#Neuland
Das Versagen des BSI als Symptom für eine Gesamtproblematik
Der Hintergrund ist schnell erzählt: Kreditkarteninformationen, private Chats, Mobil- und Festnetznummern sowie privat genutzte Mailadressen und andere mehr oder weniger vertrauliche Daten von Prominenten und Politikern wurden häppchenweise auf einem Twitter-Account veröffentlicht. Der Twitter-Account ist inzwischen gesperrt, das rund 7GB große Archiv mit allen Daten ist aber über einschlägige Filesharing-Plattformen nach wie vor abrufbar. Verantwortlich für die Untersuchung solcher Vorfälle ist unter anderem das Bundesamt für Sicherheit in der Informationstechnik. Und dieses Amt zeigt sich von Tag zu Tag zunehmend überfordert. Dabei handelt es sich allerdings nur um die Spitze des #Neuland-Eisbergs.
Zugegeben: Dass sich irgendein Mitarbeiter bei einer kritischen Presseanfrage zu einem unglücklichen Zitat hinreißen lässt, lässt sich nie so ganz vermeiden. Mit seiner Aussage in einem TV-Interview bei Phoenix am 4. Januar, wonach man „sehr frühzeitig im Dezember“ mit einzelnen Abgeordneten zu einem möglichen Datenleck gesprochen habe, hat Arne Schönbohm, seines Zeichens Präsident des BSI, sich ordentlich vergaloppiert. Immerhin hatte er so suggeriert, dass das BSI seit Anfang Dezember Kenntnis des Leaks hatten. Und es kam, wie es kommen musste: Sofort meldeten sich erste Abgeordnete und kritisierten, dass sie im Dezember keinerlei Informationen zu einem möglichen Hack-Angriff vom BSI erhalten hatten.
Erst am 5. Januar musste das Amt korrigieren, man habe erst am 3. und 4. Januar 2019 die Tragweite des Leaks erkannt – davor sei man von Einzelfällen ausgegangen. Dies zu einem Zeitpunkt, als auf dem inzwischen gesperrten Twitter-Account @_0rbit der Doxxing-Adventskalender (Doxxing = Zusammentragen von Docs/Daten) mit den persönlichen Daten der Promis und Politiker schon längst vorbei war. Viel kommunikatives Kuddelmuddel – und für den geneigten Nerd entstand so ein wenig der Eindruck, das BSI sei überfordert von der Größe des Leaks und vom eigenen Unwissen.
Aufklärung im Schichtbetrieb?
Aber: Das BSI zeigte sich auch wehrhaft und kommunizierte am 4. Januar per Twitter , das „Nationale Cyber-Abwehrzentrum“ habe die zentrale Koordination übernommen. Zugegeben – „Nationales Cyber-Abwehrzentrum“ klingt irgendwie sehr spacig. Wer jetzt aber eine Behörde im 24-Stil mit Hunderten von Nerds in einem Keller erwartet, dürfte wahlweise enttäuscht oder entsetzt sein wenn er erfährt, dass dieses für die Prävention, Information und Frühwarnung gegen Cyber-Angriffe eingerichtete Institution exakt 10 Mitarbeiter hat. In Worten: Zehn. Und diese zehn Mitarbeiter sollen „das Internet“ im Auge behalten, ob da irgendwo ein Hack oder Leak veröffentlicht wird.
Und weil man gehört hat, dass Hacker Tag und Nacht arbeiten, wenig schlafen und sich von Instant-Nudeln ernähren, arbeiten diese zehn Personen im Schichtbetrieb – geht man von einem Acht-Stunden-Modell aus, macht das pro Schicht ca. 3 1/3 Aufklärer bei einem klassischen 3-Schicht-Modell. Und diese 3 1/3 Personen sollen jetzt die Aufklärung eines Datenleaks mit einem Gesamtvolumen von ca. 10 Gigabyte vorantreiben. Bei einem geschätzten Gesamtschaden von 50 Milliarden Euro durch Hacks und Cyber-Attacken dürfte es dem ein oder anderen echt seltsam vorkommen, wie wenig Interesse BSI, Verfassungsschutz, BND und Co. offenbar an einer koordinierten Zusammenarbeit bei der Cyber-Abwehr haben.
Und was macht die Politik, wenn sie überfordert ist? Klaro: Man prüft, „inwieweit hier schärfere gesetzliche Vorgaben sinnvoll und erforderlich sind“ (Justizministerin Katarina Barley in der WamS) – nun sollen die Anbieter in die Pflicht genommen werden und für mehr Sicherheit sorgen. Aber solange es tatsächlich Politiker gibt, die ihren privaten Googlemail-Account für berufliche Zwecke nutzen und diesen Mail-Account mit dem Passwort „email-passwort“ (kein Scherz, dieses Passwort wurde tatsächlich von einem MdB genutzt) sichern, wird’s echt schwierig für die Anbieter.
Ungeeignete Strukturen – fehlende Nerds
Das Problem liegt meiner Ansicht nach an einer völlig anderen Stelle: Deutschlands Cyber-Abwehrkräfte sind weiter oldschool strikt zwischen Innen- und Verteidigungsminsterium getrennt. Dabei wird völlig ignoriert, dass Hacks, Leaks und andere Cyberwar-Spielereien keinerlei Grenzen kennen. Wer wann für was zuständig ist und wer welche Kanäle monitoren muss, ist völlig unklar. Dazu passt, dass der jüngste Leak über Wochen unbemerkt blieb, bis (das BSI behauptet: kurz bevor) der RBB darüber berichtete – bzw. bis SPD-Politiker Martin Schulz sich wunderte, woher Unbekannte seine Mobilnummer hatten. Hinzu kommt, dass diverse Behörden und Institutionen Abteilungen parallel aufbauen – was gerade bei der eher geringen Anzahl der „echten“ IT-Spezialisten, die bereit sind, für die Regierung zu arbeiten, einfach nur super-ineffizient ist.
Das Problem ist: Was passiert in Deutschland, wenn ein Hack nicht so glimpflich verläuft wie der Trojaner-Angriff 2015 oder „nur“ für Chaos sorgt, wie der neueste Leak? Was, wenn es gegen die Infrastruktur geht, z.B. gegen Kraftwerke (Stichwort RootkitTmphider/stuxnet), Krankenhäuser oder andere öffentliche Einrichtungen? Dabei geht es nicht nur um die Prävention, sondern auch um die Abwehr von Cyber-Angriffen – es ist beispielsweise nirgends verbindlich geregelt, ob man zurückschießen darf. Oder ganz praktisch: Wenn ein Botnetzwerk zum Schlag gegen die Stromversorgung ausholt – dürfen die Bots oder der Bot-Herder/Master angegriffen und zerstört werden? Das weiß aktuell wohl keiner so genau.
Das Versagen des BSI ist nichts anderes als ein Symptom für eine äußert bedenkliche Gesamtproblematik: Deutschland ist nicht nur in Sachen IT-Infrastruktur, Breitbandanbindung, LTE-Netze etc. im weltweiten Vergleich abgehängt, sondern auch in Sachen Cyber-Verteidigung – #Neuland ist überall. Das einzig Positive daran ist: Wenn es mal dunkel wird, gibt’s nix mehr zu verteidigen.
Bildquelle: pexels – CC0 1.0 Universell (CC0 1.0) / Public Domain