissen alle, dass es einen hundertprozentigen Schutz von Daten nie geben kann. Und die Frage des rechtlichen Schutzes ist auch insofern ungeklärt, als nicht spezifiziert ist, was damit überhaupt gemeint ist. Also, ob es genügt, dass in einem Land nicht das auftragnehmende Unternehmen, sondern einer seiner Lieferanten den Sitz hat, wenn dort ein Gesetz besteht, wonach Daten herausgegeben werden müssen, was bedeutet das für den Auftragnehmer, für den Dienstleister in Deutschland. Und hier erwarten wir von der Bundesregierung durchaus Präzisierung, mehr Klarheit. Weil die Unternehmen wissen müssen, was sie eigentlich unterschreiben, wenn sie diese Erklärung abgeben."
    Andrej Hunko, Bundestagsabgeordneter der Linken, stimmt dem zu. Die Regeln für Beschaffungsvorhaben sind für ihn aber nur ein kleiner Teil des Problems.
    "Man muss deshalb noch weiter konkretisieren. Aber es ist sozusagen eine defensive Reaktion auf einen Skandal, der mit den NSA-Enthüllungen durch Edward Snowden offenbar geworden ist. Die Methode der Wahl wäre die politische Reaktion darauf, auch da kneift die Bundesregierung."
    Das System der "checks and balances", also von Kontrolle und Gleichgewicht, das der Rechtsstaat so dringend zum Überleben braucht, dieses System muss funktionieren. Auch wenn die Bundesverwaltung für die Regierung informationstechnische Infrastruktur, also Arbeitsplatzcomputer, Server, Router, Gateways einkauft oder mietet. Die Lieferanten müssen nach nachvollziehbaren und transparenten Sicherheitsrichtlinien gecheckt werden. Die Prüfer müssen Sicherheitsanforderungen sowie wirtschaftliche und politische Vorgaben dabei ausbalancieren. Und diese Anforderungen und Vorgaben wiederum müssen vom Gesetzgeber, müssen vom Deutschen Bundestag verabschiedet sein. Und solange eine solche Agenda nicht auf transparente Weise ausgearbeitet ist, bleibt die informationstechnische Infrastruktur der Regierung in vernetzter Unsicherheit.