Fast zehn Jahre ist es her, seit sich Fancybear den Bundestag vorknöpfte. Die Hacker-Gruppe im Auftrag des russischen Nachrichtendienstes GRU verschickte gefälschte E-Mails, besorgte sich Admin-Passwörter, vergrub ihre Spionagesoftware tief in die Server von Fraktionen, Parteien und Stiftungen.
Damals war die Aufregung riesig. Die Panik ging um vor manipulierten Bundestagswahlen, vor geleakten Geheimdokumenten, vor peinlichen Mails und Gesprächsfetzen in der Öffentlichkeit. Die Techies und IT-Sicherheitsexpertinnen der Republik kritisierten wütend die naive Sorglosigkeit der politischen Eliten. Und diese versprachen pflichtbewusst: härtere Systeme, technische Ausbildung, mehr Bewusstsein und institutionelle Auffangnetze gegen die digitale Bedrohung. Cyber, Cyber, Cyber!
Dieses Wochenende nun hat gezeigt: Pustekuchen. Nach dem neuen peinlichen Leak eines sensiblen Gesprächs hoher deutscher Generäle über den Taurus-Marschflugkörper fragen schon wieder alle: Wie konnte das passieren? Gelernt hat offensichtlich niemand etwas. Fast zehn (!) Jahre nach dem Angriff auf den Bundestag wirkt die ganze Aufregung geradezu befremdlich. Stattdessen kann Wladimir Putin die Bundesregierung nach Belieben vor sich her treiben und bloßstellen. Sogar den deutschen Botschafter hat er einbestellt wegen des angeblichen Taurus-Aufregers. Die Telegramm-Troll-Kanäle der Russlandversteher laufen heiß. Statt mit Putin streiten die Deutschen mit sich selbst.
Die beteiligten Generäle mögen dabei ungeschickt gehandelt haben, schuld sind sie aber nur bedingt. Gerade im Hochsicherheitsbereich muss das System seine User schützen. Die Luftwaffenoffiziere sollten gar nicht erst auf die Idee kommen, einen geheimen Conference-Call über Plattformen wie Webex zu organisieren. Zumal bei einem hoch geschulten und gerüsteten Gegner, der jede Unaufmerksamkeit sieht und gnadenlos auszubeuten versucht.
Schludrige IT-Sicherheit der Bundesregierung
Solange die Bundesregierung Sicherheit nicht als zentralen Service für alle ihre Beteiligten begreift – von der Abgeordneten bis zum General – ist das ein massives Problem. Es braucht ein System, das seinen Usern attraktive Angebote macht, etwa in Form von Videokonferenzen, und gleichzeitig schützt. Solange es das nicht gibt, wird sich der Leak-Zirkus immer und immer wiederholen. Die Techies der Republik werden die naive Sorglosigkeit in Berlin kritisieren und auf der anderen Seite wird man markig Besserungen versprechen. Bis zum nächsten Mal.
Dabei hatte das Kanzleramt bereits vor einem Jahr eigentlich doch sogar eine Taskforce eingesetzt, um sich um eine bessere Verschlüsselung der Kommunikation zu kümmern. Schon im ersten Kriegsjahr hatte der Bundesrechnungshof dazu deutlich die schludrige IT-Sicherheit der Bundesregierung als „nicht hinnehmbar“ kritisiert.
Geändert hat das alles offensichtlich wenig. Noch immer ist das Organigramm der deutschen IT-Sicherheitsbehörden ein regelrechter Flickenteppich an Zuständigkeiten. Die nötige Expertise ist zwar da, die Bundeswehr selbst hat mit dem Kommando CIR einen eigenen militärischen Organisationsbereich für die IT. Offensichtlich kommt das alles aber nicht dort an, wo es hinmuss: beim User. Das bittere Ergebnis: Deutschland ist ein Hochrisikoland. Für sich und seine Partner.
Lesen Sie auch: Neue IT-Sicherheitsregeln sollen kritische Infrastrukturen besser gegen Cyberangriffe sichern. Doch Bund und Länder wollen ausgerechnet die von Hackern stark attackierten Kommunen von den Vorgaben ausnehmen.
Dieser Beitrag entstammt dem WiWo-Newsletter Daily Punch. Der Newsletter liefert Ihnen den täglichen Kommentar aus der WiWo-Redaktion ins Postfach. Immer auf den Punkt, immer mit Punch. Außerdem im Punch: der Überblick über die fünf wichtigsten Themen des Tages. Hier können Sie den Newsletter abonnieren.