Die Bundesregierung hat zwar ein IT-Sicherheitsgesetz mit verpflichtenden Standards sowie der genannten Meldepflicht bei Angriffen verabschiedet, aber dies ist laut Notz unzureichend und widersprüchlich, da die Regierung sich selbst von der Meldepflicht ausnehme. Das Regierungsnetz sei im Gegensatz beispielsweise zum Stromnetz nicht einmal Teil der sogenannten kritischen Infrastruktur, die bestimmten Mindestsicherheitsstandards unterliege.
Manipulation ohne Öffentlichkeit
Aber was kann überhaupt passieren, wenn die Hacker ins Regierungsnetz gelangen? Von Notz sieht zum Beispiel die nicht unrealistische Gefahr, dass Hacker mit den Informationen, die sie abgreifen, Social Engineering betreiben: Sie könnten Entscheidungsträgern gezielt auf ihre individuellen Profile hin zugeschnittene Informationen zukommen lassen und sie somit beeinflussen – ohne dass die Öffentlichkeit davon etwas mitbekommen würde. „Zur Einhegung des Machtinstruments des öffentlichen Rundfunks betreiben wir in Deutschland einen unglaublichen Aufwand, damit es keinen Missbrauch gibt“, sagt von Notz. „Im digitalen Bereich gibt es da überhaupt nichts Vergleichbares. Niemand will etwas regeln.“ Schon allein eine Meldepflicht würde für Transparenz sorgen.
Es kann auch sein, dass Hacker gar nicht direkt Informationen manipulieren müssen, um ihren Hack als Erfolg zu betrachten – es reicht ihnen mitunter, so zu tun als ob. „Man darf die psychologische Komponente von Cyber-Angriffen nicht ignorieren“, sagt Matthias Schulze, wissenschaftlicher Mitarbeiter im Bereich Cyber-Sicherheitspolitik der Stiftung Wissenschaft und Politik. „Es signalisiert Verwundbarkeit und Unsicherheit. Russland etabliert sich damit als potente Cyber-Macht und allein der Verdacht, die Hacker würden zurückkehren, sorgt dafür, dass viele Prozess in der Regierung aus Sicherheitsgründen langsamer ablaufen können.“
Jörn Müller-Quade vom KIT sagt, die Regierung müsse aus diesen Gründen noch viel radikalere Sicherheitskonzepte erstellen – und nicht nur nach Angriffen Lücken stopfen. Sie müsse darüber nachdenken, im Hochsicherheitsbereich im Grunde wieder völlig neu anzufangen. „Um zu verhindern, dass man alleine durch einen unvorsichtigen Klick einen Trojaner installiert, muss man die Funktionalität des ganzen Systems reduzieren.“ Die Komplexität sei der Feind der Sicherheit und wenn ein Tool wie Outlook so kompliziert sei, dass man nicht kontrollieren könne, welche Daten damit raus geschickt würden, sei es für das Regierungsnetz „schlicht das falsche Werkzeug“.
[pullquote]„Aber hier geht es ja nicht um Bequemlichkeit, sondern um Souveränität“[/pullquote]
Aber selbst Versuche, stattdessen einfachere Open-Source-Tools zu verwenden, wurden im Regierungsapparat nicht akzeptiert. Dies würde nämlich zur Folge haben, dass mitunter Daten nicht einfach von einer Applikation zur anderen übertragen werden könnten – wie es Windows-Nutzer gewohnt sind. Es gab Modellprojekte im Auswärtigen Amt, bei denen sich zeigte, dass die Mitarbeiter nicht gerne auf solche bequeme Standardsoftware wie die von Microsoft verzichten wollen. „Aber hier geht es ja nicht um Bequemlichkeit, sondern um Souveränität“, sagt Müller-Quade. „Wir sollten als Staat die Software kennen, die wir verwenden – der Quellcode etwa, sollte gegenüber dem Staat offengelegt sein. Dass Software nach Bequemlichkeit ausgewählt wird, zeigt, dass der IT-Security nicht der angemessene Stellenwert zugeschrieben wird.“
Gefahr droht ja nicht nur von russischer Seite. US-amerikanische Geheimdienste haben in der Vergangenheit Sicherheitslücken bewusst verschwiegen, um sie selbst für Spionagezwecke auszunutzen – so auch die Lücke, die im vergangenen Jahr letztlich den Wannacry-Angriff möglich machte. Auch mit US-amerikanischen Herstellern von Geräten und Software soll die NSA laut Experten zusammengearbeitet haben, um Lücken in den Systemen zu integrieren. Als Nutzer etwa kann man ein Update erhalten, das so aussieht, als käme es von den Herstellern – das aber in Wirklichkeit eine Tür in das System enthält. In den Unternehmen, die da mitmachen, wird die Zusammenarbeit nicht herumerzählt, sodass nur wenige Mitarbeiter davon wissen. Müller-Quade sagt: „Aber allein die Möglichkeit, dass ein Geheimdienst dies kann, erlaubt vor diesem keinen Schutz mehr, weil wir uns nicht einmal auf die grundlegenden Sicherheitsmechanismen der Geräte verlassen können.“
Ein zu großes Netz, Bequemlichkeit, ein verwässerter Umgang mit Sicherheitslücken, wenig Transparenz, keine klaren Standards und das alles bei der rasanten Zunahme neuer Technologien – das hinterlässt kein gutes Gefühl. Die Gefahr ist groß, dass der nächste Hack noch viel weitreichendere Folgen hat, wenn die Regierung der Sicherheit nicht eine so hohe Priorität einräumt, wie es einige Unternehmen längst tun. Die Firmen gehen von vorneherein davon aus, dass sie bereits gehackt sind. Unter dieser Prämisse verändert sich der Umgang mit Daten grundlegend. Die Firmen isolieren ihre Daten auf Rechnern, die nicht ans Netz angeschlossen sind, oder hantieren mitunter nur noch auf Papier.
Der allgemeine Trend geht aber noch mehr in die andere Richtung, sagt Jörn Müller-Quade. „Immer mehr Menschen wollen ein Smart Home, in dem Geräte per Zuruf etwas machen. Wir stellen uns Sprachassistenten auf, die wir wie Freunde ansehen und denen wir unser Alltagsleben anvertrauen sowie unsere Gewohnheiten.“ Das alles führe zu ganz neuen Sicherheitslücken und Möglichkeiten, Daten abzugreifen – nicht nur in Regierungskreisen, sondern im Alltag aller Menschen. „Ich habe den Eindruck, selbst wenn wir es schaffen, dass wir Regierungsnetze sicher hinbekommen und die unbequemeren Lösungen akzeptieren, geht der Trend dahin, dass wir eine Überwachungsstruktur aufbauen und uns nicht wundern dürfen, wenn Daten anders als bisher gewonnen werden“, sagt KIT-Professor Müller-Quade. Niemand muss sich dann mehr um das Regierungsnetz sorgen. Wenn man die Mitarbeiter der Regierung privat ausspionieren kann – das ist dann der noch größere Hauptgewinn für Hacker jeglicher Nationalität.