Seit dem Angriff auf die IT-Systeme des Bundestags 2015 raunten Sicherheitsbeh\u00f6rden und konservative PolitikerInnen von aus Moskau gesteuerten Manipulationen der Wahlen im September 2016. Bundes\u00adtags-Vizepr\u00e4sidentin Petra Pau war in der letzten Legislaturperiode Vorsitzende der Kommission f\u00fcr Informations- und Kommunikationstechnik des \u00c4ltestenrates. Dirk Burczyk befragte sie zu dem Hackerangriff und zur Rolle des Bundesamtes f\u00fcr Verfassungsschutz (BfV) bei dessen Aufkl\u00e4rung.<\/strong><\/p>\n Frau Pau, zun\u00e4chst meinen Gl\u00fcckwunsch zur Wiederwahl in den Bundes\u00adtag. Die Wahl ist sicherlich nicht so ausgegangen, wie viele erhofft haben, aber immerhin ohne Manipulationsversuche. Wenige Wochen vor der Wahl, am 20. Juni 2017, hatte der Tagesspiegel getitelt: \u201eHacker w\u00e4hlt mit\u201c. In dem Artikel zeigte sich ein Abgeordneter des Bundestages sicher, die im Juni 2015 gehackten Daten w\u00fcrden vor der Wahl auftauchen, und die Entscheidung dar\u00fcber falle in Moskau. Das deckt sich auch mit vielen Aussagen von BfV-Pr\u00e4sident Hans-Georg Maa\u00dfen. Nun ist nichts passiert \u2013 sind Sie \u00fcberrascht? <\/em><\/p>\n Pau: Ich wei\u00df ja nicht, wer welche Glaskugel befragt hat, jedenfalls wissen wir bis heute nicht, welche Daten, mit welchem Inhalt damals bei dem Hackerangriff wirklich abgeflossen sind, bevor er bemerkt wurde und die Schleusen geschlossen wurden. Insofern m\u00fcsste man immer damit rechnen, dass \u2013 wer immer in den Besitz dieser Dinge gekommen ist \u2013 sie gegebenenfalls zu einem gewissen Zeitpunkt ver\u00f6ffentlicht. Ich kann nicht sagen, welcher Qualit\u00e4t diese Daten sind und wie weit dort pers\u00f6nliche Informationen \u00fcber Kolleginnen und Kollegen oder ihre Schwerpunktsetzung oder Einsch\u00e4tzungen oder Kalendereintr\u00e4ge von l\u00e4ngst abgelaufenen Terminen oder was sonst noch enthalten sind. Also das kann ich alles nicht sagen. Und die Kolleginnen und Kollegen, die betroffen waren, soweit das feststellbar ist, sind damals dar\u00fcber in Kenntnis gesetzt worden und haben selbst f\u00fcr sich entschieden, dass sie das selbst nicht \u00f6ffentlich machen. Mein Eindruck ist, dass wir es in diesem Wahlkampf weniger mit einer Bedrohung durch l\u00e4ngst abgeflossene Daten zu tun hatten, sondern mit v\u00f6llig neuen Formen der Beeinflussung der \u00f6ffentlichen Meinung oder auch der Meinungsbildung durch bots und \u00e4hnliche Dinge. Das muss man aber deutlich von den tagt\u00e4glich, besser gesagt st\u00fcndlich stattfindenden Angriffen auf IT-Systeme unterscheiden. Von denen sind wir alle, nicht nur der Deutsche Bundestag betroffen. Und da ist mein Eindruck, es ist uns gelungen, nach diesem tats\u00e4chlich schwerwiegenden Ereignis die Sicherung im Bundestag zu h\u00e4rten, ohne dass man f\u00fcr die Zukunft so etwas vollst\u00e4ndig ausschlie\u00dfen kann. Absolute Sicherheit gibt es auch in diesem Bereich nicht.<\/p>\n Das BfV hat nat\u00fcrlich ein gro\u00dfes Gewese \u00fcber seine Hinweise auf die Quelle der Angriffe und seine Erkenntnisse dazu gemacht. Sch\u00fctzt das BfV seine Quellen oder seine Defizite bei der F\u00e4higkeit, solche Angriffe \u00fcberhaupt erkennen und richtig zuordnen zu k\u00f6nnen?<\/em><\/p>\n Als im Pr\u00e4sidium des 18. Bundestages Verantwortliche f\u00fcr das Thema Sicherheit der Bundestags-IT f\u00fchle ich mich durch das Bundesamt f\u00fcr Verfassungsschutz in keiner Weise aufgekl\u00e4rt \u00fcber tats\u00e4chliche Erkenntnisse zur Identit\u00e4t und zum Charakter der Angreifer. Es ist immer die Rede davon, dass die Angriffe von Servern ausgegangen sind, welche in Russland ihren Sitz haben. Es wird \u00f6ffentlich kolportiert, dass sich auch Nachrichtendienste dieser Angriffsmuster bedienen, aber weder mir noch den anderen zust\u00e4ndigen Abgeordneten in den zust\u00e4ndigen Gremien sind dazu ansonsten Beweise oder handfeste Hinweise vorgelegt worden.