Seit Wochen berichten die Medien von einer schweren ‚Cyberattacke‘ auf das Netz des deutschen Bundestages. Nix Genaues weiß man allerdings nicht. Nichts über den/die Angreifer, nichts über die Art des Angriffs, welche Arbeitsplatzsysteme oder Server eigentlich betroffen sind, ob und wenn ja, welche Dateien, Emails oder Datenbanken abgegriffen worden sind und auch nichts darüber, ob der Abfluss von Daten nach wie vor anhält.
<h3nach wie vor 'Nicht-Nachrichten' – aber vom investigativen Triumvirat …
Heute hat es das investigative Triumvirat aus NDR, WDR und Süddeutscher Zeitung wieder einmal geschafft in die Tagesschau zu kommen mit der Meldung, dass „Personen, die unmittelbar in das Geschehen eingebunden sind, erklärt haben, dass aus dem Bundestags-Netzwerk noch immer unbemerkt Daten abfließen.“ Das mit dem Datenabfluss ist nicht unbedingt neu, ergänzend erfahren wir aber, dass der“Bundestag ein neues IT-Netz braucht“.
Der Sachverhalt und die daraus gezogenen Folgerungen können einen schon zum Stutzen bringen: Daten fließen ab und deswegen schmeisst man ein ganzes Netzwerk weg, das mit Sicherheit einige Millionen gekostet hat?! Und will es, auch das wissen die investigativen Vires, innerhalb von Wochen durch ein neues ersetzen?!
Polizeibehörden unterhalten ähnliche Netze wie der Bundestag – und das seit Jahren, ohne dass „Cyber-Angriffe“ durchkommen
Man muss sich auf der Ebene des investigativen Triumvirats anscheinend auch nicht mit Fachkenntnissen oder Details belasten. Oder mit der Suche nach Fachleuten. Man hätte sonst nämlich in vielen Landespolizeibehörden nach Beispielen forschen und solche auch finden können. Denn viele Polizeibehörden, selbst die von kleinen Bundesländern, schaffen es schon seit Jahren, ein verteiltes Netz aufzubauen und abzuschotten gegenüber Zugriffen aus dem öffentlichen Netz.
Solche Polizeinetze sind in der Größe vergleichbar mit dem des Bundestages: Dort wird von 20.000 Arbeitsplatzrechnern gesprochen.
Polizeinetze sind auch von der Systemtopologie vergleichbar mit der des Bundestages: Es gibt
- Arbeitsplatzsysteme in der Zentrale (entspricht der Verwaltung im Bundestag),
- es gibt regionale Subsysteme in den Polizeipräsidien oder -direktionen (entspricht den Fraktionen im Bundestag) und
- es gibt Arbeitsstationen auf den Schreibtischen von Polizeibeamten und -mitarbeitern in der Zentrale (entspricht dem Bundestag in Berlin)
- und in den Polizeidienststellen im Land (entspricht den Wahlkreisbüros der Abgeordneten.
.
Dass solche Polizeinetze wirksam abgeschottet sind gegenüber „Cyber“angriffen von außen hat einen einfachen Grund: Sie sind nämlich von außen gar nicht ereichbar, weil sie nur in einem privaten Netz hängen, das nicht mit dem öffentlichen (Internet)Netz verbunden ist *). Das ist natürlich mit einer gewissen Einbuße an Komfort für den Anwender (Polizisten / Abgeordneten) verbunden. Ein Zugriff vom gewohnten Arbeitsplatz aus auf das Internet, um mal schnell die aktuellen Nachrichten einzusehen, ist so nicht möglich. Dazu muss man einen anderen Arbeitsplatzrechner benutzen, der nicht am „internen“ Netz hängt, sondern der mit dem externen, öffentlichen Netz kommunizieren kann.
Die Anwender sind sicher nicht unschuldig am Desaster …
Mit Beamten/Anwendern in solchen Polizeibehörden, wie auch mit Abgeordneten und Mitarbeitern im Deutschen Bundestag habe ich in meinem Berufsleben jahrelang zu tun gehabt. Und kann mir insofern sehr lebhaft vorstellen, dass eine physische Trennung des internen Netzes und Abschottung gegenüber dem öffentlichen Netz aus Sicht dieser Anwender kategorisch abgelehnt wird. Da müsste man ja vom eigenen Arbeitsplatz aufstehen und einen anderen Rechner im gleichen Büro benutzen! Für viele schlicht UN – ZU – MUT – BAR!!!
Für Anwender zählt nämlich nur, was der Anwender braucht. Und der Anwender sieht die Welt auch nur aus seinem Blickwinkel. Seine Anforderungen sind gefälligst zu erfüllen.
Wie, dafür ist die IT-Abteilung zuständig. Die ja schließlich genug Geld kostet und daher ‚was dafür leisten soll.
Sollte dieser Anspruch nicht unmittelbar verstanden werden, bleibt der Weg über die Hierarchien. Und der wird auch gerne genommen! Dann schreibt der LKA-Direktor (= Fraktionsvorstand) an den Direktor des Beschaffungsamtes (=Leiter des IT-Referats). So ist es typisch (geworden) im Verhältnis zwischen Anwendern („Kunden) in Behörden und der IT-Abteilung (= „Dienstleistern“). Man fordert. Und hält es nicht für nötig, sich selbst Gedanken zu machen oder zu kümmern: Für IT und alles, was damit zusammen hängt, ist schließlich die IT-Abteilung zuständig. Und wird für Versäumnisse aufgeknüpft …
Für mich wäre es daher nicht überraschend, wenn die IT-Abteilung, die verantwortlich ist für die Konzeption und den Betrieb dieses Netzes im Bundestag, vor der „Wucht“ solcher Anwenderanforderungen kapituliert hätte. Dies gilt umso mehr, als die Abgeordneten im Deutschen Bundestag, die ich über mehrere Jahre als „Kunden“ eines IT-Generalunternehmer-Dienstleisters erleben konnte, noch viel weniger zurückhaltend waren mit ihren Ansprüchen und der Art der Durchsetzung gegenüber den IT-Dienstleistern, als dies in der Polizei der Fall ist. Und in beiden Bereichen gelten vergleichbare kurze Reaktionszeiten für den IT-Dienstleister, nämlich maximal zwei Stunden!
