# taz.de -- Domscheit-Berg zu Hackerangriff: „Ein extremes Staatsversagen“ | |
> Linken-Expertin Anke Domscheit-Berg fordert einen Strategiewechsel. | |
> IT-Spezialisten sollten sich um die Sicherheit kümmern, statt andere | |
> auszuspionieren. | |
Bild: Auch das Bundesministerium der Verteidigung wurde von Hackern angegriffen… | |
Frau Domscheit-Berg: Haben Sie eine Erklärung warum der Bundestag erst | |
jetzt informiert wurde [1][von einem Hackerangriff], der bereits im | |
Dezember entdeckt wurde? | |
Anke Domscheit-Berg: Das ist die 1-Million-Dollar-Frage. Wir werden die | |
Bundesregierung hart unter Druck setzen, damit sie uns diese beantwortet. | |
Die Bundesregierung hat die Verpflichtung den Bundestag, beziehungsweise | |
die zuständigen Gremien zu informieren, wenn ein Vorgang von besonderer | |
Bedeutung passiert. Diese Informationspflicht wurde schlicht verletzt. | |
Hätte es denn etwas geändert, wenn man Sie früher informiert hätte? | |
Es gibt die Pflicht uns zu informieren und das aus gutem Grund. Wir sind | |
das Aufsichtsorgan der Bundesregierung und nachgeordneter Stellen, zum | |
Beispiel das Bundesamts für Sicherheit in der Informationstechnik oder die | |
Geheimdienste. Und damit wir unserer Aufgabe nachkommen können, ist es | |
schon von höchstem Interesse zu wissen, ob das BSI oder der BND in der Lage | |
sind ihren Aufgaben nachzukommen oder nicht. Ich halte es für ein extremes | |
Staatsversagen, wenn man jetzt herausfindet, dass irgendwelche fremden | |
Kräfte ein Jahr lang im IT-Netz des Bundes unterwegs waren, ohne dass es | |
jemand gemerkt hat. Da wollen wir schon wissen, an welcher Stelle wurden | |
die Fehler begangen, rollen jetzt Köpfe, gab es zuwenig Ressourcen. | |
Was glauben Sie, legt die Bundesregierung nun die Karten auf den Tisch? | |
Der Umstand, dass die Bundesregierung so zögerlich und intransparent | |
agiert, stimmt mich nicht sehr optimistisch. Man will wohl eher nichts | |
sagen, ich kann das menschlich sogar verstehen, denn es wäre zum Beispiel | |
furchtbar peinlich, wenn der Angriff möglicherweise über eine | |
Sicherheitslücke erfolgte, die längst bekannt war und die man nicht | |
geschlossen hat. | |
Weiß man schon Genaueres, wer die Hacker sind und welche Daten sie kennen? | |
Möglicherweise weiß man etwas über die Daten, die Herkunft der Hacker läßt | |
sich jedoch nur sehr selten zweifelsfrei feststellen. Erst am Donnerstag | |
wird sich die Bundesregierung offiziell äußern , in einer Sondersitzung des | |
Parlamentarischen Kontrollgremiums und aller Voraussicht nach gibt es am | |
Nachmittag eine Sondersitzung des Ausschusses Digitale Agenda (Anm. d. | |
Red.: das Gespräch wurde vor den Sitzungen geführt). Die haben wir | |
beantragt und möchten die Bundesregierung dort zur Rede stellen. Derzeit | |
wissen wir noch nichts. | |
Wie schätzen Sie die Lage ein – ist die Sicherheit des Landes gefährdet? | |
Das kann man erst sagen, wenn man mehr weiß. Was mich allerdings hochgradig | |
beunruhigt ist, dass es gelungen ist, in das bis jetzt als sicher geltende | |
Netz einzudringen. Man hat ja bereits zugegeben, dass das Außenministerium | |
erfolgreich angegriffen wurde, das Verteidigungsministerium wurde mit | |
unbekanntem Erfolg angegriffen. Am gleichen Netz hängen aber auch | |
Kanzleramt, der Bundesrechnungshof, Sicherheitsbehörden und sämtliche | |
andere Ministerien. Ob diese nicht doch mitbetroffen sind, wissen wir | |
nicht. Informationen werden auch nach bestimmten Sicherheitsstufen im | |
Netzwerk abgelegt, wir wissen noch nicht, bis zu welcher Stufe sich die | |
Hacker vorgearbeitet haben. | |
Nach dem Bundestagshack 2015 empfahl Innenminister Thomas de Maizière dem | |
Bundestag, es künftig so zu machen wie die Bundesregierung. Offenbar wusste | |
selbst er nicht, wie schlecht es um die Sicherheit der Netze bestellt ist? | |
Die „Kommission des Ältestenrates für den Einsatz neuer Informations- und | |
Kommunikationstechniken und -medien“ unter Leitung von Petra Pau wurde | |
damals extrem angegriffen, weil sie sich weigerte der Empfehlung | |
