Cyberattacke auf den Bundestag - „Ich würde keinen Verfassungsschützer an meinen Rechner lassen“

Herr Selzer, anonyme Angreifer zapfen seit rund vier Wochen das Netzwerk des Bundestags an. Ist das für Sie als Datenschützer nicht ein Grund zum Feiern?
Nein, wieso das?

Weil jetzt der Letzte verstanden haben müsste, wie wichtig Datensicherheit ist.
Okay, so gesehen schon. Als Datenschützer mahne ich immer dazu, Virenschutz und Firewall einzurichten, Backups zu erstellen und Mails zu verschlüsseln. Da heißt es oft, „so schlimm ist das doch nicht, es ist doch noch nie was passiert“. Die Leute begreifen erst, wenn es knallt. Das Problem ist, dass es nun an einer der zentralen Stellen der Demokratie geknallt hat: im Parlament. Dieser Datendiebstahl, dieser GAU gefährdet die Entscheidungs- und Gewissensfreiheit unserer Abgeordneten.                                                                                   

Experten sprechen schon von der größten Cyber-Attacke auf den Bundestag.
Man müsste die Geräte mal in die Finger bekommen und reingucken dürfen, um herauszufinden, wie der Trojaner genau funktioniert und warum man nun auf die Idee gekommen ist, die ganze Hardware zu erneuern. Werfen sie jetzt auch alle Fotokopierer weg, die Router, die Hardware-Firewalls? Wir wissen es nicht.

Ist das wirklich nötig?
Es gibt Schadprogramme, die sich so in einem Rechner festsetzen, dass selbst das Löschen der Festplatte nichts mehr hilft. Diese Fälle sind allerdings sehr selten. Es ist also unklar, ob die Leute im Bundestag überreagieren oder ob der Trojaner wirklich so gefährlich ist.

Wenn der Bundestag jetzt 20.000 Computer austauscht – geht das überhaupt so einfach? Was ist Ihre Erfahrung bei der IT der Deutschen Post?
Das ist möglich, mit den entsprechenden Teams und Softwares. In kleinerem Umfang hatten wir auch schon mehrere Virenausbrüche. Das lässt sich in großen Infrastrukturen nur schwer vermeiden, wenn man noch halbwegs bequem arbeiten will.

Wie lange dauert das?
Monate - wenn man ordentlich plant und gründlich testet. Allerdings muss man nicht warten, bis alle 20.000 Maschinen neu installiert sind, sondern kann schon deutlich früher wieder eingeschränkt arbeiten. Wenn man für den Notfall gut vorgesorgt hat, lässt sich auch noch einmal viel Zeit einsparen.

Wie stoppt man so ein Riesen-Leck?
Alles zu löschen, ist erst einmal gut. Wenn das System einmal kompromittiert ist, kann man ihm nicht mehr trauen. In jedem Fall gibt es beim Bundestag einen Zwiespalt: Wenn man die IT der Abgeordneten warten lässt, greift man auch in die Freiheit der Abgeordneten ein. Während der Edathy-Affäre ist ja bekannt geworden, dass Webzugriffe von Parlamentariern aufgezeichnet werden. In einer Firma wie meiner ist das innerhalb gewisser Auflagen in Ordnung. Aber die Abgeordneten genießen Immunität – wenn man dann anfängt, sie zu beobachten, sind sie eben nicht mehr frei.

Wer ist technisch überhaupt zu solch einem Angriff fähig?
Das war kein Hobby-Angriff. Kein gelangweilter Teenager bringt so etwas zustande. Die letzten großen Schadangriffe wie Stuxnet – das waren Profis. Leute, die von früh bis Abend vor ihrem Computer sitzen und sich ausschließlich mit dem Schreiben von Schadsoftware beschäftigen. Der Absender ist auch im Fall des Bundestags staatlich oder gehört zu einer professionell arbeitenden kriminellen Vereinigung. Ob die Cyber-Angreifer aus Russland kommen – oder ob das eine Schutzbehauptung ist, um unsere transatlantischen Freunde nicht zu brüskieren – all das weiß man noch nicht…

Einige Abgeordnete stehen dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) kritisch gegenüber, weil es einst aus dem BND hervorging. Ist diese Behörde die richtige Stelle für die jetzige Cyberabwehr?
Grundsätzlich wäre das BSI eine gute Anlaufstelle, wäre es nicht dem Bundesinnenministerium unterstellt. Das BSI hat das gleiche Problem wie die NSA: Es wurde gegründet zur Verbesserung der IT-Sicherheit. Aber das Bundesinnenministerium will mitunter IT-Sicherheit aufweichen, um an bestimmte Informationen zu gelangen. Das ist ein klassischer Interessenskonflikt. Deswegen muss das BSI vom Innenministerium unabhängig werden.

Es wird diskutiert, den Verfassungsschutz bei der Abwehr der Cyberattacke zurate zu ziehen. Was halten Sie davon?
Überhaupt nichts. Der Verfassungsschutz hat sich in den vergangenen Wochen und Monaten nun wirklich nicht mit Ruhm bekleckert. Gerade die Abgeordneten der Linkspartei und der Grünen, die zuletzt noch beobachtet wurden, haben allen Grund für Misstrauen. Es ist zu bezweifeln, dass der Verfassungsschutz neutral auf diese Maschinen guckt und da nicht seine Finger reinsteckt. Ich jedenfalls würde auch keinen Verfassungsschützer an meinen Rechner lassen.

Heute bringt das Kabinett den Gesetzentwurf zur Vorratsdatenspeicherung ein. Was sagt der Netzaktivist dazu?
Der digitale Angriff auf den Deutschen Bundestag sollte uns daran erinnern, wie schwierig es ist, kritische Daten zu schützen. Dennoch plant die Große Koalition ein Gesetz, das ohne Not und entgegen der Bedenken des Bundesverfassungsgerichts und des Europäischen Gerichtshofs eine anlasslose Massenüberwachung vorsieht. Ohne konkreten Tatverdacht soll von einem ganzen Land gespeichert werden, wann, wer von wo wie lange mit wem elektronisch kommuniziert hat. Studien und Praxisfälle haben mehrfach gezeigt, dass diese scheinbar harmlosen Metadaten fast so aussagekräftig sind wie der Kommunikationsinhalt. Der Nutzen dieser Maßnahme hingegen ist äußerst zweifelhaft. Die Zahl von Ermittlungen, in denen Vorratsdaten nachweisbar einen sinnvollen Beitrag leisteten, bewegt sich im einstelligen Prozentbereich und rechtfertigt nicht einen derart schweren Grundrechtseingriff.

Jochim Selzer ist IT-Experte bei der Deutschen Post und Datenschutzbeauftragter bei der Evangelischen Kirche Bonn. Er engagiert sich zudem beim Chaos Computer Club und dem „Arbeitskreis Vorratsdatenspeicherung“.

Fotos: picture alliance (Server), Uta Garbisch, Kirchenkreis Bad Godesberg-Voreifel (Selzer)