"Es war ein Angriff auf einen Router, nicht auf das Telekomnetz", sagte Klingbeil. Diese Sicherheitslücke sei bekannt gewesen. "Man muss die Firma fragen, warum sie erst jetzt reagiert. Hätte man früher reagiert von Seiten der Routerfirma, dann hätte man den Angriff abwehren können."
Keine Haftung im Informationssicherheitsgesetz
Klingbeil forderte eine Produkthaftung für Firmen, die technische Geräte wie Router herstellen. Dadurch steige der Druck auf Unternehmen, bekannte Sicherheitslücken zu schließen. Das beinhalte das Informationssicherheitsgesetz aber nicht, bisher sei eine Haftungsregelung aber am Koalitionspartner gescheitert. "Es geht darum, wer die Verantwortung trägt, wenn man neue digitale Produkte auf den Markt bringt."
Unbekannte Täter hatten versucht, über das Internet auf bundesweit mehrere hunderttausend Router zuzugreifen und diese für eigene Zwecke zu nutzen. In der Folge waren am Sonntag und Montag viele Haushalte ohne Telefon- und Internetverbindung. Besonders betroffen war eine bestimmte Sorte an Routern, die häufig von Kunden der Deutschen Telekom benutzt wird. "Man wollte eine Schadsoftware aufladen. Es ist positiv, dass es nur zu der Störung gekommen ist", sagte Klingbeil.
Das Interview in voller Länge:
Christiane Kaess: Vielleicht waren Sie auch davon betroffen, gestern oder am Sonntag. Fast eine Million Kunden der Telekom hatte keinen Zugang zum Internet, konnte nicht telefonieren oder nicht fernsehen. Der Grund: Die Einwahl ins Telekom-Netz über einen entsprechenden Router, der für all diese Geräte zuständig ist, gelang nicht mehr. Klar ist: Der Grund war eine Sicherheitslücke beim Telekom-Netz und die wurde offenbar von Hackern ausgenutzt. - Lars Klingbeil ist jetzt am Telefon. Er ist netzpolitischer Sprecher der SPD-Fraktion im Bundestag. Guten Morgen!
Lars Klingbeil: Schönen guten Morgen.
Kaess: Die Telekom ist ja etwas zögerlich, von einem Hackerangriff zu sprechen. Das Bundesamt für Sicherheit in der Informationstechnik ist da ganz klar. Gehen Sie auch von einem Hackerangriff aus?
Klingbeil: Ja, da gehe ich mittlerweile von aus. Das BSI hat das ja gestern Abend auch verkündet oder in einer Pressemitteilung mitgeteilt, dass sie davon ausgehen nach allem, was sie jetzt untersucht haben. Die Telekom wird in den nächsten Tagen auch einen Bericht vorlegen. Aber wir können eigentlich nach all dem, was wir jetzt wissen, davon ausgehen, dass das ein großflächiger Hackerangriff war.
"Es geht um Destabilisierung"
Kaess: Wer könnte Interesse daran haben, das Telekom-Netz zu hacken?
Klingbeil: Es war erst mal kein Angriff auf das Telekom-Netz, sondern auf einen Router, der in der Tat von vielen Telekom-Kunden verwendet wurde. Dort gibt es eine Sicherheitslücke, die wohl auch schon länger bekannt sein soll, und hier hat man versucht, erst diese Router zu infizieren und dann eine Schadsoftware nachzuladen. Das ist dann aufgefallen. Eigentlich wäre der Hackerangriff dann erfolgreich gewesen, wenn es gar nicht aufgefallen wäre, dass diese Software auf die Router geladen wird. Insofern ist das schon mal positiv, dass es hier nur zu der Störung gekommen ist und die auch schnell behoben werden konnte. Das was hier versucht wird, ist, möglichst viele Geräte zu infizieren, um dann zu einem späteren Zeitpunkt mit einer sogenannten DDos-Attacke Webseiten anzugreifen, Nachrichtenseiten anzugreifen. Da kann man spekulieren, wer dahinter steckt. Das können wirtschaftliche Interessen sein, das können aber auch politische Interessen sein. Da geht es um Destabilisierung. Das ist alles im Bereich der Spekulation. Nur wir sehen, wie gefährlich und wie verletzlich auch eine moderne Kommunikation-Infrastruktur ist.
Kaess: Jetzt haben Sie gerade gesagt, dass diese Sicherheitslücke schon länger bekannt war. Warum wurde die denn nicht geschlossen?
