Open Source im professionellen Einsatz
Linux-Magazin 04/2016
© jovannig, 123RF.com

© jovannig, 123RF.com

Bundestag-Hack: Die Ursachen, der Ablauf und die Folgen

Eindringen ins Hohe Haus

,

Im Netzwerk des Deutschen Bundestags, einst ein Linux-Vorzeigeprojekt, bewegten sich spätestens seit April 2015 Cracker ungehindert. Als sei das nicht schon Skandal genug, halten die mit der Aufklärung Betrauten alle Informationen unter der Decke. Das Linux-Magazin begab sich monatelange auf Recherche.

1093

Im Mai 2015 sickert durch, Cracker haben die IT des Deutschen Bundestages massiv kompromittiert. Wer bis dahin meinte, das angezapfte Smartphone von Bundeskanzlerin Merkel sei der GAU in Sachen Cyberangriffe auf Verfassungsorgane der Bundesrepublik Deutschland, sah sich eines Besseren belehrt. Im Mai flossen die offiziell bestätigten Informationen äußerst spärlich – was insoweit verständlich ist, als dass einerseits die Forensiker vor Ort hofften, die Angreifer auf frischer Tat beobachten zu können, und andererseits keine Nachahmungstäter und Trittbrettfahrer zu ermutigen. Was damals nicht abzusehen war: Auch knapp ein Jahr später sind offizielle Auskünfte über den Hack praktisch nicht zu bekommen. Entsprechend mühsam gestalteten sich die Recherchen zu diesem Magazin-Artikel (siehe Kasten "Schweigekartell").

Schweigekartell

Bei kaum einem anderen Artikel in der Geschichte des Linux-Magazins verliefen die Recherchearbeiten so zäh wie bei diesem. Auf eine erste Anfrage bei der Bundestagsverwaltung im Sommer 2015 verwies diese schmallippig auf eine alte offizielle Erklärung. Ende 2015 versuchte die Redaktion informell Mitarbeiter eines im Bundestag tätigen IT-Dienstleisters zu kontaktieren, welche dem Linux-Magazin als überaus freundliche und redegewandte Linuxer bekannt sind. Die Reaktion: Eisiges Schweigen, bis heute.

Auch der Autor dieses Artikels, Markus Feilner, hatte anfänglich wenig Glück beim Sammeln von Stimmen. Kaum jemand gab Auskunft – ein Kartell des Schweigens. Wenn jemand auspackte, wollte er keinesfalls seinen Namen im Linux-Magazin lesen. Nicht wenige hatten und haben Angst vor Strafverfolgung wegen Geheimnisverrats. Ein Auszug des dabei verwendeten Vokabulars: "Staatsräson", "Staatswohl", "Kriegsrecht", "Gefahr im Verzug", "Sicherheitsrisiko", "Landesverrat".

Unabhängig voneinander warnten mehrere Personen Magazin-Autor Feilner, sogar er könne ins Fadenkreuz von Ermittlungen und Geheimdiensten geraten. Das wundert ein wenig, weil das deutsche Presserecht dem Wahrheitssuchenden einen recht guten Schutz verschafft, von dem beispielsweise britische Kollegen nur träumen dürfen. Es von so vielen Seiten zu hören, irritierte trotzdem.

Der Durchbruch gelang erst durch eine Recherche-Kooperation mit Netzpolitik.org [1]. Das Portal war in den Besitz von nicht-öffentlichen Protokollen und Papieren gelangt, deren Kenntnis weitere Türen öffnete und diesen Artikel möglich machte. Gleichwohl ist die ganze komplexe Geschichte des Hacks nicht auserzählt. Autor und Redaktion wollen am Thema dranbleiben und rufen Insider, denen öffentliche Kontrolle statt Geheimniskrämerei lieber ist, auf, ihr Wissen mit dem Linux-Magazin zu teilen. Quellenschutz ist selbstverständlich, und für mailto:redaktion@linux-magazin.de gibt's Public Keys.

Recht auf IT-Autonomie

Der Bundestag, die Abgeordneten und die Fraktionen unterhalten jeweils eigene IT-Infrastrukturen und sind so auch für deren IT-Sicherheit selbst verantwortlich. Der SPD-Politiker und Experte für IT-Sicherheit und Geheimdienste Gerhard Schmid (Abbildung 1) erklärt es so: "Der Bundestag hat bestimmte Privilegien, um das Parlament vor einem Zugriff der Staatsgewalt zu schützen. Beispielsweise verfügt er über eine eigene Polizei [2]; die normale Polizei darf nicht in die Gebäude des Bundestags, sie sind wie Botschaften exterritorial. Vergleichbar verhält es sich mit der Immunität: Ein Abgeordneter darf, außer wenn er auf frischer Tat erwischt wird, nur mit Zustimmung des Parlaments verhaftet oder einer Strafverfolgung unterzogen werden.

Die Indemnität (Anmerkung: lat. ,indemnitas', die Schadlosigkeit) verleiht Abgeordneten das Recht auf freie Rede im Parlament und schützt sie vor dienstlicher oder gerichtlicher Verfolgung wegen Äußerungen im Plenum oder im Ausschuss. Dann gibt es noch das Zeugnisverweigerungsrecht und – vor allem hier relevant – das Recht, seine Arbeiten selbst zu organisieren und dafür eigene Verwaltungsstrukturen zu unterhalten, die von der sonstigen staatlichen Verwaltung getrennt sind."

