Seit die Regierungs-Server gehackt wurden, fragt sich die Öffentlichkeit nicht zu Unrecht: Wie gut schützt die Bundesregierung eigentlich ihre IT-Infrastruktur – und mit ihr die Demokratie?
Als hätten die Einbrecher ein Fenster zu dem vernachlässigten Kellerraum einer hochgesicherten Luxusvilla geöffnet, um sich einzunisten und zu warten, bis die Besitzer Fehler machen und die Tür in die Schatzkammer des Hauses offen stehen lassen. So lässt sich der Hack aufs Regierungsnetz vor einigen Monaten vereinfacht umschreiben.
Aber wie konnte der Angriff eigentlich gelingen? Um das zu beantworten, ist ein Blick auf die IT-Strukturen des Bundes notwendig. Am IT-Netz der Bundesregierung hängen die Bundesministerien und verschiedene Behörden, darunter Bildungseinrichtungen wie die Bundesakademie für öffentliche Verwaltung. Deren Kursteilnehmer – meist Mitarbeiter des Auswärtigen Amts – haben auch Onlinezugänge. Gerade solche Fernzugriffe sind für ein Netzwerk ein Risiko, eine mögliche Einfallstür für Hacker. Die lauern auf jede Sicherheitslücke: Ein falscher Klick eines Studierenden in einer E-Mail und eine Schadsoftware schleicht sich womöglich ein. Eine russische Hackergruppe kam vermutlich auf diese Weise in den vergangenen Monaten über die Akademie in das ansonsten geschützte Netz der Regierung. Die Daten, die auf dem Server dort zu finden sind, sind zwar nicht sonderlich brisant, aber darum ging es nicht.
Die Gruppe wollte an die Administratorenrechte für den Akademie-Server heran und damit dann tiefer ins Regierungsnetz eindringen. Daher verhielt sie sich monatelang so leise wie möglich – sie testete lediglich, wie sie Informationen herausholen und Befehle hineinschicken konnte. Die Hacker gingen perfide vor: Sie versteckten codierte Befehle in Mail-Anhängen, die von Microsoft Outlook heruntergeladen wurden, ohne dass der Nutzer dem zustimmen musste. In den Anhängen waren Instruktionen für die Schadsoftware versteckt, die dazu dienten, weitere Lücken aufzuspüren. Entdeckt wurde die Spionagesoftware schließlich auf den Rechnern von 17 Mitarbeitern des Auswärtigen Amtes. Ob die Hacker tatsächlich im Auftrag der russischen Regierung handelten, ist nicht nachweisbar – aber die Sicherheitsbehörden und einige Forscher gehen davon aus.
Dass der Hack in das Regierungsnetz gelingen konnte, wirft also ein paar unangenehme Fragen auf: Ist die Regierung eigentlich kompetent genug, die staatliche Infrastruktur in Deutschland zu schützen? Und falls nicht, was kann passieren?
Eine geopolitische Strategie
Angriffe auf IT-Infrastrukturen sind heute Alltag. Dahinter stecken sowohl staatliche als auch nichtstaatliche Akteure. Letztere haben meist finanzielle Interessen – sie infizieren Systeme und erpressen deren Betreiber. Für staatliche Hacker sind Cyberangriffe Teil einer geopolitischen Strategie – eine moderne Erweiterung militärischer Angriffe, klassischer Spionage und Sabotage. Zu den bevorzugten Cyber-Strategien gehören laut einem EU-Bericht Desinformationskampagnen, die Lancierung gezielter Falschmeldungen und Angriffe auf kritische Infrastrukturen wie zum Beispiel das Stromnetz. In der überwiegenden Mehrheit der Fälle gibt es keine Möglichkeit, die Täter ausfindig zu machen. Daher bleibt einem nichts anderes übrig, als sich so gut wie möglich zu verbarrikadieren. Je brisanter die Informationen sind, die man schützen will, umso mehr Aufwand betreiben Eindringlinge und umso höher und dichter muss der Schutzwall sein.
Im Fall des Angriffs aufs Regierungsnetz hat der Schutz offensichtlich nicht ausgereicht. „Nicht nur haben es die Hacker geschafft, reinzukommen. Sie konnten Informationen herausschicken – was in diesem Fall vielleicht schwieriger ist –, und dann drang noch alles zu den Medien durch“, so Jörn Müller-Quade, Professor für Kryptographie und Sicherheit am Karlsruher Institut für Technologie (KIT). Oder, um es deutlicher zu sagen: Die Regierung hat ihren Sicherheitsauftrag nicht erfüllt. Müller-Quade ist mit dieser Meinung nicht alleine: Sogar 61 Prozent der Politiker halten laut einer Umfrage von der Unternehmensberatung Deloitte die staatlichen Stellen für nicht kompetent, um Deutschland vor Cyber-Angriffen zu schützen – 72 Prozent der Wirtschaftsführer stimmen ihnen zu.