Es ist die Crux vernetzter Systeme: Wer mit der Welt kommunizieren will, mag das durch noch so kleine Schießscharten tun - aber es sind Öffnungen. Und durch die kann etwas hinaus, und eben auch hinein. Es könnte eine Mail gewesen sein mit einem verseuchten Anhang, ein Klick auf eine präparierte Seite oder etwas noch ganz anderes - der Trojaner, mit dem das Rechnernetz des Bundestages ausspioniert wurde scheint jedenfalls von der raffinierteren Sorte zu sein.
Man darf sich einen solchen Trojaner nicht als etwas vorstellen, das da unauffällig verpackt ankommt und sofort anfängt, wild im Netz herumzutoben. Es ist eher wie im historischen Troja, wo sich der Sage nach Krieger in einem hölzernen Pferd tagsüber versteckt hielten. Erst nachts öffneten sie ein Stadttor. Ein Computer-Trojaner durchlöchert auch erst nach und nach die Abwehr eines Computersystems und lädt weitere digitale Waffen nach.
In Netzwerken erweisen sich zunehmend mobile Geräte als Schwachstellen
Dass die Spionagesoftware erst nach Monaten entdeckt wurde, dass man nach Wochen einräumen muss, ihr nur mit einer Radikalkur Herr werden zu können, spricht dafür, dass es sich nicht um Schadsoftware von der Stange handelt. Vielmehr muss sie für ähnliche Attacken oder sogar ausschließlich für diesen Angriff maßgeschneidert worden sein. Virenscanner erkennen zuverlässig nur bekannte Schadprogramme - unbekannte Digital-Schädlinge werden allenfalls über ihr Verhalten auffällig. Das zu erkennen ist schwer und produziert oft falschen Alarm.
Bei einer Cyberattacke dieser Tragweite erscheint es plausibel, dass die Angreifer sich erst einmal mit aller Vorsicht im Netz umgesehen haben nach verwundbaren Stellen, von denen aus sie weiter vordringen konnten. Möglich ist auch, dass sogenannte Keylogger installiert wurden. Das sind Programme, die sämtliche Tastaturanschläge protokollieren - auch Passwörter, die darüber eingegeben werden. So könnten die Hacker an Administratorenpasswörter gekommen sein, mit denen sie dann wesentlich mehr Möglichkeiten hatten, das System zu beeinflussen.
Computer-Betriebssysteme haben aber auch Schlupflöcher, die es möglich machen, sich Administratoren-Rechte zu erschleichen. Für Kenntnisse über solche Lücken werden in der Szene bis zu 100 000 Dollar gezahlt. Am wertvollsten sind solche Informationen über Schwachstellen, die noch nicht einmal der Hersteller kennt oder für die es zumindest noch keine Abhilfe gibt. Ein zunehmendes Problem stellen mobile Geräte dar, die ebenfalls mit Netzwerken verbunden werden und als Angriffsziele missbraucht werden können.
Ob und welche Teile des Computersystems nun ausgetauscht werden müssen, wird sich erweisen. Die einzelnen Rechner eher nicht, ihre Software muss womöglich neu aufgesetzt werden, bis hin zu Bereichen, zu denen Computernutzer kaum vordringen. Doch ein System besteht auch aus Netzwerk-Verteilern, Routern, Firewalls, Druckern, Scannern, aus Mail-Servern mit Spam-Filtern und vielem mehr. Jedenfalls müssen die Sicherheitsstandards angehoben werden. Die Abgeordneten und ihre Mitarbeiter werden in Kauf nehmen müssen, dass höhere Sicherheit ihren Preis hat. Und dass es absolute Sicherheit bei der elektronischen Kommunikation nicht gibt.