<\/p>\n Spricht nicht unbedingt f\u00fcr das Bundesamt f\u00fcr Verfassungsschutz und seine F\u00e4higkeit, Angriffe und AngreiferInnen erkennen und richtig zuordnen zu k\u00f6nnen. Umso vehementer wurde dem Bundestag vom Bundesamt f\u00fcr Verfassungsschutz vorgeworfen, nicht zu kooperieren. <\/em><\/p>\n Um das ein f\u00fcr alle Mal zu sagen: Nachdem wir diesen Angriff festgestellt hatten und gleichzeitig aus dem f\u00fcr die Datensicherheit zust\u00e4ndigen Bundesamt f\u00fcr die Sicherheit in der Informationstechnik (BSI) uns entsprechende Hinweise zu derzeit g\u00e4ngigen Angriffsmustern erreichten, haben wir uns der Hilfe von Expertinnen und Experten des BSI bedient. Und zwar nicht nur in der akuten Lage, sondern \u00fcber ein Jahr lang, nachdem der Angriff bereits abgewehrt war und es um die H\u00e4rtung der Systeme ging. Da wurden auch dritte, externe Partner in Anspruch genommen. Betroffene Kolleginnen und Kollegen haben eigenst\u00e4ndig entschieden, inwieweit sie den Ermittlungsbeh\u00f6rden, also dem Bundeskriminalamt, und gegebenenfalls auch dem f\u00fcr die Spionageabwehr zust\u00e4ndigen Verfassungsschutz, ihre betroffene Hardware zur Auswertung \u00fcbergeben. Das k\u00f6nnen und m\u00fcssen die Abgeordneten f\u00fcr sich entscheiden. Aber wir haben keine Veranlassung gesehen, einem Nachrichtendienst zu erlauben, die IT-Systeme des Deutschen Bundestages von innen in irgendeiner Weise zu betrachten, zu begutachten. Wir sind hier auch verpflichtet, die Kolleginnen und Kollegen und nat\u00fcrlich das Verfassungsorgan Bundestag auch in seiner Mandatsaus\u00fcbung und seiner Unabh\u00e4ngigkeit zu sch\u00fctzen, und Geheimdienste sind und bleiben f\u00fcr mich Fremdk\u00f6rper in einer Demokratie. Und die haben weder in den Daten der frei gew\u00e4hlten Abgeordneten etwas zu suchen noch der ihnen zur Hand gehenden Bundestagsverwaltung. Das haben wir \u00fcbrigens ein\u00adm\u00fctig im Pr\u00e4sidium des Deutschen Bundestages auch so beschlossen, dass wir nat\u00fcrlich mit ermittelnden Beh\u00f6rden kooperieren, dass das auch in unserem Interesse ist, aber dass wir die eigenen internen Systeme nicht den Nachrichtendiensten in irgendeiner Weise offen legen.<\/p>\n Vermuten Sie noch eine andere Agenda hinter dem Agieren des Verfassungsschutzpr\u00e4sidenten? Es gibt ja die Konkurrenz von BfV und BSI gerade im Bereich der Cyber-Sicherheit.<\/em><\/p>\n Es ist ja kein Geheimnis, dass die LINKE das BSI sich sehr viel unabh\u00e4ngiger vom Bundesinnenministerium, aber nat\u00fcrlich auch sehr viel unabh\u00e4ngiger von der Zusammenarbeit mit den Nachrichtendiensten w\u00fcnscht. Es ist ja vollkommen widersinnig, dass unter dem Dach des Bundesinnenministeriums die eine Beh\u00f6rde an der Behebung von Schwachstellen in IT-Systemen arbeitet, und die anderen Beh\u00f6rden suchen gerade solche Schwachstellen, um da mit ihren Trojanern oder sonst was reinzukommen. Das ist das eine. Das andere: Der Pr\u00e4sident des Bundesamtes f\u00fcr Verfassungsschutz hat seine Vorw\u00fcrfe in Richtung Bundestag sehr pers\u00f6nlich an mich adressiert. Daher vermute ich, dass es da eher um andere Rechnungen ging, die wir miteinander offen haben. Ich bin nach wie vor der Auffassung, dass der Verfassungsschutz nicht die richtige Beh\u00f6rde ist, um die Gefahrenabwehr zu betreiben und im Zweifelsfall immer der Quellenschutz und der Schutz der Arbeitsweise der Geheimdienste vor der Aufkl\u00e4rung auch von schwersten Straftaten gehen. Das haben wir im NSU-Komplex erlebt, das erleben wir beim Thema NSA, und ich habe den Eindruck auch hier in diesem Zusammenhang. Um das mal zu bebildern: