Wir veröffentlichen Dokumente zum Bundestagshack: Wie man die Abgeordneten im Unklaren ließ

CC-BY-SA Jürgen Matern / Wikipedia

Im Sommer 2015 hat der Bundestagshack immer wieder die Medien dominiert. Gesicherte Tatsachen hat die Öffentlichkeit nur wenige erfahren. Im Bundestag selbst sah das nicht viel besser aus, das zeigen Protokolle der IuK-Kommission des Bundestages, die wir hier in Recherche-Kooperation mit dem Linux-Magazin veröffentlichen. Sie zeigen, wie die IT-Abteilung des Bundestags mit dem Angriff überfordert war, wie problematische Entscheidungen zur Einbeziehung Dritter über die Köpfe von Abgeordneten hinweg getroffen wurden und wie Informationen an die IuK-Kommission, zuständig für den „Einsatz neuer Informations- und Kommunikationstechniken und -medien“, und den Rest der Abgeordneten und Mitarbeiter nur unzureichend kommuniziert wurden.

Was im letzten Sommer geschah

Am 15. Mai berichtete zuerst der Spiegel darüber, dass der Deutsche Bundestag Opfer eines Hackingangriffs geworden ist. Zu diesem Zeitpunkt lief die Attacke bereits über zwei Wochen. Wir konnten mittels geleakter Protokolle aus der IuK-Kommission und weiterer Dokumente – alle unten im Volltext – die Ereignisse und Erkenntnisse, über die bereits berichtet wurde, ergänzen und sortieren und haben sie für einen schnellen Überblick zusätzlich in einer Zeitleiste dargestellt.

Am 30. April, so schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI), hat der Angriff auf den Bundestag begonnen, doch schon zuvor war einer der Server aufgefallen, an den später Daten aus dem Parlamentsnetz abflossen. Am 13. April sei die Adresse eines „vom Bundesamt für Verfassungsschutz (BfV) als verdächtig angesehenen Servers im IVBB gesperrt worden“. Der IVBB – der „Informationsverbund Berlin-Bonn“ – ist der Kommunikationsverbund für die obersten Bundesbehörden, darunter Bundesministerien und Kanzleramt. Der Bundestag betreibt seine eigene Infrastruktur und wurde bei Sperrung des Servers im IVBB nicht gewarnt.

Über mögliche Einfallstore berichtet Dirk Häger vom BSI in der Sitzung der IuK-Kommission vom 11. Juni

[…] dass keine Kenntnisse zum Ersteinstieg in das Netz des Bundestages vorlägen. Als mögliche Ausgangspunkte werden jedoch entweder eine E-Mail mit einem Link auf ein Schadprogramm oder der Aufruf einer entsprechend manipulierten Webseite vermutet.

"mimikatz is a tool I've made to learn C and make somes experiments with Windows security."
mimikatz is a tool I’ve made to learn C and make somes experiments with Windows security.“ – sagt der Entwickler

Zu diesem Zeitpunkt war bereits klar, dass die Angreifer über einen Abgeordnetenrechner in das Netz eingebrochen waren. Mit dem Open-Source-Tool mimikatz haben sie sich am 5. Mai Zugang zu Passwörtern verschafft, auch von Admins. Am 6. Mai waren sie in der Lage, auf andere Server zuzugreifen, am 7. Mai haben sie zum ersten Mal versucht, eine Datei zu übertragen. Das ist zunächst gescheitert – die Datei war zu groß.

Ein Mitarbeiter des BSI drückt das am 2. Juli beunruhigend aus:

Nach dem darauf folgenden Wochenende [des geschätzten Erstangriffs] seien die Täter bereits in der Lage gewesen, sich frei im Netz zu bewegen. Insgesamt sei es den Angreifern gelungen, 5 der 6 Accounts der Domänenadministratoren der Bundestagsverwaltung zu kompromittieren und zu nutzen.

Erste Hinweise nicht ernstgenommen

Die ersten Hinweise, dass etwas im Bundestag nicht stimmt, kamen am 8. Mai auf. Bundestagsmitarbeiter hatten bei der Bundestags-IT Vermutungen eines Trojanerbefalls geäußert, doch man nahm die Sache nicht so richtig ernst. Es habe sich „zunächst um Untersuchungen im Rahmen des Alltäglichen“ gehandelt.

Erst als der Verfassungsschutz sich am 12. Mai meldete, begann man zu begreifen, dass man es nicht mit einem der tagtäglich stattfindenden Standardangriffe zu tun hat. Das BfV meldete sich bei der Geheimschutzstelle des Bundestags, nach eigenen Angaben habe man Informationen aus dem Ausland zu auffälligen Datenverkehren aus dem Bundestag bekommen. Die Geheimschutzstelle informierte daraufhin das Bundestagsreferat für IT-Sicherheit. Auch das BSI und das Cyberabwehrzentrum wurden vom BfV in Kenntnis gesetzt.

Woher die Informationen aus dem Ausland stammten, verriet das BfV nicht. In einer Sitzung des Verteidigungsausschusses am 22. Februar erwähnte Thomas Rid vom King’s College London überraschenderweise fast nebenbei, dass ein britisches Unternehmen das BfV informiert habe. Ein Kunde des Unternehmens habe sich über die deutschen Daten auf den eigenen Servern gewundert.

Ab dem 15. Mai begann man mit dem Versuch, das Problem zu lösen. Neben Analysetätigkeiten begann man, „möglichst viele“ Internetzugriffe aus dem Bundestag über den IVBB zu leiten. Da dessen Bandbreite von 1 Gb/s nicht ausreichte, betraf das an Werktagen nur einen Teil, an Wochenenden aber den gesamten http- und https-Verkehr.

Die Problembehebung fand ihren Höhepunkt in der viertägigen Netzabschaltung und Server-Erneuerung während der Sommerpause 2015. Doch die Bundestags-IT war zu schwach, um den Angriff allein abzuwehren. BSI, BfV und externe Unternehmen wurden zu Hilfe geholt.

Besonderheiten der Gewaltenteilung

Nicht unproblematisch - Einbeziehung des Verfassungsschutzes in die Untersuchung des Bundestagshacks
Nicht unproblematisch – Einbeziehung des Verfassungsschutzes in die Untersuchung des Bundestagshacks

Dass in die Untersuchung des Bundestagshacks BSI, BfV und externe Firmen einbezogen wurden, war in der gegebenen Situation unvermeidlich, ist jedoch nicht unproblematisch. Denn der Bundestag betreibt aufgrund der Gewaltenteilung eine eigene Infrastruktur.

In der 7. Sitzung der IuK-Kommission weist Konstantin von Notz, stellvertretendes Mitglied der Grünen in der IuK-Kommission, darauf hin:

Durch die Rechtstellung des Deutschen Bundestages sei die Einbindung von Behörden der Exekutive – auch zur Abwehr von Cyberangriffen – juristisch grundsätzlich kein triviales Unterfangen. Dies habe nichts mit den als ehrenwert anerkannten guten Fachleuten zu tun. Hier gehe es um die verfassungsmäßig bewusst gewollte Gewaltenteilung. Er weist darauf hin, dass der Bundestag eine eigene Polizei habe, nicht weil der Berliner Polizei misstraut werde sondern als Zeichen seiner besonderen Rechtsstellung.

Abgeordnete der Linksfraktion lehnten besonders eine Beteiligung des Verfassungsschutzes ab. Petra Sitte, Parlamentarische Geschäftsführerin der Linken, sprach sich gegen eine Beteiligung des BfV aus. Sie forderte im Juni 2015 in der FAZ, dass „der Bundestag Herr des Verfahrens zur Aufklärung bleibt“ und das Parlament umfassend darüber informiert wird, „wer wann und wie an der Aufklärung beteiligt ist“.

Da viele Mitglieder der Linken in der Vergangenheit vom Verfassungsschutz beobachtet wurden, ist die Skepsis, den Verfassungsschutz an die eigenen Rechner zu lassen, verständlich. Doch gegen eine Beratung – im Gegensatz zu eigenen Ermittlungen – durch das BfV sprach man sich nie aus.

Vor vollendete Tatsachen gestellt

Viele Missverständnisse diesbezüglich hätten vermieden werden können, wenn die Bundestagsmitglieder besser informiert worden wären. Stattdessen wurde man oft vor vollendete Tatsachen gestellt. So erhielten am 10. Juni die Mitglieder der IuK-Kommission einen Aktenvermerk.

Dieser gehe auf ein Angebot von Herrn Dr. Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV), zurück, den Deutschen Bundestag bei Maßnahmen zur Abwehr des Angriffs auf das IT-System des Deutschen Bundestages zu unterstützen sowie im Rahmen der Zuständigkeit seiner Behörde entsprechende eigene Aktivitäten zu entfalten.

Aus dem Aktenvermerk von einer Besprechung am 5. Juni zwischen Vertretern der Bundestagsverwaltung und dem BfV geht hervor, dass das BfV den Bundestag um Zustimmung bittet, „dass Erkenntnisse […] vom BSI dem BfV zur Verfügung gestellt werden dürfen, um in die Analyse Informationen einfließen zu lassen, die dem BSI aufgrund seiner technischen Ausrichtung nicht zur Verfügung stünden“. Dabei versichert das BfV gleich mit, …

[…] dass es generell keine Werkzeuge nutzt, die im inneren Netz der betroffenen Institution eingesetzt werden können oder sollen. D. h. das BfV will und wird keinen Zugriff auf Rechner des Parlakom-Netzes im Deutschen Bundestag sowie den Netzen der Fraktionen erhalten.

Die Mitglieder der IuK-Kommission bekamen jedoch nicht die Möglichkeit, darüber zu beraten. In der Sitzung am 11. Juni war bereits alles geregelt, das BSI hat das BfV über den Angriff informiert – „in einer als geheim eingestuften Unterlage“.

Die Bundesdatenschutzbeauftragte war nicht einbezogen als es darum ging, dass Dritte beteiligt werden, denn auch sie ist „aufgrund des verfassungsrechtlichen Gewaltenteilungsgrundsatzes“ nicht mit der Kontrolle des Bundestages betraut. Gegenüber netzpolitik.org äußerte sich ihre Behörde dennoch:

Ganz grundsätzlich gilt, dass die Einbeziehung von Dritten in die Analyse des Bundestags-Hacks aus datenschutzrechtlicher Sicht nicht ausgeschlossen ist. Es ist allerdings erforderlich, eine mögliche Kenntnisnahme oder Weiterleitung von personenbezogenen Daten datenschutzkonform auszugestalten. Hierzu können beispielsweise Vereinbarungen zur Auftragsdatendatenverarbeitung und Übereinkünfte zur Vertraulichkeit von Analysen und deren Ergebnissen geschlossen werden.

Unseren Informationen zufolge bekamen Abgeordnete auf Nachfragen nach den genauen Umständen, rechtlichen Grundlagen und Implikationen einer Einbeziehung von BSI, BfV und Dritten nur unbefriedigende Antworten.

Auf fremde Hilfe angewiesen

Es ist sehr deutlich, dass der Bundestag nicht im Stande war, den Angriff ohne fremde Hilfe abzuwehren. Aber auch das BSI schaffte es nicht ohne Unterstützung. Etwa 15 Mitarbeiter mit der entsprechenden Kompetenz seien im BSI beschäftigt, teilte BSI-Präsident Michael Hange den Mitgliedern der IuK-Kommission mit, doch nicht alle konnten mit dem Bundestagsangriff befasst werden, denn der Schutz der Regierungsnetze durfte nicht komplett vernachlässigt werden.

Zu Beginn der Voranalysen am 16. Mai waren drei Mitarbeiter des BSI und zwei Mitarbeiter der IT-Sicherheitsfirma BFK aus Karlsruhe im Einsatz. Später wuchs die Zahl der ingesamt eingesetzten BSI-Mitarbeiter auf zehn und man bezog einen „Spezialist der T-Systems für das Active Directory“ hinzu.

Der Geschäftsführer von BFK sah den Angriff als nicht besonders schwerwiegend an, zumindest kommentierte er im Juni 2015, es sei „kein allzu großer Fall. Die Aufregung ist nur so groß, weil es um den Bundestag geht. Aber in der Industrie gibt es viel größere Fälle.“

Bedenkliche (Des)Informationspolitik

Abgesehen von der Beteiligung von BfV und Co. wurden auch in weiteren Aspekten Informationen nur unzureichend weitergegeben. In den Sitzungen der IuK-Kommission drücken Abgeordnete immer wieder ihren Unmut darüber aus. Am 15. Mai, als die Analysearbeiten starteten, wurden alle Rechner im Bundestag mit der Vorwarnzeit von einer Minute heruntergefahren. Der CSU-Abgeordnete Reinhard Brandl drückte sich in einer Sitzung hochgradig diplomatisch aus:

Er bemängelt jedoch kommunikative Defizite am Freitag, dem 15.5.2015, an dem alle Rechner im Bundestag heruntergefahren worden seien. Der kurze und einzige Hinweis, dass der Rechner in einer Minute heruntergefahren werde, sei nicht ausreichend. Eine Vorwarnung in solchen Fällen, etwa von 5 Minuten, sei wünschenswert.

iuk_verunsicherung

Lars Klingbeil von der SPD äußerte in der gleichen Sitzung, er habe „im Kollegenkreis ein gewisses Maß an Verunsicherung registriert“. Eine Frage, die die Abgeordneten besonders interessierte, ist die nach dem Ziel der Angreifer. Sind Daten aus dem NSA-Untersuchungsausschuss abgeflossen, sind nur bestimmte Abgeordnete betroffen, wie viele Daten wurden ausgeleitet? Am Anfang war die Rede davon, dass gezielt nach Outlook-Maildateien und Office-Dokumenten gesucht wurde. Im Abschlussbericht des BSI wurden auch Keylogger und Programme zum Erstellen von Screenshots erwähnt. Insgesamt seien etwa 16 GB an Daten abgeflossen.

Presse „weiß“ mehr als Abgeordnete

Viele weisen darauf hin, dass sie ihre Informationen primär aus der Presse beziehen mussten. Für die IuK-Kommission, das federführend mit dem Vorfall befasste Gremium, ist das hochproblematisch. Und so richtete sich der Unmut nicht allein gegen die mangelnde Eigeninformation, sondern auch gegen die besser informierte Presse. Steffi Lemke richtete in der Sitzung am 21. Mai die Frage an Ex-BSI-Präsident Michael Hange inwieweit er „das Kommunikationsverhalten seiner Mitarbeiter und der beteiligten Firma im Griff habe“. Hange dementierte die Vorwürfe, das BSI informiere die Öffentlichkeit nicht von sich aus:

Die Pressemeldungen stimmten zudem in Teilen nicht. So träfen beispielsweise die Nachrichten, dass es sich um einen DDoS-Angriff handele, nicht zu. Er führt ergänzend aus, dass mit Informationen zu Cyberangriffen auf Firmen und Behörden auch deshalb vertraulich umgegangen werde, damit diese nicht durch Presseveröffentlichungen zusätzliche Schäden erleiden würden und zusätzlich der Angreifer gewarnt werde.

In seinem Abschlussbericht kritisierte das BSI nochmals die Informationsweitergabe an die Presse, der Angreifer sei frühzeitig gewarnt worden und habe die Möglichkeit gehabt, seine Aktivitäten zu verschleiern.

Die um sich greifende Desinformation hätte verhindert werden können, findet Petra Sitte, stellvertretendes Mitglied der Linken in der IuK-Kommission:

Der Bundestag hat vergangenen Sommer zwar auf der technischen Ebene Fehler- und Ursachenanalyse betrieben, es aber versäumt, frühzeitig, schnell und transparent über die eigenen Erkenntnisse rund um den Angriff zu informieren. Dadurch erst war es möglich, dass entsprechende Gerüchte, Teilinformationen und Halbwahrheiten entstehen konnten, die die Geschehnisse mehr verschleierten als aufklärten. Die LINKE hat versucht, mit der Veröffentlichung der Analyse der Angriffe auf ihre eigenen Systeme (u.a. auf netzpolitik.org), hier für mehr Klarheit zu sorgen.

Wer war’s denn jetzt?

Seit Bekanntwerden des Angriffs zirkulierten Gerüchte über die Urheberschaft des Angriffs. Die Vermutungen konzentrierten sich auf Russland, wie auch der Spiegel Anfang Juni bekanntgab. Doch in den Protokollen der IuK-Kommission und dem Abschlussbericht des BSI sucht man vergeblich nach Hinweisen auf die Identität der Angreifer. Nur an einer Stelle taucht ein Anhaltspunkt auf. Ex-BSI-Präsident Michael Hange erklärte der IuK-Kommission am 2. Juli:

Das Muster des Angriffes und der Ausleitung von Daten entspräche dem bereits von anderen Stellen bekannten APT 28.

Das fand auch Claudio Guarnieri heraus, der unabhängig Rechner der Linksfraktion untersuchte und auf netzpolitik.org seinen investigativen Bericht veröffentlichte:

Die Zuordnung von Malware-Angriffen ist niemals leicht, aber im Laufe der Untersuchung habe ich Hinweise darauf gefunden, dass der Angreifer mit einer staatlich unterstützen Gruppe namens Sofacy Group zusammenhängt – auch bekannt als APT 28 oder Operation Pawn Storm.

Frühere Untersuchungen haben die Gruppe mit Russland in Verbindung gebracht. Einen gesicherten Beweis stellt das nicht dar. Dennoch hält sich die Zurechnung zu Russland hartnäckig. Mittlerweile geht man stark davon aus, dass die Angreifer einen Geheimdienst-Hintergrund haben. Daher hat im Januar 2016 – acht Monate nach Bekanntwerden des Angriffs – der Generalbundesanwalt Ermittlungen aufgenommen. Gegenüber netzpolitik.org bestätigte die Behörde:

Nach der grundgesetzlichen Kompetenzverteilung zwischen Bund und Ländern ist die Strafverfolgung grundsätzlich Sache der Länder. Nur in ganz besonderen Ausnahmefällen ist der Bundesanwaltschaft als Bundesbehörde die Strafverfolgung auf dem Gebiet des Staatsschutzes nach Maßgabe von Art. 96 Abs. 5 GG und § 120 GVG vorbehalten. […] Daher galt es zunächst zu prüfen, ob Anhaltspunkte für einen nachrichtendienstlichen Hintergrund des elektronischen Angriffs und mithin eine Straftat in der Zuständigkeit der Bundesanwaltschaft vorliegen. Die Bundesanwaltschaft hat deshalb nach Bekanntwerden des elektronischen Spähangriffs auf das IT-Netz des Deutschen Bundestags zunächst Vorermittlungen aufgenommen. Im Januar 2016 teilte das Bundesamt für Verfassungsschutz Erkenntnisse mit, aufgrund derer davon auszugehen ist, dass es sich um einen geheimdienstlich gesteuerten Angriff gehandelt haben könnte. Daraufhin hat die Bundesanwaltschaft am 15. Januar 2016 förmliche Ermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit gegen unbekannt aufgenommen.

Wie geht es weiter?

Trotz den im Laufe des letzten Jahres ergriffenen Maßnahmen ist die Absicherung der Bundestags-IT noch lange nicht abgeschlossen und wird wohl noch einige Monate andauern. Helge Winterstein, Leiter der Unterabteilung IT im Bundestag, gab in der 9. Sitzung am 10. September der IuK-Kommission bekannt, dass „noch nicht alle kurzfristigen Maßnahmen umgesetzt worden“ seien, außerdem werde es „leider nicht möglich sein, alle langfristigen Maßnahmen bereits in 2016 abzuschließen“. Für das Jahr 2016 habe man fünf zusätzliche Dienstposten und Mittel beantragt, um in Zukunft besser gewappnet zu sein. Aber, wie auch in den IuK-Sitzungen mehrfach betont: Absolute Sicherheit gegen Angriffe kann es nicht geben. Daher ist es wichtig, sie frühzeitig zu erkennen und genügend Kapazitäten vorzuhalten, sie abzuwehren.

Neben organisatorischen und personellen Maßnahmen ist gleichermaßen wichtig, dass auch die Abgeordneten ihr Verhalten anpassen und ein Bewusstsein dafür entwickeln, sich sicherer im Internet zu bewegen. Die IuK-Kommission hat dafür Maßnahmen beschlossen, die auch verdeutlichen, wie lax die IT-Sicherheit bisher gehandhabt wurde. „Sukzessive“ sollen die Passwörter für die Festplattenverschlüsselung auf Wahlkreisgeräten und Laptops auf mindestens acht Zeichen erhöht werden. Eine Empfehlung, die eigentlich bereits seit Jahren vom BSI gegeben wird. Auch, dass systematisch eine sichere Einbindung von Drittgeräten wie Smartphones und Tablets erfolgen soll, wirkt längst überfällig.

Konstantin von Notz ist, auch vor dem Hintergrund der Informationspolitik gegenüber Abgeordneten, skeptisch, ob alles Nötige unternommen wurde und wird. Er fordert, den Schutz der IT-Infrastruktur endlich ernst zu nehmen. In einem Statement gegenüber netzpolitik.org mahnte er an:

Der ganze Vorgang hat noch einmal verdeutlicht, wie schlecht es um den Schutz unserer IT-Infrastrukturen heute bestellt ist. Die Information der Abgeordneten war lange Zeit vollkommen unzureichend. […] Insgesamt wurde deutlich, dass das Verfassungsorgan Bundestag mit der Abwehr des Angriffs maßlos überfordert war und man auf Hilfe Dritter zurückgreifen musste. Diese Erkenntnis muss Folgen haben: Die IT des Bundestages muss grundlegend neu aufgestellt werden. Der Bundestag muss in die Lage versetzt werden, Angriffe eigenständig abzuwehren. […] Gleichzeitig müssen die Bemühungen zum Schutz unserer digitaler Infrastrukturen, nicht nur die des Bundestages, insgesamt dringend intensiviert werden. Auch die Bundesregierung muss endlich erkennen, wie wichtig der Schutz digitaler Infrastrukturen heute ist. Dass von ihr vorgelegte IT-Sicherheitsgesetz geht an den tatsächlichen Problemen völlig vorbei. Hier bedarf es sehr viel mehr Anstrengungen.

Fazit

Will man die Webseite der schwedischen Zeitung Flamman besuchen, wird man vom IVBB blockiert.
Will man die Webseite der schwedischen Zeitung Flamman besuchen, wird man vom IVBB blockiert.

Ob man durch den Bundestagshack gelernt hat, muss die Zukunft zeigen. Von außen wirkt es, als sei man in den Normalmodus zurückgekehrt, als wäre nichts geschehen. Obwohl – nicht ganz. Da das Bundestagsnetz immer noch zu Teilen über den IVBB geleitet wird, das mit 100.000 gesperrten Seiten etwa 20 Mal mehr Inhalte sperrt als das Bundestagsnetz es tat, stoßen Abgeordnete und Mitarbeiter immer wieder auf gesperrte Webseiten. Nicht alle davon sind gefährlich, auch die Seite der schwedischen, sozialistischen Tageszeitung Flamman ist nicht zugänglich. Will man dennoch darauf zugreifen, muss man zum Telefon greifen und die IT-Hotline informieren.

Wir werden den Vorgang weiter begleiten und sind gespannt auf die Ermittlungsergebnisse des Generalbundesanwalts. Über sonstige sachdienliche Hinweise durch die üblichen Kanäle freuen wir uns, genau wie über Spendenunterstützung, die uns so aufwändige Recherchen erst ermöglicht.

Statements

Hier noch einmal alle Statements, die wir bekommen haben, im Volltext. Auf viele Statements von Mitgliedern der IuK-Kommission warten wir aufgrund von Dienstreisen, Wahlkampf und Co. noch. Wir werden sie nachtragen, sobald sie uns vorliegen. Ein Statement der SPD wurde uns heute noch versprochen.

Bernhard Kaster, Obmann der Union in der IuK-Kommission sieht „keinen Antwortbedarf“, da „zu den von Ihnen aufgeworfenen Fragen insbesondere im vergangenen Sommer von den Fraktionen bereits hinreichend Stellung bezogen wurde.“

Petra Sitte, Parlamentarische Geschäftsführerin der Linken im Bundestag und stellvertretendes Mitglied in der IuK-Kommission

Der Bundestag hat vergangenen Sommer zwar auf der technischen Ebene Fehler- und Ursachenanalyse betrieben, es aber versäumt, frühzeitig, schnell und transparent über die eigenen Erkenntnisse rund um den Angriff zu informieren. Dadurch erst war es möglich, dass entsprechende Gerüchte, Teilinformationen und Halbwahrheiten entstehen konnten, die die Geschehnisse mehr verschleierten als aufklärten. Die LINKE hat versucht, mit der Veröffentlichung der Analyse der Angriffe auf ihre eigenen Systeme (u.a. auf netzpolitik.org), hier für mehr Klarheit zu sorgen.

Konstantin von Notz, netzpolitischer Sprecher der Grünen im Bundestag und stellvertretendes Mitglied der Grünen in der IuK-Kommission

Der ganze Vorgang hat noch einmal verdeutlicht, wie schlecht es um den Schutz unserer IT-Infrastrukturen heute bestellt ist. Die Information der Abgeordneten war lange Zeit vollkommen unzureichend. Gleiches gilt für die Kommunikation gegenüber den zuständigen Gremien des Bundestages. Bezüglich der Dimension des Angriffs auf den Bundestag und dessen Abwehr bestehen daher weiterhin erhebliche, auch verfassungsrechtlich tiefgehende Fragen, die bis heute nicht befriedigend beantwortet wurden. Insgesamt wurde deutlich, dass das Verfassungsorgan Bundestag mit der Abwehr des Angriffs maßlos überfordert war und man auf Hilfe Dritter zurückgreifen musste. Diese Erkenntnis muss Folgen haben: Die IT des Bundestages muss grundlegend neu aufgestellt werden. Der Bundestag muss in die Lage versetzt werden, Angriffe eigenständig abzuwehren. Eine Entkopplung von anderen Netzen ist dringend geboten. Genauso muss sich sehr viel intensiver mit der Frage beschäftigt werden, welcher weiterer Maßnahmen es bedarf, um zu verhindern, dass zukünftig ähnliche Angriffe erneut Erfolg haben. Hierzu gehört auch die Frage, ob es sicherheitstechnisch nicht kontraproduktiv war, allein auf proprietäre Anbieter zu wechseln. Auch wird in Zukunft nicht mehr jede Annehmlichkeit für Abgeordnete bewilligt werden können. Die IT-Sicherheit des Parlaments muss insgesamt eine sehr viel höhere Bedeutung beigemessen werden als dies bislang der Fall war. Hier würde man sich eine gänzlich andere Sensibilität wünschen. Diese hat man in den letzten Monaten leider vermisst. Gleichzeitig müssen die Bemühungen zum Schutz unserer digitaler Infrastrukturen, nicht nur die des Bundestages, insgesamt dringend intensiviert werden. Auch die Bundesregierung muss endlich erkennen, wie wichtig der Schutz digitaler Infrastrukturen heute ist. Dass von ihr vorgelegte IT-Sicherheitsgesetz geht an den tatsächlichen Problemen völlig vorbei. Hier bedarf es sehr viel mehr Anstrengungen.

Saskia Esken, Stellvertretende Sprecherin der AG Digitale Agenda der SPD-Bundestagsfraktion

Zunächst musste es darum gehen, den Angriff abzuwehren und die volle Funktionsfähigkeit der Bundestags-IT wieder herzustellen. Die Mitglieder des Bundestags waren über die IuK-Kommission in den Diskussionsprozess einbezogen. Dabei war die Kommunikation zwischen Verwaltung und Parlament insbesondere nach der Entdeckung des Angriffs nicht immer optimal.

Im Nachgang des Cyber-Angriffes auf den Deutschen Bundestag muss nun eine systematische Gefährdungsanalyse der IT des Deutschen Bundestages erfolgen und es müssen entsprechende Schutzkonzepte entwickelt werden, die ich die mobilen Geräte mit in den Blick nehmen. Gerade die IT des Bundestages muss in ihrer Sicherheitsarchitektur dem Stand der Technik entsprechen, damit die Abgeordneten sich in ihrer Arbeit und ihrer Kommunikation auf die Wahrung von Vertraulichkeit und Unabhängigkeit verlassen können. Dabei ist es selbstverständlich, dass Entscheidungen in den entsprechenden parlamentarischen Gremien getroffen werden müssen.

