Interview: Was passierte bei dem Cyberangriff auf den Bundestag?

Herr Schönbohm der Trojaner war schon ungefähr ein halbes Jahr lang auf den Rechnern im Bundestag. Wie kann es sein, dass er so lang unentdeckt blieb?

Zum einen hat der Bundestag mangelhafte Schutzmechanismen. Und die Sicherheitsarchitektur des Bundestagnetzes ist nicht ausreichend gewesen. Das klassische Thema: Bequemlichkeit und Funktionalität  kommt vor dem Thema Sicherheit. Hätte der Verfassungsschutz nicht auf den Trojaner aufmerksam gemacht, wäre es vielleicht endlos so weiter gegangen.

Der Trojaner soll in Teilen auf die Rechner gelangt sein, wie funktioniert das?

Was im Bundestag passiert ist, kann man mit einem klassischen Schmuggelvorgang beim Zoll vergleichen. Wenn man da versucht eine Waffe vorbei zu schmuggeln, zerlegt man sie in Einzelteile und packt diese in verschiedene Pakete mit z.B. Elektrogeräten auf verschiedene Flugzeuge. Im Ankunftsland baut man sie diese dann zusammen. Bei dem Trojaner war es ähnlich. Er war zerlegt und als ers erkannt hat, dass die zweite und dritte Komponente auch da sind, hat er sich wieder zusammengebaut.

Welchen Schaden kann ein Trojaner anrichten?

Das hängt davon ab, wie er programmiert ist. Er kann zu einem Ausfall des Computersystems führen. Er kann – wie in diesem Fall – dazu führen, dass sensible Daten und Informationen abfließen.

Software neu aufspielen, Hardware überprüfen

Welche Konsequenzen aus dem Angriff müssen nun gezogen werden?

Es müssten neue Sicherheitskonzepte eingeführt werden – also zum Beispiel die flächendeckende Verschlüsselung von Daten. Und es ist notwendig, dass eine kontinuierliche Überwachung von bestimmten Netzwerkanomalien durchgeführt wird. Wenn eine automatische Datenverbindung startet, muss reagiert werden. Dass jetzt die Software neu aufgespielt und die Hardware überprüft wird, ist absolut richtig. Wie der Bundestag sicherstellen möchte, dass der Trojaner nicht noch in irgendeiner kleinen Datei versteckt ist, ist für mich noch nicht nachvollziehbar. Es müssen ja alle Daten durchgescannt werden. Das kann Monate oder Jahre dauern.

Gibt es eine Möglichkeit nachzuvollziehen, woher der Trojaner stammte?

Das klügste wäre gewesen, bevor der Angriff bekannt wurde den Trojaner mit Datenpaketen zu füttern, die markiert sind. So hätte man nachvollziehen können, wohin die Pakete gelangen. Ich gehe aber nicht davon aus, dass das passiert ist. So ist es etwas schwer. Die Programmiersprache oder bestimmte Zeitstempel geben zwar Anhaltspunkte, aber ein kluger Geheimdienst kann das natürlich auch fälschen.

Airbus beschäftigt mehr Sicherheits- und IT-Arbeiter als das Bundesamt

Was halten Sie davon, wenn Abgeordnete sagen: So wichtige Dinge bearbeite ich nicht. Was soll da ausgespäht werden?

Wenn ich mir die Unterlagen des parlamentarischen Kontrollgremiums angucke oder Unterlagen, in denen es um Rüstungsbeschaffung geht, glaube ich nicht, dass das irrlevant ist. Und auch die Wahlkreise sind ja mit dem Netzwerk verbunden. Wenn es da zum Beispiel um Spenden gehtpersönliche Anliegen von Bürgern aus dem Wahlkreis geht, sind das schon sensible Daten. Von daher ist es eher ein Zeichen von Dummheit, Naivität, wenn man so argumentiert.

Man hört ja auch immer öfter, dass manche Dokumente nur noch auf der Schreibmaschine geschrieben werden. Ist das eine sinnvolle Lösung?

Ich spreche auch viel mit Großunternehmen aus der Wirtschaft. Und Airbus beschäftigt in dem Bereich zum Beispiel mehr Mitarbeiter als das Bundesamt für Sicherheit und Informationstechnik. Die Wirtschaft achtet schon sehr auf Cybersicherheit. Und mir wird auch immer wieder gesagt: Bei wichtigen Gesprächen bleiben die Handys draußen und es wird direkt mit seinem Gegenüber geredet. Das geht bei einigen Themen. Bei vielen anderen ist IT notwendig. Und da setzen die Unternehmen zum Beispiel auf eine hohe Verschlüsselung. Eine 100-prozentige Sicherheit kann es dennoch in beiden Bereichen nicht geben.