Zur Abwehr der Angriffe ausländischer Nachrichtendienste sei es zudem erforderlich, die Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu Rate zu ziehen, so Jarzombek. Das BSI sorge schon jetzt dafür, dass die Bundesregierung besser geschützt sei, auch weil es dort für einen restriktiveren Umgang mit Nutzungsrechnen sorge.
Auch die Abgeordneten des Bundestags erwarteten nun weitere Restrektionen. Spätestens seit dem Fall des Whistleblowers Edward Snwoden sei allerdings bereits jeder vorsichtiger geworden, glaubt Jarzombek. Alle wüssten, "dass alle Mails abgefangen werden können". Auch mit weiteren Sicherheitsmaßnahmen könne man "nichts ausschließen".
Das Interview in voller Länge:
Christoph Heinemann: Unfreiwillig sind die Abgeordneten des Deutschen Bundestages zu Leidtragenden ihres heutigen Debattenthemas geworden. Das Datennetz des hohen Hauses ist verseucht, offenbar irreparabel. Anschauungsunterricht für Volksvertreter, die heute über die Sicherheit in der Informationstechnologie für Unternehmen beraten haben. Die Regierungskoalition will dafür sorgen, dass sich wichtige Unternehmen besser gegen digitale Attacken schützen. Das betrifft zum Beispiel Banken, Wasserwerke, Energieunternehmen oder die Bahn. Wenig Fantasie reicht aus, um sich die Folgen vorzustellen, sollten diese Branchen lahmgelegt werden. Muss im hohen Haus "nur" die Software ausgetauscht werden, oder auch die Hardware? Kurz vor dieser Sendung habe ich mit Thomas Jarzombek gesprochen, dem netzpolitischen Sprecher der Unions-Bundestagsfraktion. Herr Jarzombek, wird im Bundestag getrommelt zurzeit, oder wie kommunizieren Sie jetzt?
Thomas Jarzombek: Nein. Im Bundestag wird genauso kommuniziert wie bisher auch, und nach all den Dingen, die wir wissen, liegt zwar ein sehr, sehr schwerwiegender Angriff mit nachrichtendienstlichem Hintergrund vor, aber die Mail-Server scheinen jedenfalls bislang noch nicht betroffen zu sein.
Heinemann: Kommunizieren oder nutzen Sie Ihren PC im Moment mit ungutem Gefühl?
Jarzombek: Ich glaube, spätestens seit den Enthüllungen von Edward Snowden und der NSA ist jeder deutlich vorsichtiger geworden, und wir wissen ja, dass wir da im Visier der Dienste sind, dass E-Mails, die durch das Internet gehen, in der Regel unverschlüsselt sind, dass alles abgefangen werden kann, und deshalb, glaube ich, haben auch viele ihr Nutzerverhalten schon verändert in den letzten Jahren.
Heinemann: Wie haben Sie Ihres verändert?
Jarzombek: Indem man eher auf verschlüsselte Kommunikation setzt, bestimmte Programme nutzt und bestimmte Informationen auf jeden Fall auch nicht per E-Mail schreibt.
"Da wird man abschließend nie vor gefeit sein"
Heinemann: Hat die Bundestagsverwaltung dieses Problem bisher unterschätzt?
Jarzombek: Ich glaube, dass das, was in der Bundestagsverwaltung passiert ist, auch in vielen Unternehmen schon passiert ist, in sehr großen Unternehmen. Wir haben zuletzt gesehen bei dem russischen Sicherheitsexperten Kaspersky, dass selbst dort ein Angriff möglich gewesen ist. Da wird man abschließend nie vor gefeit sein. Aber wir müssen natürlich trotz allem schauen, wie wir hier sicherer werden können, und da gibt es sicherlich eine Reihe von Maßnahmen, die man tun muss in der Zukunft.
Heinemann: Welche?