Generalbundesanwalt

Nach der grundgesetzlichen Kompetenzverteilung zwischen Bund und Ländern ist die Strafverfolgung grundsätzlich Sache der Länder. Nur in ganz besonderen Ausnahmefällen ist der Bundesanwaltschaft als Bundesbehörde die Strafverfolgung auf dem Gebiet des Staatsschutzes nach Maßgabe von Art. 96 Abs. 5 GG und § 120 GVG vorbehalten. Danach besteht eine unmittelbare Verfolgungskompetenz der Bundesanwaltschaft nur für die in § 120 Abs. 1 GVG abschließend aufgezählten Straftaten. Hierzu zählt auch der Tatbestand der geheimdienstlichen Agententätigkeit (§ 99 StGB). Daher galt es zunächst zu prüfen, ob Anhaltspunkte für einen nachrichtendienstlichen Hintergrund des elektronischen Angriffs und mithin eine Straftat in der Zuständigkeit der Bundesanwaltschaft vorliegen. Die Bundesanwaltschaft hat deshalb nach Bekanntwerden des elektronischen Spähangriffs auf das IT-Netz des Deutschen Bundestags zunächst Vorermittlungen aufgenommen. Im Januar 2016 teilte das Bundesamt für Verfassungsschutz Erkenntnisse mit, aufgrund derer davon auszugehen ist, dass es sich um einen geheimdienstlich gesteuerten Angriff gehandelt haben könnte. Daraufhin hat die Bundesanwaltschaft am 15. Januar 2016 förmliche Ermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit gegen unbekannt aufgenommen.

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Die BfDI ist grundsätzlich nur für die datenschutzrechtliche Beratung und Kontrolle der Bundestagsverwaltung zuständig. Der parlamentarische Bereich des Bundestages untersteht aufgrund des verfassungsrechtlichen Gewaltenteilungsgrundsatzes nicht der datenschutzrechtlichen Kontrolle und Bewertung der BfDI.

Ganz grundsätzlich gilt, dass die Einbeziehung von Dritten in die Analyse des Bundestags-Hacks aus datenschutzrechtlicher Sicht nicht ausgeschlossen ist. Es ist allerdings erforderlich, eine mögliche Kenntnisnahme oder Weiterleitung von personenbezogenen Daten datenschutzkonform auszugestalten. Hierzu können beispielsweise Vereinbarungen zur Auftragsdatendatenverarbeitung und Übereinkünfte zur Vertraulichkeit von Analysen und deren Ergebnissen geschlossen werden.

Dokumente im Volltext


Kurzprotokoll der 6. Sitzung der IuK-Kommission

Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und -medien

Berlin, den 21. Mai 2015, 8:00 Uhr
Sitzungsort: 10557 Berlin, Friedrich-Ebert-Platz 1
Sitzungssaal: Plenarbereich Reichstagsgebäude,
Ältestenratssaal (Raum 2 N014)

Vorsitz: VPn Petra Pau, MdB

Tagesordnung
  • Tagesordnungspunkt 1: Bericht des BSI-Präsidenten, Herrn Hange, zum Angriff auf die IT des Deutschen Bundestages
  • Tagesordnungspunkt 2: Verschiedenes

Die Vorsitzende begrüßt die Teilnehmer zur außerordentlichen Beratung der IuK-Kommission. Aus persönlichen Gründen sei es nicht möglich gewesen, vor der heutigen Beratung eine Besprechung der Obleute einzuberufen. Die Vorsitzende führt kurz in den Sachverhalt des Angriffes auf die Informationstechnik des Deutschen Bundestages ein und übergibt zur Darstellung der Sicht der Bundestagsverwaltung Herrn Möhlmann (RL IT 5) das Wort.

Tagesordnungspunkt 1

Bericht des BSI-Präsidenten, Herrn Hange, zum Angriff auf die IT des Deutschen Bundestages

Herr Möhlmann (RL IT 5) erläutert, dass am 8.5.2015 im Rahmen der normalen Betriebsüberwachung festgestellt worden sei, dass zwischen Serversystemen nicht übliche Kommunikation stattgefunden habe. Konkret sei ein Server der Bundestagsverwaltung in einem Festplattenbereich mit einer ungewöhnlichen Menge an Daten überlastet worden. In einer darauf folgenden Analyse der Kommunikationsbeziehungen sei festgestellt worden, dass zu diesem Server nicht vorgesehene Verbindungen von einem Abgeordnetenbüro bestanden haben. Herr Möhlmann (RL IT 5) weist darauf hin, dass es sich zunächst um Untersuchungen im Rahmen des Alltäglichen gehandelt habe, da im Haus häufiger Trojaner und Viren gefunden und dann nach festgelegten Regeln beseitigt würden. Daher seien kurzfristig die betroffenen Rechner ausgetauscht und durch neue Rechner ersetzt worden. In der weiteren Analyse sei ermittelt worden, dass von den Rechnern des Abgeordnetenbüros zusätzlich eine Verbindung zu einem Server einer Fraktion bestanden habe. Herr Möhlmann (RL IT 5) führt aus, dass in Zusammenarbeit mit der betroffenen Fraktion weiter festgestellt worden sei, dass auf diesen Server auch von einem Rechner eines Abgeordnetenbüros der eigenen Fraktion ein Zugriff in unüblicher Form stattgefunden habe. Im weiteren Verlauf der Überprüfung sei dann festgestellt worden, dass Accounts von Administratoren – ohne Wissen der Accountinhaber – genutzt worden seien.

Herr Möhlmann (RL IT 5) teilt mit, dass sich am 12.5.2015 das Bundesamt für Verfassungsschutz (BfV) mit der Geheimschutzstelle (ZR 4) der Bundestagsverwaltung in Verbindung gesetzt habe. Das Referat ZR 4 habe daraufhin das Referat für IT-Sicherheit (IT 5) kontaktiert. In einem anschließenden Telefonat sei durch einen Mitarbeiter des BfV mitgeteilt worden, dass zwei Rechner aus dem Bundestag Kontakt zu – als potentiell gefährlich geltenden – Serversystemen im Internet gehabt haben und das BSI darüber in Kenntms gesetzt worden sei. Es sei weiterhin durch die BTV festgestellt worden, dass diese gemeldeten Rechner identisch gewesen seien mit zuvor im Haus auffällig gewordenen PCs. Ob der Dimension des vermuteten Angriffes sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) um Hilfe ersucht worden. Am 15.5.2015 seien zusammen mit dem BSI umfangreiche Analysetätigkeiten begonnen worden. Die Vorsitzende übergibt Herrn Hange (BSI) das Wort.

Herr Hange (BSI) bemerkt, dass aus technischer Sicht Cyberangriffe aktuell keine Besonderheit seien, sich jedoch stark in der Qualität unterschieden.

Er berichtet von ca. 3000 Angriffen auf das Regierungsnetz, von denen ca. 5 bis 10 von einer zum beobachteten Angriff vergleichbaren Qualität seien. Aus Erfahrung des BSI seien auch sehr viele Firmen von regelmäßigen Angriffen in vergleichbarem Ausmaß betroffen. Die Auswertungen haben bislang ergeben, dass es dem Angreifer gelungen sei, Administrationsrechte für die gesamte Infrastruktur zu erhalten. Daher sei von einer breiten Kompromittierung der Netzinfrastruktur mit höchstmöglichen Rechten auszugehen. Hinweisen auf die gezielte Verwendung eines hoch-qualifizierten Anwendungsprogramms werde aktuell noch nachgegangen. Man befände sich im Moment in der ersten Phase der technischen Analyse. Nach Beurteilung der Lage hätten ab Samstag, dem 16.05.2015 insgesamt drei Mitarbeiter des BSI und zwei Mitarbeiter einer externen Firma, mit der das BSI seit Längerem zusammenarbeite, die Analysetätigkeit aufgenommen. Gerade die erste Phase einer Ermittlung sei wichtig, da der Täter meist noch nicht erahne, dass man ihm auf der Spur sei. Ziel dieser Phase sei es, möglichst viele Nachweise zu finden, um das Angriffsmuster zu erkennen. Durch die Besonderheit der Netzinfrastruktur des Bundestages sei eine enge Zusammenarbeit mit den IT-Experten der Verwaltung unabdingbar. Herr Hange (BSI) weist auf fehlerhafte Pressemeldungen hin, nach denen es sich um einen DDoS-Angriff handeln solle. Auch gäbe es keinerlei konkrete Hinweise darauf, dass Daten des NSA-Untersuchungsausschusses abgeflossen seien. Er betont jedoch, dass man dieses zurzeit aber auch nicht ausschließen könne. Durch die Tatsache, dass man am Internet teilhabe, seien Informationsflüsse nach außen nicht grundsätzlich auszuschließen. Zu beobachten sei bislang ein unterbundener Versuch eines Informationsabflusses.

In Zusammenarbeit mit der IT des Bundestages seien nun folgende Maßnahmen ergriffen worden: Zunächst würden möglichst viele Internetzugriffe über den IVBB geleitet, in dem ein Mechanismus greife, welcher ca. 100.000 Server und Netze als potentiell gefährlich kenne und den Zugriff darauf blocke. Die eingangs genannten Zielserver seien in diesem Filter bereits bekannt gewesen. Somit könne in einem ersten Schritt verhindert werden, dass dorthin weitere Daten abflössen. Der Zugriff auf die als kritisch bekannten Seiten werde hierbei blockiert.

Herr Hange (BSI) berichtet, dass im weiteren Schritt Logdaten analysiert und die Protokollierungsdauer in Abstimmung mit dem Bundestag erweitert worden sei. Ein Problem für die Analyse sei es, wenn der Ursprung eines Angriffes aufgrund fehlender Protokolldaten nicht nachvollzogen werden könne. Beispielsweise sei der erste Einbruch auf die französische Senderkette TV5Monde zwei Monate vor Entdeckung des Angriffes erfolgt. Dieses könne nur über eine umfangreiche Protokollierung nachvollzogen werden. Im Einsatz seien vonseiten des BSI nun auch Experten, welche auch den IVBB schützten. Diese Forensiker setzten nun aus beobachteten Phänomenen ein Bild zusammen, um Ursachen und weitere Maßnahmen zu ermitteln. Auch seien bereits Endsysteme neu aufgesetzt worden, die als befallen identifiziert werden konnten.

Der Nachweis und die Analyse seien durch die Beschränkung auf sieben Tage Protokollierung sehr ambitioniert. Angriffe dieser Qualität seien in Pakete aufgeteilt, welche einzeln harmlos aussähen. Erst in einer gesamten Kette betrachtet sei zu erkennen, was wirklich passiere.

Herr Hange (BSI) betont noch einmal, dass man nach den aktuell vorliegenden Erkenntnissen davon ausgehen müsse, dass das Netz großflächig und umfangreich kompromittiert sei. Schutzmaßnahmen griffen z.B. nur noch eingeschränkt. Eine absolute Sicherheit hinsichtlich Informationsabfluss könne daher nicht garantiert werden. Es seien weitere Analysen notwendig, um zu entscheiden, ob durch Neuinstallation einzelner betroffener Systeme, von Teilen der Infrastruktur oder des Gesamtnetzes eine wirksame Bereinigung des Gesamtsystems erreicht werden könne.

Grob könne der Ablauf in drei Phasen aufgeteilt werden: In der ersten Phase werde eine technische Analyse erstellt. Diese brauche erfahrungsgemäß Zeit, da der analytische Aufwand sehr hoch sei. In einer zweiten Phase sei geplant, den Täter in seinen Möglichkeiten zu behindern und einzugrenzen und befallene Systeme zu bereinigen. In der dritten Phase sei dann die Neuinstallation von Teilen des Systems oder des Gesamtsystems geplant.

Die Vorsitzende erteilt dem Abg. Dr. Brandl das Wort für Nachfragen.

Abg. Dr. Brandl zeigt Verständnis für die eingeschränkte Kommunikation in dieser Situation, um den Tätern keine Hinweise zu geben. Er bemängelt jedoch kommunikative Defizite am Freitag, dem 15.5.2015, an dem alle Rechner im Bundestag heruntergefahren worden seien. Der kurze und einzige Hinweis, dass der Rechner in einer Minute heruntergefahren werde, sei nicht ausreichend. Eine Vorwarnung in solchen Fällen, etwa von 5 Minuten, sei wünschenswert.

Er bemängelt weiterhin eine nicht ausreichende Information der Mitglieder der IuK-Kommission. Er habe bis zur heutigen Sitzung alle Informationen nur der Presse entnommen. Er verweist darauf, dass der Entschluss zur Reduktion der Protokollierung auf sieben Tage sicher gute Gründe gehabt habe, dass man aber auch darstellen sollte, welche Analysemöglichkeiten im Falle eines solchen Angriffes dadurch verloren gingen.

Die Vorsitzende erteilt der Abg. Dr. Sitte das Wort.

Abg. Dr. Sitte bestätigt, dass auch aus ihrer Sicht die Kommunikation schwierig gewesen sei. Sie regt an, sich in diesem Gremium über die erforderlichen und angemessenen Kommunikationsschritte zu einigen. Eine zeitnahe Information der Mitglieder des Deutschen Bundestages halte sie für dringend geboten, um der Gerüchteküche entgegentreten zu können. Dieses sei auch sinnvoll, um eine einheitliche Informationspolitik gegenüber Vertretern der Medien zu ermöglichen. Sie betont, dass es gerade in dieser ersten Phase der Analyse hilfreich sei, in eine geregelte und regelmäßige interne Kommunikation einzutreten.

Sie führt aus, dass einer der bisher betroffenen Rechner sich in einem Abgeordnetenbüro ihrer Fraktion befände. Es seien bereits vor dem dokumentierten Fund aus dem betreffenden Abgeordnetenbüro Auffälligkeiten vermeldet worden. Diese hätten allerdings nicht auf ein solches Ereignis hingedeutet. Den weiteren Verlauf der Ereignisse könne sie bestätigen. Die Abgeordnete fragt, ob Fremdgeräte eine physische Verbindung zum Bundestagsnetz gehabt hätten. Zusätzlich bittet sie um Erläuterung, ob bereits Erkenntnisse vorlägen, um welche Schadsoftware es sich handele und ob ein Programm oder mehrere verantwortlich seien. Weiter möchte sie wissen, ob es sich bei der Software um eine spezielle Version für den Bundestag handele oder ob diese bereits früher beobachtet worden sei. Sie bittet zudem um Informationen, über welches Schadpotential das Programm verfüge und welchen Funktionsumfang es habe. Des Weiteren fragt Abg. Dr. Sitte, ob der Angriff noch andauere und bittet um Informationen, welche Planungen es bereits für eine Bereinigung des Gesamtsystems gäbe.

Abg. Klingbeil erläutert, dass er im Kollegenkreis ein gewisses Maß an Verunsicherung registriert habe. Er bittet Herrn Hange (BSI) um nähere Erläuterung, ob es im Zusammenhang mit dem NSA-Untersuchungsausschuss Hinweise gäbe, dass ein Datenabfluss stattgefunden habe. Er stellt ebenfalls die Frage, um welche Art von Firma es sich handele und worin deren spezielle Expertise bestehe, die im BSI offensichtlich nicht vorhanden sei. Ferner möchte er wissen, ob es Erkenntnisse über den Zeitpunkt des ersten Zugriffs gäbe. Er bittet um eine detailliertere Erläuterung, wie es zur Entdeckung des Angriffes gekommen sei und wie der von Abg. Dr. Sitte angesprochene Fall zu bewerten sei. Er fragt, ob es theoretisch vorstellbar sei, dass der Angriff seit einem Jahr andauere, ohne entdeckt worden zu sein. Im Weiteren bittet er um Aufklärung, wie der Verfassungsschutz parallel zu den Erkenntnissen gekommen sei und welcher Art diese Hinweise seien. Er bittet um Aufklärung, was unter der Formulierung „Umfassend kompromittiert“ im Bericht von Herrn Hange (BSI) zu verstehen sei. Darüber hinaus bittet er um eine Erläuterung zu der Meldung, dass ein Geheimdienst in den Angriff involviert sei und wie ein Zeitplan zur Bewältigung der Krise aussähe.

Abg. Lemke bestätigt die Einschätzung, dass dieser Angriff als sehr ernst einzustufen sei. Sie lobe ausdrücklich die Kommunikation vonseiten der Bundestagsverwaltung. Sie werde sich nicht an den naheliegenden Spekulationen zu den Quellen der in den Medien kursierenden Gerüchten beteiligen. Allerdings seien in einem Artikel sogenannte Sicherheitskreise zitiert worden. Da diese weder die Bundestagsverwaltung noch der Bundestag sein könne, stelle sich die Frage, inwieweit Herr Hange (BSI) das Kommunikationsverhalten seiner Mitarbeiter und der beteiligten Firma im Griff habe. Sie regt daher an, die Informationen zuerst an die Mitglieder des Deutschen Bundestages zu geben, bevor die Presse informiert werde. Eine andere Vorgehensweise halte sie für nicht akzeptabel. Sie sei zudem sehr daran interessiert, dass das in diesem Vorgang vorhandene Leck aufgedeckt werde. Sie bittet um eine Erläuterung, wie und in welcher Form der Verfassungsschutz am 12.5.2015 bemerkt habe, dass Rechner des Bundestages auffällig geworden seien. Des Weiteren interessiere sie sich dafür, wie die Zusammenarbeit zwischen Bundestagsverwaltung und BSI organisiert sei und für Art, Umfang und Rolle der Unterstützung des BSI durch eine externe Firma. Sie fragt außerdem nach den personellen Ressourcen, die vonseiten des BSI zur Verfügung gestellt würden und wie die Aussage, dass die Sicherheit nicht garantiert werden könne, zu verstehen sei. Weiter regt sie an, die Mitglieder des Deutschen Bundestages entsprechend zu informieren.

Die Vorsitzende erläutert, dass verschiedene Fachausschüsse Interesse bekundet hätten, sich mit dem Thema zu beschäftigen. In Absprache mit den Ausschussvorsitzenden und den Fraktionen sei vereinbart worden, dass die Fachausschüsse die jeweiligen Berichtsanträge zurückstellen und die IuK-Kommission das aktuell erste und einzige Gremium sei, das sich mit dem Angriff befasse. Sie schlägt vor, dass die Fragen zunächst, soweit möglich, von Herrn Möhlmann beantwortet würden und Herr Hange anschließend die Antworten ergänze.

Herr Möhlmann (RL IT 5) stimmt den von Abg. Dr. Brandl festgestellten Einlassungen zu. Er teilt mit, dass es sich beim angesprochenen Herunterfahren der Rechner um eine in der UA IT abgestimmte Maßnahme gehandelt habe und zunächst geprüft worden sei, wann diese möglichst störungsarm durchgeführt werden könnte. Weiterhin führt er aus, dass es schwierig gewesen sei, zu diesem Zeitpunkt noch alle Betroffenen zu erreichen und dass eine E-Mail-Information als nicht unbedingt zielführend angesehen worden sei. Auf die Frage der Abg. Dr. Sitte nach dem Zusammenhang mit einem Rechner einer Abgeordneten und einem Server ihrer Fraktion teilt Herr Möhlmann (RL IT 5) mit, dass die Bundestagsverwaltung dazu keine Auskunft geben könne und dies mit der betreffenden Fraktion diskutiert worden sei. Abg. Dr. Sitte wirft korrigierend ein, dass sie klären wolle, warum die IT nicht bereits tätig geworden sei, als das Abgeordnetenbüro sich wegen Auffälligkeiten schon zuvor an die IT gewandt habe. Herr Möhlmann (RL IT 5) stellt klar, dass er hiervon keine Kenntnis bekommen habe und der Angriff genauso aufgefallen sei, wie er es dargestellt habe. Auf die Frage bezüglich Fremdgeräten antwortet Herr Möhlmann (RL IT 5), dass sich ausschließlich Parlakom-Geräte und selbstverständlich Fraktionsgeräte im Netz befänden. Fremdgeräte im Sinne von Geräten, die nicht in das Bundestagsnetz gehörten, gäbe es daher nicht.

Abg. Dr. Sitte stellt klar, dass sie dies wisse und es ihr darum ginge, ob aufgrund der Schadsoftware der Zugriff von Fremdgeräten möglich gewesen sei oder ob dies ausgeschlossen werden könne.

Herr Möhlmann (RL IT 5) verweist bzgl. der Fragen zu den speziellen Schadprogrammen auf Herrn Hange (BSI).

Abg. Klingbeil möchte wissen, seit wann der Angriff bekannt sei.

Herr Möhlmann (RL IT 5) informiert, dass am 8.5.2015 die Mitarbeiter der Unterabteilung IT Unregelmäßigkeiten festgestellt haben, die zu diesem Zeitpunkt noch nicht als Angriff gewertet worden seien, sondern als alltäglicher Fall im Zusammenhang mit Viren und Trojanern. Erst das Gespräch mit dem BfV am 12.5.2015 habe verdeutlicht, dass es sich um einen Angriff handele. Das BfV hätte deutlich gemacht, dass der Zugriff von zwei Rechnern aus dem Bundestag festgestellt worden sei.

Diese Rechner seien namentlich benannt worden und hätten somit als Bundestagsrechner identifiziert werden können. In diesem Gespräch sei auch mitgeteilt worden, dass das BSI seitens des Verfassungsschutzes informiert werde, speziell das Cyberabwehrzentrum.

Abg. Lemke erkundigt sich, was genau der Verfassungsschutz festgestellt habe.

Herr Möhlmann (RL IT 5) führt aus, dass ihm telefonisch mitgeteilt worden sei, dass von zwei Rechnern aus dem Bundestagsnetz auf kompromittierte Seiten, die überwacht worden seien, ein Zugriff stattgefunden habe. Er erklärt, dass kompromittierte Seiten z. B. sog. Command-and-Control-Server seien, die im Internet existierten, um Malware zu verteilen und auch „Angriffssoftware“ enthielten.

Herr Häger (BSI) führt ergänzend aus, dass das BfV diese speziellen Informationen von einer Firma bekommen habe, welche von einem anderen Land beauftragt worden und an die Verschwiegenheit gebunden sei. Dieses Land habe jedoch zugestimmt, dass der von der beauftragten Firma ermittelte Hinweis weitergegeben werden dürfe.

Herr Hange (BSI) stellt klar, dass das BSI nur für die technische Analyse zuständig sei und in diesem Zusammenhang auch Server im Internet feststelle, die Schadprogramme verteilen oder für Informationsabfluss genutzt werden. Für das Regierungsnetz seien viele solcher kritischen Server gelistet und so auch der Server, mit dem der Bundestagsrechner in Kontakt stand. Er betont dass es keine Überwachungsmaßnahme des Bundestages gewesen sei, sondern es sich um einen Zufallsfund gehandelt habe. Aufgrund der technischen Zuständigkeit sei dann das BSI vom BfV informiert worden, weil auch die Bundesregierung hätte betroffen sein können. Das BSI übernehme grundsätzlich eine beratende Funktion beim Bundestag. Die Koordination der aktuellen Maßnahmen läge ausschließlich beim Bundestag. Herr Dr. Winterstein habe aufgrund der Schwere des Angriffes alle verfügbaren Experten zur Aufklärung des Sachverhaltes angefordert.

Abg. Lemke erkundigt sich, wer die Erlaubnis erteilt habe.

Herr Hange (BSI) stellt klar, dass das BSI keine nachrichtendienstlichen Beobachtungen durchführe und schlägt vor, beim BfV zuständigkeitshalber nachzufragen, da das BSI auch nur Empfänger der Information gewesen sei.

Er betont, dass es wichtig sei, bei der Analyse schnell zu handeln. Daher sei am Freitag mit der Voruntersuchung begonnen und dann entschieden worden, massiv in die Untersuchung einzusteigen. Er führt aus, dass Spuren schnell verloren gehen könnten, wenn nicht kompakt eingegriffen würde. Es habe bislang festgestellt werden können, dass aktuell nur wenige Endsysteme betroffen seien. Die Angreifer seien jedoch so tief in das Netz eingedrungen, dass sie jederzeit wieder aktiv werden könnten. Momentan würde nun versucht, die Wege nach außen zu blockieren und dem Angreifer das Agieren so schwer wie möglich zu machen. Es handele sich um ein auch an anderer Stelle bereits verwendetes und öffentlich bekanntes Angriffsmuster, sodass noch keine Rückschlüsse auf die Täter gezogen werden könnten. Professionelle Angreifer bedienten sich häufig verschiedener Angriffsmuster, um falsche Fährten zu legen, was einen Rückschluss auf die Täter erschweren solle. Herr Hange (BSI) versichert, dass das BSI nicht von sich aus die Öffentlichkeit informiere. Es sei vielmehr üblich, dass das BSI den jeweils Betroffenen unterrichte und dieser dann entscheiden könne, ob die Öffentlichkeit informiert werde. Er unterstreicht, dass dieses Vertrauensverhältnis Grundvoraussetzung für die Arbeit des BSI sei. Die Pressemeldungen stimmten zudem in Teilen nicht. So träfen beispielsweise die Nachrichten, dass es sich um einen DDoS-Angriff handele, nicht zu. Er führt ergänzend aus, dass mit Informationen zu Cyberangriffen auf Firmen und Behörden auch deshalb vertraulich umgegangen werde, damit diese nicht durch Presseveröffentlichungen zusätzliche Schäden erleiden würden und zusätzlich der Angreifer gewarnt werde.

Bezüglich der Frage nach den vorhandenen Ressourcen teilt er mit, dass es im BSI etwa 15 Personen mit Expertise für solche Analysen gäbe, die für den Schutz des Regierungsnetzes eingesetzt würden. Aus Erfahrung in ähnlich gelagerten Fällen gehe er davon aus, dass die Bearbeitung von Angriffen dieser Qualität über Wochen, wenn nicht Monate andauerten. Deshalb habe das BSI auch eine Fachfirma, die auch unter der Geheimschutzbetreuung stehe, hinzugezogen. Dabei sei darauf geachtet worden, dass diese Firma kompetent und auch vertrauenswürdig sei, um das Thema nationale Sicherheit ausreichend zu berücksichtigen. Es gäbe Firmen im BSI – Umfeld, die sich durch Kompetenz sowie Geheimschutzbetreuung auswiesen, mit denen das BSI insbesondere aus Ressourcengründen aber auch in Bündelung von Fachkompetenz bei Cyberangriffen außerhalb der Bundesverwaltung zusammenarbeite.

Anschließend beantwortet Herr Hange (BSI) die Frage von Abg. Klingbeil und teilt mit, dass nach momentanem Stand der Untersuchungen noch nicht festgestellt werden könne, wann der Ersteinbruch erfolgt sei. Aufgrund der Art der Angriffe könne gesagt werden, dass es sich um einen sogenannten APT-Angriff (advanced persistent threat) handele. Dieser verlaufe mehrstufig. Das BSI gehe davon aus, dass solche Angriffe bis zu 70 Tage in Anspruch nehmen, um ein Netz komplett zu durchdringen und damit schrittweise zu übernehmen. Habe sich der Angreifer im Netz schließlich festgesetzt, könne er sich offen bewegen, weil er dann wisse, dass er hochwahrscheinlich nicht entfernt werden könne.

Zur Frage hinsichtlich der Sicherheit teilt Herr Hange (BSI) mit, dass versucht werde, alle Übergänge, an denen Informationen abfließen könnten, zu kontrollieren und ggf. zu blockieren. Dabei werde jeder Schritt mit der Bundestagsverwaltung abgestimmt. Durch Maßnahmen wie dem Herunterfahren von Systemen würde versucht, für den Angreifer Ansatzpunkte abzubauen. Weiter führt Herr Hange (BSI) aus, dass das BSI alle Maßnahmen und Funde dokumentiere, um die Analyse auch für die IT-Experten des Bundestages nachvollziehbar und transparent zu machen.

Auch an der Täterfeststellung werde im Rahmen der technischen Analyse gearbeitet, was seiner Ansicht nach grundsätzlich schwierig sei, da es selbst in der professionell arbeitenden kriminellen Szene Verschleierungstechniken gäbe. Zunächst gehe es darum zu ermitteln, was genau geschehen sei und in welchen Systemen sich der Angreifer befinde. Wenn Endsysteme mit sensiblen Informationen infiziert seien, würden diese bereinigt, um den Export von Daten zu verhindern.