nachzukommen. Sie wollte damals nicht an ein Netz angeschlossen sein, auf | |
das auch die Geheimdienste Zugriff haben, sondern bestand auf einem | |
separaten Netz. Heute zwei Jahre später weiß man, das war eine weise | |
Entscheidung. | |
Was hat man aus dem Bundestagshack gelernt? | |
Der Angriff damals erfolgte über veraltete Software. Heute darf keine | |
veraltete Software mehr verwendet werden. Außerdem stellte man damals fest, | |
dass es unüberschaubar viele Menschen mit Administratorenrechten gab und | |
damit ganz viele Einfallstore. Mit einem sehr einfachen Werkzeug, das man | |
sich aus dem Internet runterladen konnte, konnte man sich auch Zugang zu | |
den Login-Daten von Administratoren verschaffen und damit in die | |
sensibelsten Bereiche des Netzes gelangen. Die Anzahl der Admins wurde ganz | |
stark runter gefahren, was auch das Risiko verringert. | |
Was ist im aktuellen Fall zu tun? | |
Zunächst wollen wir aufgeklärt werden. Aber es braucht vor allem eine | |
Umkehr der Strategie. Es gibt zu wenig Geld und zu wenig Menschen, die | |
Ahnung haben. Wir haben im Bereich IT-Sicherheit einen Fachkräftemangel. Im | |
Vergleich zur Industrie zahlen Behörden nun mal wenig und es gibt auch zu | |
wenig Geld für Weiterbildung. Vor diesem Hintergrund muss man alle Kräfte | |
in die Verteidigung stecken, um unsere Netze sicherer zu machen. | |
Stattdessen wird ohne Rechtsgrundlage gerade auf Wunsch der Geheimdienste | |
eine Behörde wie ZITIS aufgebaut, die nichts weiter tut, als | |
Sicherheitslücken zu finden, um sie nicht zu schließen. Diese | |
Sicherheitslücken, sei es auf Whatsapp oder MS Word, sollen genutzt werden, | |
um wiederum andere, verdächtige Menschen auszuspionieren. Wenn ein Staat | |
Kapazitäten bindet, um Sicherheitslücken zu finden, aber nicht zu | |
schließen, dann macht er sich zum Mittäter. So hat es auch angefangen mit | |
dem WannaCry Virus, der im Mai 2017 Krankenhäuser in England und | |
Ministerien in Russland lahmlegte. Diese Schadsoftware nutzte eine | |
Sicherheitslücke, die der NSA gebunkert hatte. Dieses Wissen wurde der NSA | |
geklaut und die Sicherheitslücke von Kriminellen genutzt. | |
1 Mar 2018 | |
## LINKS | |
[1] /Hackerattacke-auf-Regierungsnetz/!5488490/ | |
## AUTOREN | |
Anna Lehmann | |
## TAGS | |
Hacker | |
Bundesregierung | |
Anke Domscheit-Berg | |
WannaCry | |
Geheimdienst | |
Spionage | |
Hackerangriff | |
Sicherheit | |
Hacker | |
Hacker | |
Hacker | |
Cyberspionage | |
Hackerangriff | |
Marieluise Beck | |
## ARTIKEL ZUM THEMA | |
Bundeshack und Sicherheitsdiskurs: Danke, russische Hacker! | |
Die Regierung lässt sich von der AfD vor sich her treiben, wenn es um | |
„Sicherheit“ geht. Nun muss sie zugeben: Absolute Sicherheit gibt es nicht. | |
IT-Experte über Cyberangriff: „Wer angreifen will, wird es schaffen“ | |
Auch die Regierung muss Standardsysteme nutzen. Deren Sicherheitslücken | |
werden auf dem Schwarzmarkt gehandelt, sagt Michael Waidner. | |
Kommentar Cyber-Angriffe auf Regierung: Die Hacker, die sie riefen | |
Hacker sind ins deutsche Regierungsnetz eingedrungen. Das ist ein riesiges | |
Problem – und Sinnbild für den digitalen Standort Deutschland. | |
Cyberangriff auf Ministerien: Hacker noch im Bundesnetz | |
Monatelang sind Ministerien Ziel eines Angriffs. Das Parlament wird nicht | |
informiert. Unklar ist, wer hinter der Attacke steckt. | |
Hackerattacke auf Regierungsnetz: Angriff angeblich unter Kontrolle | |
Die Behörden sagen, die Attacke sei „isoliert und unter Kontrolle | |
gebracht“. Die Opposition ist entsetzt über die Informationspolitik in | |
diesem Fall. | |
Mutmaßlicher Angriff russischer Hacker: Hacker dringen in Regierungsnetz ein | |
Russische Hacker haben offenbar das Datennetz des deutschen Außen- und | |
Verteidigungsministeriums angegriffen. Sie haben Daten erbeutet. | |
Gehackte Daten aus dem Bundestag: Im Visier der Cyberkrieger | |
2015 kam es zum bislang größten Hacker-Angriff auf den Bundestag. Viele | |
Dokumente wurden gestohlen. Vor der Wahl könnte das gefährlich werden. |