Cyber-Angriff auf Bundestag hat Folgen

Der Angriff auf das Computersystem des Bundestages hat erste Konsequenzen.

Anders als ursprünglich geplant müssen nach dem am Freitag vom Bundestag verabschiedeten neuen IT-Sicherheitsgesetz nicht nur Unternehmen, sondern auch Bundesbehörden bestimmte Mindestanforderungen an ihre Computersysteme erfüllen. Diese sollen vom Bundesamt für Sicherheit und Informationstechnik (BSI) festgelegt werden.

Das Computersystem des Bundestags wurde nach dem letzten Stand der Ermittlungen bei der seit rund vier Wochen laufenden schweren Cyber-Attacke mit Hilfe von E-Mails angegriffen und mit Schadsoftware infiziert. Es gebe konkrete Hinweise, wonach ein Link per E-Mail an mindestens zwei Computer im Bundestag verschickt worden war, schrieb die «Welt». Der Link führte zu einer Webseite, die mit Schadsoftware präpariert war. Dieses Programm soll sich dann zunächst unbemerkt auf Bundestagscomputern installiert haben.

In der CDU/CSU-Fraktion wächst die Kritik an der Informationspolitik von Bundestagspräsident Norbert Lammert (CDU). Laut einem Bericht des Magazins «Der Spiegel» soll er am Dienstag in einer Runde mit den Innenpolitikern der Union «zusammenhängend erläutern, wann und wie der durch den Hackerangriff verursachte Schaden behoben werden soll».

Ein Internet-Experte betonte, das Ausmaß des Angriffs werde überbewertet. «Das ist kein allzu großer Fall», sagte Christoph Fischer, Geschäftsführer des Unternehmens Firma BFK edv-consulting GmbH in Karlsruhe, «Zeit Online» (Freitag). «Die Aufregung ist nur so groß, weil es um den Bundestag geht. Aber in der Industrie gibt es viel größere Fälle», fügte er hinzu. Die Firma soll laut «Zeit Online» dabei helfen, die Attacke auf den Bundestag aufzuklären.

Berichte über einen eventuell notwendigen Austausch großer Teile der Hardware des Bundestages wies Fischer als «Unsinn» zurück. Auch gebe es keine konkreten Hinweise, dass der Angriff von Russland ausgegangen sei.

Am Vortag hatte Lammert von einem «beachtlichen, massiven Angriff» gesprochen. Es seien aber in den zurückliegenden zwei Wochen keine Daten mehr abgeflossen. Aus mehreren Quellen in Berlin war zu erfahren, der Angriff könnte von Russland ausgegangen sein.

Die Untersuchungen werden laut Fischer einige Zeit dauern. Erste Erkenntnisse wiesen auf ein Angriffswerkzeug namens Mimikatz hin. «Ein Feld-, Wald- und Wiesenmodul, das immer wieder in Attacken auftaucht», sagte er. Es diene dazu, in Windows-Systemen Passwörter oder Zertifikate zu stehlen. Ein Hinweis auf die Täter sei Mimikatz nicht. Andere IT-Experten äußerten sich ähnlich.

Verfassungsschutzpräsident Hans-Georg Maaßen hatte am Donnerstag gesagt, er habe die Sorge, «dass es sich um einen Cyberangriff eines ausländischen Nachrichtendienstes handelt». Er sagte nicht, um welches Land es sich bei dem möglichen Urheber der Cyber-Attacke handeln könnte. Maaßen fügte aber hinzu: «Mein Dienst hat immer wiederholt bestätigt, dass jedenfalls die Cyberangriffe von russischen Diensten hochqualifiziert sind und uns große Sorge bereiten.»

Die Einbeziehung von Bundesbehörden in das IT-Sicherheitsgesetz geht auf einen Änderungsantrag der Koalitionsfraktionen zurück. Das neue Gesetz sollte zunächst nur Unternehmen wie Banken, Versicherer oder Energieversorger zu einem besseren Schutz vor Angriffen auf ihre Computersysteme verpflichten. Wichtige Unternehmen müssen schwere Angriffe auf ihre Systeme melden.

Die Erweiterung auf Behörden stieß bei der Opposition auf Kritik: «Ein Wettlauf der Geheimdienste schafft nicht mehr Sicherheit», sagte Petra Pau (Linke), Vizepräsidentin des Bundestags. Vieles bleibe ungeregelt. «Unter dem Strich gibt es zwei Gewinner: der BND und der Verfassungsschutz, also Geheimdienste.»