Herr Hange (BSI) führt weiter aus, dass auch die Übergänge der Bundestagsverwaltung und der Fraktionen in die Untersuchungen einbezogen werden müssten, um das Übergreifen von Schadprogrammen in den Griff zu bekommen. Er teilt weiter mit, dass nach dem Stand der Untersuchungen insbesondere der zentrale Verzeichnisdienst übernommen worden sei. Somit habe der Angreifer prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen, Abgeordneten und Bundestagsmitarbeiter, die von diesem Verzeichnisdienst erfasst seien.

Zur Frage, wie eine solche Übernahme passieren könne, stellt Herr Hange (BSI) dar, dass für professionelle Angreifer mit tiefgreifenden Kenntnissen der Software-Systeme die Möglichkeit bestünde, noch unbekannte Schwachstellen zu entdecken und zu missbrauchen. Selbst sehr gute Software enthalte immer noch 0,7 Promille Fehler. Das Geschäft mit dem Handeln von Schwachstellen sowie Schadprogrammen verspreche viel Geld, so dass es nicht erstaunlich sei, dass Hackergruppen inzwischen auch ihre Dienste für Cyberangriffe im Internet anbieten würden. Unter Wahrung aller Vertraulichkeitsaspekte sei es sehr wichtig, schnell zu erkennen, was passiere, um die Angriffsmethodik aufzudecken, den Export von Informationen zu unterbinden und dann eine Neuaufsetzung des Systems anzugehen. Jeder dieser Schritte werde selbstverständlich mit der Bundestagsverwaltung abgesprochen.

Die Vorsitzende stellt die Frage, ob die Hinweise zuträfen, dass in den besonders sensiblen Bereichen wie NSA-Ausschuss, Innenausschuss oder der PKGR ein Einbruch stattgefunden habe und welche Maßnahmen dort getroffen worden seien, um Datenabflüsse zu verhindern.

Abg. Lemke stellt eine Frage zu den Ausführungen von Herrn Möhlmann (RL IT 5) zum zeitlichen Ablauf der Information vom Bundesamt für Verfassungsschutz und dem BSI. Hier interessiere insbesondere, wer, wann, wen, worüber informiert habe. Sie fragt Herrn Hange (BSI), ob das BSI vom Verfassungsschutz informiert worden sei, unabhängig von der Information durch die Bundestagsverwaltung.

Abg. Binding fragt, auf welchen Rechnern oder Systemen Administratorrechte erlangt worden seien, um einen Eindruck zu gewinnen, welche Reichweite das Problem habe und welche Möglichkeiten dem Angreifer im System eröffnet würden.

Abg. Lemke stellt die Frage, ob es aus Sicht des BSI sinnvoll sei, die Speicherfristen der Protokolldaten wieder zu verlängern und welcher Zeitraum ggf. hier für sinnvoll erachtet würde. Weiter fragt sie, ob die Speicherung von IP-Adressen, die im Zuge der Vorratsdatenspeicherung auch diskutiert werde, eine Möglichkeit sei, die Täter zu entdecken. Zudem regt sie an, das Bundesamt für Verfassungsschutz in die IuK-Kommission einzuladen.

Abg. Dr. Sitte stellt fest, dass der Bundestag die Federführung bei der Untersuchung des Angriffes haben müsse. Sie stellt weiterhin die Frage, ob aktuell die Lückenschließung oder die Analyse des Angriffes im Vordergrund stünde. In diesem Zusammenhang möchte sie wissen, ob in diesem Fall schon jemand Anzeige erstattet habe. Des Weiteren bittet sie um Erläuterung, mit welcher personellen Ausstattung, insbesondere unter Beteiligung der externen Firma, in Zukunft vorgegangen werden solle, ob die sofortige Abschaltung aller Ressourcen diskutiert worden sei, warum dieses unterlassen worden sei und welche Konsequenzen es für den Neuaufbau habe.

Abg. Kaster merkt an, dass er Verständnis dafür habe, wie anhand des Sachstandes mit der Kommunikation umgegangen worden sei. Er bitte jedoch darum, auch in dieser Phase dem Informationsbedürfnis der Abgeordneten nachzukommen. Die Vorsitzende bittet Herrn Hange (BSI) um Beantwortung der Fragen.

Herr Hange (BSI) teilt mit, dass dies nicht der erste Fall sei, der gemeinsam mit der genannten Firma bearbeitet werde. Erkennbar seien bereits gewisse Angriffsstrukturen und es sei daher zielführend, versierte Fachkräfte – d. h. IT-Forensiker – damit zu betrauen. Er betont noch einmal, dass es unverzichtbar sei, die hochqualifizierten Experten seitens des BSI zu beteiligen. Dies sei umso schwieriger, als der Analyseprozess durchaus mehrere Wochen andauern könne. Die personelle Ausstattung des BSI in diesem Umfeld betrage etwa 15 Fachleute sowie Ressourcen aus der unterstützenden Firma, die – wenn der Bundestag das wünsche zur Verfügung stünden.

Abg. Lemke möchte wissen, ob die 15 Fachleute zeitgleich arbeiten würden.

Herr Hange (BSI) teilt mit, dass dies nicht der erste Fall sei und bei Untersuchungen vor Ort Schichtwechsel vorgenommen würden. Die erste Mannschaft habe am letzten Wochenende gearbeitet. Danach seien einige Mitarbeiter aus dem verlängerten Wochenende zurückgeholt worden, die dann in Bonn weiter gearbeitet hätten. Er weist nochmals darauf hin, dass er auch den Schutz des Regierungsnetzes nicht völlig vernachlässigen könne. Er stellt klar, dass in Absprache mit dem Deutschen Bundestag alles getan werde, um seitens des BSI die Personen mit dem größtmöglichen Erfahrungsschatz in diesem Umfeld mit der Aufgabe zu betrauen. Er informiert, dass der externe Partner in diesem Fall die Firma BFK sei und dass bei Bedarf auch Mitarbeiter der Firma Telekom, die ebenfalls über ein Team mit ähnlichen Kenntnissen verfügten, hinzugezogen werden könnten. Im Augenblick sehe er jedoch keine Notwendigkeit hierfür.

Herr Hange (BSI) betont noch einmal, dass es nur durch die Erkenntnisse aus der Analyse möglich sein werde, dem Angreifer den Weg zu verbauen. Die Angreifer hätten sich bereits tief in den Systemen verankert und würden sich inzwischen sogar recht auffällig bewegen, da sie aus Erfahrung nicht mehr fürchten müssten, mit einfachen Mitteln entfernt werden zu können. Grundsätzlich sei ein Angreifer in einer besseren Position als der Verteidiger, da er den Angriffspunkt selbst bestimmen könne. Weiter führt er aus, dass der gesamte Vorgang dokumentiert werde. Im konkreten Fall sei der Bundestag vom Bundesamt für Verfassungsschutz angerufen worden und es sei mitgeteilt worden, dass auch das BSI informiert werde, da prinzipiell nicht auszuschließen sei, dass auch Regierungsstellen betroffen seien. Im weiteren Verlauf zwischen Bundestag und BSI sei entschieden worden, dass zwei Mitarbeiter des BSI am Freitag, dem 15.5.2015 im Bundestag in einem Erstgespräch über die möglichen weiteren Schritte informierten. Kurzfristig sei aufgrund der Besprechung dann beschlossen worden, unverzüglich am Wochenende mit der tiefer gehenden Analyse zu beginnen.

Abg. Lemke fragt weiter nach den vom Verfassungsschutz festgestellten Auffälligkeiten.

Herr Hange (BSI) teilt mit, dass ein Server auffällig geworden sei, welcher auf einer Liste als kritisch eingestufter Server stehe. Die Rückmeldemöglichkeiten dieser bekannten Server würden vom BSI unterbunden. Im technischen Bereich sei dies ein transparentes Verfahren ohne nachrichtendienstliche Hintergründe. Er führt aus, dass es einen weltweiten CERT-Verbund zum Austausch von genau solchen kritischen Hinweisen ohne nachrichtendienstlichen Hintergrund gebe. Ein Informationsaustausch zwischen dem BSI und dem Bundesamt für Verfassungsschutz erfolge nur dann, wenn der Verdacht von Cyberspionage fremder Staaten gegeben sei.

Abg. Dr. Brandl erklärt, dass er zwar Verständnis für die Nachfrage zum Verfassungsschutz habe, es aber genau Aufgabe des Verfassungsschutzes sei, elektronische Angriffe mit möglicherweise nachrichtendienstlichem Hintergrund auf die Bundesrepublik festzustellen und die betroffenen Behörden zu informieren. Er verdeutlicht seine Ansicht, dass der Verfassungsschutz auch nach einem Hinweis eines ausländischen Anbieters – sei es Staat, Firma oder CERT – unverzüglich zu informieren habe, wenn aus dem Bereich eines Regierungsnetzes ein Zugriff auf einen kompromittierten Server festgestellt werde. Er betont, dass er positiv zur Kenntnis nehme, dass diese Meldewege funktionierten.

Abg. Klingbeil fragt nach, ob die Art und Weise der Angriffe dem BSI als Muster bekannt seien und es hierfür bereits bekannte Akteure gäbe. Und ob es sich hierbei um Geheimdienste oder Unternehmen handele, die von Staaten für solche Angriffe beauftragt werden würden.

Herr Hange (BSI) stellt dar, dass es sich bisheriger Kenntnis nach um Gruppierungen handele, die nicht das BSI beobachte. Wenn technische Analysen Rückschlüsse auf Tätergruppen zulassen, sei es Aufgabe des Cyberabwehrzentrums, beim BfV, BKA oder BND nachzufragen, ob mehr zu diesen Gruppierungen bekannt sei. Er erklärt, dass die Einschätzung der Fähigkeiten des Angreifers auch entscheidend dafür sei, um die notwendige Abwehr einzuordnen. Er macht noch einmal deutlich, dass ein Angriff in dieser Form nicht zum ersten Mal erfolge und die Weitergabe von Hinweisen an die betroffenen Firmen oder Behörden in festgelegter Weise erfolge.

Abg. Klingbeil fragt nach, ob das Muster des Angriffes als Mittel von Nachrichtendiensten bekannt sei.

Herr Hange (BSI) bejaht, dass das Muster des Angriffes zwar bekannt sei, es aber dennoch nach jetzigem Untersuchungsstand nicht eindeutig einzuordnen sei, ob es von den vermuteten Akteuren durchgeführt oder einfach kopiert worden sei. Es sei in letzter Zeit auch festgestellt worden, dass einfachere Angriffsmuster, die bislang bestimmten Ländern und Gruppierungen zugeordnet werden konnten, nachgeahmt würden. Das BSI beschäftige sich in seiner Schutzfunktion mit der Bekämpfung des Angriffsmusters, mit der Täterermittlung nur im Rahmen technischer Analysen. Die Täterermittlung sei Aufgabe der dafür zuständigen Sicherheitsbehörden.

Herr Häger (BSI) ergänzt, dass es sich um ein generisches Angriffsmuster handele und damit nach Stand der Untersuchungen einer konkreten Tätergruppe noch nicht zugeordnet werden könne. Er erklärt, dass nach jetzigem Erkenntnisstand der Täter mit seinem Schadprogramm in das Netz gelange, dort seine Rechte ausweite und den Verzeichnisdienst übernommen habe, um dann auf beliebige Systeme Zugriff zu haben. Dieses entspreche einem hochwertigen APT-Angriffsmuster.

Die Vorsitzende erläutert, dass entsprechend der Beschlusslage die Obleute am letzten Mittwoch durch das Sekretariat über ihre Entscheidung zur Verlängerung der Speicherfrist von ursprünglich sieben Tagen auf maximal drei Monate informiert worden seien. Sie merkt weiter an, dass es ihrer Einschätzung nach erst am Ende dieses ganzen Prozesses zu einer erneuten Diskussion über die Speicherfristen kommen könne. Sie bedankt sich im Namen der ganzen Kommission für die erhaltenen Informationen und schlägt eine erneute Sitzung für die kommende Sitzungswoche vor.

Sie merkt an, dass am Nachmittag über den Ältestenrat die Fraktionen in geeigneter Weise über den in der IuK-Kommission vorgetragenen Sachverhalt informiert würden. Gegebenenfalls sei je nach Entscheidung des Ältestenrates noch in dieser Sitzungswoche eine Obleuterunde einzuberufen. Sie gehe davon aus, dass die Obleute der IuK-Kommission auch in den kommenden Nichtsitzungswochen in geeigneter Form vom Sekretariat über aktuelle Entwicklungen informiert würden. Sie werde sich mit dem Präsidenten über eine abgestimmte Information für alle Kolleginnen und Kollegen ins Benehmen setzen.

Die Abg. Lemke stimmt der Vorsitzenden in vollem Umfang zu. Sie bekräftigt, dass gerade in Anbetracht der zwei Nichtsitzungswochen eine allgemeine Information für alle Mitglieder erforderlich scheine.

Die Vorsitzende stellt fest, dass sich die IuK-Kommission über die kurzfristig erforderlichen Kommunikationswege einig sei. Da auch zum Punkt Verschiedenes keine weiteren Wortmeldungen vorliegen, bedankt sich die Vorsitzende bei den Vortragenden und schließt die Sitzung.

Schluss der Sitzung: 9:10 Uhr

Petra Pau, MdB

Vorsitzende


Aktenvermerk – IT-Vorfall im Deutschen Bundestag

Als Ergebnis der Besprechung am 5.6.2015 [zwischen Mitarbeitern der Bundestagsverwaltung und dem BfV] konnte festgestellt werden:

– Das BfV hat die Zielsetzung, angreiferspezifische Schadsoftware-Informationen und zusätzlich Internetadressen mit Bezug zum Angriff zu erhalten. Es wird also nach Schadsoftware und Angriffsinfrastruktur gesucht, um hier tiefergehende Analysen durchführen zu können.

– Das BfV bittet um Zustimmung des Bundestages, dass Erkenntnisse zu der oben genannten Zielsetzung vom BSI dem BfV zur Verfügung gestellt werden dürfen, um in die Analyse Informationen einfließen zu lassen, die dem BSI aufgrund seiner technischen Ausrichtung nicht zur Verfügung stünden, speziell mit dem Ziel die Interessenlage des Angreifers zu ermitteln.

– Das BfV versichert, dass es generell keine Werkzeuge nutzt, die im inneren Netz der betroffenen Institution eingesetzt werden können oder sollen. D. h. das BfV will und wird keinen Zugriff auf Rechner des Parlakom-Netzes im Deutschen Bundestag sowie den Netzen der Fraktionen erhalten.

– Das BfV versichert, dass eine Weitergabe der angriffsspezifischen Informationen und Daten an Dritte nicht erfolgt.

– Das BfV stellt sicher, dass Hintergrundinformationen und technische, für den Bundestag verwertbare Parameter für die Abwehrmaßnahmen, zeitnah dem Bundestag zur Verfügung gestellt werden.

gez.

Dr. Winterstein


Kurzprotokoll der 7. Sitzung der IuK-Kommission

Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und -medien
Berlin, den 11. Juni 2015, 7:30 Uhr
Sitzungsort: 10557 Berlin, Friedrich-Ebert-Platz 1
Sitzungssaal: Plenarbereich Reichstagsgebäude,
Ältestenratssaal (Raum 2 N014)

Vorsitz: VPn Petra Pau, MdB

Tagesordnung
  • Tagesordnungspunkt 1: Stand zum Angriff auf die IT des Deutschen Bundestages, Bericht Herr Hange, Präsident BSI
  • Tagesordnungspunkt 2: Verschiedenes

VP’n Pau begrüßt alle Anwesenden

Vor Eintritt in die Tagesordnung teilt sie mit, dass der Generalbundesanwalt (GBA) dem Deutschen Bundestag mitgeteilt habe, dass er wegen der durch die Presse bekannt gewordenen Vorgänge prüfe, ob er ein Ermittlungsverfahren einleite. Zur Sachstandsermittlung habe er dem Bundestag einen Fragenkatalog zugeleitet. Diese Fragen werde der Bundestag beantworten und, sollte der GBA förmliche Ermittlungen einleiten, selbstverständlich mit dem GBA als auch mit den ihn unterstützenden Behörden kooperieren.

Weiter sei gestern den Mitgliedern der IuK-Kommission ein Gesprächsvermerk zugestellt worden. Dieser gehe auf ein Angebot von Herrn Dr. Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV), zurück, den Deutschen Bundestag bei Maßnahmen zur Abwehr des Angriffs auf das IT-System des Deutschen Bundestages zu unterstützen sowie im Rahmen der Zuständigkeit seiner Behörde entsprechende eigene Aktivitäten zu entfalten. Das BfV bittet den Bundestag darum, ihm bekanntgewordene Fakten zur Art und Weise bzw. zum Charakter des Angriffes mitzuteilen. Die Vorsitzende betont, dass dies keine eigene Ermittlung durch das BfV im Deutschen Bundestag bedeute. Seinem gesetzlichen Auftrag nach sei das BfV für die Spionageabwehr zuständig und benötige diese Informationen im Rahmen seiner Mitarbeit im Cyberabwehrzentrum. Herr Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), habe den Bundestag darüber informiert, dass zwischenzeitlich das BSI gemäß seines gesetzlichen Auftrages das BfV über den Angriff auf den Bundestag in einer als geheim eingestuften Unterlage informiert habe. Im Gegenzug habe das BfV versichert, sollten Erkenntnisse über einen möglicherweise bereits bekannten Angreifer gewonnen werden, entsprechende Hinweise oder Handlungsempfehlungen dem Bundestag mitzuteilen, damit diese bei den Maßnahmen berücksichtigt werden könnten.

Auf die Frage, ob bezüglich dieser Vorgehensweise seitens der Fraktionen Bedenken oder gegenteilige Auffassungen zum Verfahren der Zusammenarbeit mit dem BfV bestehen, merkt Abge. Lemke an, dass sie, wie bereits in der Obleuterunde angesprochen, diesen Aktenvermerk nicht als hinreichende Entscheidungsgrundlage ansehe. Sie sehe die IuK-Kommission nicht als das geeignete Gremium für eine solche Entscheidung an und beantragt deshalb, diese Angelegenheit heute im Ältestenrat zu behandeln.

Die Vors. VPn Pau führt hierzu aus, dass sich das Präsidium des Bundestages gestern darüber verständigt habe, dieses Thema heute in der IuK-Kommission aufzurufen sowie in der heutigen Sitzung des Ältestenrates zu behandeln, um eine entsprechende Festlegung zu treffen.

Tagesordnungspunkt 1

Die Vors. VPn Pau erteilt Herrn Hange, Präsident des BSI, das Wort.

Herr Hange (Präsident des BSI) erläutert den Sachstand der Analyse. Er weist einleitend darauf hin, dass das BSI lediglich ein Beratungsmandat für den Bundestag habe. Zum aktuellen Personaleinsatz des BSI führt er aus, dass insgesamt zehn Mitarbeiter eingesetzt werden, wovon drei Mitarbeiter vor Ort, vier Mitarbeiter in der Analyse und die übrigen im Berichtswesen tätig seien. Weiterhin sei auf Vorschlag des BSI von der Bundestagsverwaltung die BFK edv-consulting GmbH, mit der das BSI bereits im Zusammenhang mit einer Attacke auf eine Großforschungseinrichtung des Bundes zusammengearbeitet habe, sowie, mit Einverständnis des Bundestages, ein Spezialist der T-Systems für das Active Directory (AD) [Verzeichnisdienst von Microsoft Windows Server] hinzugezogen worden.

Er geht auf das Eingangsszenario beim Bundestag ein. Durch Presseveröffentlichungen zum Angriff auf die IT des Bundestages in der Presse am 16. bzw. 17. Mai 2015 musste am 18. Mai 2015 die erste Phase „Analyse“ direkt in die zweite Phase „Übergangsbetrieb“ übergehen, da davon auszugehen war, dass der Angreifer über die Entdeckung des Angriffs in Kenntnis gesetzt worden sei und somit eine passive Beobachtung evtl. Angriffe nicht mehr sinnvoll sei. Hier seien dann parallel zum „Übergangsbetrieb“ ein intensives Monitoring sowie Maßnahmen gegen einen Datenabfluss aufgebaut worden. Die Bundestagsverwaltung habe sich auch aktuell zum Einsatz des Schadprogramm-Präventions-Systems (SPS) [Programm zur Verhinderung von ungewollten Zugriffen aus den Regierungsnetzen auf infizierte Webseiten] des BSI entschieden, das den Datenverkehr mit über 100.000 dem BSI bekannten, kritischen Servern verhindere.

Zu den ermittelten Sachverhalten berichtet er, dass sich am 5. Mai 2015 die Täter auf dem Domaincontroller und einer Admin-Workstation angemeldet und das Tool „mimikatz“, ein über das Internet erhältliches Programm zur Ermittlung von Passwörtern, eingesetzt haben. Mit Hilfe extrahierter Passwörter und diverser Remote Desktop Programme seien die Angreifer dann am 6. Mai 2015 auf andere Server gelangt.

Ein erster Versuch eines Datenexports sei am 7. Mai 2015 ermittelt worden, der jedoch an der Größe der Datei gescheitert sei.

Eine Besonderheit des Bundestagsnetzes bildeten die jeweiligen getrennten Fraktionsnetze, die jedoch über ihre Vertrauensstellung ihrerseits auf das Bundestagsnetz zugreifen könnten. Bei der Analyse seien Rückmeldewege erkannt worden, aber die infizierten Rechner seien nicht unter Beobachtung gestellt worden, da aufgrund der Position des Bundestages als unabhängiges Verfassungsorgan hierzu keine rechtliche Grundlage bestehe. Dies sei auch ein Grund für die Bitte an die Präsidentin das BfV zur Unterstützung heranziehen zu dürfen.

Herr Hange (Präsident des BSI) übergibt Herrn Dr. Häger (BSI) das Wort zur Darstellung der Ergebnisse der Analyse der letzten drei Wochen.

Dr. Häger (BSI) berichtet, dass der Angreifer auf Arbeitsplatzrechner in insgesamt 16 Bundestagsbüros zugreifen konnte. Es seien insgesamt 25 Systeme im Netz des Bundestages erkannt worden, auf denen Schadprogramme installiert waren und auf weiteren 25 Systemen seien Zugriffe des Angreifers festgestellt worden, ohne dass entsprechende Schadprogramme installiert gewesen seien.

Die Bundestagsverwaltung habe Log-Dateien, beginnend ab dem 7. Mai 2015, bereitstellen können, aus denen Hinweise für Datenabflüsse ermittelt werden konnten. Hieraus ließe sich jedoch nur die Menge, nicht jedoch der Inhalt abgeflossener Daten feststellen.

Insgesamt seien somit nachweislich etwa 16 GB abgeflossen, wobei diese Datenmenge auch festgestellte Mehrfachübertragungen gleicher Dateien beinhalte. Diese Datenmenge sei mit dem http-Protokoll an etwa neun bekannte, weltweit verteilte, verdächtige Server übertragen worden.

Hier merkt er weiter an, dass sich aus diesen Log-Dateien keinerlei Aussagen hinsichtlich evtl. Datenübertragungen durch direkt – also über Username und Passwort- übernommene Rechner in Clouds, z.B. Dropbox oder Amazon, ermitteln ließen.

Bezugnehmend auf diese bekannten verdächtigen Server betont er, dass sich das BSI ausschließlich mit technischen Fragen und Analysen der Rückmeldewege befasse. Weitergehende Abgleiche mit anderen Fällen oder Ermittlungen hinsichtlich des Angreifers fielen in den Bereich des BfV.

Herr Dr. Häger (BSI) führt weiter aus, dass seit etwa 14 Tagen keine Aktivitäten des Angreifers mehr bemerkt würden. Allerdings sei das Netz prinzipiell noch verwundbar, da der Angreifer immer noch intern über Administratorechte verfüge, wobei es fraglich sei, ob er noch unbemerkt ins interne Netz gelangen könne. Allerdings sei denkbar, dass Angriffe über E-Mails oder VPN-Zugänge gesteuert werden könnten, da diese nicht in den Log-Dateien erfasst werden. Derzeit gebe es hierauf allerdings keine Hinweise, aber diese Möglichkeiten könnten nicht grundsätzlich ausgeschlossen werden.

Als vorläufiges Ergebnis seien etwa 50 Systeme festgestellt worden, auf die ein Angreifer nachweislich zugegriffen habe. Hierbei handele es sich überwiegend um Client- und um 17 zentrale Systeme.

Nach der Darstellung der Ergebnisse der Analyse geht Herr Dr. Häger (BSI) auf die Maßnahmen zur Absicherung des täglichen Betriebes des Bundestages ein. Hierzu gehören:

  • der unmittelbare Austausch erkannter infizierter Client-Systeme durch die Verwaltung des Deutschen Bundestages
  • regelmäßige Scans aller Clientsysteme des Bundestagsnetzes
  • ein netzwerkbasiertes Intrusion Dection System (IDS) für den Netzverkehr durch die Bundestagsverwaltung
  • Monitoring der Log-Dateien der Firewalls auf Auffälligkeiten
  • Teilweise Umleitung von http- und https-Verbindungen über den IVBB an normalen Arbeitstagen (Mo – Fr)
  • Umleitung des http- und https-Verkehrs über den IVBB am Wochenende

Herr Dr. Häger (BSI) spricht an, dass im Zuge der Umleitung der Internetanbindung des Bundestages über die IVBB-Infrastruktur zahlenmäßig sehr viele Vorfälle des „normalen Cbyercrime“ (Banking-Trojaner usw.) ermittelt worden seien, da im IVBB die Zugriffsmöglichkeiten der Nutzer enger gefasst seien.

Hier ergänzt Herr Dr. Häger (BSI) die Analyseergebnisse hinsichtlich der abgeflossenen Daten. Bei Festplattenanalysen sei festgestellt worden, dass gezielt nach lokal abgelegten Outlook-Dateien vom Typ PST [lokale Outlook-Datendatei] sowie nach aktuellen Office-Dokumenten gesucht worden sei. Auf die Frage des Abg. Dr. von Notz, ob Rückschlüsse aus diesem „Suchmuster“ gezogen werden könnten, antwortet Herr Dr. Häger (BSI), dass üblicherweise viele Informationen zur täglichen Arbeit über E-Mail ausgetauscht werden und somit dies eine sehr ergiebige Quelle zur Gewinnung aktueller Informationen darstellen könne.

Abg. Dr. von Notz, erkundigt sich weiter, ob in Kombination mit den angegriffenen 17 zentralen Servern ein Muster für ein Angriffsziel erkennbar sei.

Herr Dr. Häger (BSI) führt hierzu aus, dass bei der Übernahme von zentralen Servern, unabhängig von deren Funktion, üblicherweise die erweiterten Berechtigungen hinsichtlich der Internetnutzung, z.B. um Dateien an andere Server zu übertragen, im Vordergrund stehe. Bei der Analyse möglicher Angriffe auf zentrale Systeme im Bundestagsnetz sei keine Bewertung der Funktion erfolgt. Diese Bewertung und die Entscheidung darüber, was neu aufgesetzt werden solle, erfolgen in einer dritten Phase.

Abg. Jarzombek möchte wissen, ob Daten aus den Exchange-Servern abgeflossen seien.

Herr Möhlmann (RL IT 5) antwortet, dass die E-Mail-Systeme des Bundestagsnetzes und der Fraktionen entsprechend untersucht worden seien und derzeit keine Erkenntnisse vorlägen, die auf eine Manipulation dieser Systeme schließen lasse.

Herr Dr. Häger (BSI) berichtet zur Internetanbindung über den IVBB, dass die Bandbreite des IVBB 1 Gb/s betrage. Der Internetverkehr des Deutschen Bundestages beanspruche aktuell jedoch eine Bandbreite von etwa 4 Gb/s – sei also vier Mal so hoch wie alle am IVBB angeschlossenen 50 Behörden zusammen. Das Umschwenken des Bundestages zum IVBB habe deshalb zu Lastproblemen im IVBB geführt. Aus diesem Grund könne unter der Woche auch nur etwa die Hälfte der Internetanbindungen des Bundestages auf den IVBB geschwenkt werden. Er weist daraufhin, dass eine zeitlich längere Umleitung zum IVBB deshalb eine Erweiterung der IVBB-Infrastruktur erforderlich mache. Weiter unterscheide sich die Art und Weise der Internetnutzung des Bundestages deutlich von der, die der IVBB seinen Anwendern erlaube. Schon beim Verdacht auf eine IT-Sicherheitsgefährdung werden nicht-dienstrelevante Angebote geblockt. Für die Internetnutzung seitens des Bundestages werde dies dem jeweiligen Anwender ebenfalls auf dem Browser angezeigt, aber das geblockte Web-Angebot nach Bestätigen der Kenntnisnahme wieder freigegeben. Als Notfallszenario könne diese Betriebssituation hingenommen werden, als Dauerlösung sei sie aber nicht akzeptabel.

