Lennart Pyritz: Kann denn mit den Maßnahmen, die der Innenminister sich heute vom Kabinett genehmigen lässt, solch ein Angriff, wie der auf die Bundestagsserver, besser verhindert werden, Peter Welchering?
Peter Welchering: Das steht nicht zu erwarten, obwohl sich der Bund die Konsolidierung seiner 1.300 Rechenzentren viel Geld kosten lässt. Bisher ist von 385 Millionen Euro die Rede. Thomas de Mazière hat zwar gestern auf dem 14. IT-Sicherheitskongress in Bonn-Bad Godesberg die IT-Konsolidierung sehr ausführlich vorgestellt. Die 1.300 Rechenzentren der Bundesverwaltung sollen in einer Bundescloud zusammengefasst werden. Aber den Sicherheitsgewinn konnte er nicht so richtig deutlich machen.
Pyritz: Wird denn der Hackerangriff auf den Bundestag auf dem Kongress des Bundesamtes für Sicherheit in der Informationstechnik, der gestern begonnen hat und noch bis morgen läuft, in Bad Godesberg auch diskutiert?
Welchering: Im offiziellen Programm nicht, aber in den Kaffepausen und auch in den Diskussionen nach den Vorträgen ist das ein Thema. Die Ermittlungen und forensischen Untersuchungen gestalten sich da offensichtlich sehr schwierig. Die Kooperationsbereitschaft einiger Abgeordneter mit den Ermittlern des BSI ist wohl nicht sehr ausgeprägt. Als Bundesamt, das dem Innenministerium untersteht, ist da wohl eine gewisse Distanz zu spüren. Und dann sind die Ermittler auch noch nicht an alle Logfiles und Protokolleinträge gekommen, die sie für ihre Ermittlungen brauchen, weil da Geheimschutzanforderungen dagegen stehen. Also da werden sich die Ermittlungen wohl noch hinziehen. Und erst nach Abschluss dieser Ermittlungen können dann die kompromittierten Teile des Bundestagsnetzes neu konfiguriert werden.
Pyritz: Wie könnte denn so eine Eingliederung der Bundestagscomputer in eine Bundescloud aussehen?
Welchering: Die hätte zwei Voraussetzungen: Der Bundestag müsste solch einer Eingliederung zustimmen. Das ist im Augenblick sehr fraglich. Denn Thomas de Mazière hat die Experten gestern mit seiner Ankündigung der Bundescloud doch ein wenig überrascht. Da ist er ziemlich vorgeprescht. Mit dem Bundestag scheit das noch nicht abgestimmt zu sein. Und zweitens gibt es Schwierigkeiten beim Sicherheitskonzept für die Bundescloud. Die führenden Unternehmen in Sachen Cloudtechnologie, die so etwas realisieren können, sind bisher noch gar nicht eingebunden. Bitkom-Präsident Dieter Kempf hat gestern zum ersten Mal von der Bundescloud gehört. Und erschwerend kommt dann noch ein Machtkampf in der Bundesregierung hinzu. Die Einigung auf ein Sicherheitskonzept für Bundesrechenzentrum und Bundescloud scheint da gar nicht möglich.
Pyritz: Worum streiten sich denn die Regierungsmitglieder?
Welchering: Darum, wer den Hut aufhat bei der IT-Konsolidierung. Und die Streithähne heißen Schäuble und de Mazière. Beide wollen die Gesamtprojektleitung. Das heute dem Kabinett vorgelegt Konzept sieht so eine Art faulen Kompromiss vor. Demzufolge wird das Finanzministerium die Projektleitung beim ersten Zusammenschluss der Rechenzentren von Finanzministerium, Innenministerium und Verkehrsministerium haben. Diese Rechenzentren werden Anfang 2016 zusammengelegt in ein erstes Bundesrechenzentrum. Und das kostet 35 Millionen Euro. Dafür erhält das Innenministerium die gesamte Budgetverantwortung und die ressortübergreifende Projektleitung IT-Konsolidierung Bund, die im Sommer dieses Jahres startet und aus sechs Teilprojekten besteht. Damit ist ein Kompetenzwirrwarr sozusagen gesichert. So hat ein Informatiker gestern ein spannendes Prozesssicherheitskonzept für ein solches Bundesrechenzentrum und die Bundescloud vorgestellt. Das Problem dabei: Die Entwickler wissen nicht, wer darüber entscheiden kann. BMF und BMI wollen das beide und blockieren damit solche Sicherheitskonzepte. Dabei ist das ein wirklich wegweisendes Konzept, mit dem sogar Anwenderfehler von der Sicherheitssoftware ausgebügelt werden.
Pyritz: An was haben die Entwickler da genau gedacht?
Welchering: Bei falschen Eingaben, auch bewusst falschen Eingaben, sprint ein Softwareprozess mitunter an eine Speicherstelle, die sicherheitskritisch ist. Und das schließen die Entwickler einfach aus, indem sie alle Programmsprünge mit einer digitalen Unterschrift der abgebenden Software und der annehmenden Software absichern. Eine falsche Eingabe kann dann nicht einen falschen Programmsprung auslösen, der würde geblockt. Und der Anwender bekäme eine Fehlermeldung auf den Bildschirm.
Pyritz: Und wann soll die Bundescloud dann fertig sein?
Welchering: 2018 soll die IT-Konsolidierung des Bundes abgeschlossen sein. Dann soll auch die Bundescloud in Betrieb sein. Doch die Konzepte dafür, die sollen im Laufe des Jahres 2016 zwischen BMI und BMF abgestimmt werden. Da hat allerdings das BMVg sich schon eingeschaltet und gesagt, dass sie da auch ein Wörtchen mitzureden hätten. Deshalb halten Experten auch die Konsolidierung bis 2018 für nicht machbar. Und der Kostenrahmen von bisher 385 Millionen Euro dürfte allein durch die Kompetenzstreitigkeiten zwischen BMI und BMF auch nicht zu halten sein.