Jarzombek: Das geht damit einher, dass die Abgeordneten natürlich sehr viele Wünsche auch haben, auf welche Dinge man zugreifen kann, welche Programme man installieren kann. Das hängt auch mit den vielen Reisetätigkeiten zusammen, sodass man viele Sachen auch bei Cloud-Anbietern gerne haben möchte, die möglicherweise nicht so sicher sind. Das alles zusammen führt dazu, dass es doch relativ große Bereiche gibt, wo man deutlich restriktiver herangehen könnte, und ich denke, das wird in der Zukunft sicherlich passieren. Die zweite Frage ist, ob man bei der gesamten Gefahrenabwehr auch die Expertise des BSI, also des Bundesamtes für Sicherheit in der Informationstechnik, mit einbezieht, und das halte ich ebenfalls für sehr sinnvoll.
Heinemann: Dieses oder auch die von IT-Experten der Nachrichtendienste. Befürworten Sie das auch?
Jarzombek: Wenn Sie von Nachrichtendiensten angegriffen werden, dann ist es naiv zu glauben, man könnte sich ohne nachrichtendienstliche Kompetenz dagegen verteidigen.
Heinemann: Also ein klares Ja?
Jarzombek: Ja.
Heinemann: Rechnen Sie damit, dass die komplette Hardware über Bord geworfen werden muss?
Jarzombek: Nein, davon gehen wir nicht aus. Wir haben hier 20.000 Computer im Deutschen Bundestag und die allermeisten davon werden so weiterbetrieben werden. Was jetzt zu tun ist, ist, das sogenannte Active Directory neu aufzusetzen, und dafür müssen zentrale Server neu installiert werden. Da wird man im Zweifelsfall einige zusätzliche Maschinen kaufen müssen, um das alte und das neue Netz parallel betreiben zu können. Vielleicht kann man die auch anmieten. Aber das ist eine sehr überschaubare Anzahl.
Heinemann: Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, Michael Hange, hat gesagt, auch Angreifer haben ein Kosten-Nutzen-Modell und sie gucken sich schon an, wie leicht man reinkommt. Wie treibt man denn den Preis für Angreifer hoch?
Jarzombek: Ja, das was ich vorhin gesagt habe: Deutlich mehr Restriktionen und natürlich ein sogenanntes Intrusion Detection System. Das ist quasi eine Firewall, die von innen nach außen geht, und die Schwierigkeit dabei ist, dass wir sehr, sehr spezialisierte Leute brauchen, um so etwas betreiben und auch auswerten zu können, und das wird man mit den Tarifstrukturen im öffentlichen Dienst kaum hinbringen, vor allem nicht in jeder Behörde, und deshalb hat das BSI hier eine gewisse Expertise, die da gebündelt ist, die es sonst in der öffentlichen Hand nirgendwo anders gibt, und ich glaube, ohne deren Expertise werden wir ein solches Intrusion Detection System auch nicht betreiben können, und das treibt den Preis sicherlich hoch für die Angreifer.
"Hundertprozentige Sicherheit gibt es in der IT nicht"
Heinemann: Ist die Bundesregierung eigentlich besser geschützt?
Jarzombek: Ja, genau aus den Gründen, die ich gerade benannt habe.
Heinemann: Also ganz klar: So was könnte da nicht passieren?
Jarzombek: Man kann nichts ausschließen. Hundertprozentige Sicherheit gibt es in der IT nicht. Aber der Bundesinnenminister hat heute Morgen im Bundestag auch gesagt, dass die Bundesbehörden einen guten Standard haben, und das kann ich nur bestätigen. Bisher sind diese Vorfälle ja da in solcher Form auch noch nicht aufgetreten und das liegt an der guten Arbeit des BSI und das liegt natürlich auch an dem sehr viel restriktiveren Umgang mit Benutzerrechten.
Heinemann: Der Bundestag will jetzt Unternehmen auf Mindestanforderungen für ihre Computersysteme verpflichten, geht aber dort selber nicht mit dem allerbesten Beispiel voran. Müssten Sie nicht erst einmal jetzt vor der eigenen Bundestagstür kehren, bevor Sie da Vorschriften beschließen wie heute?
Jarzombek: Ich glaube, man sollte das eine tun, ohne das andere zu lassen. Wir haben gerade vorhin das IT-Sicherheitsgesetz im Deutschen Bundestag beschlossen und da geht es ja dann auch um öffentliche Daseinsvorsorge, um Wasserwerke, um Elektrizitätsfirmen und um all solche Dinge, die, glaube ich, auch für ein friedvolles Miteinander von wirklich missionskritischer Bedeutung sind. Wir werden im Deutschen Bundestag sicherlich auch unsere Standards erhöhen und insofern da auch auf Augenhöhe sein.