Abg. Dr. von Notz möchte wissen, auf welchem Weg das Bundestagsnetz angegriffen werden konnte.

Hierauf antwortet Herr Dr. Häger (BSI), dass keine Kenntnisse zum Ersteinstieg in das Netz des Bundestages vorlägen. Als mögliche Ausgangspunkte werden jedoch entweder eine E-Mail mit einem Link auf ein Schadprogramm oder der Aufruf einer entsprechend manipulierten Webseite vermutet. Besonders das AD sei wegen seiner komplexen Administration, Rechtevergabe und der damit verbundenen aufwendigen Pflege ein bevorzugtes Angriffsziel solcher Schadprogramme. Der Ursprungseinstieg werde nicht weit vor dem ermittelten Einbruch in den AD am 5. Mai 2015 vermutet. Insoweit haben die Mitarbeiter des Bundestages mit der zeitigen Reaktion auf Unregelmäßigkeiten Schlimmeres verhindert. Alle ermittelten Daten deuten auf den 5. Mai 2015 für die Infizierung eines Client-Systems, den Einbruch in das AD und den vom BfV festgestellten Serverkontakt hin.

Herr Hange (Präsident des BSI) erläutert weiter, dass ab dem 13. April 2015 die Adresse des vom BfV als verdächtig angesehenen Servers im IVBB gesperrt worden sei. Somit also theoretisch Angriffe ab diesem Datum stattgefundenen haben könnten.

Herr Dr. Häger (BSI) ergänzt, dass dies der theoretische Zeitraum sei. Aufgrund der ermittelten Indikatoren werde jedoch nicht angenommen, dass sich der Angreifer wochenlang im Netz aufgehalten habe.

Nach diesen Zwischenfragen geht er auf die weitere Vorgehensweise ein. Aktuell werde der tägliche Betrieb sichergestellt. Wie es weiter gehen
solle, müsse allerdings der Bundestag entscheiden, wobei ihn das BSI beratend unterstützen werde. Grundvoraussetzung sei ein Netz ohne Schadsoftware. Durch die Tatsache, dass der Angreifer Administratorrechte erlangt habe, könne nicht ausgeschlossen werden, dass in weiteren Systemen ein verstecktes Schadprogramm hinterlegt sein könnte. Ein Austausch aller Clients erscheine dennoch nicht notwendig, da in der Regel mit dem Neuaufsetzten des Clients alle softwaremäßigen Schadelemente beseitigt werden. Theoretisch sei zwar auch hier die Installation von Schadelementen direkt in Hardwarekomponenten möglich, hierfür seien jedoch keine Anzeichen entdeckt worden. Der Austausch von zentralen Servern beanspruche in der Regel mehr Zeit und erfordere für das Schwenken der Clients in eine sichere Serverlandschaft den Aufbau einer parallelen Infrastruktur. Die Entscheidung, welche Server im Einzelnen betriebsrelevant sein könnten, liege allein beim Bundestag, dass BSI könne hier nur beraten.

Abg. Dr. von Notz stellt die Frage, ob seitens des Bundestages über die aktuellen Maßnahmen hinaus zwingend weitere Maßnahmen getroffen werden müssen, z.B. ein sofortiger Wechsel des Passwortes.

Abg. Jarzombek erkundigt sich, ob der Bundestag zum Angriffszeitpunkt ein IDS verwendet habe und ob es auf einem aktuellen Stand gewesen sei. Weiter fragt er, wie es beurteilt werde, wenn auf einem Arbeitsplatzrechner für Anwender die Möglichkeiten einer Co-Administration eingerichtet würden.

Abge. Lemke möchte wissen, wie sicher die Kommunikation über E-Mail ist, in welchem Rahmen ein Datenabfluss erfolgte und wie ein weiterer Datenabfluss verhindert werde.

Herr Hange (Präsident des BSI) geht auf die Frage des Datenabflusses ein. Diese Daten seien zu verschiedenen Zeiten und in unterschiedlichen Mengen an im Internet befindliche Server versandt worden. Die Auswertung der verschiedenen Zeiträume habe eine Datenmenge von insgesamt etwa 16 GB ergeben.

Einem weiteren Abfluss soll durch die getroffenen Maßnahmen, also ein IDS beim Deutschen Bundestag und intensives Monitoring entgegengewirkt werden. Zur Bereinigung müsse das Netz bzw. Teile des Netzes parallel neu aufgesetzt werden, die Daten „eingefroren“ und dann auf die gesäuberten Systeme transferiert werden.

Das BSI sei kein Netzgestalter, hierzu müsse deshalb ein geeigneter externer Dienstleister beauftragt werden. Hierbei könne das BSI jedoch beratend tätig werden.

Herr Hange (Präsident des BSI) geht auf durch Nutzer installierte Programme ein. Er empfiehlt hier, speziell keine Teamviewer-Arbeitsplätze mehr einzusetzen, über die von außen auf das interne Netz zugegriffen werden könne.

Abschließend bemerkt er, dass die aktuell getroffenen Maßnahmen nur für einen überschaubaren Zeitraum aufrecht gehalten werden könnten, da das BSI eine solche Daueraufgabe nicht leisten könne.

Er geht auf das Konfliktpotential von Kommunikationssicherheit und damit verbundenen automatisierten Prüfungen von Daten ein. Er betont, dass die besondere rechtliche Stellung des Bundestages innerhalb des IVBB beachtet werde. Auch beim Einsatz von SPS werde lediglich die IP-Adresse der Firewall des Bundestages angezeigt. Das BSI legt Wert darauf, alle Maßnahmen im Rahmen der Beratung in enger Abstimmung mit der Verwaltung des Bundestages durchzuführen. Der Bundestag nutze gegenwärtig die vom IVBB angebotenen Möglichkeiten zur Abwehr. Weitere Mechanismen seien Bestandteil eines Sicherheitskonzeptes. Hierzu müssten jedoch erst die grundsätzlichen Sicherungsanforderungen festgelegt werden. Auf dieser Grundlage könne dann entschieden werden, welches externe Knowhow den Neuaufbau des Netzes unterstützen könnte.

In der gegenwärtigen Situation sei es allerdings schon jetzt sinnvoll gewesen, einem externen Dienstleister zur Schadenanalyse hinzuzuziehen, um schnellstmöglich wieder einen stabilen Betrieb sicher zu stellen.

Zur Frage, ob ein sofortiger Wechsel des lokalen Passwortes unbedingt erforderlich sei antwortet Herr Dr. Häger (BSI), dass es grundsätzlich nicht schade, aber in der gegenwärtigen Ausgangslage, in der ein Angreifer über Administrationsrechte im AD verfüge, hinsichtlich möglicher weiterer Angriffe vorerst nichts bewirke.

Herr Möhlmann (RL IT 5) beantwortet die Frage nach dem Einsatz eines IDS. Der Bundestag setze seit einigen Jahren ein rudimentäres IDS ein. Rudimentär deshalb, weil die Informationen über verdächtige Server den Bundestag nur verspätet oder nie erreichten. So sei dem BSI seit dem 13. April 2015 die Adresse bekannt gewesen, an die die Daten aus dem Bundestag abgeflossen seien. Diese Adresse habe der Bundestag am 21. Mai sperren können, da diese Information erst zu diesem Zeitpunkt dem Bundestag mitgeteilt worden sei. Aktuell erhalte der Bundestag diese Information und könne daher sein IDS entsprechend ertüchtigen.

Auch Systeme zur Überprüfung des E-Mail-Verkehrs und SPS seien sicher für den Bundestag interessant; mit einem geschätzten Personalaufwand von etwa neun Stellen allerdings personell nur recht aufwendig zu betreiben.

Wenn allerdings die für eine Analyse erforderlichen Informationen nicht übermittelt und somit nicht aktuell gehalten werden können, sei der Einsatz solcher Verfahren sinnlos. Deshalb müssen die bislang dem Deutschen Bundestag nicht zugänglich gemachten notwendigen Grunddaten sowie deren Aktualisierungen für solche Verfahren, zukünftig dem Bundestag zur Ertüchtigung seines IDS vom BfV und dem BSI bereitgestellt werden.

Er geht auf die durch den Schwenk der Internetverbindungen des Bundestages entstandene Belastung der Bandbreite des IVBB ein. Der Bundestag beteilige sich jährlich mit fast 200.000 Euro an den Kosten und nutze den IVBB nur in einem geringen Maße, da er über eigene, leistungsfähigere Internetanbindungen verfüge. Nun, da der Bundestag den IVBB-Zugang nutze, werden Lastprobleme seitens des IVBB angemerkt. Der Argumentation des BSI, hinsichtlich der „nur“ 1Gb/s Bandbreite für den IVBB, kann er deshalb nur bedingt nachvollziehen.

Er spricht weiter die sehr gute Zusammenarbeit mit dem BSI während der letzten beiden Wochen an und hebt auch den starken personellen Einsatz durch das BSI hervor. Er betont ausdrücklich, dass die BFK edv-consulting GmbH von der Verwaltung des Bundestages beauftragt worden sei und der Deutsche Bundestag der Herr des Verfahrens sei und die erforderlichen Scans der Systeme immer durch Mitarbeiter der Verwaltung des Bundestages erfolgten.

Abg. Kaster betont die Bereitschaft seiner Fraktion, an der Schaffung von Grundlagen für erforderliche Maßnahmen konstruktiv mitzuarbeiten. Er bittet das BSI ausdrücklich um konkrete Vorschläge, wie Mitglieder des Bundestages aktuell mit dem Internet umgehen sollen – für eine gewisse Übergangszeit könnten dies auch Verhaltensweisen sein, die im Normalbetrieb sonst nicht akzeptabel seien. Ausdrücklich bedankt er sich für die laufende Information der Fraktionen. Hinsichtlich der weiteren Vorgehensweise zur Neuaufsetzung erwarte er vom BSI Vorschläge zu Mindeststandards bezüglich der Vertrauensstellung zwischen dem Bundestagsnetz und den Fraktionsnetzen. Seine Fraktion sei auch bereit, zukünftig ein höheres Schutzniveau des Netzzuganges aus und ins Fraktionsnetz zu unterstützen.

Zur Information der Abgeordneten und der Öffentlichkeit durch die Bundestagsverwaltung zeigt er Verständnis für deren um Vertraulichkeit bemühtes Kommunikationsverhalten. Allerdings müsse den Abgeordneten auch die aktuelle Sachlage dargestellt werden. Er befürwortet daher entsprechende Informationen durch die IuK-Kommission und den Ältestenrat.

Abge. Dr. Sitte spricht die aktuelle Berichterstattung über den Angriff auf die IT des Bundestages in den Medien an. Diese vermittele den Eindruck, dass die IuK-Kommission die informationstechnische Hoheit über dieses Thema verliere.

Abg. Dr. Brandl spricht ebenfalls die Verteilung von Informationen aus der IuK-Kommission im Hause an. Es seien Protokolle von Sitzungen der IuK-Kommission Ausschüssen zur Kenntnis gegeben worden. In solchen Fällen sollten, aus Gründen der Transparenz, vorher alle Abgeordneten entsprechend informiert werden. Weiter bittet er das BSI, wenn es ihm in Bezug auf die besondere Rechtsstellung des Bundestages notwendig erscheine, proaktiv für ihren gegenwärtigen Auftrag im Bundestag erforderliche parlamentarische Entscheidungen einzufordern. Es sei nicht gewollt, dass das BSI durch seine Arbeiten für den Bundestag in Kritik gerät.

Unter der Prämisse „alles Mögliche gegen den Datenabfluss zu tun“ hält er, bei Vorliegen einer entsprechenden parlamentarischen Beschlusslage, auch den zeitlich begrenzten Einsatz des SPS des BSI im Bundestag für sinnvoll.

Hinsichtlich des Neuaufsetzens des Netzes in der Sommerpause schlägt er eine zusätzliche Sitzung der IuK-Kommission vor. Hier könnten dann Fragestellungen zur Netzanbindung, zum Umgang mit den MdB-Clients und den Anbindungen der Fraktionen behandelt werden. Als letztes stellt er die Frage, ob der Bundestag mit seinen vorhandenen Kapazitäten strukturell ein sicheres Netz, dem IVBB vergleichbar, betreiben könne oder auch Alternativen, wie der IVBB – mit dem bestehenden Konfliktpotential Exekutive versus Legislative – oder ein kommerzieller Anbieter, unter Abwägung der hiermit verbundenen Risiken betrachtet werden sollten.

Abge. Lemke spricht an, dass die Presse sich für ihre Berichterstattung auf Aussagen von Sicherheitskreisen berufe. Sie fordert das BSI auf sicherzustellen, dass keiner seiner Mitarbeiter in die Öffentlichkeit kommuniziere. Zur Diskussion hinsichtlich einer Zusammenarbeit mit dem BfV merkt sie an, dass hierzu ebenfalls unklare Informationen in der Öffentlichkeit verbreitet worden seien.

Zum Ziel der aktuellen Maßnahmen merkt sie an, dass diese die IT-Sicherheit der Kommunikation von Abgeordneten so schnell und umfänglich wie möglich gewährleisten sollten. Die gemachten Ausführungen während der letzten und heutigen Sitzung vermittelten ihr jedoch den Eindruck, dass momentan eine IT-Sicherheit des Bundestagnetzes nicht gewährleistet und auch in absehbarer Zeit nicht wieder hergestellt werden könne. Auch wenn gegenwärtig vom BSI keine Aktivitäten festgestellt werden, könnte doch ein Datenabfluss bzw. eine Kompromittierung über Monate nicht ausgeschlossen werden. Sie erwarte vom BSI zudem Empfehlungen, wie sich die Abgeordneten bezüglich ihrer IT-Sicherheit in den nächsten Monaten, wenn dasSystem nicht abgeschaltet werde, verhalten sollten.

Abg. Jarzombek regt an, das bestehende Problem wieder in den Mittelpunkt zu stellen und zu einer Sachlichkeit zurückzukehren. Eine Diskussion darüber, wer was, wann und wo gesagt oder auch nicht gesagt habe, sei nicht besonders sachdienlich. Er halte es für wichtig, dass die Mitglieder der IuK-Kommission mit gleichem Wissen darüber, was eigentlich geschehen sei, die Sitzung verließen. Er erinnert an seine bereits gestellte Frage, ob die Exchange-Server, die die E-Mails sowie die sonstigen sensiblen Daten, z.B. zur Terminplanung der Abgeordneten enthalten, kompromittiert worden seien. Hierzu habe Herr Möhlmann erklärt, dass es dafür keinerlei Hinweise gebe. In der vorausgegangenen Diskussion sei es vorrangig darum gegangen, dass aus dem vom BSI festgestellten Abfluss von lokal abgespeicherten Outlookdateien mit alten E-Mails die Unsicherheit des E-Mail-Systems des Bundestages konstruiert worden sei.

Er bittet Herrn Möhlmann erneut, dazu Stellung zu nehmen, ob es Hinweise darauf gebe, dass das E-Mail-System des Bundestages kompromittiert war, ist oder sein könnte sowie dass der Hinweis des BSI zum Datenabfluss sich auf in Dateien archivierte alte E-Mails von lokalen Rechnern beziehe.Es sei ein gravierender Unterschied, ob alte, archivierte E-Mails von vielleicht 15 Clients das Haus verlassen haben oder die gesamte E-Mail kompromittiert sei. Weiter macht er deutlich, dass nicht, wie in der Presse spekuliert werde, die gesamte Hardware des Deutschen Bundestages, sondern nur bestimmte einzelne Komponenten parallel aufgebaut werden sollten. Hier seien Informationen zum Mengengerüst und auch zur zeitlichen Achse sinnvoll.

Auch hat er Bedenken hinsichtlich der durch die zeitweilige Umleitung des Internetverkehrs über den IVBB festgestellten massenhaften Kleinkompromittierungen bei lokalen Rechnern. Dies sei seiner Meinung nach Anlass, über die Rechtesituation bei den lokalen Rechnern nachzudenken. Natürlich muss sichergestellt sein, dass die Daten von Abgeordneten gesichert seien. Anderseits ist der Bundestag ein Verfassungsorgan mit besonderer Rechtsstellung. Deshalb ergebe sich hier der Widerspruch möglichst hoher Freiheitsgrade beim Umgang mit der IT – eine Nutzung aller Möglichkeiten des Internets einschließlich einer intensiven Nutzung von Clouds, die hinsichtlich des Datenabflusses kaum kontrollierbar seien- also alle Tore sicherheitstechnisch weit zu öffnen und dem Wunsch, dabei eine 100%ige Sicherheit zu haben. Ergänzend komme noch die Fragestellung hinzu, in wie weit Dritte Teile des Systems überprüfen sollten, z.B. IDS Systeme der Bundestagsverwaltung. Hieraus lasse sich ein Anforderungsdreieck mit den Seiten „maximale Leistung“, „maximale Sicherheit“ und „kontrollierte Kommunikationsüberwachung“ definieren. Wie diese Forderungen aufgelöst werden könnten, werde unter anderem Gegenstand von zukünftigen Sitzungen der IuK-Kommission sein. Ein erster Ansatz könnte seiner Meinung nach eine Zurücknahme von Berechtigungen bei den lokalen Rechnern sein. Über das Sachleistungskonto könne dann jeder Abgeordnete entsprechende IT-Geräte für von ihm gewünschte IT-Leistungen beschaffen, die dann über das Bundestagsnetz nicht mehr möglich wären.

Die Vors. VPn Pau hält besonders die im letzten Punkt angesprochene Thematik für eine Aufgabe, die nach Auflösung der aktuellen großen Fragen auf die IuK-Kommission zukommen werde. Sie hofft, dass dann alle mit der notwendigen Entschlossenheit nicht nur entsprechende Restriktionen gemeinsam beschließen, sondern auch bereit seien, diese dann in den Fraktionen durchzusetzen.

Abg. Dr. von Notz erinnert daran, dass die Diskussionen zur Sicherheit bereits seit vier Wochen andauerten. Tägliche Angriffe auf lokale Rechner scheinen mittlerweile ein Grundproblem bei der Internetnutzung zu sein. Aktuell sei auch der Tophersteller von Antivirenprogrammen, die Firma Kaspersky erfolgreich angegriffen worden. Wenn jedoch der Deutsche Bundestag betroffen sei, stelle dies ein Politikum dar und die Öffentlichkeit reagiere entsprechend. Durch die Rechtstellung des Deutschen Bundestages sei die Einbindung von Behörden der Exekutive – auch zur Abwehr von Cyberangriffen – juristisch grundsätzlich kein triviales Unterfangen. Dies habe nichts mit den als ehrenwert anerkannten guten Fachleuten zu tun. Hier gehe es um die verfassungsmäßig bewusst gewollte Gewaltenteilung. Er weist darauf hin, dass der Bundestag eine eigene Polizei habe, nicht weil der Berliner Polizei misstraut werde sondern als Zeichen seiner besonderen Rechtsstellung.

Zu den sicherheitsrelevanten Vorgängen führt er aus, dass zu den nachweisbaren Aktivitäten die Verschiebung einer E-Mail-Datei gehöre. Weiter sei berichtet worden, dass nur bestimmte Kommunikationswege überprüft werden könnten und deshalb keine Aussage für VPN-Zugänge und Internet-Clouds möglich seien. Somit könnte aus seiner Sicht die Frage, ob ein Sicherheitsproblem bestehe, nur bejaht werden.

Er spricht weiter an, dass eine zeitliche und kostenmäßige Einschätzung unter besonderer Berücksichtigung der Ausschreibungsregularien als Planungsgrundlage notwendig sei. Abschließend betont er, dass bei den Beschaffungsdiskussionen auch das Thema Open Source berücksichtigt werden müsse.

Herr Hange (Präsident des BSI) geht auf die Presseveröffentlichungen zum Angriff auf den Bundestag ein. Er betont, dass das BSI hierzu keinerlei öffentliche Stellung genommen habe. Alle Schreiben seien bis auf das letzte, hinsichtlich in Betracht kommender Provider, eingestuft worden. Er weist noch einmal auf die Rolle des BSI hin. Kernaufgaben der beim Bundestag eingesetzten BSI-Mitarbeiter seien normalerweise der Schutz des Regierungsnetzes. Das BSI verfüge auch nicht über die Erfahrungen für das Neuaufsetzen von Netzen, es könne jedoch hinsichtlich sicherheitstechnischer Maßnahmen beraten. Grundsätzlich bestimme jedoch das angesprochene Verhältnis von IT-Freiheiten für Abgeordnete und dem allgemeinen Sicherheitsanspruch letztendlich das Maß der Kommunikationssicherheit. Diese Grundsatzfrage müsse der Bundestag für sich selbst beantworten. Daraus ließen sich dann ein Zeitplan und Aussagen zum materiellen Aufwand entwickeln.

Er geht auf die Frage ein, ob eine Ausschreibung erforderlich sei. Dies hänge letztendlich davon ab, ob der Schutz des Bundestages als Teil der nationalen Sicherheit angesehen werde. Diese Frage müsse juristisch beleuchtet werden. Unter dieser Prämisse könnten freihändige Vergaben möglich sein.

Zu den vom Abg. Dr. Brandl angeführten drei Realisierungsansätzen führt er aus, dass wegen der Notwendigkeit einer zeitnahen Umsetzung nur eine Vergabe nach außen als erfolgversprechend angesehen werden könne. Auch der Vorschlag, Open Source-Produkte auf ihren möglichen Einsatz zu prüfen, sei sinnvoll.

Hinsichtlich des Einsatzes von SPS im Bundestag habe das BMI allerdings verfassungsrechtliche Bedenken. Diesbezüglich sei deshalb seitens des Bundestags eine klare Entscheidung erforderlich.

Herr Dr. Häger (BSI) antwortet auf die Frage nach der aktuellen Sicherheit des Bundestagsnetzes, dass es aufgrund des sehr intensiven Monitorings gegenwärtig sicher sei, da jede Anomalie sofort auffalle. Dieser hohe Personaleinsatz seitens des BSI könnte jedoch nicht auf Dauer aufrecht gehalten werden.

Herr Hange (Präsident des BSI) führt diesen Punkt mit dem Hinweis fort, dass das BSI im Rahmen der Beratung Vorschläge erarbeiten könne. Der Bundestag müsse aber selbst die für ihn akzeptablen Sicherheitsanforderungen festlegen, um zeitnah, evtl. zusammen mit geeigneten externen Beratern, einen Neuaufbau des Netzes zu planen und umzusetzen.

Herr Dr. Häger (BSI) geht auf den Austausch von Servern ein. Diese müssten nicht wegen einer evtl. angriffsbedingten Manipulation der Hardware ausgetauscht werden, sondern könnten, wenn das Netz für einige Tage stillgelegt werde, neu aufgesetzt werden. Damit jedoch keine Unterbrechung des Betriebs stattfinde, solle über einen Parallelbetrieb, unter der Hoheit des Bundestages, die neuen Server aufgebaut werden.

Herr Möhlmann (RL IT 5) bestätigt, dass es sich bei den abgeflossenen Daten nicht um E-Mails gehandelt habe, die von E-Mail-Systemen des Bundestages verschickt worden seien, sondern um PST- und OST-Dateien, also lokal gespeicherte E-Mail-Dateien. Diese seien auch nicht als E-Mail verschickt, sondern über den http/https-Verkehr als normale Datenpakete im Internet versandt worden. Er bestätigt, dass die Untersuchungen ergeben haben, dass sowohl die E-Mail-Systeme des Bundestages als auch die der Fraktionen im Moment nicht betroffen seien.

Herr Möhlmann (RL IT 5) antwortet auf die Zwischenfrage des Abg. Helferich, ob dieser Datenabfluss nur bei infizierten Clients festgestellt wurde, dass hiervon insgesamt zwei Clients betroffen gewesen seien.

Die Vors. VPn Pau teilt mit, dass heute im Ältestenrat die Zusammenarbeit mit dem BfV behandelt werde und ein entsprechender förmlicher Beschluss herbeigeführt werden solle. Hier werde auch über die vom GBA eingeleitete Prüfung informiert. Bis zur Sitzung des Ältestenrates werde das Ergebnis dieser Sitzung so zusammengefasst, dass diese als Information für die Öffentlichkeit verwendet werden könnte.

Als nächste Aufgaben der IuK-Kommission kündigt sie Überlegungen zur Einholung von Angeboten, Aufstellung eines Zeitplanes, Vergabe und Realisierung der mit einem Neuaufsetzen der Infrastruktur anstehenden Aktivitäten an.

Die Vors. VPn Pau erteilt Herrn Dr. Risse (Direktor beim Deutschen Bundestag) das Wort.

Herr Dr. Risse (Direktor beim Deutschen Bundestag) geht auf die rechtlichen Bedenken des BMI ein. Der Bundestag leite aktuell einen Teil seines Internetverkehrs über die Infrastruktur des IVBB. Hierdurch werde die dort verfügbare Bandbreite voll ausgeschöpft. In der aktuellen Situation seien ihm seitens der Abgeordneten des Bundestages bisher keine Bedenken gegen diese sicherheitsbedingte Maßnahme bekannt geworden. Diese Information könne das BSI auch an das BMI bezüglich der dortigen Überlegungen übermitteln. Hinsichtlich der Auslastung müsse es, ungeachtet der angesprochenen Kostenfrage, zur Anmietung zusätzlicher Kapazitäten kommen, unter Verwendung des gleichen Sicherheitsstandards, wie er durch den IVBB bereitgestellt werde.

Zur Frage der Außendarstellung der aktuellen Situation und des Bundestagsnetzes spricht er sich dafür aus, diese auf das zuständige Gremium – also die IuK-Kommission – zu beschränken. Dies betreffe nicht nur die heutige Thematik, sondern auch zukünftige Detailvorstellungen im Hinblick auf den zu gewinnenden Dienstleister für die Architektur des neuaufzusetzenden Netzes.

Die Vors. VPn Pau erinnert daran, dass die zeitlich begrenzte Umleitung des Internetverkehrs über den IVBB zur Gewährleistung der größtmöglichen Sicherheit der Internetanbindung diene und nur für einen Übergangszeitraum vorgesehen sei.

Im Zusammenhang mit der Aufnahme eines zukünftigen Normalbetriebes weist sie auch daraufhin, dass bereits heute, durch erkennbare erweiterte Anforderungen hinsichtlich der Sicherheitsmaßnahmen innerhalb des Bundestagsnetzes, entsprechende materielle und personelle Erweiterungen absehbar seien.

Weiter informiert sie die Mitglieder der IuK-Kommission darüber, dass sie anfragenden Journalisten mitgeteilt habe, dass es vor der heutigen Sitzung des Ältestenrates nichts zu berichten gebe und der Deutsche Bundestag nach entsprechenden Beschlussfassungen durch den Ältestenrat die Öffentlichkeit informieren werde. Nachdem keine weiteren Wortbeiträge zu diesem Tagesordnungspunkt und zum Tagesordnungspunkt „Verschiedenes“ mehr vorliegen, bedankt sich die Vors. VPn Pau bei allen Teilnehmern und schließt die Sitzung.

Schluss der Sitzung: 9:35 Uhr

Petra Pau, MdB

Vorsitzende


Kurzprotokoll der 8. Sitzung der IuK-Kommission

Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und -medien

Berlin, den 2. Juli 2015, 7:00 Uhr
Sitzungsort: 10557 Berlin, Friedrich-Ebert-Platz 1
Sitzungssaal: Plenarbereich Reichstagsgebäude,
Ältestenratssaal (Raum 2 N014)

Vorsitz: VPn Petra Pau, MdB

Tagesordnung
  • Tagesordnungspunkt 1: Bericht des BSI-Präsidenten, Herrn Hange zum Angriff auf die IT des Deutschen Bundestages
  • Tagesordnungspunkt 2: Bericht der Firma T-Systems, Herr Scholz, zur Erneuerung der zentralen IT-Systeme des Deutschen Bundestages
  • Tagesordnungspunkt 3: Erweiterung und Beschaffung einiger Sicherheitssysteme analog zum IVBB, Herr Möhlmann IT 5
  • Tagesordnungspunkt 4: Verschiedenes

Die Vorsitzende begrüßt die Teilnehmer zur Beratung der IuK-Kommission. Vor Eintritt in die Tagesordnung schlägt die Vorsitzende den 10. September 2015 als Termin für die nächste Sitzung der IuK-Kommission nach der Sommerpause vor. Die Vorsitzende übergibt das Wort an den Präsidenten des BSI, Herrn Hange zur Darstellung der aktuellen Lage.