Klingbeil: Das ist in der Tat eine der Fragen, die wir in den nächsten Tagen noch im Politischen klären müssen. Es gibt Hinweise darauf, dass schon seit ein paar Wochen diese Sicherheitslücke bekannt ist, und man muss jetzt auch die Firma, die die Router herstellt, fragen, warum sie erst jetzt reagiert. Das sind jetzt aber aktuelle Informationen, mit denen wir im politischen Raum auch die nächsten Tage umgehen müssen.
Kaess: Aber das heißt, der Angriff hätte vermieden werden können?
Klingbeil: Das würde ich dann so in den Raum stellen, dass ich sage, hätte man hier früher reagiert vonseiten der Router-Firma, hätte man diesen Angriff auch abwehren können.
"Wir haben eine verletzliche IT-Infrastruktur"
Kaess: Man weiß ja, dass diese Sicherheitslücke ein Einfallstor bietet für Hacker. Jetzt sagen Experten auch, da finden einfach zu wenige Tests statt und wenn man mehr testen würde, dann könnte man solche Lücken auch schneller schließen. Stimmt das?
Klingbeil: Das ist eine politische Debatte, die wir als SPD-Fraktion noch angefangen haben. Wir sagen, wir müssen auch über so was wie Produkthaftung reden. Wenn Software auf den Markt gebracht wird - wir haben eine verletzliche IT-Infrastruktur -, dann muss man auch darüber reden, wer trägt eigentlich Haftung dafür, wenn Software zum Beispiel nicht auf dem aktuellen Stand ist, und hier sagen wir, würden wir gerne Haftungsketten auch klären, würden gerne dafür sorgen, dass die Firmen hier eine größere Verantwortung haben müssen, wenn Schäden entstehen.
Kaess: Das geht in die Richtung wie das, was das Bundesamt für Sicherheit in der Informationstechnik jetzt fordert, so etwas wie ein Gütesiegel oder Zertifikate, oder?
Klingbeil: Das ist eine andere Debatte, aber es geht in dieselbe Richtung. Es geht darum, auch klarzumachen, wer Verantwortung dafür trägt, wenn er neue Produkte im digitalen Bereich auf den Markt bringt, und hier haben die Unternehmen eine größere Verantwortung und wir müssen gesetzlich auch dafür sorgen, dass das klargestellt ist.
Produkthaftung für digitale Güter
Kaess: Wie denn?
Klingbeil: Wir haben letztes Jahr ein IT-Sicherheitsgesetz auf den Weg gebracht als Große Koalition. Das war schon mal ein großer Schritt. Das wurde aus der Wirtschaft sehr stark auch attackiert und kritisiert. Wir haben aber gesagt, es muss Mindeststandards geben bei IT-Sicherheitsinfrastrukturen. Wir haben auch gesagt, Unternehmen, die angegriffen werden, müssen das melden. Die Telekom hat ja gestern auch gemeldet und mit dem BSI da sehr stark kooperiert. Als SPD-Fraktion haben wir aber gesagt, es muss jetzt einen zweiten Korb bei diesem IT-Sicherheitsgesetz geben, und da gehört die Produkthaftung mit rein. Die muss auch für digitale Güter geregelt werden.
Kaess: Aber wenn Sie dieses IT-Sicherheitsgesetz so loben, das hat ja auch genau diesen großen Mangel, dass es zwar diese Meldepflicht für Vorfälle hat, aber eben nicht für Sicherheitslücken. Muss das nicht ganz schnell geändert werden, um diesen Vorfällen zuvorzukommen?
Klingbeil: Die Produkthaftung, die geänderte Produkthaftung würde ja dazu führen, dass der Druck auf Unternehmen größer wird und dass genau solche Sicherheitslücken dann schnell geschlossen werden müssen, weil sonst die Unternehmen in die Haftung geraten.
Kaess: Warum steht das bisher im Gesetz nicht drin? Hat man das übersehen?
Klingbeil: Das war bisher nicht möglich, sich in dieser Koalition darauf zu einigen. Wir wollen das als SPD aber gerne durchsetzen. Das ist natürlich ein zusätzlicher Druck, der auf die Wirtschaft da ist. Das ist klar. Die Wirtschaft lehnt es ab, eine solche geänderte Produkthaftung, aber wir als Sozialdemokraten wollen das und sagen, dass auch dieser Fall wieder zeigt, wir brauchen geänderte Produkthaftungsmöglichkeiten.
