IT-Sicherheit Zahlreiche Sicherheitslücken im Netzwerk des Bundestags

Im April 2015 wurde der Deutsche Bundestag in Berlin bereits von Hackern angegriffen. Auf welche Daten diese damals Zugriff hatten, ist immer noch nicht geklärt. Ein erneuter Hack wäre ein "Horrorszenario", heißt es.

(Foto: Regina Schmeken)
  • In der IT-Infrastruktur des Bundestags klaffen etliche Sicherheitsücken.
  • Die Bundestagsverwaltung hatte einen Bericht in Auftrag gegeben, der Schwachstellen identifizieren sollte.
  • In der Vergangenheit gab es mehrere Versuche ausländischer Hacker, das Netzwerk des Bundestags zu infiltrieren.
Von Reiko Pinkert und Hakan Tanriverdi

Die IT-Infrastruktur des Deutschen Bundestages weist weiterhin zahlreiche Sicherheitslücken auf, über die Hacker sich Zugang verschaffen können. Das geht nach Informationen von NDR und Süddeutscher Zeitung aus einem geheimen Bericht hervor, den die Verwaltung des Bundestages in Auftrag gegeben hat.

Die Analyse ist 101 Seiten lang und wurde im Februar fertiggestellt. Sie fällt in ein Jahr, in dem Bundestagswahlen stattfinden und Politiker ausländische Einflussnahme fürchten, zum Beispiel durch das Veröffentlichen von E-Mails mit sensiblen Inhalten aus gehackten Netzwerken. Einige der Schwachstellen werden nach Angaben von Mitgliedern der IuK-Kommission - die für die IT des Bundestags verantwortlich ist - während des Wahlkampfes und danach bestehen bleiben.

Der Bundestag nimmt die Gefahr von Hacker-Angriffen ernst

In der Analyse, die Fachleute der IT-Sicherheitsfirma Secunet geschrieben haben, werden die Sicherheitslücken in drei Kategorien aufgeteilt: kurz-, mittel- und langfristig. Kurzfristig ist eine Lücke für Secunet dann, wenn der Bundestag bereits damit begonnen hat, sie zu schließen.

Das gilt zum Beispiel für interne Firewall-Systeme, die Netzwerke voneinander trennen. Zugriffe aus den Fraktionsnetzen - ein eigenes Intranet - auf Systeme, die die Verwaltung betreibt, werden von der Firewall beschränkt. Der Ältestenrat hat die neue Firewall bereits bewilligt. Kosten: 470 000 Euro. Der Schritt zeigt, dass der Bundestag die Gefahr von Hacker-Angriffen ernst zu nehmen scheint.

Führender IT-Sicherheitsexperte warnt vor Eiszeit zwischen Hackern

Eugene Kaspersky fürchtet, dass russische und amerikanische Hacker aufhören, Informationen miteinander zu teilen. Das würde dem organisierten Verbrechen helfen. Von Hakan Tanriverdi mehr ...

Durch diese Beschränkung wird ein Vorgehen von Hackern verhindert, das IT-Sicherheitsexperten "lateral movement" nennen: Angreifer bewegen sich nach dem ersten Eindringen innerhalb der Netzwerke und stoßen weiter vor. So gingen sie zum Beispiel beim Bundestags-Hack im April 2015 vor. Damals erbeuteten sie mehr als 16 Gigabyte Daten.

Bis heute ist nicht abschließend geklärt, auf welche Daten die Angreifer genau Zugriff hatten. Deutsche Sicherheitsbehörden vermuten eine Gruppe mit dem Kürzel APT28 hinter dem Hack; sie soll ihre Befehle vom russischen Staat erhalten. Politiker, unter ihnen Lars Klingbeil (SPD), rechnen fest damit, dass damals erbeutete E-Mails im Wahlkampf veröffentlicht werden.