Tagesordnungspunkt 1

Bericht des BSI-Präsidenten, Herrn Hange zum Angriff auf die IT des Deutschen Bundestages

Herr Hange (BSI) fasst kurz die Aktivitäten der letzten Wochen zusammen, verweist hierin auf die detaillierten Berichte der nachfolgenden Referenten und übergibt das Wort an Herrn Steffens (BSI) zur Zusammenfassung des aktuellen Status.

Herr Steffens (BSI) berichtet, dass in den letzten 4 Wochen keine Täteraktivität mehr festzustellen gewesen sei. Die Installation eines Schadprogrammes am 27.05.2015 sei die letzte festgestellte Aktion des Täters gewesen. Weitere Bewegungen des Täters im Netz seien seitdem nicht beobachtet worden. Herr Steffens (BSI) führt als Gründe hierfür an, dass zum einen die eingeführten Maßnahmen mit gesperrten Rückmeldekanälen und der Abschaltung/Bereinigung der als kompromittiert geltenden Systeme Wirkung zeigten. Zum anderen könnten die Täter – auch durch die Berichterstattung in den Medien – dazu veranlasst worden sein, sich ruhiger zu verhalten. Herr Steffens (BSI) verdeutlicht, dass dieser Umstand nicht bedeute, dass der Angriff nunmehr vorbei sei. Es sei vielmehr dringend notwendig, weitere Maßnahmen zur Erneuerung und Härtung der IT-Systeme zu ergreifen, da sonst die Kompromittierung des Gesamtsystems weiter bestehen bleibe. Zum Ausmaß der Kompromittierung gibt er an, dass bislang 21 Arbeitsplatzrechner und 4 Server mit sogenannten Backdoors (Schadprogrammen, die sich aus dem Bundestagsnetz nach draußen verbinden, um Angreifern Zugriff auf Daten zu ermöglichen) gefunden worden seien. Ein Ausspähen von Zugangsdaten sei auf 5 Arbeitsplätzen und 20 Servern festgestellt worden. Die Aufteilung auf die Gerätearten sei dadurch zu erklären, dass Arbeitsplatzrechner einen direkten Zugang zum Internet hätten, welcher für den Datenabfluss notwendig sei und auf Servern wiederum Zugangsdaten mit höheren Rechten verfügbar seien, die die Täter zur Bewegung im Netz benötigten. Herr Steffens (BSI) weist darauf hin, dass das Hauptproblem jedoch nicht aus der bislang festgestellten Menge an kompromittierten Systemen bestehe, sondern aus dem Umstand, dass wesentliche Systeme wie das Active-Directory betroffen seien. Er erläutert kurz, dass das Active-Directory ein Dienst sei, auf dem die Zugangsdaten und Passworte sowie die Rechte aller Nutzer verwaltet würden. Durch die Kompromittierung genau dieser Server sei es den Angreifern gelungen, eigene Benutzer mit maximalen Rechten neu anzulegen, die einen weitreichenden Zugriff auf alle wesentlichen Systeme des Netzes gehabt hätten. Herr Steffens (BSI) erläutert weiter, dass der letzte festgestellte Datenabfluss am 20.05.2015 stattgefunden habe. Es seien ca. 16 GB an Daten nach draußen transferiert worden. Auf den bislang untersuchten Systemen seien noch weitere Dateien gefunden worden, die die Täter dort offensichtlich (mit dem Ziel eines späteren Transfers) gesammelt hätten. Bei diesen Dateien habe es sich hauptsächlich um Mailarchive und kleinere Tastaturmitschnitte auf Rechnern von Administratoren gehandelt. Die erste Infektion im Bundestagsnetz könne ungefähr auf den 30.04.2015 zurückverfolgt werden. Die Täter hätten hierbei ein Schadprogramm installiert und sich binnen weniger Stunden zusätzliche Werkzeuge heruntergeladen. Hierbei sei auch ein Werkzeug gewesen, welches Arbeitsspeicher nach Passwörtern untersuchen konnte. Mit diesem Werkzeug sei es dann innerhalb kurzer Zeit gelungen, ein Systemkonto mit erhöhten Rechten, welches zur Softwareverteilung eingesetzt wurde, zu finden und auszuspähen.

Herr Steffens (BSI) erläutert noch einmal die im ersten Schritt eingeführten Maßnahmen zur Eindämmung des Angriffes. Er nennt hier in erster Linie die Abschaltung und Bereinigung infizierter Systeme, die täglichen Scans nach Schadsoftware sowie die Sperrung der sogenannten Steuerungskanäle zu Command & Control-Servern im Internet. Accounts, die von den Angreifern verwendet wurden, seien deaktiviert worden. Zusätzlich seien die Loglevel erhöht worden, um neue Aktivitäten der Täter erkennen zu können. Um den Angreifern weiteren Handlungsspielraum zu entziehen, seien am Wochenende und in Ruhephasen möglichst viele Systeme vorsorglich heruntergefahren worden. Die Vorsitzende erteilt dem Abg. Jarzombek, dem Abg. Dr. Brandl und der Abge. Dr. Sitte das Wort für Nachfragen.

Abg. Jarzombek fragt, ob der Angriff direkt auf Active-Directory Server oder nur auf administrative Systeme erfolgt sei. Zusätzlich möchte er wissen, ob die in der Presse genannten Rechner der Bundeskanzlerin oder des Abgeordnetenbüros der Kanzlerin angegriffen worden seien.

Abg. Dr. Brandl fragt nach, ob durch die forensischen Analysen bestätigt worden sei, dass die Täter den Zugriff auf die Infrastruktur erst Anfang Mai 2015 erlangt hätten und nicht bereits seit mehreren Monaten aktiv gewesen wären.

Abge. Dr. Sitte bittet um eine weitere Konkretisierung zur Art der abgeflossenen Dateien und fragt, wann geplant sei, die Analyse der Daten zu beenden.

Die Vorsitzende stellt vor der Beantwortung der Fragen noch einmal fest, dass den von dem Angriff betroffenen Abgeordneten zugesichert worden sei, dass die Namen ihrer Büros nicht preisgegeben würden. Es sei daher den Abgeordneten selbst überlassen, ob sie einen Angriff veröffentlichten oder nicht.

Herr Steffens (BSI) erläutert, dass die betroffenen Server Active-Directory-Server gewesen seien und dass die Angreifer nach der Kompromittierung der Systeme Standard-Administrationswerkzeuge genutzt hätten, um sich im Netz weiterzubewegen. Die betroffenen Clients seien zum größten Teil Abgeordnetenrechner gewesen und einige Rechner von Administratoren. Wahrscheinlich seien die Abgeordnetenrechner genutzt worden mit dem Ziel, Daten zu stehlen und die Administrationsrechner, um die Zugangsdaten der Administratoren zu erlangen. Die abgeflossenen Daten seien in erster Linie komplette Mailpostfächer gewesen. Zwar seien auch Skripte zum Sammeln von Dokumenten, PDF- und Powerpoint-Dateien gefunden worden, es gebe allerdings bislang keinen Hinweis darauf, dass diese Skripte größere Mengen an Daten eingesammelt hätten. Das erste zurück verfolgbare System sei am 30.04.2015 infiziert worden. Nach dem darauf folgenden Wochenende seien die Täter bereits in der Lage gewesen, sich frei im Netz zu bewegen. Insgesamt sei es den Angreifern gelungen, 5 der 6 Accounts der Domänenadministratoren der Bundestagsverwaltung zu kompromittieren und zu nutzen.

Abge. Dr. Sitte fragt noch einmal, wann die Analyse der Daten beendet sein werde und fügt die Frage hinzu, ob bei der Auswahl der betroffenen Abgeordneten eine Systematik – z.B. an der Tätigkeit des Abgeordneten – erkannt worden sei, die einen Rückschluss auf das Interesse des Angreifers zuließe.

Herr Steffens (BSI) führt aus, dass sich die forensischen Untersuchungen des BSI auf die technischen Aspekte beschränke. Rückschlüsse zu den Inhalten der gesammelten Dateien oder zur Zugehörigkeit der betroffenen Abgeordneten zu bestimmten Ausschüssen könnten von der Seite des BSI nicht gezogen werden. Zur Beendigung der forensischen Analyse bemerkt Herr Steffens (BSI), dass aktuell nur Restarbeiten wie interne Dokumentationen ausstünden. Die Untersuchung weiterer Systeme sei zurzeit nicht geplant.

Herr Hange (BSI) ergänzt, dass die Analyse gezeigt habe, dass aktuell keine weiteren Aktivitäten mehr stattfänden und somit auch keine weiteren Schäden entstünden. Dieses sei das wichtigste Ziel der Bereinigungs- und Blockierungsmaßnahmen der letzten Wochen gewesen. Aus diesem Grund habe sich die Hauptarbeit auf die Vorbereitungen zum Neuaufsetzen des Systems verlagert. Neu auftretende Aktivitäten der Angreifer seien in diesem Stadium nicht auszuschließen und diesen müsse schnell nachgegangen werden.

Abg. Herzog fragt noch einmal, ob eine Systematik bei der Auswahl der betroffenen Abgeordneten zu erkennen gewesen sei und ob hinter dem Angriff eher ein Zufallstreffer oder ein gezieltes Vorgehen gegen bestimmte Abgeordnete zu vermuten sei.

Die Vorsitzende gibt an, dass bislang keine Erkenntnisse vorlägen, die die Zugehörigkeit der betroffenen Abgeordneten zu bestimmten Ausschüssen, Politikfeldern, Parteien oder Gruppen zuließen. Sts Dr. Risse bestätigt diese Einschätzung der Vorsitzenden.

Herr Hange (BSI) erläutert, dass Cyberangriffe in der vorliegenden Form heute bereits immer häufiger auftreten würden. Ziele seien hierbei im ersten Schritt höchstwahrscheinlich nicht gezielt einzelne Abgeordnete sondern eher die Erlangung möglichst hoher Rechte im Netz und das Sammeln von Daten in breiter Fläche gewesen. Die Gegenmaßnahmen mit Scans auf den betroffenen Rechnern und Überprüfung der Rückmeldewege seien daher richtig gewesen. Aus dem momentan relativ stabilen Zustand könne nun durch Neuaufsetzen und Austausch infizierter Systeme der Zustand vor dem Angriff wieder hergestellt werden. Nun müssten weitere Maßnahmen ergriffen werden, die z.B. den Zugang an Administrationsrechnern nachhaltig erschweren.

Abge. Dr. Sitte fragt, ob bereits Schwachstellen ermittelt werden konnten, bei denen aktuell der dringendste Handlungsbedarf bestünde.

Herr Möhlmann (RL IT 5) antwortet, dass schnellstmöglich die betroffenen Systeme Domänen-Controller und Softwareverteilungsserver neu aufgesetzt werden müssten. Auch sei es dringend notwendig, die Schwachstellen im Administrationskonzept, die dazu führten, dass Systeme relativ leicht übernommen werden konnten, zu beseitigen. Er weist darauf hin, dass in der Vergangenheit sehr viel Wert auf eine komfortable Nutzung der PC durch die Anwender gelegt worden sei. Im Rahmen der Überarbeitung der Sicherheitseinstellung werde jedoch auch ein restriktiverer Umgang mit Komfortmerkmalen zu überdenken sein.

Die Vorsitzende erteilt Herrn Scholz (T-Systems) das Wort zur Erläuterung der Erneuerung der zentralen IT-Systeme.

Tagesordnungspunkt 2

Bericht der Firma T-Systems, Herr Scholz, zur Erneuerung der zentralen IT-Systeme des Deutschen Bundestages

Herr Scholz (T-Systems) erläutert, dass die Firma T-Systems beauftragt worden sei, zunächst zu analysieren, welche Maßnahmen kurzfristig umgesetzt werden müssten, damit dieser oder ein ähnlicher Angriff keine weiteren Schäden mehr verursachen könne. Darauf aufbauend sei dann die Beschreibung weiterführender Maßnahmen zur Härtung der eingesetzten Systeme in einer längeren Zeitperspektive geplant. Die Erledigung der kurzfristigen Maßnahmen sei bis zum Ende der bevorstehenden Sommerpause vorgesehen.

Hierzu sei bereits begonnen worden, konzeptionelle Überlegungen zur langanhaltenden Verbesserung der gesamten Sicherheitsarchitektur durchzuführen. Kurzfristig seien Maßnahmen erforderlich, die es dem Angreifer oder potentiellen Nachahmern erheblich erschwerten, Arbeitsplatzsysteme zu übernehmen. Vorrangig noch in der Sommerpause müsse auch das Active-Directory als zentral kompromittiertes System komplett neu aufgesetzt werden. Weitere Untersuchungen seien dann zu den Themen Monitoring, Alarmierung und Einsatz von Frühwarnsystemen erforderlich. Nicht zu unterschätzen sei auch die Sensibilisierung der Anwender im Umgang mit elektronischen Daten. Die Empfehlung von T-Systems werde daher auch die Einführung eines Sensibilisierungsprogramms (Awareness) für alle Abgeordneten und Beschäftigten im Umfeld des Deutschen Bundestages enthalten.

Herr Scholz (T-Systems) erläutert kurz den zeitlichen Ablauf der in den kommenden Wochen geplanten Maßnahmen mit mehreren Meilensteinen, an denen jeweils Entscheidungen zum weiteren Vorgehen zu treffen seien. Er macht deutlich, dass es beim Neuaufsetzen der Systeme in der Sommerpause für einen Zeitraum von 3-5 Tagen zu Beeinträchtigungen bzw. zum Ausfall der Arbeitsfähigkeit kommen werde.

Die Vorsitzende betont, dass es wichtig sei, klar anzusprechen, dass es zum Ausfall der Arbeitsfähigkeit über mehrere Tage kommen könne. Dieses müsse den Fraktionen in der nächsten Ältestenratssitzung mitgeteilt werden. Ebenso sei eine frühzeitige Information der Mitglieder des Bundestages sowie der Mitarbeiterinnen und Mitarbeiter der Verwaltung zu diesem Umstand erforderlich.

Herr Scholz (T-Systems) erklärt, dass es das primäre Ziel sei, die Arbeitsfähigkeit Anfang September zum Ende der Sommerpause sicherzustellen.

Abg. Kaster stellt die Frage, ob bei den Betrachtungen der Firma T-Systems zur gesamten IT-Sicherheitsarchitektur auch die Verbindungen zwischen den Fraktionen und der Bundestagsverwaltung berücksichtigt würden. Er erwarte zum Beispiel Vorschläge, ob aus Sicherheitsaspekten größere Komponenten der Fraktionen in zentrale Bundestagssysteme zu integrieren seien oder ob es besser sei, die Systeme noch stärker zu trennen, oder ob bei Beibehaltung der jetzigen Vertrauensstellungen durch die Fraktionen bestimmte Mindestanforderungen zu erfüllen seien. Zu diesen Fragen, aber auch zu den gegebenenfalls notwendigen Einschränkungen in den Komfortmerkmalen, seien jedoch detaillierte Informationen als Grundlage für weitere Entscheidungen nötig.

Abge. Lemke fragt nach, wie der Angreifer in das System gelangt sei und ob die Schließung dieses Einfallstores auch Bestandteil der kurzfristigen Abwehr und der Neukonzeption des Gesamtsystems sei. Sie stellt zudem fest, dass bei allen Einschränkungen im Komfort der Arbeit – aufgrund sonst fehlender Akzeptanz – logische Sachzusammenhänge mit dem vorliegenden Angriff herzustellen seien. Dieses gelte im Übrigen auch für Empfehlungen im Bereich der angekündigten Sensibilisierungsmaßnahmen für die Anwender.

Abge. Lemke weist darauf hin, dass es dringend notwendig sei, Informationen zu bevorstehenden Ausfällen in der Arbeitsfähigkeit noch in der laufenden Woche bereitzustellen, bevor die Abgeordneten in die Sommerpause gingen. Es gäbe eine große Offenheit für Einschränkungen, wenn Informationen geeignet kommuniziert würden.

Abge. Dr. Sitte bekräftigt die Forderung, frühzeitig in die Diskussion der von T-Systems, dem BSI und der Bundestagsverwaltung gemachten Empfehlungen zur Erhöhung der IT-Sicherheit eingebunden und informiert zu werden. Zudem sei es wichtig, frühzeitig über die geplante Abschaltung des Gesamtsystems informiert zu werden, insbesondere bei Planungen, die die letzten beiden Wochen im August beträfen, welche die Abgeordneten bereits intensiv zur Vorbereitung der Haushaltswoche nutzten.

Abge. Esken äußert die Befürchtung, dass die angekündigten 3-5 Tage Systemausfall schnell zu einer gesamten Woche heranwachsen könnten. Zudem seien Maßnahmen, welche nur die hinteren Enden der Arbeitsplatzrechner beträfen, nicht ausreichend. Vielmehr sei es angebracht, die Systeme in ihrer Tiefe widerstandfähiger gegen Angriffe zu machen. Sie fragt nach, ob die Analyse und Forensik jetzt abgeschlossen sei, ob die Beauftragung der Firma T-Systems sich auch auf die weitere Konzeptionierung ab September beziehe und ob TSystems in diesem Auftrag Subunternehmer beschäftige.

Abg. Jarzombek möchte ebenfalls wissen, wie TSystems diesen Auftrag bekommen habe. Er beklagt weiterhin, dass die vorgestellte Präsentation keinesfalls ausreiche, um eine Neustrukturierung der IT des Bundestages zu erklären. Er sähe sich daher in hohem Maße uninformiert über die geplante Neukonzeption.

Abg. Helferich äußert die Sorge, dass die Komforteinschränkungen bei den Nutzern keine PlaceboMaßnahmen sein dürften und an anderer Stelle große Lücken im Sicherheitsbereich aufständen. Er fordert daher eine in sich stimmige und ausgewogene Betrachtung aller Risiken. Er weist darauf hin, dass es wichtig sei, zum Termin der geplanten Abschaltung der IT-Systeme in der Sommerpause frühzeitige Informationen zu erhalten.

Abg. Dr. Brandl merkt an, dass für die Themen Anbindung der Fraktionen, Internetanbindung des Bundestages über den IVBB und Komforteinschränkungen für die Abgeordneten ausreichende Informationen und Entscheidungsvorlagen zu erstellen seien. Die Vorsitzende gibt das Wort an Herrn Hange (BSI) zur Beantwortung der Fragen.

Herr Hange (BSI) erläutert zunächst, dass die Frage wann der erste Angriff stattgefunden habe durch die Einschränkung der Verfügbarkeit der Protokolldaten aktuell nicht genau rekonstruiert werden könne. Das Muster des Angriffes und der Ausleitung von Daten entspräche dem bereits von anderen Stellen bekannten APT 28. Er betont zudem, dass Angriffe auf das System des Bundestages immer möglich seien. Dieses könne nicht verhindert werden. Deshalb sei es entscheidend, die Hintergrundsysteme so zu stärken, dass Angriffe frühzeitig detektiert werden könnten, um eine Übernahmen eines Clients und weiterer Systeme mit hohen Rechten zu verhindern. Wichtig sei es, aus dem erfolgten Angriff zu lernen und weitere Maßnahmen zu ergreifen. Als Beispiel hierfür nennt er, dass die Fraktionen gegenüber der Bundestagsverwaltung durch eine Firewall abgesichert seien, der umgekehrte Fall aber nicht vorhanden sei. Er führt hier Erfahrungen aus dem IVBB an, in dem jedes Ministerium hinsichtlich seiner IT eine eigene IT-Sicherheitszone sei, die an Übergängen auf Schadprogramme geprüft werde. Zu weiteren Maßnahmen bemerkt er, dass auch die Clients gehärtet werden müssten. Als wichtigste Maßnahmen nennt er ebenfalls die Verschlüsselung des Datenverkehrs auch innerhalb der Netze und die starke Authentisierung an den Clients (Zugriff auf die Datenbestände nur nach Authentisierung per Karte oder Stick).

Die Vorsitzende stellt dar, dass es Aufgabe der IuKKommission sei, die Dinge, die aktuell in der Verantwortung der Bundestagsverwaltung organisiert werden müssten, zu begleiten. Der Ältestenrat habe, wie in der letzten Sitzung der IuK-Kommission besprochen, der Bundestagsverwaltung das Mandat erteilt, die notwendigen Maßnahmen unter Berücksichtigung der Gefahr im Verzug einzuleiten. Es sei zudem nicht möglich, ohne eingestufte Sitzung weitere Details des zukünftigen Sicherheitskonzeptes zur Härtung der Systeme zu erörtern oder in irgendeiner Art und Weise zu veröffentlichen.

Abg. Jarzombek wiederholt seine Kritik, dass anhand der gehaltenen Präsentation keine ausreichenden Informationen vorlägen, um eine Beurteilung der Maßnahmen vorzunehmen. Er führt aus, dass er zumindest eine kurze Darstellung der seit der letzten Sitzung erfolgten Aktivitäten erwartet habe.

Abge. Esken zeigt Verständnis für die Vergabe des Auftrages zum Neuaufsetzen der kompromittierten Systeme unter der Bedingung der Gefahr im Verzug. Diese sei jedoch für die Neukonzeption der Systeme ab September nicht mehr gegeben. Sie stellt außerdem fest, dass eine Geheimhaltung der IT-Sicherheitsarchitektur keinen Schutz vor einer Kompromittierung biete. Die Sicherheitsarchitektur habe vielmehr so sicher zu sein, dass man auch darüber öffentlich reden können müsse. Zudem wiederholt sie ihre Fragen nach Referenzfällen, auf denen die vorgeschlagenen Maßnahmen beruhten und ob T-Systems in diesem Auftrag mit Subunternehmern arbeite.

Die Vorsitzende erteilt Sts Dr. Risse das Wort.

Sts Dr. Risse erklärt, dass der Präsident beabsichtige, weitere Informationen und die Ergebnisse aus der IuK-Kommission sowie der später stattfindenden Ältestenratssitzung in einem Rundschreiben an die Abgeordneten zu richten. Er betont, dass auch für die Bundestagsverwaltung von großem Interesse sei, wann die geplante Abschaltung durchgeführt werde. In Vorbereitung auf die Haushaltswoche im September ende der Urlaubszeitraum zumeist schon in der zweiten Augusthälfte und zu diesem Zeitpunkt müsse die Abschaltung wenn möglich durchgeführt worden sein. Der Versuch, hier ein konkretes Datum zu nennen, sei zum jetzigen Zeitpunkt jedoch rein spekulativ. Sts Dr. Risse erläutert, dass die Beauftragung von T-Systems eine reine Verwaltungsentscheidung gewesen sei, die nach der Aufforderung des Ältestenrates in Abstimmung und Empfehlung mit dem BSI getroffen worden sei. Eine die Firma T-Systems empfehlende Referenz sei zudem der Betrieb des IVBB als Behördennetzwerk mit sehr hohen Sicherheitsanforderungen. Der Umstand, dass Gefahr im Verzug vorgelegen habe, habe diese Beauftragung auch vergaberechtlich möglich gemacht. Sts Dr. Risse geht kurz auf den zwischenzeitlich durchgeführten, vorbereitenden Workshop ein, an dem neben der Bundestagsverwaltung das BSI und T-Systems sowie die IT-Referenten der Fraktionen teilgenommen hätten. Hier sei unter anderem die Anbindung der Fraktionen an das Bundestagsnetz erörtert worden. Die Neukonzeption der Sicherheitsarchitektur spiele für die Zukunft eine wesentliche Rolle. Da die Betroffenheit der einzelnen Abgeordneten und Fraktionen sehr hoch sein könne, seien hier Entscheidungen vorzubereiten. Ziel sei es, ein System zu betreiben, das in seinen Grundparametern auf Beschlüssen der Abgeordneten basiere. Hier werde dann auch zu konzipieren sein, ob die Sicherheitsarchitektur zukünftig dezentraler, mit mehr Sicherheitsinseln zu betreiben sein werde, um sicherzustellen, dass ein Angriff auf eine der Inseln nicht auf das gesamte System übergreifen könne.

Abg. Jarzombek fragt nach, ab wann eine Aussage zum konkreten Zeitpunkt der Abschaltung in der Sommerpause gegeben werden könne.

Die Vorsitzende stellt ebenfalls die Frage, mit welchem Vorlauf eine Abschaltung angekündigt werden könne und übergibt das Wort an die Abge. Lemke.

Abge. Lemke äußert Verständnis über die aktuell unpräzisen Aussagen zur Dauer der Abschaltung, bittet jedoch dringend um Informationen zu den Auswirkungen, die die Abgeordneten zu erwarten hätten, ob das Arbeiten offline möglich sei oder ob die E-Mail in dem Zeitraum funktioniere. Zudem müsse es möglich sein, dass zumindest ein grober Zeitraum festgelegt werde, in dem die Abschaltung stattfinde.

Abge. Esken würde es begrüßen, wenn die Informationen zu diesem Thema nicht vor der Verteilung durch den Präsidenten bereits Teil der Online-Medienberichterstattung wären. Sie fragt noch einmal nach Subunternehmern der Firma T-Systems bei diesem Auftrag und stellt weiterhin fest, dass der Betrieb des IVBB zwar ein guter Referenzfall für eine Neukonzeption des Systems ab September sei, nicht aber für die Behandlung des aktuellen Angriffes.

Abg. Kaster geht noch einmal auf die Erarbeitung von Entscheidungsgrundlagen für die IuK-Kommission für den Fall ein, dass die Gesamtsicherheitsarchitektur verändert werden müsse. Über mögliche Konsequenzen auf die Arbeitsweise der Abgeordneten müsse – wie bereits in der Obleuterunde besprochen – ggf. auch in der Sommerpause durch die IuK-Kommission entschieden werden. Wichtig sei zudem, diese Entscheidungsvorlagen auch mit Alternativvorschlägen so früh wie möglich zu erhalten.

Die Vorsitzende bekräftigt die Frage, mit welchem Vorlauf eine Abschaltung angekündigt werden könne.

Herr Scholz (T-Systems) erklärt, dass zum aktuellen Zeitpunkt der Vorbereitungen eine Nennung eines Termins oder Terminzeitraumes für das Neuaufsetzen der Systeme noch nicht erfolgen könne. Er fügt hinzu, dass T-Systems aktuell nicht beabsichtige, Subunternehmen bei diesem Auftrag zu beschäftigen. Die Einholung externer Expertenmeinungen zu einem späteren Zeitpunkt könne er jedoch nicht ausschließen.

Abg. Helferich fragt noch einmal, mit welchem Vorlauf ab Mitte Juli bis zum geplanten Abschaltzeitraum zu rechnen sei.

Herr Scholz (T-Systems) antwortet, dass aus technischer Sicht diese Zeit möglichst lang sein solle, um ausreichend Realisierungs- und Testzeiträume im Vorfeld nutzen zu können. Da als spätester Abschalttermin durch andere Vorgaben jedoch bereits Mitte August feststehe, verkürze sich dieser Zeitraum schon auf maximal 3 bis 4 Wochen.

Die Vorsitzende stellt fest, dass spätestens 14 Tage vor der geplanten Abschaltung eine Information an die Abgeordneten und die Mitarbeiter der Verwaltung erfolgen müsse, um sich organisatorisch auf den Zeitraum vorbereiten zu können. Sie bekräftigt weiterhin den geäußerten Wunsch, frühzeitig Entscheidungsvorlagen zu erhalten, um ggf. auch in der Sommerpause Vorschläge, die die Arbeitsfähigkeit der Abgeordneten oder die IT der Fraktionen beträfen, durch die IuK-Kommission entscheiden lassen zu können.

Die Vorsitzende ruft den dritten Tagesordnungspunkt auf und bittet Herrn Möhlmann (RL IT 5) um Erläuterung der hierzu vorliegenden Beschlussempfehlung.