Kaess: Welche Rolle spielen denn da die Nachrichtendienste? Denen sagt man ja nach, sie hätten ein Interesse daran, dass die Sicherheitslücken nicht geschlossen werden, weil das sonst ihre Arbeit erschwert.
Klingbeil: Genau. Wir haben auch die Debatte immer wieder erlebt, ob der Staat nicht sogar selbst auch mit Sicherheitslücken in Verbindung zu bringen ist, ob er die nicht auch nutzen kann, ob er die nicht auch für sich behält, wenn er sie entdeckt. Ich lehne das aber ab, weil es in einer vernetzten Gesellschaft dazu führt, dass wir angreifbar werden, und ich finde, der Staat muss alles dafür tun, seine Bürgerinnen und Bürger zu schützen. Deswegen darf ein Staat mit Sicherheitslücken in meinen Augen nichts zu tun haben.
Kaess: Offenbar ist da noch nicht genug getan worden. Das haben wir jetzt gesehen. Wie gefährlich sind denn diese Defizite, wenn wir sprechen über Atomkraftwerke, Krankenhäuser oder Energieversorger?
Klingbeil: Da würde ich vor einer Panikmache warnen. Wir müssen immer wachsam sein. Wir müssen auch investieren in ein hohes Schutzniveau. Aber wenn wir uns Atomkraftwerke angucken, dann haben die ein eigenes Netz, und dort finden permanent auch Verbesserungen der Netzinfrastruktur statt. Dort gibt es permanent auch Sicherheits-Updates. Da würde ich schon sagen, Wachsamkeit muss sein, aber das ist was anderes als eine Telekommunikations-Infrastruktur.
"Der Staat muss mit Hackern kooperieren"
Kaess: Da hatten wir, Herr Klingbeil, neulich bei uns eine ganz andere Meinung im Programm, nämlich von Linus Neumann vom Chaos Computerclub. Der hat im Deutschlandfunk gesagt, in Deutschland werde nicht genügend Fachpersonal ausgebildet, um großflächig digitale Infrastruktur in Unternehmen und in der Verwaltung zu sichern. Was ist da versäumt worden?
Klingbeil: Wir sehen in der Tat gerade in unterschiedlichen Bereichen, dass es sehr schwierig ist, geeignetes Fachpersonal zu haben. Der Staat muss da mehr investieren. Das haben wir aber zum Beispiel auch mit dem Bundeshaushalt, der in der letzten Woche verabschiedet wurde im Bundestag, auf den Weg gebracht, dass an staatlichen Stellen viel mehr qualifiziertes Personal eingestellt wird. Ich würde aber sogar so weit gehen und sagen, der Staat muss mit Hackern kooperieren. Wir müssen Hacker auch ganz gezielt auffordern, uns zu helfen, wie wir staatliche Infrastruktur verbessern können, wie wir Sicherheit stärken können. Das wird ein großer Kampf um die besten Köpfe im IT-Bereich.
Kaess: Das wären dann die guten Hacker, oder wie muss man das verstehen?
Klingbeil: Genau. Ich glaube, dass es auch Hacker gibt, die bereit wären, mit dem Staat zusammenzuarbeiten und zu gucken, wo sind eigentlich Lücken und wo sind Sicherheitsdefizite, an die der Staat heran muss.
Regeln für "öffentliche Plätze" im Internet
Kaess: Schauen wir noch auf den politischen Aspekt. Wir wissen, dass in den USA Internettrolle zum Teil den Wahlkampf beeinflusst haben, und der neue Präsident des Bundesnachrichtendienstes Bruno Kahl, der warnt heute in der "SZ" vor Desinformationskampagnen mit Blick auf die Bundestagswahl. Wie sehr macht Ihnen das Sorgen?
Klingbeil: Das macht mir in der Tat Sorgen. Das ist eine Entwicklung, wo ich einfach sehe, viele Menschen beziehen heute Informationen aus dem Netz. Dort werden zunehmend auch Lügen verbreitet. Da geht es nicht um unterschiedliche politische Interpretationen, sondern wirklich um Lügen. Und wir sind jetzt in der Diskussion auch mit den großen sozialen Netzwerken, wie wir damit umgehen. Ich teile die Einschätzung von einigen, die sagen, das sind öffentliche Plätze und da muss man auch Regeln einführen, an die sich dann die Unternehmen auch zu halten haben.
Kaess: … sagt Lars Klingbeil, netzpolitischer Sprecher der SPD-Fraktion im Bundestag. Danke für Ihre Zeit heute Morgen.
Klingbeil: Sehr gerne.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.