Bundestags-IT offenbar recht anfällig für Hacker-Attacken

SicherheitSicherheitsmanagement

Das geht aus einem im Auftrag des Bundestagsverwaltung von der Firma Secunet erstellten Untersuchungsbericht hervor. Das 101 Seiten umfassende Papier wurde im Februar abgeliefert und wurde als geheim eingestuft. Jetzt sind die unerfreulichen Erkenntnisse darin jedoch durchgesickert.

Einer von der Verwaltung des Bundestages in Auftrag gegeben Untersuchung der IT-Sicherheitsfirma Secunet zufolge weist die IT-Infrastruktur des Deutschen Bundestages zahlreiche Sicherheitslücken auf, die Hackern als Angriffspunkte dienen könnten. Die eigentlich geheime, 101 Seiten umfassende Darstellung der Untersuchungsergebnisse wurde im Februar vorgelegt und ist nun offenbar Journalisten von Süddeutscher Zeitung und NDR zugespielt worden. Ihren Berichten zufolge gehen die Mitglieder der für die IT des Bundestags verantwortlichen IuK-Kommission davon aus, dass zumindest einige der Sicherheitslücken nicht vor der für Ende September angesetzten Bundestagswahl 2017 geschlossen werden.

Deutscher Reichstag in Berlin. (Bild: Andre Borbe)

Dem Bericht der Süddeutschen Zeitung zufolge fürchten Politiker, dass ausländische Stellen darüber zum Beispiel Zugriff auf E-Mails mit vertraulichen Inhalten erhalten könnten und diese E-Mails dann ähnlich wie im US-Wahlkampf 2016 gezielt an die Öffentlichkeit gelangen könnten. Die Veröffentlichung vertraulicher E-Mails wird immer wieder mit dafür verantwortlich gemacht, dass Hillary Clinton den Wahlkampf verlor.

Allerdings dürfte weniger die Tatsache der Veröffentlichung als vielmehr der Inhalt der Nachrichten die Wähler gegen die Ex-Präsidentengattin eingenommen haben, kamen dadurch doch bei Wikileaks nach und nach Informationen über zweifelhafte Beziehungen zur Finanzwirtschaft und Spenden aus arabischen Staaten an die Öffentlichkeit. Zwischen den Zeilen schwingt da offenbar die Angst mit, dass bei manchen Volksvertretern in ihren E-Mails übermittelte Informationen bei der breiten Öffentlichkeit einen ähnlich ungünstigen Eindruck von deren Tätigkeiten vermitteln könnten.

Ausgewählte Whitepaper

Sicherheitsaspekte bei der Auswahl einer Lösung für EFSS

Bei der Entscheidung für eine Lösung zur Dateisynchronisierung und -freigabe (Enterprise File-Share and Sync) spielen in Unternehmen in der Regel mehrere Faktoren eine Rolle. Datensicherheit steht dabei meist ganz oben weit oben auf der Liste. Diese 12 Fragen sollten sie Anbietern daher auf alle Fälle stellen.

Bei einigen Lücken hat die IT-Abteilung des Bundestages bereits begonnen, sie zu beheben. Ein Beispiel dafür sind die zur Netzwerksegmentierung verwendeten Firewalls. Da lag offenbar einiges im Argen, wurde doch nicht nur aktualisiert, sondern gleich ein neues System angeschafft. Dem Bericht der Süddeutschen Zeitung zufolge hat der Ältestenrat bereits ein Budget von 470.000 Euro für eine neue Firewall bewilligt.

Laut NDR geht aus dem Bericht auch hervor, dass die IT-Abteilung zu wenig Personal und keine ausreichenden Kompetenzen habe. Weder die Firma Secunet noch die Bundestagsverwaltung wollten sich auf Anfrage zu den in dem Bericht dargelegten Mängeln äußern.

Kritisch sehen die Autoren des Berichts auch die zahlreichen von Abgeordneten und deren Mitarbeitern genutzten Tablets und Smartphones. Bemängelt wird hier, dass die nicht zentral verwaltet werden und zum Beispiel die Installation von Apps nicht standardmäßig verhindert werde. Dagegen spricht, dass sich die Abgeordneten durch derlei Beschränkungen in ihrer Arbeit gestört fühlen könnten und dass sie – im Gegensatz zu Angestellten in Firmen – diesbezüglich natürlich höhere Ansprüche haben und sensibler gegenüber möglichen Überwachungsaktivitäten sind.

Offenbar haben sie und ihre Mitarbeiter deshalb auch auf den genutzten Desktop-Rechnern Administrationsrechte, können also beliebige Programme installieren und ausführen. Problematisch ist das, wenn ihnen durch Hacker manipulierte Programme untergeschoben werden sollten, die dann Einfallstore für weitere Aktivitäten eröffnen könnten. Weder die Bundestagsverwaltung noch die IT-Sicherheitsfirma Secunet wollten sich gegenüber SZ und NDR bislang zum Inhalt des Berichtes äußern.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen