"Der Deutsche Bundestag ist das Herz der Demokratie der Bundesrepublik." So heißt es auf den Internetseiten des "Deutschen Bundestags". Nicht ohne Grund schwingt im Auftritt des Parlaments etwas Stolz mit. Dementsprechend schreiben die Verantwortlichen: "Der Deutsche Bundestag hat sich in seiner mehr als 60-jährigen Geschichte als leistungs- und anpassungsfähige sowie zugleich bürgernahe Institution erwiesen. Seine Leistungsbilanz kann sich sehen lassen." Wie leistungs- und anpassungsfähig das Herz der Demokratie ist, wird aktuell auf eine besondere Probe gestellt. Der Grund: Hacker haben den Bundestag und dessen IT-Infrastruktur ins Visier eines Cyberangriffs genommen.
Angriff mit Symbolcharakter
Die Parlamentarier sind seit Jahren darum bemüht, beim Thema Cybersicherheit herumzueiern und viel Flickwerk im Kampf gegen Datendiebe, Spione und Hacker zu produzieren. Zudem ist die Rolle von NSA, BKA & Co. noch immer nicht geklärt (und wird wohl nie 100-prozentig geklärt werden). Im Bummelzug-Tempo bewegen sich die Politiker, richten Untersuchungsausschüsse ein, sind mal für die Vorratsdatenspeicherung, mal dagegen, sprechen sich für mehr Verschlüsselung aus und sind Wochen später gegen zu viel Privates im digitalen "Informationsrausch". Selbst die lauthals geforderte Aufklärung samt Konsequenzen rund um die Abhörskandale von NSA, dem britischen Geheimdienst und deren Helfershelfer vom Bundesnachrichtendienst verläuft im Sande.
Und zu allem Überfluss wird bekannt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Staatstrojaner "mitbastelte". Wer tut was? Wann und wo? Fragen, die mit viel Tam-Tam halbgar beantwortet werden. Eine umfassende Aufklärung bleiben die Verantwortlichen in vielen Fällen schuldig und zünden lieber Nebelkerzen. Während sich die deutsche Politik im Informationssicherheitsmodus 1.0 bewegt, enteilen digitale Straftäter – seien es private oder staatliche Akteure – im Modus 5.0 oder höher in Sachen Hacking sowie Datendiebstähle. Und nun der Angriff auf den Bundestag. Das Ganze ist nicht nur ein gewöhnlicher Hackerangriff. Seit Wochen versuchen Experten das Dilemma zu beheben und die IT zu säubern, während die Verantwortlichen den Schaden kleinreden. Längst gehen viele Sicherheitsfachleute und Politiker davon aus, dass die IT komplett ausgetauscht werden müsse. Doch Genaues weiß man nicht. Das Ganze ist auch unter anderen Gesichtspunkten kein gewöhnlicher Angriff, denn es trifft das "Herz der Demokratie".
Die Strahlkraft des Cyberangriffs dürfte immens sein und die Hacker setzen ein klares Zeichen: Wir sind zu jeder Zeit in der Lage überall einzudringen und Informationen zu erbeuten. Ähnliches musste jüngst die USA erfahren, deren Personalverwaltung das Ziel eines Hackerangriffs wurde. Dabei konnten die Angreifer auch sensible Daten zu CIA-Agenten erbeuten. Das Einzige was in diesen Zeiten als sicher erscheint ist, dass nichts sicher ist im Umgang mit digitalen Informationen. Darüber hinaus zeigen die Cyberattacken der vergangenen Zeit vor allem, dass wir mittendrin sind im Cyberkrieg. Informationen erbeuten, Sabotage betreiben und das bewusste Schwächen von Staaten und Unternehmen mithilfe digitaler Fehlinformationen ist längst bittere Realität. Cyber Crime ist ein Wirtschaftszweig. Experten weisen bereits seit vielen Jahren auf den Trend zur "Ökonomisierung des Hacking" hin.
Obwohl die Entwicklungen im Bereichen der Cyber-Kriminalität seit vielen Jahren bekannt sind, verfügen 63 Prozent der Smartphone-Nutzer und 30 Prozent der Tablet-Anwender über keine grundlegenden Sicherheitsvorkehrungen, so die Erkenntnis der Sicherheitsexperten von Symantec.
Die digitale Revolution macht risikoblind
Möglicherweise hängt diese Risikoblindheit vor allem damit zusammen, dass die digitale Revolution unser Leben von Grund auf verändert. Das Radio benötigte 38 Jahre, um weltweit 50 Millionen Menschen zu erreichen. Der iPod brauchte dafür nur noch vier Jahre und Twitter erreichte innerhalb von nur neun Monaten mehr als 50 Millionen Nutzer. In der Geschichte der Menschheit gab es noch keinen so dramatischen technologischen Umbruch, der in einem so unglaublichen Tempo unser ganzen Leben durchdringt und komplette Geschäftsmodelle auf den Kopf stellt.
Experten gehen davon aus, dass bis zum Jahr 2020 mehr als 50 Milliarden Geräte im "Internet der Dinge" mit dem Internet verbunden sind – vom Smartphone, über den Kühlschrank, der Uhr bis zum Auto. Haben wir die damit verbundene Komplexität sowie potenzielle Schwachstellen bereits heute auf dem Radar? Im "Internet der Dinge" müssen die Themen Informationssicherheit, IT-Risikomanagement und physische Sicherheit auf eine völlig neue Art und Weise definiert werden.
Das "Gesetzchen" IT-Sicherheitsgesetz
Zu allem Überfluss hat die Bundesregierung am 12. Juni das IT-Sicherheitsgesetz beschlossen. Die Inhalte: Betreiber "kritischer Infrastrukturen" müssen zukünftig Angriffe auf Computer und Netzwerke dem Bund melden, sprich dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Konkret heißt es hierzu in einer Presseverlautbarung des Bundesministeriums des Inneren: "Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden." Doch welche Mindeststandards sind gemeint? Und wer zählt ab welcher Größe zu den Betreibern kritischer Infrastrukturen? Antworten: Fehlanzeige. Das neue IT-Sicherheitsgesetz ist nicht mehr als ein neues Lippenbekenntnis und zeigt einmal mehr, dass die Politik mit dem Thema Cybersicherheit völlig überfordert ist. Profiteur des neuen Gesetzes ist das BSI, das trotz seiner unglücklichen und zweifelhaften Aktionen im IT-Sicherheitsumfeld als Oberaufseher über den Gesamtprozess weiter gestärkt wird. Und weiter geht es im Takt der Flickschusterei beim Thema Informationssicherheit.
Eine Gesamtlösung ist weit entfernt und die Verantwortlichen beschließen lieber neue "Gesetzchen", gründen neue Arbeitskreise oder tun sich in Sachen Eigenwerbung auf allen möglichen Sicherheitskonferenzen hervor. Und dort wird dann so richtig vom Leder gelassen. Einige Worthülsen der letzten Monate gefällig? "Digitale Transformation", "d!conomy", "Internet der Dinge", "Digitale Agenda". In diesem Zuge passt das Zitat von Bundesinnenminister de Maizière zum neuen IT-Sicherheitsgesetz: "Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild" Und: "Es leistet seinen Beitrag dazu, dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören." Das klingt staatstragend, wirkt bei genauerem Hinsehen aber kleinlich und wenig vorausschauend. Denn Deutschland ist in Sachen IT-Sicherheit weder Vorreiter noch leistet das Gesetz irgendeinen erkennbaren Beitrag dazu, das Netz sicherer zu machen. Hier triften Wunsch und Wirklichkeit doch weit auseinander. Man könnte es auch mit den Worten des evangelisch-lutherischen Glaubensgelehrten, Dietrich Bonhoeffer, formulieren: "Wenn man in einen falschen Zug einsteigt, nützt es nichts, wenn man im Gang entgegen der Fahrtrichtung läuft." Vor allem und gerade dann nicht, wenn Hacker und Datendiebe längst die Fahrtrichtung vorgeben. Also nächster Halt Sackgasse?