Smartphones und Tablets der Abgeordneten sind ein Sicherheitsrisiko

Als weitere Sicherheitslücke im Bericht gilt Secunet die hohe Zahl an Tablets und Smartphones, die von Abgeordneten und deren Mitarbeitern genutzt werden. Die Geräte würden nicht zentral verwaltet, was die Autoren als "unkontrollierten Einsatz von Endgeräten" werten. Die Installation von Apps werde nicht standardmaßig verhindert. Über so ein Gerätemanagement könnte die Verwaltung festlegen, welche Apps erlaubt sind und welche nicht. Es wäre allerdings ein Eingriff in die Arbeitsweise der Abgeordneten.

Auch auf lokalen Rechnern lassen sich Programme ausführen. Für Hacker heißt das: Infizieren sie eines der Geräte, die von Abgeordneten auch privat eingesetzt werden, zum Beispiel mit einem USB-Stick, kommen sie in das Netz des Parlaments. Im Bundestag wird die Nutzung von USB-Anschlüssen derzeit offenbar nicht beschränkt.

Weder die Bundestagsverwaltung noch die IT-Sicherheitsfirma Secunet wollten sich zum Inhalt des Berichtes äußern. Er alarmiert Politiker, die sich in ihrer täglichen Arbeit einem Risiko ausgesetzt sehen. Petra Sitte, parlamentarische Geschäftsführerin der Linken, sagt mit Blick auf die enthüllen Lücken, "dass mittelfristig mehr in Personal und Ressourcen in die IT-Sicherheit des Deutschen Bundestages investiert werden muss", um die Arbeitsfähigkeit und Sicherheit des Parlamentes zu garantieren. Patrick Sensburg, CDU-Abgeordneter und Vorsitzender des NSA-Untersuchungsausschusses spricht von einem "Horrorszenario", falls der Bundestag erneut gehackt werden sollte.

Abgeordnete können auf ihren Rechnern alle Programme installieren, die sie wollen

Nach Angaben von Secunet können Personen sich an offen zugänglichen Netzwerkanschlüssen im Parlamentsgebäude zu schaffen machen. Mit entsprechender Ausstattung sei man wohl in der Lage, den Netzwerkverkehr mitzuschneiden und auszulesen. Auch Journalisten, Lobbyisten und Handwerker haben Zutritt zu den Gebäuden des Parlaments. Insgesamt sind es 15 000 Personen, wie die Bundestagsverwaltung mitteilt.

Linus Neumann, Sprecher des Chaos Computer Clubs und IT-Sicherheitsexperte, spricht sich für eine differenzierte Bewertung der geschilderten Sicherheitslücken aus. "Wenn man davon ausgeht, dass hier Menschen auch arbeiten müssen, dann sind das eher geringe Mängel." Rüste man die Computer gegen alle möglichen Angriffsszenarien, bestehe die Gefahr, dass Abgeordnete und Mitarbeiter aus Bequemlichkeit auf private Computer und E-Mail-Konten ausweichen - weil sich damit leichter arbeiten lässt.

In einem Punkt jedoch hätte Neumann "nicht gedacht, dass so nachlässig gehandelt" werde: Auf Rechnern in Abgeordnetenbüros wird das Ausführen von Software nicht geblockt - dabei bedeute zumindest diese Sicherheitsmaßnahme doch nur geringe Einschränkungen für die Nutzer. Es sollten nur Programme installiert werden dürfen, die durch die Verwaltung geprüft wurden. "Beim Bundestags-Hack wurden durch einen Trojaner mehrere Gigabyte aus den Netzen gekratzt. In einem so sensiblen Bereich, der sich schon einmal die Finger verbrannt hat, ist nicht zu entschuldigen, dass immer noch nicht ausreichende Sicherheitsmaßnahmen implementiert wurden."

Im April 2015 wurde der Deutsche Bundestag in Berlin bereits von Hackern angegriffen. Auf welche Daten diese damals Zugriff hatten, ist immer noch nicht geklärt. Ein erneuter Hack wäre ein "Horrorszenario", heißt es.

(Foto: Regina Schmeken)