Heinemann: Muss man öffentliche Stellen stärker schützen? Bisher ist ja doch der Blickwinkel stark der auf Unternehmen.
Jarzombek: Nein. Ich glaube, man muss den Blick darauf richten, was ist kritisch und was ist nicht kritisch. Und wenn Sie eine Parfümerie haben, ist die wahrscheinlich ziemlich unkritisch für Deutschland. Wenn Sie aber ein privat betriebenes Wasserwerk haben, wo Gefahr droht, dass die Wasserversorgung unterbrochen wird und man dann vielleicht auch Wochen braucht, um das wieder in Gang zu bekommen, dann merken Sie, dass da tatsächlich der Friede extrem in Gefahr ist. Insofern kommt es nicht darauf an, wie die Rechtsform ist oder wer die Gesellschafter sind, sondern wie kritisch die jeweilige Einrichtung zu betrachten ist.
Heinemann: Datenschutzaktivisten beschweren sich über eine andere Regelung. Das Gesetz erlaubt es, Telekom-Anbietern Daten über das Verhalten ihrer Nutzer zu speichern, um Störungen oder Fehler zu erkennen, einzugrenzen oder zu beseitigen. Der Piraten-Abgeordnete im Kieler Landtag, Patrick Breyer, sieht darin eine Art Vorratsdatenspeicherung. Wird die Datensicherheit auf Kosten des Datenschutzes verschärft?
"…können von Glück reden, dass der Angriff so schnell entdeckt wurde"
Jarzombek: Sie haben immer Widerspruchspaare und ein Widerspruchspaar ist Nutzerkomfort und Sicherheit. Je sicherer Ihr System ist, umso unkomfortabler wird es zu benutzen sein. Genauso verhält es sich natürlich auch mit dem Thema Datensicherheit und Datenschutz an manchen Stellen. Wir haben ja selber im Deutschen Bundestag die Speicherdauer auf unserer Firewall auf sieben Tage reduziert und wir können von Glück reden, dass der Angriff so schnell entdeckt wurde und man dann auch noch die notwendigen Protokolldaten hatte, um nachvollziehen zu können, was passiert ist. Sieben Tage sind an der Stelle bei uns definitiv zu wenig gewesen. Die Entscheidung hat der Bundestag auch schon mittlerweile verändert. Das gilt natürlich genauso für den Betreiber eines Wasserwerks oder eines Kraftwerks.
Heinemann: Herr Jarzombek, mit aller Vorsicht, dreimal unterstrichen: Könnte möglicherweise dieser jüngste Angriff auf das Datennetz des Bundestages von einem großen Land im Osten Europas ausgegangen sein? Genau weiß man das nicht. Haben wir über die NSA-Affäre die Spionage der Russen, der Chinesen oder der Briten vernachlässigt?
Jarzombek: Ich bin da sehr vorsichtig mit Vermutungen, wo es tatsächlich herkommen kann. Die Werkzeuge, die da eingesetzt wurden, sehen tatsächlich aus wie Werkzeuge, die man verorten würde bei einem Geheimdienst, einem Nachrichtendienst, der im Osten angesiedelt ist. Aber Tarnen und Täuschen ist das A und O dieser Dienste und ich glaube, ehrlich gesagt, dass jeder der großen Dienste in der Lage ist, Angriffszenarien der jeweils anderen Dienste auszuführen und damit den völlig falschen Eindruck zu erwecken. Deshalb wissen wir hier viel zu wenig. Da muss uns das Bundesamt für Verfassungsschutz helfen. Die haben möglicherweise ganz andere Werkzeuge und Ermittlungsmöglichkeiten, um herauszufinden, wer tatsächlich dahinter steckt. Alleine auf dieser Software-Schiene werden wir das nicht lösen können.
Heinemann: Thomas Jarzombek, der netzpolitische Sprecher der Unions-Bundestagsfraktion, kurz vor der Sendung aufgezeichnet. Unterdessen hat die Bundesanwaltschaft die Ermittlungen wegen des mutmaßlichen US-Lauschangriffs auf das Mobiltelefon von Angela Merkel eingestellt.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