… Mangelnde Durchsetzungsfähigkeit der IT-Verantwortlichen …
Da sich an diesem Anspruchsdenken der Anwender vermutlich wenig geändert hat, vermute ich mal, dass sich die IT-Verantwortlichen im Bundestag auf Kompromisse eingelassen haben: Übergangsstellen zwischen privatem Netz des Bundestages und dem öffentlichen Netz, die durch Software-/ Hardware- und Sonstware-Lösungen angeblich „garantiert“ sicher abgeschottet werden können. Dass die „garantiert sicheren“ Produkte dann doch durchlässig sind, zeigen die aktuellen Meldungen aus dem Bundestag.
Ansichten eines Sicherheitsexperten über die Sicherheit der Hardware- und Software-Standardkomponenten
Dr. Sandro Gaycken, ein IT-Sicherheitsexperte und auch Sachverständiger in einer Anhörung des Deutschen Bundestages, sagt zur Sicherheit der aktuell eingesetzten Hardware-, Software- und Firmware-Komponenten: Die alle müssten „eigentlich“ ausgetauscht und durch Neu-Entwicklungen ersetzt werden. Denn dieses Zeugs ist inzwischen durch „Hintertüren“ kompromittiert oder potenziell kompromittierbar.
Bundestag braucht neues IT-Netz – innerhalb weniger Wochen?!
Insofern verwundert die Meldung über die „Lösung“, die man nun für den Bundestag gefunden haben will: Das alte rauschmeissen und ein komplett neues IT-Netz innerhalb weniger Wochen aufbauen?!
[Klar, warum nicht?! Dafür ist Deutschland, sind IT-Großprojekte in Deutschland und insbesondere in Berlin bekannt und berühmt! Das klappt! Garantiert! – Sarkasmus / Ende!]
Man muss ja auch nur das alte, korrumpierte Netz durch ein neues ersetzen. Allerdings ist das nicht die brillanteste Idee: Denn warum sollte ein neues Netz aus Standardkomponenten weniger korrumpierbar sein, als das aus den alten, korrumpierten Komponenten? Zumal dann, wenn man die Ursachen der aktuellen Cyber-Attacken auf das alte Netz noch gar nicht kennt. [Sarkasmus schon wieder zu Ende …]
Die Verantwortung der Mit-Verantwortlichen Behörden: BSI, BfV und BND
Halten wir eingangs fest, dass die IT-Verantwortlichen für den Bundestag vor einem grandiosen Scherbenhaufen stehen; und die sie begleitenden Fachbehörden, wie das BSI, das Bundesamt für Sicherheit in der Informationstechnik, das Bundesamt für Verfassungsschutz und der Bundesnachrichtendienst nicht minder. Wo in gemeinsamer Inkompetenz ein solches Desaster möglich war, wäre gründliche Analyse angesagt: Über die Ursache und Folgen dieses „Angriffs“, wie auch über die Möglichkeiten, dies in Zukunft zu verhindern. Da sollte es dann nicht darauf ankommen, kurzatmigen Aktionismus zu demonstrieren. Sondern Kompetenz …
Behörden und ihr Umgang mit Fehlern
Das würde allerdings erfordern, dass auch öffentlich zugegeben wird, dass es erhebliche Fehler gegeben hat bei der Konzeption, der Beschaffung, dem Aufbau und beim Betrieb und der Absicherung des aktuellen Bundestagesnetzes. Und genau das – das Zugeben von Fehlern und das Lernen aus Fehlern – darüber hat man in den Behörden des Bundes bisher wenig praktische Erfahrungen gesammelt. Und diese Fertigkeit daher nur unzureichend praktisch erprobt ...
..und was der Bundesrechnungshof zu vergleichbaren Projekten von Bundesbehörden sagte …
Dabei gäbe es Beispiele und Anlass dafür: Selbst dem Bundesrechnungshof, an sich nicht bekannt für überaus kritisches Umgehen mit Kollegen aus anderen Bundesbehörden, ist vor einigen Monaten die Hutschnur geplatzt: Als er der Bundesregierung und dem für IT-Projekte des Bundes federführenden Bundesinnenministerium schriftlich katastrophales Versagen beim Projektmanagement ihrer großen IT-Projekte (Einzelheiten dazu in diesem Artikel) attestierte.
Diesem Totalverriss begegnete das Bundesinnenministerium mit dem Vorschlag, das Outsourcing in eine strategische Partnerschaft (ÖPP = Öffentlich-private Partnerschaft) mit einem „vertrauenswürdigen“ Anbieter einzugehen.
Auf den Vorschlag, den Aufbau und Betrieb des (angeblich notwendigen, neuen) IT-Systems des Deutschen Bundestages in einem ÖPP-Projekt zu realisieren, bin ich jetzt schon gespannt …
Prognosen, wer wohl als „vertrauenswürdiger Anbieter“ ins Spiel kommt, bitte gerne per Email an cives@cives.de, Stichwort DBT_ÖPP.