Wir hatten im vergangenen Jahr immer wieder Versuche von Angriffen auf unsere IT-Systeme, so wie das jedes Unternehmen und jede Privatperson erlebt. Es gab ein Angriffsmuster, welches nicht erfolgreich war, welches uns aber auffiel, also den Expertinnen und Experten hier in der Bundestagsverwaltung. Wir haben diesen Angriff gesetzeskonform dem BSI gemeldet, dar\u00fcber erreichte das ebenfalls nach den gesetzlich vorgesehenen Meldewegen das Bundesamt f\u00fcr Verfassungsschutz. Und dann meldete sich der Verfassungsschutz hier bei der Bundestagsverwaltung und bot Beratung an. Beratung nehmen wir selbstverst\u00e4ndlich immer gerne an. Ich war Zeugin dieser Beratungssitzung, weil ich dachte, vielleicht lernst du noch etwas. Es stellte sich heraus, dass wir nicht vom Bundesamt f\u00fcr Verfassungsschutz Informationen dar\u00fcber bekamen, welche Kenntnisse zu dem Angriffsmuster ihnen zur Zeit gerade bekannt sind und worauf man achten muss, sondern sie wollten eigentlich von uns Informationen haben, was wir gerade festgestellt haben und wie wir damit umgehen \u2013 und das verbunden mit einem Blick in unsere Systeme. Ich gehe davon aus, dass da ein hoch bezahlter Experte einen Tag lang einen Ausflug in den Deutschen Bundestag machen durfte, um uns zu erkl\u00e4ren, dass er uns auch nicht sagen kann, wer hinter diesem gerade neu auftauchenden Muster steckt.<\/p>\n Mir ist aufgefallen, dass in der \u00f6ffentlichen Debatte durchaus festgehalten wurde: Der Bundestag hat was getan, um seine Systeme gegen weitere Angriffe zu h\u00e4rten, wurde dabei aber nicht nur vom BSI unterst\u00fctzt oder beraten, sondern auch von einer privaten Firma. Ist das problematisch, oder haben wir uns einfach darauf einzustellen, dass \u00f6ffentliche Einrichtungen auf lange Sicht von privaten Unternehmen abh\u00e4ngig bleiben, um die Sicherheit ihrer Informationstechnik zu gew\u00e4hrleisten?<\/em><\/p>\n Also um das einmal deutlich zu sagen: Die IT-Sicherheit wird durch hier im Haus angestellte Mitarbeiterinnen und Mitarbeiter der Bundestagsverwaltung gesichert. Ja, wir haben uns der Hilfe einer externen Firma beim Aufsetzen von eigenen und auch von der Bundestags-IT betriebenen Sicherheitssystemen versichert. Und ja, ich glaube, keine \u00f6ffentliche Verwaltung kann sich ein solches Fachpersonal, welches sich auch st\u00e4ndig weiterentwickeln muss, nur f\u00fcr den Fall der F\u00e4lle vorhalten. Das hei\u00dft, wir haben eine zertifizierte Firma um partielle Dienstleistungen gebeten. Ich glaube, das ist vertretbar. Aber ansonsten werden alle Systeme von der Bundestagsverwaltung selbst betrieben. Im \u00dcbrigen habe ich in der vergangenen Legislaturperiode auch ein anderes \u2013 lange von mir verfolgtes \u2013 Ziel mit Hilfe des gesamten Pr\u00e4sidiums erreichen k\u00f6nnen: Wir haben einen Gro\u00dfteil der Dienstleistungen f\u00fcr die einzelnen Abgeordneten wieder ins Haus holen k\u00f6nnen, wenn es um Unterst\u00fctzung geht bei t\u00e4glichen Problemen. Da geht es nicht um Hackerangriffe, sondern um die technische Unterst\u00fctzung im Alltag der Abgeordneten. Daneben w\u00fcrde ich auch gern noch mal was anderes sagen. Neben der H\u00e4rtung der Systeme \u2013 was nat\u00fcrlich immer ein Wettlauf von Hase und Igel ist, wenn wir wissen, dass wir es hier mit Kriminalit\u00e4t zu tun haben \u2013 haben wir sehr viele Ma\u00dfnahmen ergriffen, um innere Gef\u00e4hrdungsm\u00f6glichkeiten auszuschlie\u00dfen. Das erste ist die sensible Nutzung von IT. Damit sind die Abgeordneten genauso gemeint wie die Mitarbeiterinnen und Mitarbeiter. Nun kann ich den Abgeordneten nicht vorschreiben, wie sie das Mandat aus\u00fcben und wie Informationen, die vielleicht von B\u00fcrgerinnen und B\u00fcrgern kommen, auch auf die IT-Sicherheit gepr\u00fcft werden \u2013 also der ber\u00fchmte USB-Stick, den ich in der Post finde, mit angeblich ganz brisanten oder geheimen Sachen drauf. Wenn Abgeordnete sich den auf den vom Bundestag zur Verf\u00fcgung gestellten Ger\u00e4ten ansehen und gegebenenfalls damit selbst die Systeme gef\u00e4hrden. Wie gesagt, ein hoch sensibles Thema, hier geht es um die freie Aus\u00fcbung des Mandats. Aber f\u00fcr die Mitarbeiterinnen und Mitarbeiter der Bundestagsverwaltung sind Sensibilisierungskampagnen, Schulungen und anderes seit vergangenem Jahr verpflichtend, und das werden wir jetzt auch den neu eingezogenen und alten Abgeordneten mitteilen. Es gibt das Angebot f\u00fcr jedes MdB-B\u00fcro, dass alle Mitarbeiterinnen und Mitarbeiter an einer solchen Sensibilisierungsschulung teilnehmen. Da geht es um einfachste Vorkehrungen, also beispielsweise den USB-Stick eben nicht einfach reinzustecken, sondern zun\u00e4chst mal pr\u00fcfen zu lassen. Allen muss immer klar sein, dass es um den Schutz pers\u00f6nlicher wie dienstlicher Daten geht und darum, auf diese Weise auch die eigenen Systeme in irgendeiner Art und Weise zu sch\u00fctzen.<\/p>\n Das w\u00e4re dann also das Pl\u00e4doyer, die Frage nach den M\u00f6glichkeiten einer H\u00e4rtung von Systemen in den Vordergrund zu stellen und nicht, wie organisieren wir den hack-back und wie kommen wir zu den entsprechenden Ressourcen? Das hatte ja die Bundesregierung in ihrer \u201eCyber-Sicherheitsstrategie\u201c vom vergangenen Fr\u00fchjahr in den Mittelpunkt ger\u00fcckt.<\/em><\/p>\n V\u00f6llig klar. Ich bin da sehr optimistisch, egal ob ich mich da jetzt weiter um dieses Feld k\u00fcmmere oder ob jemand anderes das \u00fcbernimmt. Ich denke, dass wir im Bundestag jetzt gut aufgestellt sind. Um das auch mal zu sagen: Ja, es gab diesen gro\u00dfen Angriff, aber es ist keiner der anderen, auch der hier laufenden sensiblen Bereiche, in irgendeiner Weise in Mitleidenschaft gezogen worden. Also wir debattieren als Innenpolitikerinnen und \u00a0Innenpolitiker \u00fcber sensible Infrastrukturen von Energieversorgung bis sonst irgendwas. Es gibt selbstverst\u00e4ndlich im Bundestag nicht nur das Intranet, sondern auch IT-gest\u00fctzt andere sensible Bereiche, \u00fcber die selbstverst\u00e4ndlich jetzt nicht breit in der \u00d6ffentlichkeit gesprochen wurde. Aber auch die haben wir im Zuge all dieser Ma\u00dfnahmen \u00fcberpr\u00fcft bis hin zu den Bereichen, die wir zwar gerne noch weiter einschr\u00e4nken wollten, also die im Geheimschutzbereich liegen. Falls es also jemandem gelingt, \u00fcber die Abgeordneten-IT hier ins interne System zu kommen, kommt er auf die Art und Weise nicht an Staatsgeheimnisse. Durch solche relativ einfachen Ma\u00dfnahmen, innerhalb des gesamten Systems einzelne Bereiche voneinander abzuschotten und eine Bewegung von Angreifern innerhalb des Systems einzud\u00e4mmen, ist deutlich mehr geholfen als durch irgendwelche staatlichen Hackerfantasien.<\/p>\n","protected":false},"excerpt":{"rendered":" Interview mit Petra Pau Seit dem Angriff auf die IT-Systeme des Bundestags 2015 raunten Sicherheitsbeh\u00f6rden<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[152,119],"tags":[339,351,416,735,803,1064],"class_list":["post-18801","post","type-post","status-publish","format-standard","hentry","category-artikel","category-cilip-114","tag-bundesamt-fuer-verfassungsschutz","tag-bundestag","tag-datenschutz","tag-hackerinnen","tag-it-sicherheit","tag-petra-pau"],"_links":{"self":[{"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/posts\/18801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18801"}],"version-history":[{"count":0,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/posts\/18801\/revisions"}],"wp:attachment":[{"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}