Tagesordnungspunkt 3

Erweiterung und Beschaffung einiger Sicherheitssysteme analog zum IVBB, Herr Möhlmann IT 5

Hierzu wurde verteilt:
1 Beschlussvorlage

Herr Möhlmann (RL IT 5) erläutert, dass aktuell der Internetverkehr des Bundestages während der Woche zur Hälfte über den IVBB geleitet würde, um die dort verfügbaren Systeme zur Blockierung von kritischen Internetseiten zu nutzen. Die andere Hälfte würde über die Firewall Systeme des Bundestages geführt und mit den dort zur Verfügung stehenden beschränkten Mitteln gesichert. Die starke Auslastung dieser eigenen Systeme erzwinge jedoch die Beschaffung eines Systems, das an die Leistungsfähigkeit der Systeme des IVBB heranreiche. Dieses System liefe auf Spezialhardware, welche ausschließlich für den IVBB konstruiert worden sei. Mit dem BSI und dem Hersteller sei bereits geklärt worden, dass dieses System eingesetzt werden dürfe und dass es relativ kurzfristig für den Bundestag verfügbar sei. Derzeit würden auf dem System des IVBB ca. 100.000 Seiten gesperrt, das Firewall System des Bundestages schaffe aktuell eine Sperrung von ca. 5000 Seiten, welche originär mit dem Angriffsszenario zu tun hätten. Zusätzlich würden Bankingtrojaner gesperrt, deren massives Auftreten erst durch den Einsatz spezieller Erkennungssoftware erkennbar geworden sei.

Herr Möhlmann (RL IT 5) führt weiter aus, dass der Angriff mit Antivirenprogrammen nicht zu erkennen gewesen sei. Daher habe man jetzt eine spezielle Erkennungssoftware der Firma BFK im Einsatz, die als Ergänzung zum Virenscanner jeden Tag zum Einsatz käme. Diese Tools seien auf den zurückliegenden Angriff spezialisiert, so dass davon ausgegangen werden könne, dass dieses Angriffsszenario aktuell unter Kontrolle sei. Zukünftig müsse das Antivirensystem des Bundestages jedoch um diese Art Erkennungssoftware erweitert werden.

Herr Möhlmann (RL IT 5) erläutert, dass nicht geplant sei, ein Schadsoftware-Erkennungssystem (SES), wie es das BSI zusätzlich betreibt, im Bundestag einzuführen. Dieses SES leite verdächtige Dateien, die im internen Netz entdeckt würden, an Mitarbeiter des BSI zur Auswertung weiter. Diese Art der Kontrolle sei zum einen mit Daten der Abgeordneten nicht durchführbar und zum anderen nur mir sehr vielen Mitarbeitern zu realisieren. Es sei daher nur der Ausbau des bereits im Einsatz befindlichen Intrusion-Detection-Systems geplant, welches Anomalien im Netzverkehr feststelle und melde. Auch für den Betrieb dieses Systems sei zusätzliches Personal notwendig, welches bis zur Schaffung eigener Stellen bei externen Firmen eingekauft werden müsse.

Herr Möhlmann (RL IT 5) fügt hinzu, dass man die Bundesregierung bitten müsse, weiterhin Signaturen zum Betrieb der genannten Systeme zur Verfügung zu stellen. Diese Informationen bekomme der Bundestag aktuell vom BSI, vom BfV und von der Firma BFK. Dieses müsse auch in Zukunft gewährleistet sein, da die genannten Systeme sonst wirkungslos blieben. Ziel sei es, die IuK-Kommission zukünftig fortlaufend über mögliche Sperrungen zu informieren und um Zustimmung zu bitten.

Herr Möhlmann (RL IT 5) erläutert weiterhin, dass am Wochenende fast vollständig die Infrastruktur des IVBB für den Internetverkehr (bis auf den EMailverkehr) des Bundestages genutzt werde. Das BMI habe nun mitgeteilt, dass für eine zukünftige Nutzung Kosten in Höhe von ca. 36.000 EUR monatlich zu zahlen seien. Diese Aufforderung müsse jedoch noch eindeutiger geklärt werden.

Herr Hange (BSI) ergänzt, dass Virenscanner aktuell in der Lage seien, nur noch 40-50% der gesamten Schadprogramme zu erkennen. Angreifer hätten Möglichkeiten gefunden, sich vor den gängigen Virenscannern zu verbergen. Daher sei der Einsatz zusätzlicher Schadprogrammerkennung dringend angeraten.

Abge. Lemke sieht die vorliegende Beschlussvorlage als nicht zustimmungsfähig an, da seit der Obleuterunde zusätzliche Fragen aufgetaucht seien. Diese Fragen ergäben sich zunächst aus dem aktuell bekannt gewordenen Lauschangriff auf das Netz der Bundesregierung. Unklar sei, ob hierbei der IVBB und das Telekommunikationsnetz betroffen seien und ob es sich um kompromittierte Hardware handele. Der geplante Aufbau eines Systems im Bundestag analog zum IVBB-System werfe in diesem Zusammenhang aktuell schwer ausräumbare Bedenken auf.

Abge. Lemke betont, dass die Auswirkungen der eingesetzten Sperrlisten nicht allen Abgeordneten bekannt seien. Zudem sei es wichtig zu klären, inwieweit zukünftig durch die Abgeordneten Einsicht in diese Sperrlisten genommen werden könne. Zum zweiten Punkt der Beschlussempfehlung stellt sie zusätzlich die Frage, warum die Speicherung von Protokolldaten fortgeführt werden soll, obwohl vom BSI erklärt worden sei, dass die Analyse der Daten bereits abgeschlossen sei.

Abg. Dr. Brandl antwortet, dass in der Öffentlichkeit und bei den Abgeordneten sicher kein Verständnis zu erwarten sei, wenn man in der Zukunft neue Abflussziele erkennen würde und nicht nachvollzogen werden könne, dass diese dem Angriff Anfang Mai zuzuordnen wären, weil die Protokollierungsdaten zwischenzeitlich gelöscht worden seien. Daher sei eine Speicherung, zumindest bis zur nächsten IuK-Sitzung, sinnvoll.

Abg. Dr. Brandl stellt fest, dass die Erkennung intelligenter Angriffe durch Mitarbeiter nur möglich sei, wenn diese weitere Erfahrungen bei der Erkennung von Anomalien im Netz sammeln könnten. Da dieses nicht durch den isolierten Blick ausschließlich auf das Bundestagsnetz geschehen könne stellt er die Frage, ob irgendeine Art von Verbund mit externer Kompetenz existiere, an der zukünftige Mitarbeiter teilhaben könnten. Er fragt dann, ob eine Größenordnung genannt werden könne, wie viele Internetseiten zukünftig täglich neu gesperrt würden. Er stellt weiterhin fest, dass nach einem Übergangszeitraum zur Abwendung des aktuellen Angriffs langfristig eine Regelung getroffen werden müsse, wie die Zusammenarbeit mit dem BSI, im Einklang mit dem BSI-Gesetz, erfolgen könne. Weiter regt er die Schaffung eines Krisenreaktionskonzeptes an, da er vermute, dass zukünftig weitere Angriffe erfolgen und die Qualität der Angriffe weiter zunehmen werde. In diesem solle dann auch geklärt werden, wie eine Unterstützung des BSI – auch für den Fall eines gleichzeitigen Angriffes auf die Bundesregierung und somit knapper Ressourcen – in der Zukunft aussehen könne.

Abg. Kaster erklärt, dass die vorliegende Beschlussvorlage zustimmungsfähig sei. Er betont, dass hierin ausdrücklich genannt werde, dass die analog zum IVBB zu beschaffenden Systeme eigenständig unter der Hoheit des Bundestages betrieben würden. Es sei nachvollziehbar, dass Sicherheitskomponenten, die beim IVBB bereits erfolgreich im Einsatz seien, auch im Bundestag eingesetzt würden. In der zurückliegenden Diskussion sei zudem hinreichend dargestellt worden, wozu die weitere Speicherung der Protokolldaten sinnvoll sei.

Abg. Herzog stellt fest, dass der Beschlussvorlage zugestimmt werde. Außer dem IVBB und dem BSI falle ihm keine weitere Institution ein, der man in der aktuellen Situation mehr ver- und zutrauen könne. Er weist zudem darauf hin, dass er bislang noch von niemandem in der Fraktion angesprochen worden sei, dass Internetseiten nicht gesperrt gewesen wären. Er begrüße es, wenn eher mehr Seiten gesperrt würden, um eine höhere Sicherheit zu erreichen.

Abg. Jarzombek bekräftigt, dass es gerade in dieser Phase der Absicherung des Systems, wichtig sei, eher mehr als zu wenig zu sperren. Er weist zudem darauf hin, dass es auch möglich und sinnvoll sei, auf eigenbeschafften Geräten ungefiltert auf das Internet zuzugreifen und das Bundestagsnetz stärker gegen Angriffe abzuschotten. Er regt zudem an, auch den E-Mail-Verkehr zumindest soweit automatisiert zu analysieren, dass offenkundige Gefahren erkannt und verhindert würden.

Herr Hange (BSI) antwortet, dass die Auswertung der Protokolldaten im Sinne der Gefahrenabwehr, wie eingangs dargestellt, als abgeschlossen betrachtet werde. Die Tatsache, dass der Angreifer aber immer noch aktiv werden könne, wenn auch zurückhaltender als im ersten Angriff, erfordere jedoch ein weiteres Vorhalten der Protokolldaten, um gezielt Anomalien mit den erhobenen Daten vergleichen zu können. Zur Frage nach dem aktuell in der Presse dargestellten Lauschangriff auf die Bundesregierung bemerkt er, dass noch geprüft werden müsse, wie der technische Hintergrund der veröffentlichten Telefonnummern und Gesprächsinhalte von Regierungsvertretern zu bewerten sei. Er betont zum Schluss, dass die Entscheidungskompetenz bei allen Zulieferungen von Sperrungen der Rückmeldewege von Angriffen und allen Beratungen seitens des BSI, immer in den Händen des Bundestages gelegen hätte und auch zukünftig liegen werde.

Herr Möhlmann (RL IT 5) erläutert, dass die erwähnten Sperrlisten keine echten Listen seien, sondern Informationen, die aus elektronisch übermittelten Daten von verschiedenen Quellen auf den Konsolsystemen des Referates zusammengefügt würden. Er bietet an, den Abgeordneten auf dem geplanten SPS-System über diese Konsolsysteme im Referat IT 5 Einblick auf die Sammlung der gesperrten Internetseiten zu ermöglichen. Er bestätigt die Ansicht, dass ein Betrieb der geplanten Sicherheitssysteme nur im engen Kontakt zu weiteren Institutionen möglich sein werde. Das BSI und Firmen wie die BFK würden noch längere Zeit für Beratungen, aber auch für echte personelle Unterstützung benötigt. Der Bundestag erhalte bereits seit Jahren Informationen vom CERT-Bund und anderen CERT-Institutionen, die in die tägliche Arbeit einflössen. Diese Arbeit im Verbund gelte es jetzt noch auszubauen. Die Erarbeitung des angesprochenen Krisenreaktionskonzeptes sei eng an die Möglichkeiten gebunden, zukünftig Spezialisten für diesen Bereich rekrutieren zu können.

Abg. Dr. Brandl fragt, ob es möglich wäre, dass Forensiker vom BSI oder von der BFK garantiert für den Bundestag zur Verfügung stünden, wenn sie kurzfristig gebraucht würden.

Herr Möhlmann (RL IT 5) antwortet, dass hierzu bereits Gespräche mit der Firma BFK geführt worden seien. Er ergänzt, dass das bereits vorhandene Intrusion Detection System noch in diesem Jahr ersetzt werden würde. Die Auswahl des Systems sei in Abstimmung mit dem BSI geplant und werde der IuK-Kommission zu gegebenem Zeitpunkt vorgestellt.

Abge. Esken fragt, ob die Firma BFK im Auftrag der Bundestagsverwaltung weiter beauftragt werde und ob diese Vergabeentscheidung immer noch auf Basis der Gefahr im Verzug erfolge oder sich auch auf die Neukonzeption des Systems beziehe.

Die Vorsitzende betont, dass dieses keine Entscheidung für die nächsten Jahre sei und dass immer wieder überprüft werde, wo weiterer Sachverstand einbezogen werden könne.

Herr Möhlmann (RL IT 5) bekräftigt dieses und führt aus, dass es jetzt sinnvoll erscheine die BFK zu beschäftigen, dass aber im weiteren Verlauf normale Vergaben über die zukünftige Unterstützung entscheiden würden.

Die Vorsitzende fasst zusammen, dass die Fraktion der Grünen die Zustimmung zu der Beschlussvorlage nicht erklärt. Die Fraktionen der CDU/CSU, der SPD und die Linke stimmten der Beschlussvorlage zu. Dieses Ergebnis werde nun dem Ältestenrat übermittelt. Die Zustimmung gelte im Übrigen für beide Beschlusspunkte, die Beschaffung des eigenen Systems und der Speicherung der Protokolldaten.

Die Vorsitzende bedauert, dass die Präsentation des neuen Intranetangebots und die Darstellung auf mobilen Endgeräten im Tagesordnungspunkt 4, Verschiedenes aus Zeitgründen nicht mehr behandelt werden könne und beendet die Sitzung.

Schluss der Sitzung: 9:00 Uhr

Petra Pau, MdB

Vorsitzende


Kurzprotokoll der 9. Sitzung der IuK-Kommission

Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und -medien

Berlin, den 10. September 2015, 8:00 Uhr
Sitzungsort: 10557 Berlin, Friedrich-Ebert-Platz 1
Sitzungssaal: Plenarbereich Reichstagsgebäude,
Ältestenratssaal (Raum 2 N014)

Vorsitz: VPn Petra Pau, MdB

Tagesordnung
  • Tagesordnungspunkt 1: Information zur Umsetzung der Erneuerung der zentralen IT-Systeme des Deutschen Bundestages, Herr Wilk IT 1
  • Tagesordnungspunkt 2: Information der Firma T-Systems, Herr Giese, zu weitergehenden Maßnahmen
  • Tagesordnungspunkt 3: Herr Möhlmann IT 5
  • Tagesordnungspunkt 4: Stellungnahme des BSI, Herr Hange, Präsident BSI
  • Tagesordnungspunkt 5: Verschiedenes

VPn Pau begrüßt alle Anwesenden.

Vor Eintritt in die Tagesordnung teilt sie mit, dass einzelne Teilnehmer bereits um 8.30 Uhr in weitere Gremien müssten und die Haushaltsberatungen um 9:00 Uhr fortgesetzt würden, daher schlage sie vor, dass erst die Berichte und Ausführungen hintereinander zur Kenntnis genommen werden und die Debatte im Anschluss im Zusammenhang geführt werde. Sie stellt fest, dass die Tagesordnung fristgerecht zugegangen sei.

Tagesordnungspunkt 1

Die Vorsitzende VPn Pau erteilt Herrn Wilk (RL IT 1) das Wort.

Herr Wilk (RL IT 1) erläutert den Sachstand der Erneuerung. Bei der Konzeption des Neuaufbaus sei die IT davon ausgegangen, dass der Angreifer horizontale und vertikale Bewegungen im IT-System ausgeführt habe. Allem Anschein nach habe er zuerst PCs infiziert, um dann höherwertige Systeme z.B. Domaincontroller anzugreifen. Einige Windowsserver seien ebenfalls kompromittiert worden. Nicht betroffen sei die ATV gewesen. Ein direkter Zugriff auf Fileservices oder Linuxsysteme sei ebenfalls nicht festgestellt worden. Über die Erstmaßnahmen sei bereits mehrfach berichtet worden. Das BSI und Dienstleister seien hier zur Unterstützung der Bundestagsverwaltung tätig. Die Identifikation und Bereinigung sowie das Erkennen neuer oder vorhandener Infektionen habe der IT des Bundestages die Möglichkeit zum Neuaufsatz der kompromittierten Systeme gegeben. Parallel zum Angriff habe die IT mit der Systemanalyse begonnen. So seien Kontenbereinigungen durchgeführt worden und zur permanenten Analyse sei zügig ein zentraler Logserver aufgebaut worden. Dieser ermögliche es schneller, Angriffsbewegungen zu erkennen. Die Analyse habe ergeben, dass die bestehende Domänenarchitektur und die Administrationsumgebung diesem Angriffsvektor nicht gewachsen gewesen sei. Zudem habe die Möglichkeit bestanden, dass der Angreifer unerkannt noch Schadsoftware hinterlassen habe. Daher sei für die Erneuerung der Domäne eine speziell gehärtete bzw. eine härtere Architektur erforderlich. Die Erneuerung der kompromittierten Serversysteme sei erforderlich, da eine einfache Bereinigung als nicht ausreichend angesehen werde. Die Erfolgsquote für eine derartige Erneuerung liege laut Literatur bei 50% bis 80%. Das gesamte Vorgehen müsse neu entwickelt und geplant werden. Es seien ca. 128.000 Objekte im Verzeichnisdienst zu bereinigen bzw. in die neue Umgebung bereinigt zu übernehmen gewesen. Die erneuerten Systeme seien in einer IT-technisch isolierten Umgebung aufgebaut worden, um in einer nicht kompromittierten Umgebung neu starten zu können.

Die neue Umgebung sei nach der sogenannten EAE-Architektur aufgebaut worden. Diese Architektur werde von der Firma Microsoft ab 2016 als Standardarchitektur für Domaincontroller empfohlen. Es handele sich um ein Schichtenmodell, bei dem die hochwertigen Systeme, wie z.B. der zentrale AD, ganz besonders geschützt werden. Diese Systeme seien nur von speziellen, vorher bekannten Arbeitsstationen administrierbar. Die Systeme befänden sich in einem eigenen VLAN. Zeitgleich seien die Serversysteme auf die aktuelle Betriebssystemversion migriert und neue Hardware beschafft worden. Diese neue Umgebung erfordere auch eine Anpassung der bisherigen Administrationswerkzeuge. Die Arbeiten hierzu seien noch nicht abgeschlossen. Im Weiteren seien die Administrationsrechte noch weiter granuliert worden. Das kurzfristige Ziel sei die Erneuerung in der Sommerpause gewesen, da dies das einzige Zeitfenster sei, um derartige Tätigkeiten durchführen zu können. Durch die Griechenland-Sondersitzung hätte der geplante Termin um eine Woche verschoben werden müssen. Die Erneuerung habe dann im ersten Anlauf geklappt. In den vergangenen zwei Monaten hätten nicht alle Maßnahmen abschließend durchgeführt werden können. Es seien die Maßnahmen, die eine Betriebsunterbrechung erforderlich machten, umgesetzt worden.

Zur Vorbereitung der Erneuerung seien die Konzepte einer Qualitätssicherung durch die Firma T-Systems unterzogen und soweit erforderlich nachgebessert worden. Das Referat IT 1 habe den Aufbau der neuen Systeme, die Umsetzung des Architekturentwurfs und den ersten Entwurf des Migrationsablaufs unter Beteiligung der anderen IT-Referate erarbeitet. Die Firma T-Systems habe hier eine Qualitätssicherung durchgeführt. Zudem habe die Firma die Datenübernahme in die neue Domäne, die Bereinigungsläufe und die entsprechenden Tests durchgeführt. Die Fortschreibung des Projektplans sei ebenfalls Aufgabe von T-Systems gewesen. Das Referat IT 2 sei für die Sicherheitseinstellungen auf den Clients über die Group-Policies verantwortlich. Das Referat IT 3 habe für die Abschottung der neuen Umgebung gesorgt. Die Erneuerung sei ein gemeinsames Vorgehen der gesamten Unterabteilung IT gewesen.

In einer Testumgebung seien die Systeme aufgebaut und der Erneuerungsprozess mehrfach durch Testläufe überprüft und optimiert worden. Eine wesentliche Frage dabei sei gewesen, ob der avisierte Zeitraum von fünf Migrationstagen ausreichen würde. Es seien Prüfschablonen entwickelt worden, um die 128.000 AD-Objekte schneller überprüfen zu können. Dieses habe auch die Auswertung während der Migration beschleunigt, um einen Soll-/Ist-Abgleich durchzuführen. Als Ergebnis hätte der Zeitraum von fünf Tagen eingehalten werden können. Ein Restrisiko sei gewesen, dass ab einem gewissen Fortschritt der Erneuerung kein einfacher Fallback auf die alte Umgebung mehr möglich gewesen wäre. Als Konsequenz hätten in diesem Fall alle PCs und Server neu aufgesetzt werden müssen. In der Testumgebung hätten nicht alle Systeme nachgebildet werden können. Es seien dort möglichst repräsentative Systeme implementiert, um über eine Extrapolation Anhaltspunkte für eine erfolgreiche Umstellungsmöglichkeit zu erhalten.

Der Ablauf des Migrationswochenendes, über den der Präsident im Vorfeld informiert habe, habe am Donnerstagabend mit dem Herunterfahren der PCs und der Sperrung aller Anwenderkonten begonnen. Die Domänencontroller seien dann, nach Abschaltung weiterer Systeme, isoliert worden. In den folgenden drei Tagen seien Prüfungsläufe, Migrationsläufe und Bereinigungsläufe durchgeführt worden. Die wesentlichen Zwischenergebnisse seien vom BSI und der BFK nochmals geprüft worden. Es habe während der Umstellungsarbeiten zwei bis drei Punkte gegeben, die zu Verzögerungen geführt hätten. Unter anderem sei eine mehrfache Nachbesserung der Performanceeinstellungen der neuen Hardware erforderlich gewesen. Am Freitag gegen 23:00 Uhr habe daher der Ablaufplan umgestellt werden müssen und weitere Hardware aufgebaut werden. Die letzten Tests seien am Montagvormittag absolviert worden. Nachdem diese Tests erfolgreich verlaufen seien, sei die Internetverbindung wieder zugeschaltet worden. Ab ca. 11:30 Uhr seien die Anwender über Lausprecherdurchsage informiert worden. Die ersten einfachen Funktionstests hätten bereits am Sonntag um 16:00 Uhr gezeigt, dass die Erneuerung prinzipiell erfolgreich sei.

Das Fazit laute, dass eine erneute Domainübernahme mit diesem oder einem ähnlichen Angriffsmuster jetzt erheblich erschwert wäre. Ein potentieller Angreifer müsse ein Zeroday-Exploit, d.h. einen bisher unbekannten Fehler in der Software ausnutzen. Die Seitwärtsbewegung auf den Clients sei ebenfalls erschwert worden. Das Referat IT 5 habe ein Hostblocking-System aufgebaut, zu dem im TOP 3 berichtet werde. Es seien noch Restarbeiten zu erledigen, z.B. müssten die Kontenadministrationsarbeitsplätze noch gehärtet werden. Hier solle unter anderem ein Chipkartensystem implementiert werden. Das Monitoring und das Loging der Systeme müsse noch angepasst werden. Dies gelte ebenso für die Datensicherung der Domaincontroller. Diese Optimierungen könnten ohne Betriebsunterbrechung durchgeführt werden. Die Softwarewerkzeuge der Kontenadministration müssten gleichfalls noch angepasst werden. Es sollten auch noch weitere, kritische Server in die gehärtete Architektur überführt werden. Diese kurzfristigen Maßnahmen seien zwingend erforderlich, um weitere Infektions- und Angriffswege zu unterbinden bzw. Angriffsversuche frühzeitig erkennen zu können. Die Verfügbarkeit der IT-Systeme sei noch nicht wieder auf dem Stand vor der Erneuerung. Derzeit seien keine akuten technischen Probleme aufgetreten. Der weitere Maßnahmenkatalog werde anschließend von T-Systems vorgestellt.

Tagesordnungspunkt 2

Die Vorsitzende VPn Pau bedankt sich für die Ausführungen und fragt, ob es Verständnisfragen gebe. Anschließend erteilt sie Herrn Giese (T Systems) das Wort.

Herr Giese (T-Systems) stellt den Katalog von Maß-nahmen zur Steigerung bzw. Verbesserung der IT-Sicherheit für die Infrastruktur des Deutschen Bundestages vor. Er erläutert, dass der vorliegende Maßnahmenkatalog mit der Verwaltung erarbeitet und abgestimmt worden sei. Neben den von Herrn Wilk erläuterten kurzfristigen Maßnahmen, gebe es noch mittel- und langfristige Maßnahmen, die wesentlich seien, um die IT-Sicherheitsinfrastruktur auch zukünftig auf ein angemessenes Schutz- und Sicherheitsniveau zu ertüchtigen. Als Basis für die Erarbeitung des Maßnahmenkataloges sei das Gefährdungspotenzial abgeschätzt und eine Gefährdungsanalyse durchgeführt worden. Es seien im Rahmen der Analyse das Netz des Bundestages bzw. die IT-Systeme des Bundestages betrachtet und Restrisiken identifiziert worden. Hierbei seien alle bisher bekannten Sicherheitsvorfälle oder Angriffsszenarien mit einbezogen worden. Zur Minderung der identifizierten Risiken seien geeignete Maßnahmen erarbeitet worden. Zu Beginn wolle er Maßnahmen erläutern, die die Infrastruktur, d.h. die Server (z.B. Active Directory, E-Mail, ATV-Server) und die Netzwerke, beträfen. Eine wesentliche Maßnahme sei die Verhinderung der Infektionsausbreitung. Dies werde durch eine Härtung der Systeme, d.h. unter anderem Entfernung von für die Funktion nicht erforderlichen Softwarekomponenten, erreicht. Eine wichtige Maßnahme sei der erweiterte Zugangsschutz mit einem Chipkartensystem. Die Unterteilung der IT-Infrastruktur in unterschiedliche, kontrollierte Sicherheitszonen sei ebenfalls ein geeignetes Mittel, um die Sicherheit zu erhöhen. Dieses würde bei einem erneuten Angriff das Eindringen in das Netzwerk nicht verhindern, aber eine Ausbreitung effektiv unterbinden. Die Separierung der Netze könne sowohl eine physische als auch eine logische Segmentierung der Netze bedeuten. Eine logische Segmentierung der Netze sei beispielsweise durch die Einrichtung von VLANs möglich. Eine physische Separierung der Netze könne bedeuten, dass beispielsweise neue Netzwerktrassen gelegt werden müssten. Dies bedeute, dass bauliche Maßnahmen notwendig sein könnten, um Netze voneinander abzuschotten. Diese Maßnahmen würden alle der Eindämmung der Infektionsausbreitung dienen.

Eine weitere Maßnahme sei ein effektives Ereignis-Monitoring. Dies erfordere ein Logmanagementsystem aufzubauen, um sicherheitsrelevante Auffälligkeiten sowohl zu identifizieren als auch automatisiert zu alarmieren. Es sollten Korrelationen über die verschiedenen Logs hinweg gebildet werden, um Anomalien im System zu erkennen und zu bewerten. Eine Anomalie könne beispielsweise ein erhöhter Datenverkehr sein. Dies könne sowohl ein normales Systemverhalten als auch ein Angriff sein. Die Identifikation und Bewertung solcher Anomalien sei ein wesentliches Mittel, um einen Angriff zu identifizieren.

Im Angriffsfall könne über dieses Ereignis-Monitoring auch die Schadensauswirkung schneller erfasst werden. Eine umfangreiche Auswertung von Logs sei beim aktuellen Angriff im Rahmen der Forensik erforderlich gewesen, um die Größe des Schadens zu beurteilen.
Die Verhinderung von Datenabflüssen sei ein weiteres Ziel der vorgeschlagenen Maßnahmen. Durch ein starkes Ereignis-Monitoring sei es möglich, das System so zu konzipieren, dass eine automatische Erkennung und Abwehr von nicht autorisierten Datenabflüssen möglich sei. Im folgenden Tagesordnungspunkt werde hierauf näher eingegangen (Intrusion Detektion, IDS und Schadsoftware Prävention System, SPS).
Die Maßnahmen, die auf den Arbeitsplatzsystemen erfolgt seien, hätten das Ziel, das Infektionsrisiko durch Schadsoftware zu minimieren. Im ersten Schritt werde eine besondere Bewertung der vorhandenen Software und Anwendungen vorgenommen. Der sogenannte Warenkorb und weitere Anwendungen müssten sehr genau analysiert und nach Sicherheitskriterien bewertet werden. Das vorhandene Patchmanagement müsse ggfs. verbessert werden, um auch in Zukunft die Sicherheit dieser Software und Anwendungen zu gewährleisten. Die Empfehlung sei eine Minimierung der installierten bzw. installierbaren Software.

Eine weitere Maßnahme sei die Verbesserung der Authentifizierung. Die Empfehlung sei, die Zugangsschutzsysteme auf der Basis von Chipkarten zu verstärken. Dieses Verfahren werde bei T-Systems seit Jahren genutzt.

