Noch warten die Mitglieder des Deutschen Bundestages darauf zu erfahren, ob bei der jüngst aufgedeckten Hackerattacke auf den Fahrdienst des Bundestages ihre persönlichen Daten wie Wohnanschriften oder Fahrtrouten gestohlen worden sind. Ein "Systemscan" laufe noch, hieß es am Mittwoch beim Fahrdienstleister. Immer deutlicher wird aber bereits, was die Ursachen für das mögliche Datenleck sind. Die BwFuhrpark Service GmbH, die den Fahrdienst im Auftrag des Bundestages betreibt, hat solche sensiblen Daten in großem Umfang intern gespeichert - für jeweils drei Monate, wie aus einer E-Mail des IT-Koordinators der Bundestagsverwaltung hervorgeht.
In den Jahren zuvor war man vorsichtiger gewesen. Die Firma, die den Fahrdienst von 1999 bis 2017 betrieben hatte, die RocVin GmbH, löschte personenbezogene Daten bewusst jeden Tag - "immer morgens um fünf", wie RocVin-Chef Thomas Mohnke der Süddeutschen Zeitung bestätigte -, eben um keine Datenberge zu horten, aus denen sich Bewegungsprofile der Abgeordneten ablesen lassen. "Wer lässt sich zur russischen Botschaft fahren? Wer trifft sich abends mit Mitgliedern anderer Fraktionen? Für solche Daten interessieren sich viele", sagt Mohnke.
"Die anlasslose Bevorratung von Daten birgt enorme Sicherheitsrisiken", kritisiert deshalb der Fraktionsvize der Grünen im Bundestag, Konstantin von Notz. "Das sagen alle Datenschutzexperten und die höchsten Gerichte in Deutschland und Europa. Der Hack hier ist ein Paradebeispiel dafür. Man kann nur hoffen, dass die uneinsichtigen Fans einer Vorratsdatenspeicherung in SPD und vor allem CDU und CSU die Problematik vielleicht an diesem unerfreulichen Beispiel zukünftig besser begreifen." An diesem Donnerstag will die IT-Kommission des Ältestenrates des Bundestages über die bisherigen Ermittlungen in diesem Fall informieren.
Auch der Schutz des Parlamentarier-Fahrdienstes gegen Hacker war offenbar schwach. Bei der Hackerattacke kam die Schadsoftware Emotet zum Einsatz. Gegen sie gibt es einen "Impfschutz", ein Abwehrprogramm namens Emocrash, welches das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigener Aussage jüngst "allen Behörden der Bundes- und Landesverwaltung" zur Verfügung gestellt hat sowie Unternehmen, die sogenannte kritische Infrastruktur betreiben. Der Fahrdienst des Bundestages aber erhielt diesen Schutz nicht. Man habe das Programm nur "einem eingeschränkten Nutzerkreis zur Verfügung gestellt", um "mögliche Angreifer nicht ins Bild zu setzen", sagt der Sprecher des BSI.
Der Fahrdienst des Bundestages, auf dessen Vertraulichkeit sich auch solche Abgeordneten verlassen müssen, die wegen Bedrohungen unter Personenschutz stehen, wurde im Gegensatz zu Ministerien nicht versorgt - und auch die aktuelle Betreiber-GmbH des Diensts, die zu 75,1 Prozent der Bundeswehr und zu 24,9 Prozent der Bahn gehört, forderte dies nicht ein. Warum, das "erschließt sich mir nicht", sagt der digitalpolitische Sprecher der FPD im Bundestag, Manuel Höferlin. "Das sollte sich auch der Bundesdatenschutzbeauftragte genauer anschauen."