Aufgrund dieser Sonderstellung hatte Schmid zu seiner Zeit als EU-Parlamentarier ganz allein über seine IT-Infrastruktur entschieden. Bei den Bundestagsabgeordneten heute läuft es genauso. Den Betrieb der Rechenzentren übernimmt in der Praxis die Unterabteilung IT der Abteilung "Information und Dokumentation" wie die Broschüre des Bundes "So arbeitet der Bundestag" auf Seite 163 erklärt: "Sie gliedert sich in fünf IT-Referate, die im Wesentlichen zuständig sind für den Betrieb der Rechenzentren mit ihren Anwendungen, die Ausstattung der Benutzer mit PCs (Hard- und Software), die Bereitstellung der Kommunikationstechnik, die Systementwicklung neuer Anwendungen und die IT-Sicherheit. ... Bei allen Soft- und Hardwareproblemen hilft das in der Unterabteilung angesiedelte IT-Servicezentrum. ... Die jedem Abgeordneten als Teil der kommunikationstechnischen Büroausstattung überlassenen PCs sind an das Intranet des Bundestages angeschlossen. [3]

Kennzeichnend für diese Infrastruktur seien zwei Elemente, erklärt Schmid: "Bundestags-IT existiert nicht nur in der Hauptstadt, sondern auch in den Wahlkreisbüros der Abgeordneten und ist mit der Berliner Struktur direkt vernetzt. Der Zugang zu den Wahlkreisbüros ist nicht besonders gesichert. Zweitens: Aufgrund mangelnder Einsicht der Abgeordneten in die Notwendigkeit von Sicherheitsanforderungen gibt es keine Beschränkung, zusätzlich zu der vom Bundestag bereitgestellten Software auch private Programme auf den Rechnern zu installieren."

Abbildung 1: Der Geheimdienstexperte Gerhard Schmid hegt Zweifel an den offiziellen Erklärungen zum Bundestags-Hack. Als Vizepräsident des Europäischen Parlaments zeichnete er 2001 für die Enthüllung zur Abhöraktion Echelon verantwortlich.

Bedingt abwehrbereit

Das Netzwerk des Bundestages, Parlakom ("Parlamentarische Kommunikation", [4]), besteht aus einer Active-Directory-Domäne mit einer sechsstelligen Anzahl von Objekten. Aus Linux-Sicht bedeutsam ist die Tatsache, dass 2002 der Ältestenrat beschlossen hatte, dass auf den Bundestagsservern Linux laufen solle. Er folgte damals einer Empfehlung der "Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und -medien" (im Folgenden kurz IuK-Kommission genannt). Die IT-Abteilungen setzten diesen Beschluss in den Folgejahren auch weitgehend um – teils unter Mithilfe mehr oder minder bekannter deutscher Linux-Firmen. Die für Linux prestigeträchtige Zeit ging 2010 jäh zu Ende, als der Ältestenrat nach Problemen mit der eingesetzten Groupware die Beschaffung von Microsoft Exchange beschloss.

Die Clients der Abgeordneten und Mitarbeiter, in der Regel Windows-Rechner, verteilen sich auf die Büros der Verwaltung, der Fraktionen und der Politiker selbst und werden eigenverantwortlich administriert. Jeder Bundestagsabgeordnete hat ein Büro mit zumeist mehreren Mitarbeitern in Berlin und in seinem Wahlkreis, dazu kommen Laptops und andere mobile Geräte. Zusammen mit der IT-Infrastruktur der Fraktionen und diverser Gremien sowie Ausschüsse ergibt das ein WAN vergleichbar mit dem eines MDAX-Unternehmens. Es sind wohl etwa 20 000 Rechnern allein im Parlakom, also ohne die Geräte der Fraktionen. Linux hin oder her: Der skizzierte Schutzanspruch von Bundestag und Abgeordneten sowie die zersplitterten Zuständigkeiten mach(t)en offenkundig ein durchgehend modernes IT-Sicherheitsmanagement wie man es aus Firmen vergleichbarer Größe kennt – und die Realisierung vieler anderer aus gutem Grund gängiger IT-Konzepte – unmöglich. So war es wohl nur eine Frage der Zeit, bis Hacker ein Schlupfloch finden würden.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Enquete-Gruppe des Bundestags zu Open Source startet

    Am 11. Juni 2012 und damit gegenüber der Planung ein halbes Jahr verspätet hat sich die Projektgruppe "Interoperabilität, Standards, Open Source" der Enquete-Kommission des Deutschen Bundestages konstituiert.

  • Login
  • Frühstück mit Rik

    Hochkarätige Vorträge und ein interessiertes Publikum machten den Linuxtag 2002 in Karlsruhe zu einer Gewinn bringenden Veranstaltung für alle Beteiligten. Über 13000 Besucher kamen vom 6. bis 9. Juni in die Hallen.

  • Alle Fragen offen

    Verfechter des Open-Source-Prinzips und der Mittelstand sind sich einig: Softwarepatente schaden der Wirtschaft. Ganz anders sehen das multinationale Konzerne, Patentanwälte und viele EU-Beamte. Der Kampf zwischen beiden Lagern tobt seit mehr als sechs Jahren und ist immer noch nicht entschieden.

  • Recht

    Der Deutsche Bundestag nutzt Outsourcing für die Streckenplanung des neuen Urheberrechts. In der Enquetekommission "Internet und digitale Gesellschaft" sind Abgeordnete und externe Spezialisten zugange. Ein kritischer Blick auf den jüngsten Output zum Urheberrecht.

comments powered by Disqus

Ausgabe 06/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.