Durch ein verbessertes Gerätemanagement könne das Risiko der Infektionen minimiert werden. Der Vorschlag sei, dass vorhandene Schnittstellenmanagementsystem, das in der Verwaltung im Einsatz sei, auf alle Parlakom-Geräte zu erweitern. Dies bedeute, dass beispielsweise USB-Sticks und andere Medien nur nach einer Registrierung benutzt werden könnten. Für den Anwender könne dies zu Komforteinschränkungen führen. Dies könne aber mit aktuellen, modernen Mechanismen, die eine Interaktionsmöglichkeit bieten würden, gelöst werden.

Es werde empfohlen, durch eine Schulung der Anwender deren Sensibilisierung im Zusammenhang mit IT-Sicherheitssystemen und dem Umgang mit Sicherheitsvorfällen zu erreichen.

Im Weiteren sollten die vorgeschlagenen Maßnahmen im Hinblick auf die Auswirkungen auf die Anwender geprüft und diesem Gremium vorgestellt werden.

Ebenso werde empfohlen, das vorhandene Sicherheitsmanagement zu erweitern, sodass die IT-Sicherheitsinfrastruktur auch langfristig gesichert bleibe. Dies bedeute, dass die in der Vergangenheit durchgeführten Revisionen auch zukünftig erfolgen sollten. Eventuell in deutlich kürzeren Zyklen und unter Zuhilfenahme von weiteren Penetrationsmöglichkeiten. Für alle im Maßnahmenkatalog aufgeführten Empfehlungen sei es zwingend erforderlich, genügend eigenes Personal mit angemessener Kompetenz vorzuhalten. Dies sei für die Umsetzung der Konzeption als auch den anschließenden Betrieb der Infrastruktur erforderlich.

Der Maßnahmenkatalog sei noch nicht vollständig erarbeitet. Kurzfristig sollten die Maßnahmen konzeptioniert werden, um anschließend eine Priorisierung durchzuführen. In der Priorisierung werde sowohl Umsetzungszeit (mittel- bzw. langfristig) als auch der finanzielle und personelle Aufwand für Umsetzung und Betrieb, sowie die Auswirkung für die Anwender berücksichtigt. Das solle alles in die Priorisierung mit eingehen.

Tagesordnungspunkt 3

Die Vorsitzende VPn Pau bedankt sich für die Ausführungen und fragt, ob es Verständnisfragen gebe. Sie erteilt Herrn Möhlmann (RL IT 5) das Wort.

Er erläutert, dass es sich bei dem Schadsoftware-Präventions-System (SPS) um eine Erweiterung der vorhandenen Firewall-Systeme handele. Die Funktionalität des Systems erläutert er an einem Beispiel.

Der Angreifer versuche, den Anwender im ersten Schritt über einen Link, den er dem Anwender z.B. per E-Mail zuschicke, auf eine Seite zu führen, die mit einer Software versehen sei, die z.B. den Browser infiziere. Sei dies erfolgt, werde der Angreifer in einem zweiten Schritt – über den Rechner des Anwenders – einen sogenannten Command- und Control-Server ansprechen. Auf diesem System sei Schadsoftware abgelegt, die dann in weiteren Schritten nachgeladen werde. Das jetzt beschaffte System, das von der Firma Genua in Zusammenarbeit mit dem BSI entwickelt worden sei, verhindere den Angriff auf zwei Arten. Es werde einerseits verhindert, dass man mit einem Browser auf eine bekannte, infizierte Seite komme. Andererseits verhindere dieses System nach der erfolgten Infektion den Zugriff auf bekannte Command- und Control-Server. Aktuell umfasse die Datenbank des BSI ungefähr 160.000 Einträge von kompromittierten Seiten, sogenannten Sperrinformationen. Diese Informationen würden dem Bundestag vollständig, zeitnah und kontinuierlich zur Verfügung gestellt werden.

In der Sommerpause sei dieses System beschafft worden. Da es sich um den gleichen Hersteller wie bei der Firewall des Bundestages handele, stelle dies eine Erweiterung des Firewall-Systems dar. Der Bundestag betreibe derzeit vier sogenannte Firewall-Cluster mit jeweils einer separaten Internetanbindung. In jedem dieser Cluster sei ein solches zusätzliches System integriert worden. Zusätzlich seien noch die dementsprechenden Managementstationen aufgebaut worden. Der Aufbau habe sehr kurzfristig erfolgen können und das System sei auch bereits ausgiebig getestet worden. Die gesamten Sperrinformationen des BSI stünden auf dem System zur Verfügung, sodass eine Inbetriebnahme in der kommenden Woche beabsichtigt sei. Seit Mai dieses Jahres sei an den kompletten Wochenenden der gesamte Datenverkehr (ohne E-Mail) über den IVBB geleitet worden. Unter der Woche sei aus Performancegründen nur 50% des Datenverkehrs über den IVBB und 50% über die eigenen Internetanbindungen geleitet worden. Nach Inbetriebnahme des SPS könne wieder der komplette Datenverkehr über die Systeme des Bundestages fliessen, d.h. der IVBB werde nur zur Kommunikation mit der Regierung genutzt.

Das erforderliche Betriebspersonal sei noch nicht vorhanden aber für das HH-Jahr 2016 beantragt. Als Übergangslösung sei mit dem Hersteller des Systems ein Vertrag über 18 Monate abgeschlossen worden. Daher stehe für diesen Zeitraum eine Betriebsunterstützung zur Verfügung. Ein offener Punkt sei, dass in der eingerichteten Datenbank noch nicht der Grund für die Sperrung der Seite eingepflegt sei. Diese Informationen lägen momentan ausschließlich beim BSI vor. In der eigenen Datenbank müssten die Information sukzessive eingepflegt werden. Für den Nutzer stelle sich der Einsatz des SPS wie folgt dar:

Rufe der Anwender eine Seite auf, über die eine Information vorhanden sei, so erhalte er eine Meldung, dass diese Seite gesperrt sei. In dieser Meldung werde eine achtstellige Referenznummer angezeigt. Der Anwender werde gebeten, die IT-Hotline (T. 117) anzurufen und die Referenznummer weiterzugeben. Das Referat IT 5 erhalte die Information vom Support und wende sich an das BSI, um den Sachverhalt zu klären. Die Information werde anschließend über den Support an den Anwender gegeben. Um den Prozess zu beschleunigen stehe das Referat IT 5 mit dem BSI in Verhandlungen, um diese Sperrgründe direkt in die eingerichtete Datenbank zu bekommen. Der Abstimmungsprozess laufe noch.
Um dem Wunsch einzelner Abgeordneter entgegen zu kommen, in die Datenbank Einsicht nehmen zu können, stehe im Referat IT 5 eine entsprechende Konsole zur Verfügung.

Eine weitere Sicherheitsmaßnahme sei das Intrusion-Detection und Intrusion-Prevention-System. Ein Intrusion-Detection-System betreibe der Bundestag schon seit einigen Jahren. Es handele sich um ein System mit sehr begrenztem Funktionsumfang und es werde ausschließlich der Datenverkehr in Richtung Internet geprüft. Es habe bislang keine kontinuierliche Prüfung durchgeführt werden können. Dies habe sich als Defizit herausgestellt. Wenn ein solches System mit voller Funktionalität bereits vor dem Angriff zur Verfügung gestanden hätte, dann wäre die durch den Angriff verursachte Anomalie im Netzwerk wahrscheinlich deutlich schneller aufgefallen. Das IDS müsse komplett neu beschafft werden, da das vorhandene System nicht ausbaufähig sei. Der Hersteller habe die Pflege eingestellt. Das System könne aber noch bis zum Abschluss der Neubeschaffung weiterbetrieben werden. Zur Sicherstellung des Betriebs des vorhandenen IDS sei ebenfalls die Unterstützung durch eine Firma beauftragt worden. Parallel zur Neubeschaffung werde eine Ausschreibung zur Gewinnung einer Betriebsunterstützung vorbereitet. Der Betrieb solle allerdings auf Dauer mit eigenem Personal gewährleistet werden. Dementsprechende Stellen seien ebenfalls beantragt worden.

Der Angriff habe gezeigt, dass das eingesetzte Antivirenprogramm keinen ausreichenden Schutz gewährleiste. Dessen Schutzwirkung könne von einem Angreifer relativ einfach ausgehebelt werden. Kurzfristig sei auf Empfehlung des BSI eine Firma beauftragt worden, die ein spezielles Software-Tool, das dediziert auf den Rechnern nach speziellen Angriffsmustern suche, zur Verfügung stelle. Dieses Programm werde bereits seit Monaten auf allen Parlakomrechnern eingesetzt. Ebenso werde es von den Fraktionen eingesetzt, um deren Systeme in gleicher Weise zu überprüfen. Auch die Server des Bundestages würden damit überprüft. Die Empfehlung sei, ein solches Programm dauerhaft parallel zum Antivirenprogramm zu verwenden. Ein entsprechender Vertrag sei in Vorbereitung.

Tagesordnungspunkt 4

Die Vorsitzende VPn Pau bedankt sich für die Ausführungen und fragt, ob es Verständnisfragen gebe. Sie erteilt Herrn Hange (Präsident BSI) das Wort.

Herr Hange (Präsident BSI) berichtet kurz über die aktuelle Sicherheitslage. Seit dem Vorfall im Mai habe es, neben vielen kriminellen Angriffen, drei hochwertige Angriffe mit möglicherweise nachrichtendienstlichem Hintergrund gegeben. In einem Fall habe es sich um die sogenannte Watering-Hole-Methode gehandelt. Hierbei werde über Social Engineering versucht, den Anwender mittels eines Links auf eine infizierte Seite zu locken. Bei den beiden anderen Angriffen habe es sich um sogenannte Spear-Phishing-Attacken gehandelt. Die Angriffe seien durch das SPS in der Wirkung blockiert worden. Die Angriffe selbst seien sehr hochwertig und daher nicht durch Standardantivirenprogramme detektierbar gewesen. Durch den Rückmeldeweg hätten sie sich aber verraten. Dadurch hätten die Auswirkungen des Angriffs verhindert werden können. Es ist festzustellen, dass hochwertige Angriffe grundsätzlich auf interessante Infrastrukturen stattfinden würden.

Die Abge. Ziegler bedankt sich für die informativen Vorträge und insbesondere für die von allen Beteiligten geleistete Arbeit bei der Erneuerung. Sie stellt fest, dass man auf einem guten Wege sei. Sie erkundigt sich, wann die Maßnahmen abgeschlossen sein werden und ob es schon eine Einschätzung zum zusätzlichen Personal- und Mittelbedarf gebe.

Der Abg. Kaster schließt sich dem Dank ausdrücklich an. Er erklärt, dass die Sorge der Obleute, dass die Arbeiten im August mit sehr großen Einschränkungen für die Mitglieder verbunden wären, sich nicht bestätigt hätte. Seiner Einschätzung nach habe die Sensibilisierung durch den Präsidenten bei den Mitgliedern eine positive Wirkung entfaltet.

Er nimmt Bezug auf die von der Firma T-Systems vorgestellten Maßnahmen. Im Ältestenrat sei bereits die Verabredung getroffen worden, dass man das IT-System sicherer machen wolle. Insbesondere die im Netz der Bundesregierung vorhandenen Sicherheitseinrichtungen seien für den Bundestag von hohem Interesse. Die Einteilung in Maßnahmen mit Auswirkungen für die Anwender und weitere Maßnahmen halte er für sehr zweckdienlich. Er bittet darum, in diesem Gremium genau die Maßnahmen mit Auswirkungen für die Anwender detaillierter erläutert zu bekommen, um in der Kommission darüber entscheiden zu können. Der Bundestag als IT-System sei durchaus deutlich komplexer als einfache Behörden, daher rege er an, in diesem Gremium alle Empfehlungen und Maßnahmen ohne vorauseilenden Gehorsam darzustellen. Der Spannungsbogen das Verfassungsorgan Deutscher Bundestag so sicher wie möglich zu machen und andererseits das freie Mandat des einzelnen Abgeordneten zu wahren, bedürfe einer politischen Entscheidung. Diese könne in diesem Gremium zumindest vorbereitet werden. Die Mitglieder des Deutschen Bundestages seien vor dem Hintergrund des damaligen Angriffs durchaus bereit Komforteinschränkungen hinzunehmen. Die verantwortliche Entscheidung über derartige Einschränkungen läge im politischen Raum und nicht bei der Bundestagsverwaltung. Die Maßnahmen ohne Auswirkungen für die Anwender sollte die Bundestagsverwaltung in eigener Verantwortung treffen.

Der Abg. Kaster begrüßt ausdrücklich die Einführung des SPS. Ebenso befürworte er die Erneuerung des IDS. Er erkundigt sich nach dem allgemein offensichtlichen Schadpotential des E-Mail-Verkehrs, der bei der Umleitung über den IVBB ausgeklammert geblieben sei. Er fragt, welche Hinweise man allgemein geben könne, um die Kollegen zu sensibilisieren. Es sei selbstverständlich, dass E-Mails der frei gewählten Abgeordneten nicht inhaltlich überprüft werden könnten.

Die Abge. Lemke schließt sich ebenfalls dem Dank an alle Beteiligten an. Sie bittet ausdrücklich darum, diesen auch unmittelbar an die Mitarbeiter weiterzugeben. Die Erneuerung sei sehr problemlos verlaufen. Sie regt an, dass die mündlichen Berichte noch in schriftlicher Form nachgereicht werden sollten. Sie geht davon aus, dass nunmehr auch die Protokolle der letzten Sitzungen der IuK-Kommission verteilt werden könnten. Sie fragt nach, ob die Forensik abgeschlossen sei, so dass Informationen, die in dieser Sitzung gegeben werden, unbedenklich in die Öffentlichkeit gelangen könnten. Sie erläutert, dass bei entsprechendem Schutzbedarf die Informationen auch eingestuft werden könnten.

Die Abge. Lemke regt an, dass die Abgeordneten vor der Inbetriebnahme des SPS über das Prozedere und die Auswirkungen geeignet informiert werden sollten. Sie erkundigt sich, ob sichergestellt sei, dass in dem beschriebenen Ablauf keine personenbeziehbaren Informationen an das BSI gegeben würden. In diesem Zusammenhang bittet sie weiter um eine Erläuterung, für welchen Zeitraum die Information, dass ein Abgeordneter auf eine gesperrte Seite zugreifen wollte, gespeichert werde. Sie merkt an, dass eine Frist länger als sieben Tage problematisch wäre. Sie erkundigt sich weiterhin, ob eine Verlängerung der Speicherfrist nur für die potentielle Forensik erforderlich sei oder es auch andere Gründe gebe. Daraus entnehme sie, dass es für die Abwehr des Angriffs nicht erforderlich sei, die Verbindungsdaten länger zu speichern.

Die Vorsitzende erteilt der Abge. Esken das Wort.

Die Abge. Esken schließt sich dem allgemeinen Dank an und bestätigt, dass die Erneuerung aus ihrer Sicht ohne Einschränkungen ihrer Arbeit erfolgt sei. Sie bittet um eine Erläuterung der Maßnahme, die sich mit dem Umgang mit mobilen Endgeräten befasse.

Der Abg. von Notz fragt nach, in welcher Reihenfolge die parlamentarischen Gremien über den Angriff informiert worden seien. Er regt an, noch detailliertere Informationen zum Auslöser und Ablauf des Angriffs zu geben. Zu dem Ablauf, wenn der Anwender auf eine gesperrte Seite träfe, möchte er genauer wissen, welche Informationen an das BSI gegeben würden. Zudem hätte er gerne erste Informationen zu den Kosten der Abwehr des Angriffs und Erneuerung des Systems.

Der Abg. Kaster schließt sich der Nachfrage nach den bisher bekannten Kosten und den Kostenschätzungen für die nähere Zukunft an. Zudem erkundigt er sich, ob der Angriff als abgeschlossen betrachtet werden könne und damit eine Verbreitung der vorhandenen Informationen keine unmittelbare Gefahr mehr darstelle.

Der letzten Frage schließt sich die Vorsitzende VPn Pau ausdrücklich an. Sie regt an, dass man in dieser Runde eine einheitliche Sprachregelung vereinbare. Sie erteilt Herrn Wilk (RL IT 1) das Wort.

Herr Wilk (RL IT 1) erläutert, dass das Maßnahmenpaket noch nicht abschließend erarbeitet worden sei und daher noch keine genauen Kosten und Realisierungszeiträume benannt werden könnten. In der jetzigen Konzeptionsphase würden die einzelnen Maßnahmen genauer spezifiziert, sodass in der kommenden Sitzung der IuK-Kommission zu dieser Frage genauere Angaben gemacht werden könnten. Auch im Referat IT 1 werde sich auf Grund der neuen Schichtenarchitektur ein erhöhter Personalbedarf ergeben, der bereits für den kommenden Haushalt angemeldet sei. Für einen besseren Schutz im Bereich der E-Mail gebe es derzeit nur erste Vorüberlegungen, die noch mit dem IT-Sicherheitsreferat abgestimmt werden müssten. Die Spamabwehr sei auf einem sehr hohen Qualitätsstand, sodass der weitaus größte Anteil an eingehenden Spam-E-Mails abgefangen werde. Es gebe allerdings keine vollständige SPAM-Abwehr. Zu der Frage der Speicherdauer der Protokolldaten erläutert Herr Wilk (RL IT 1), dass laut Aussage des BSI dieser Angriff sehr schnell entdeckt worden sei. Dies sei allerdings nicht der Regelfall. Eine Speicherdauer von drei Monaten hätte den Vorteil, dass mit einer höheren Wahrscheinlichkeit der Angriffszeitpunkt bzw. der ursprüngliche Angriffsweg nachvollzogen werden könnte. Für eine effektive Abwehr eines Angriffs sei laut BSI eine Analyse des Angreiferverhaltens unabdingbar. Die IT-Infrastruktur werde im Rahmen des normalen Betriebes ständig gewartet. Hierzu würden laufend Sicherheitspatche eingepflegt. Die längere Speicherdauer der Protokolldaten könne in diesem Zusammenhang Hinweise auf Anomalien enthalten, sodass Angriff bzw. Angriffsversuche schneller und effektiver erkannt und auch behoben werden könnten.

Die Vorsitzende VPn Pau fasst die bisherigen Äußerungen kurz zusammen. Parallel zu den laufenden Sofortmaßnahmen werde derzeit konzeptionell an den mittel- und langfristigen Maßnahmen gearbeitet. In der Obleute-Runde sei man übereingekommen, dass die nächsten Monate der geeignete Zeitraum seien, um die ersten vorgeschlagenen Maßnahmen, die ggf. auch mit Einschränkungen für die Anwender verbunden seien, in der Kommission zu beraten und zu entscheiden. Sie betont ausdrücklich, dass die mit den Maßnahmen verbundenen Änderungen auch in der Praxis umgesetzt werden müssten. Die Beschlüsse der Kommission müssten anschließend gegenüber den Kolleginnen und Kollegen auch vertreten werden. Eventuell müssten einzelne Festlegungen mit entsprechenden Auswirkungen auch im Ältestenrat behandelt werden. Der Abschluss aller Maßnahmen könne noch nicht konstatiert werden, aber es sollten in den nächsten Sitzungen Schritt für Schritt die erforderlichen Maßnahmen eingeleitet werden. Sie erteilt Herrn Möhlmann (RL IT 5) das Wort.

Er erläutert, dass die Mitglieder des Deutschen Bundestages vor der Inbetriebnahme des SPS informiert werden sollten. Es sei eine entsprechende Information einschließlich einer Anleitung mit sogenannten Screenshots vorbereitet worden. Im Folgenden beschreibt er den Ablauf. Wenn ein Anwender die Meldung erhalte, dass die Seite gesperrt sei, so wird er in dieser Meldung gebeten, die IT-Hotline (T.117) zu informieren und die Referenznummer aus der Meldung zu nennen. Das Referat IT 5 erhalte diese Meldung von der 117 und leitet eine Prüfung ein. Die obligatorische Nachfrage an das BSI enthalte nur die Adresse der fraglichen Seite und keinerlei personenbezogenen Daten.

Der Abg. von Notz stellt die Zwischenfrage, was geschehe, wenn keine Meldung über die 117 erfolge und was dies bedeute.

Herrn Möhlmann (RL IT 5) erwidert, dass sein Referat über das SPS automatisch informiert werde, dass eine Sperre angeschlagen habe. Das BSI erhalte keinerlei Informationen. Wenn es keine Meldung durch einen Anwender gebe, könne dies bedeuten, dass ein Client im Netz des Bundestages ohne Wissen des Anwenders versucht habe, eine gesperrte Seite zu erreichen. Mit dem BSI würde dann abgeklärt, ob es sich um eine gefährliche Seite handele. Sollte dies der Fall sein, müsse er von einem infizierten Client im Netz ausgehen. Dieser Gefahrenquelle müsse er nachgehen, um sie zu beseitigen.

Um die Nachfrage der Abge. Lemke zu beantworten stellt er fest, dass für das SPS eine längere Speicherdauer der Protokolldaten als sieben Tage nicht erforderlich sei.

Die Abge. Lemke erkundigt sich, ob die Speicherdauer schon zur Inbetriebnahme auf sieben Tage begrenzt werde. Herr Möhlmann (RL IT 5) erwidert, dass dies so eingerichtet werde, wenn die Kommission sich in dieser Form einig sei.
Weiter möchte die Abge. Lemke wissen, aus welchem Grund eine Speicherdauer von sieben Tagen überhaupt erforderlich sei.

Herr Möhlmann (RL IT 5) führt hierzu aus, dass eine Speicherdauer von sieben Tagen durchaus sinnvoll erscheine, da solche Ereignisse auch am Wochenende erfolgen könnten und die entsprechende Meldung des Anwenders erst am Montag erfolgen könne. Ebenso könne erst ab Montag der Abstimmungs- und Rechercheprozess mit dem BSI beginnen. Daher sei eine Speicherdauer von sieben Tagen aus seiner Sicht durchaus vertretbar.

Der Abg. von Notz weist auf das Spannungsfeld hin, dass eventuell ein solcher Vorgang öffentlich werden könne.

Die Vorsitzende erteilt Herrn Hange (Präsident BSI) das Wort.

Herrn Hange (Präsident BSI) berichtet, dass in der Bundesverwaltung täglich tausende von gesperrten Seiten angesprochen würden. Wenn es wieder eine neue Version eines Banking Trojaners gebe, wären sehr viele Clients gleichzeitig betroffen. Es seien regelrechte Kampagnen, die vielfach zur erfolgreichen Infektion führen würden. Daher sei ein SPS für den erfolgreichen Schutz der gesamten IT-Infrastruktur erforderlich. Die Angriffe mit hochwertigen Trojanern könnten mit herkömmlichen Mitteln nicht erfolgreich unterbunden werden. Die aktuellen Virenscanner hätten nur eine Erkennungsrate von 40 bis 50 Prozent. Daher ließen sich Infektionen von Arbeitsplatzrechnern nicht verhindern, da die Angreifer im weiteren Verlauf auf Rückmeldewege angewiesen seien. Um Informationen nach außen zu geben oder weitere Schadsoftware nachzuladen, sei dies die Achillesferse der Angreifer. Hier sei der Ansatzpunkt für das SPS, das die bekannten Rückmeldewege sperre.

Die Anzahl von 160.000 gesperrten Seiten klinge gewaltig, allerdings müsse man in Betracht ziehen, dass der gesamte IPv4-Raum über vier Milliarden Seiten umfasse. Der IPv6-Raum sei noch deutlich größer. Daher handele es sich einerseits um einen sehr kleinen Anteil der potentiell möglichen Adressen was andererseits die hohe Brisanz der Sperrinformation erkläre. Sollten den Angreifern diese Informationen zur Kenntnis gelangen, würden diese einfach ihre Adressen wechseln und das BSI wäre als Verteidiger im Nachteil. Die Sperrinformationen kämen in der Regel vom BSI und aus dem Cert-Verbund und würden vom BSI laufend eingepflegt. Die Informationen würden dem Bundestag zur Verfügung gestellt.

An die Abge. Lemke gerichtet erläutert Herr Hange (Präsident BSI), dass auch im Regierungsnetz eine Anonymität gewährleistet sei, da im System des BSI nur die Absenderadresse der jeweiligen Behörde erkennbar sei. Im Regierungsnetz gebe es mit dem SES (Schadsoftware-Erkennungs-System) eine weitere hochwertige Maßnahme, um Anomalien im Netz erkennen zu können.

Das BSI sei allen Bitten anderer parlamentarischer Gremien nach Informationen zum Angriff mit dem Hinweis begegnet, dass die IuK-Kommission sich federführend mit dem Angriff befasse und daher ein Erstinformationsrecht habe. Nachdem im Bundestag die Abwehr der unmittelbaren Gefahr und die notwendigen technischen Erstmaßnahmen erfolgt seien, sei es nach seiner Einschätzung geboten, nun in anonymisierter Form technische Konsequenzen zu kommunizieren und zu sensibilisieren. Es gebe keine absolute Sicherheit gegen einen solchen APT-Angriff, daher sei eine Information über den Angriff in geeigneter Form für alle anderen potentiell gefährdeten Nutzer sehr hilfreich. Um dem Angreifer keine Hinweise zu bieten, würden die Gegenmaßnahmen jedoch nicht konkret erläutert.

Die Vorsitzende bittet Herrn Giese (T-Systems) um eventuelle Ergänzungen.

Herr Giese (T-Systems) weist ausdrücklich darauf hin, dass aus seiner Sicht eine Erweiterung und Modernisierung des vorhandenen Managementsystems sehr zu empfehlen sei. Aktuelle Lösungen böten die Möglichkeit, eine Trennung zwischen Privat- und Arbeitsleben zu implementieren. Dies werde als wesentliche Maßnahme konzeptionell erarbeitet.

Die Vorsitzende erteilt dem Abg. Kaster das Wort.

Der Abg. Kaster hätte gerne eine kurz präzise Zusammenfassung, um welche Art von Angriff es sich gehandelt habe und wie dieser grob erfolgt sei. Die Vorsitzende schließt sich diesem Wunsch ausdrücklich an.

Der Abg. von Notz bemerkt, dass es seiner Einschätzung nach von Seiten einzelner Behörden durchaus öffentlich über Einzelheiten des Angriffs berichtet worden sei. Er nehme das BSI ausdrücklich von diesem Verdacht aus. Er erkundigt sich nochmals nach den bisherigen Kosten und ob schon Kostenschätzungen für die nähere Zukunft vorlägen. In diesem Zusammenhang weist er ausdrücklich darauf hin, dass die IT des Bundestages mit Sicherheit weitere Stellen benötige.

Die Vorsitzende erteilt Herrn Hange (Präsident BSI) das Wort.

Herr Hange (Präsident BSI) erläutert, dass die intensiven Analysen der vorliegenden Informationen, die noch nicht vollständig abgeschlossen seien, eindeutig ergeben hätten, dass der Angriff Ende April erfolgt sei. Das BSI habe Hinweise, dass sich der Angriff nicht nur gegen den Deutschen Bundestag gerichtet habe. Es seien auch internationale Organisationen betroffen gewesen. Es habe sich offensichtlich um eine Angriffskampagne gehandelt.

Die Dienstleistung des BSI sei für den Bundestag natürlich kostenlos. Das BSI habe für dieses sehr große Projekt, das mit einem großen Engagement seiner Mitarbeiter betrieben worden sei, einen personellen Aufwand von ca. 350 Personentagen zu verzeichnen.

Der Abg. Klingbeil erkundigt sich, wenn die Aussage zuträfe, dass es sich um eine Kampagne gegen weitere Organisationen gehandelt habe, warum dies in der Öffentlichkeit nicht bekannt geworden sei. Ob die anderen betroffenen Organisationen besser geschützt seien oder dies einfach geheim geblieben sei.

Herr Hange (Präsident BSI) bittet um Verständnis, dass detailliertere Informationen erst nach Abschluss der laufenden Analysen möglich seien. Dieser Bericht werde mit Sicherheit eingestuft werden.

Die Protokolldaten seien erst am 8. Mai gesichert worden, sodass auf Grund der Speicherdauer von nur sieben Tagen eine schnelle Analyse der potentiellen Ereignisse im April nicht möglich gewesen sei. Die bereitgestellten Informationen seien allerdings wie ein großes Puzzle gewesen und hätten jetzt doch ein schlüssiges Bild ergeben. Der Zeitpunkt Ende April könne eingekreist werden. Es habe sich um die sogenannte Watering-Hole-Methode gehandelt. Das Ergebnis der technischen Auswertung des BSI hinsichtlich der Erstinfektion müsse noch mit den Erkenntnissen der Dienste abgeglichen werden. Die IuK-Kommission solle die Information allerdings als erstes erhalten.
Es habe sich um eine Standardmethode gehandelt, die allerdings mit einer erheblichen Professionalität ausgeführt worden sei. Das Ziel der Kompromittierung des Gesamtsystems sei auf Grund der fehlenden Sicherheitssegmentierung sehr schnell erreicht worden. Diese Segmentierung soll im Rahmen der Verbesserung der Sicherheitsarchitektur voraussichtlich im Netz des Bundestages implementiert werden. Eine wesentliche Erkenntnis sei, dass sich derartige Angriffe grundsätzlich nicht ausschließen ließen, allerdings könne man die eigene Infrastruktur so verbessern, dass die Auswirkungen stark begrenzt blieben und eine frühe Erkennung der Infektion gewährleistet sei.

Die Vorsitzende erteilt Herrn Dr. Winterstein (UAL IT) das Wort.

Herr Dr. Winterstein (UAL IT) gibt zu bedenken, dass eine abschließende Aussage zu den bisherigen Kosten noch nicht getroffen werden könne. Da die zukünftigen Maßnahmen in der Kommission noch nicht verabschiedet seien, könne auch für die zukünftigen Kosten nur eine vorläufige Aussage getroffen werden. Die in der Sommerpause erfolgten kurzfristigen Maßnahmen seien teilweise ohnehin geplant und nur vorgezogen worden, daher könnten diese Kosten nicht der Behebung zugerechnet werden. Dies erleichtere die Berechnung der bisherigen Kosten nicht. Die Empfehlungen der Firma T-Systems enthielten beispielsweise Maßnahmen zur Netzwerkerneuerung, die je nach Art der Erneuerung erhebliche Kosten durch Baumaßnahmen nach sich ziehen könnten.

Es könne aber davon ausgegangen werden, dass nach bisheriger Kenntnis für die Abwehr und das Wiederaufsetzen Mittel in Höhe von ca. 1 Mio. aufgewandt worden seien. Dies sei noch keine abschließende Aussage. Aktuell seien auch noch nicht alle kurzfristigen Maßnahmen umgesetzt worden, sodass noch weitere Kosten hinzukämen. Für das Jahr 2016 seien insgesamt fünf Dienstposten beantragt worden, um zukünftig einem solchen Cyberangriff besser entgegentreten zu können.

Die Abge. Ziegler erkundigt sich, inwieweit bereits für den Haushalt 2016 Vorsorge getroffen worden sei.
Herr Dr. Winterstein (UAL IT) erwidert, dass es für den Haushalt 2016 bereits erste Ansätze gebe. Die vom Referat IT 5 bereits beschafften bzw. noch zu beschaffenden Systeme könnten sowohl die Investitionsmittel als auch die erforderlichen Mittel für die übergangsweise erforderlichen Betriebsunterstützungen beziffert werden. Diese Mittel seien im Haushalt 2016 berücksichtigt.
Durch den Angriff seien einige Maßnahmen in diesem Jahr nicht durchgeführt worden. Daher gehe er davon aus, dass die frei werdenden Mittel in das kommende Haushaltsjahr übertragen werden könnten und somit im Haushalt 2016 für die erforderlichen Maßnahmen zur Verfügung stünden. Es werde leider nicht möglich sein alle langfristigen Maßnahmen bereits in 2016 abzuschließen, daher sei noch ausreichend Zeit, für den Haushalt 2017 entsprechende Mittel zu beantragen. Er gehe davon aus, dass in der nächsten Sitzung der IuK-Kommission konkretere Kostenschätzungen vorgelegt werden könnten.

Die Vorsitzende bekräftigt, dass sie ebenfalls das Anliegen der Abge. Ziegler unterstütze, sowohl die Forderung nach Personalstellen als auch Mitteln, die aus Sicht der IT erforderlich seien, im Haushalt 2016 zu berücksichtigen.

Der Abg. KasterVorsitzende VPN Pau aus, dass der Generalbundesanwalt sich bis zum heutigen Tage noch nicht wieder gemeldet habe. Da sich die Obleuterunde am vergangenen Dienstag verständigt habe, dass man die Speicherdauer der Protokolldaten bis Ende des Jahres bei drei Monaten belassen wolle um anschließend erneut zu entscheiden, habe man sich auch verständigt, dass man die Protokolldaten, die älter als drei Monate sind, löschen wolle. Dies stehe unter dem Vorbehalt, dass der Generalbundesanwalt keine Einwände erhebe. Dieses Vorgehen sei mit der bestehenden Beschlusslage vereinbar.

Der Abg. Kaster regt an, dass zur kommenden Sitzung der IuK-Kommission die vorgestellten Maßnahmen insoweit zur Entscheidung in diesem Gremium vorbereitet und beschrieben werden, als diese für die Anwender relevant seien. Dies solle auch erfolgen, wenn noch nicht alle Maßnahmen entscheidungsrelevant seien, damit die Kommission die Maßnahmen Stück für Stück abarbeiten könne.

Der Abg. von Notz fragt nach, ob heute eine Entscheidung zu den Speicherfristen getroffen werden solle und ob man jetzt davon ausgehen könne, dass das Problem behoben sei bzw. ob der Bundestag wieder die Hoheit über seine Systeme habe.

Herr Wilk (RL IT 1) führt aus, dass es eine absolute Gewissheit nicht gebe. Die aktuelle IT-Infrastruktur sei soweit gehärtet worden, dass eine Übernahme der Domäne nahezu unmöglich sei. Es könnten weiterhin unbekannte Fehler im Betriebssystem oder verwendeter Software vorhanden sein, die es einem potentiellen Angreifer ermöglichen könnten, zum Erfolg zu kommen. Die bekannte Vorgehensweise dieses Angriffs könne mit den vorhandenen Überwachungsmechanismen erfasst werden und anschließend beseitigt werden. Es seien noch einige Maßnahmen, wie z.B. zusätzliche Sicherungsmaßnahmen der Administrations-PC der Domänenadministratoren erforderlich.
Durch die vom Referat IT 5 zu beschaffenden Systeme könnte seines Erachtens eine deutlich höhere Wahrscheinlichkeit erreicht werden, dass Anomalien im Netz frühzeitig erkannt würden. Dies wäre, laut Herrn Wilk (RL IT 1), eine wesentliche Maßnahme, um eine erneute Kompromittierung des Gesamtsystems zu unterbinden.

Die Vorsitzende erklärt erneut, dass ein Beschluss über die Speicherfristen heute nicht erforderlich sei. Die Vereinbarung sei, dass bis zum Jahresende eine Dreimonatsfrist gelte. Die Löschung der älteren Daten sei noch von der Rückmeldung des Generalbundesanwaltes abhängig. Sollten hier keine Vorbehalte mehr vorhanden sein, so werde die Verwaltung die Protokolldaten, die zu dem Zeitpunkt älter als drei Monate seien, unmittelbar löschen. Über eine erneute Befassung bzw. einen erneuten Beschluss werde das Gremium zu gegebenen Zeit entscheiden.

Die Vorsitzende VPn Pau bedankt sich nochmals ausdrücklich bei allen Beteiligten. Sie bittet, allen Mitarbeiterinnen und Mitarbeitern der Bundestagsverwaltung, der beteiligten Firmen und des BSI den ausdrücklichen Dank für die erbrachte große Leistung und den ausgewöhnlichen Einsatz auszurichten. Der nächste Sitzungstermin werde kurzfristig kommuniziert. Hierzu bedürfe es noch einer Abstimmung bezüglich der Obleuterunde sowie Art und Umfang der weiteren Maßnahmen, die hier beschlossen werden sollen. Die Vorsitzende fordert ausdrücklich dazu auf, die potentiellen Einschränkungen der Maßnahmen offen dazulegen, um die Entscheidungen der Kommission fundiert treffen zu können. Die Mitglieder der IuK-Kommission müssten dann anschließend eine Abwägung treffen, d.h. ggf. von wohlbegründeten Empfehlungen dennoch Abstand zu nehmen. Dies sei allerdings noch Zukunftsmusik. Mit einem herzlichen Dank und dem Wunsch für viel Erfolg in den nächsten Tagen schließt die Vorsitzende die Sitzung.

Schluss der Sitzung: 9:20 Uhr

Petra Pau, MdB

Vorsitzende


Prüfung der Umsetzung weiterer Maßnahmen zur IT-Sicherheit Vorlage für die IuK-Kommission

Datum: 30. Oktober 2015

I. Beschlussempfehlung

Die Verwaltung wird beauftragt, die Möglichkeit der Umsetzung weiterer Maßnahmen zur Verbesserung der IT-Sicherheit zu prüfen:

  1. Konsolidierung der aktuell eingesetzten Software mit dem Ziel, nicht mehr aktuelle und nicht zwingend benötigte Produkte zu deinstallieren. Zur Erarbeitung eines Vorschlags (Softwarewarenkorb) soll die Verwaltung die auf den Parlakom-Rechnern installierten Softwarekomponenten, einschließlich der selbst, etwa zur Hardwareintegration, beschafften Produkte, vollständig erfassen.
  2. Einschränkung bzw. Verhinderung der Ausführung von Software, die nicht Teil des Softwarewarenkorbs ist, auch von portablen Applikationen, durch technische Maßnahmen. Die Verwaltung wird beauftragt, hierzu ein Konzept vorzulegen und darin auch die Aufwände für Einrichtung und Betrieb darzustellen.
  3. Steuerung der Freigabe aller Schnittstellen eines Parlakom-Gerätes künftig zentral über eine Software. Die Verwaltung wird beauftragt, mögliche Umsetzungsvarianten und -aufwände zu erarbeiten.
  4. Prüfung von Realisierungsansätze zur Verwaltung von Drittgeräten wie Smartphones, Tablets und Laptops (Mobile Device Management, MDM). Die Verwaltung wird beauftragt, mit externer Unterstützung technische Lösungen auf einen wirtschaftlichen Einsatz im parlamentarischen Umfeld zu untersuchen.
  5. Erarbeitung eines Konzeptes zur sichereren Authentisierung an den Parlakom-Clients. Hierzu soll eine Zwei-Faktor-Authentisierung geprüft werden.
  6. Ermittlung weiterer Maßnahmen zum Schutz vor unberechtigtem Datenabfluss. Die Verwaltung wird beauftragt, zu prüfen, ggf. mit externer Unterstützung, ob es hierzu weitere Maßnahmen gibt, die im Rahmen der IT-Infrastruktur des Deutschen Bundestages realisiert werden können.
II. Begründung

Zu 1.:

Im Rahmen dieser Maßnahme werden die Software-Produkte, die derzeit auf dem Client installiert sind bzw. aus den unterschiedlichen Teilen des Warenkorbes zur Installation bereitstehen, einer Revision unterzogen. Zur Überprüfung der Dokumentationslage werden softwaregestützt alle Clients auf die eingesetzte Software und deren Versionen untersucht. Aufgrund der Ergebnisse wird ein Vorschlag erarbeitet, wie zukünftig mit der Software umgegangen werden soll und auf welche ggf. verzichtet werden kann. In diesem Vorschlag wird auch auf die selbst beschaffte Zusatzsoftware eingegangen.

Zu 2.:

Auf Grundlage der erarbeiteten Ergebnisse wird eine sogenannte „white list“, d. h. auf dem Client zulässige Anwendungen erstellt. Es werden technische Maßnahmen konzipiert (Konfiguration AppLocker), um die Ausführung anderer Anwendungen, auch portabler Applikationen, zu unterbinden. Derzeit wird geprüft, ob die bei den Remotegeräten eingesetzte lokale Firewall auch auf jedem LAN-Client aktiviert werden kann. Diese Firewall könnte auch zur Beschränkung der Kommunikation der Clientapplikationen verwendet werden.

Zu 3.:

Eine Kontrolle der Schnittstellen und Laufwerke, die bisher nur in einigen Bereichen der Verwaltung realisiert ist, soll auch im Abgeordnetenbereich eingeführt werden. Die Rahmenbedingungen sollen erarbeitet werden. Dies wird u. a. zu Funktionseinschränkungen für die Speichermedien und Geräte mit USB-Anschluss führen.

Zu 4.:

In einem Konzept zur Einführung eines Mobile Device Management (MDM) sollen auch technische Lösungen geprüft werden, die die Bereitstellung einer geschützten Umgebung auf einem Drittgerät ermöglichen. Ein MDM wird in jedem Fall für einen Sicherheitsgewinn im Bereich der Vertraulichkeit und Integrität sorgen. Allerdings könnte dies zu einer Einschränkung in der Verfügbarkeit führen, insbesondere an Wochenenden und in der Nacht. Es soll eine technische Lösung auch für Laptops gefunden werden. Für die Konzeption soll ein externer Dienstleister gewonnen werden. Im Konzept soll insbesondere der zu erwartende Personal- und Mittelbedarf kalkuliert werden.

Zu 5.:

Bei einer Zwei-Faktor-Authentisierung kann eine zusätzliche Hardwarekomponente eingesetzt werden (z.B. Chipkarte, Token, USB-Stick), um einen „Pass-the-Hash“-Angriff zu erschweren.

Zu 6.:

Es soll untersucht werden, ob in Ergänzung zu den vorhandenen Sicherheitsmechanismen weitergehende Maßnahmen zur Erkennung möglicher Datenabflüsse eingerichtet werden können. Die erarbeiteten Maßnahmen sollen einer datenschutzrechtlichen Bewertung unterzogen werden.

Nachbemerkung:

Die erarbeiteten Konzepte, Prüfungsergebnisse und Aufwandsabschätzungen werden der IuK-Kommission jeweils nach dem Abschluss der Arbeiten zur Kenntnis und zur weiteren Entscheidung vorgelegt.


Zeitnahe Maßnahmen zur Verbesserung der IT-Sicherheit – Vorlage für die IuK-Kommission

Datum: 02.11.2015

I. Beschlussempfehlung

Die Verwaltung wird beauftragt, zeitnah folgende Maßnahmen umzusetzen:

  1. Internetbrowser-Erweiterungen zur Darstellung multimedialer Inhalte sollen deaktiviert werden. Soweit die Deaktivierung zu Einschränkungen in der Mandatsausübung führt, kann sie in Absprache mit den Obleuten ausgesetzt werden. Die Deaktivierung anderer Erweiterungen soll geprüft werden.
  2. Der IT-Support soll künftig nur im Bedarfsfall auf einzelne Geräte bezogene und zeitlich begrenzte Administrationsrechte erhalten.
  3. Jede neue PIN für die Festplattenverschlüsselung auf Wahlkreisgeräten und Laptops soll künftig eine Länge von mindestens acht Zeichen haben. Auf Bestandsgeräten soll die Verlängerung sukzessive umgesetzt werden.
II. Begründung

Zu 1.:

Sicherheitslücken in Browsererweiterungen werden zu Angriffen auf IT-Infrastrukturen genutzt. Die Verwendung solcher Produkte im Rahmen der aktuellen Standard-Installation soll daher möglichst rasch beendet werden. Dies betrifft aus dem aktuellen Softwarewarenkorb die Produkte Flash Player, Shockwave Player, QuickTime und Silverlight. Der Verzicht wird zu Einschränkungen bei der Internetnutzung führen, deren Auswirkungen nicht vollständig abgeschätzt werden kann. Auch Fraktionsdienste nutzen zum Teil noch diese Produkte. Um die Nutzung dieser Dienste Mitgliedern der Fraktion auch weiterhin zu ermöglichen, sind nach derzeitigem Kenntnisstand bis zum Frühjahr 2016 Ausnahmeregelungen notwendig. Insgesamt sollten vorerst noch Einsatzmöglichkeiten offen gehalten werden.

Zu 2.:

Die lokalen Administrationsrechte der Supporter sollen nur noch im Bedarfsfall für das einzelne Gerät und zeitlich begrenzt (max. 24 h) erteilt werden. Dies bedeutet, dass der Supporter jeweils über die IT-Hotline beauftragt werden muss. Diese Maßnahme reduziert die Anzahl der potentiell vorhandenen aktiven Administrator-Accounts und separiert die Administrationsrechte.

Zu 3.:

In allgemeinen Hinweisen zur IT-Sicherheit wird für eine PIN bzw. für ein Passwort eine Länge von mindestens acht Zeichen empfohlen. Diese Mindestlänge soll künftig auch für die Entschlüsselung der Festplatten von Laptops und Wahlkreisrechnern verbindlich werden.


Informationen zum Cyberangriff auf den Bundestag – hier: Abschlussbericht BSI

Bezug: Beauftragung des BSI am 15.5.2015

Datum: 03.11.2015

Ausgangslage

Anfang Mai 2015 informierte das Bundesamt für Verfassungsschutz den Deutschen Bundestag und das Bundesamt für Sicherheit in der Informationstechnik (BSI) über Hinweise, dass mindestens zwei Rechner aus dem Netz des Deutschen Bundestages kompromittiert seien. Das BSI nahm daraufhin mit dem Deutschen Bundestag Kontakt auf, wo man ebenfalls bereits Anomalien im Netz festgestellt hatte. Diese Auffälligkeiten im Netz des Deutschen Bundestags deuteten bereits zu diesem Zeitpunkt darauf hin, dass zentrale Systeme des internen Bundestagsnetzes kompromittiert waren. Gemeinsam mit einem externen Dienstleister untersuchte das BSI daraufhin im Auftrag des Deutschen Bundestags und im Rahmen seines gesetzlichen Beratungsmandats den Vorfall, um das Ausmaß der Kompromittierung festzustellen.

Ergriffene Maßnahmen

Die Bearbeitung des Vorfalls erfolgte in drei Phasen:

  1. Analyse,
  2. abgesicherter Übergangsbetrieb und
  3. Konzeption sicherer Neustart.

In Phase 1 (Analyse) wurden die auffällig gewordenen Systeme forensisch untersucht, um die Methoden und Ziele der Täter abzuleiten. Hierfür wurden alle Arbeitsplatzsysteme und Server mit einem Detektionstool untersucht, das auf derartig hochwertige Angriffe zugeschnitten ist. Infizierte Systeme konnten hierdurch erkannt werden. Zudem wurden die Logdaten der zentralen Internetübergänge daraufhin untersucht, ob sie Verbindungen zu Kontrollservern der Täter aufwiesen.
Eine besondere Herausforderung bei den Analysen war die Tatsache, dass durch die Berichterstattung in der Presse der Angreifer frühzeitig über das Entdecken seines Angriffes informiert war. Der Angreifer konnte so bestimmten Gegenmaßnahmen ausweichen und seine Aktivitäten frühzeitig Verschleiern, indem er beispielsweise Ausweich-Kontrollserver registrierte.

In Phase 2 (abgesicherter Übergangsbetrieb) wurden auffällige Rechner unverzüglich abgeschaltet und neu aufgesetzt, kompromittierte Accounts deaktiviert und Rückmeldewege für den Datenabfluss gesperrt, sobald darüber Kenntnis erlangt wurde. Der Bundestags-Webverkehr wurde zeitweise über die Sicherheitskomponenten des Regierungsnetzes IVBB geleitet, um Angreiferverkehr zu detektieren und diesen zu sperren.
Das Ziel dieser Maßnahmen, Datenabfluss zu verhindern, wurde eine Woche nach Beginn der Gegenmaßnahmen erreicht. Darüber hinaus konnten ab Ende Mai 2015 keine Täteraktivitäten mehr beobachtet werden.

In Phase 3 (Konzeption sicherer Neustart) wurden die aus der Analyse gewonnenen Erkenntnisse über die Methoden der Angreifer in die Konzeption eines sichereren Netzwerks eingebracht. Zentrale technische Prämisse bei der Konzeption war und ist, dass ein einzelner kompromittierter Arbeitsplatz-PC nicht dazu führen darf, dass das gesamte Netzwerk kompromittiert wird. Beim Neuaufsetzen wurde seitens der Bundestagsverwaltung ein weiterer externer Dienstleister beteiligt. In die Konzeption sind die aus der Analyse gewonnenen Erkenntnisse über die Angreifermethoden eingeflossen. Weitere Maßnahmen sind in der Umsetzung mittelfristig zu ergreifen, um das Netz des Deutschen Bundestages gegenüber künftigen Cyber-Angriffen zu härten.

Bewertung

Die Täter haben beim Cyber-Angriff zunächst einen einzelnen Arbeitsplatzrechner mit einer Schadsoftware infiziert. Diese Erstinfektion erlaubt es typischerweise, Dateien hoch- und herunterzuladen. Die genaue Analyse der Erstinfektion in den Logdateien war durch die kurze Speicherfrist von maximal sieben Tagen nicht möglich. Die Täter nutzten diese Funktionalität, um auf dem infizierten System weitere Tools nachzuladen, darunter auch öffentlich verfügbare und von vielen Tätergruppen genutzte Werkzeuge. Die nachgeladene Software diente unter anderem dazu, die Zugangsdaten eines Systemkontos für die Software-Verteilung herauszufinden und dies für die weitere Ausbreitung im internen Netz zu verwenden. Die Analyse ergab, dass auf einzelnen Systemen ein Backdoor-Schadprogramm installiert worden war, das den Angreifern jederzeit erlaubt, auf das System zuzugreifen. Daneben wurden weitere Angriffstools und Schadprogramme wie Keylogger, die Tastatureingaben mitschneiden und Bildschirmfotos erstellen, sowie selbst geschriebene Skripte zum Sammeln von Dokumenten bestimmter Dateitypen gefunden. Aufgrund der Analyse des Vorfalls war davon auszugehen, dass es die Täter unter anderem auf ausgewählte E-Mail-Postfächer im politischen Bereich abgesehen hatten.

Hinsichtlich der methodischen Einordnung des Cyber-Angriffs ist folgendes festzustellen: Der Angriff entspricht dem klassischen APT-Muster, das von nahezu allen bekannten Cyber-Spionagegruppen angewandt wird. Bei der Ausbreitung im internen Netz („Lateral Movement“) setzten die Angreifer auf gängige Methoden und öffentlich verfügbare Tools, wie sie auch von weniger professionellen Tätern verwendet werden. Dies kann dadurch begründet sein, dass man eine Zuordnung des Angriffs erschweren wollte. Allerdings führten einige Fehler der Angreifer dazu, dass ihre Aktivitäten im Netz nachzuvollziehen und zu detektieren waren.

Im Rückblick kann aufgrund der Analysen festgestellt werden, dass die Angreifer nur ein relativ kurzes Zeitfenster von drei Wochen hatten, Daten zu exfiltrieren. Die Nutzung von IT-Systemen im Bundestag war ab Ende Mai 2015 wieder abgesichert.

Mit freundlichen Grüßen

Im Auftrag

Dr. Häger


Tagesordnung der 10. Sitzung der IuK-Kommission

Die 10. Sitzung der Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und -medien findet statt am
Donnerstag, dem 5. November 2015, 7:30 Uhr
Sitzungssaal: Ältestenratssaal (2 N014)
Reichstagsgebäude, Berlin

Tagesordnung
  • Tagesordnungspunkt 1: Maßnahmen zur Verbesserung der IT-Sicherheit, Herr Holz IT 2, Herr Wilk IT 1, Herr Möhlmann IT 5
  • Tagesordnungspunkt 2: Verbesserung des DDOS-Schutzes für den Internetauftritt des Bundestages, Herr Babiel, Firma Babiel
  • Tagesordnungspunkt 3: Abschlussbericht zum IT-Vorfall, Herr Hange, Präsident BSI
  • Tagesordnungspunkt 4: Neuerungen beim Internetauftritt des Bundestages, Frau Dr. Jachmann, PuK 4
  • Tagesordnungspunkt 5: Verschiedenes

39 Ergänzungen

  1. „nach eigenen Angaben habe man Informationen aus dem Ausland zu auffälligen Datenverkehren aus dem Bundestag bekommen.“ … „dass ein britisches Unternehmen das BfV informiert habe. Ein Kunde des Unternehmens habe sich über die deutschen Daten auf den eigenen Servern gewundert.“ :D

    1. Passend dazu „Wir haben Eure Daten“ zeit de. Und was machen die Politiker von SPD und CDU? Vorratsdatenspeicherung aller sozialer und geschäftlicher Kontakte und Aufenthaltsorte aller Bürger und Unternehmen für alle Verbrecher dieser Welt. „NPD wirbt um Leihstimmen der AfD“, so schnell kanns gehen, wenn die in irgendeinem der 16 Bundesländer an der Regierung sind kommen sie problemlos an die VDS-Daten von jedem.

    2. Unser Bundestag hat ja wohl nichts zu verbergen und schon gar nicht vor Alliierten, oder? :)

      Spass beiseite, die sollten sich endlich mal selbst als kritische Infrastruktur definieren und ihre Netze dementsprechend professionell verteidigen. Wofür haben die denn ihr Cyberabwehr-Zentrum um die Ecke, zum Eierschaukeln bei Schnittchen in Meetings?

  2. Kann man nicht einfach die verbliebenen Piratenparteimitglieder nebenbei als IT Support im Bundestag arbeiten lassen? Danke, Problem gelöst.

  3. Ausländischer Nachrichtendienst: Hallo German Bundesamt! As you know, we watch you carefully. What we see now is that your Bundestag-net is leaking a little bit. After all that trouble we had together in the past, we think we give you a friendly hint this time.

    Bundesamt für Verfassungsschutz: WAT? You are surveying our IVBB? WTF! @#§$! But thanks anyway. Ehm, could you give us a hint, how to stop this thing?

    Ausländischer Nachrichtendienst: Sure we can! We have a tutorial that we can mail you. It’s a comprehensive HOW-TO secure net infrastructure. But we need some compensation for that – some valuable infos you may have, bet you know what I mean?

    Bundesamt für Verfassungsschutz: What could we give you, that you don’t already have? You know we are so busy protecting your troops on our soil.

    1. Come on! You guys know very well, that in fact we are protecting your Bundeswehr all around the globe. But listen! We know that you are very busy shredding and wiping all kind of information you gathered. What about letting us do this job for you? That would save you a lot of time and would make us happy!

    2. Hello, here is another Spreewaldgurke – I visited Estrel in the SUN Allee. What will you do, if the Ausländische Geheimdienst will overtaken the German Bundesnachrichtendienst?
      Kinds regards SUSI

  4. Eigentlich ist diese Diskussion ein Witz! In Unternehmen sind diese genannten Maßnahmen Standard und dienen zum Schutz der IT-Systeme. Privatsphäre von Arbeitnehmern bockt doch auch niemand, warum die von Diplomaten? Wenn es Vertraulich sein muss, dann muss eine End-to-End-Verschlüsselung eingesetzt werden oder von Zuhause aus verschlüsselt kommuniziert werden. Tools gibt es dafür genug. Vor allem sichere.

    Achja und zu der 7 Tage Speicherfrist: Soll ich darüber lachen? Telekom darf 7 Tage aus den oben genannten Gründen Speichern. Die Vorratsdatenspeicherung speichert sogar noch mehr, noch länger und dann beschweren sich Politiker über 7 Tage Speicherdauer von Seiten welche sie angesurft haben aus dem internen Netz?
    Wenn deren ihre einzigste Angst es ist, welche Pornoseiten sie während der Dienstzeit ansurfen, dann sollten sie sich Gedanken machen….

    Und warum muss die Absicherung von Clients die Abgeordneten entscheiden, ob es denen genehm ist? Da geht es um Schutz der Bundesregierung und damit dem Schutz des Staates. Das ist KEINE politische Entscheidung, sondern Verwaltungsfrage. Absicherung gegen Spionage ist Verwaltung oder sogar noch Aufgabe des Nachrichtendienstes, aber keine Frage ob es den Abgeordneten passt, geschweige eine politische Frage. Ich glaube die Politiker benötigen einen Psychiater, um deren Realität wieder gerade zu biegen….

    1. Der Bundestag gehört zur Legislative und eben nicht zur Exekutive, wie Du vermutest. Ebenso wie die Judikative (Gerichte) hat der Bundestag einen Horror davor, sich von der Exekutive in die Karten sehen zu lassen. Das Verhältnis insbesondere im Bereich dr Spionage ist sehr belastet, da die Bundesregierung dem Parlament sein verfassungsmäßiges Kontrollrecht verweigert. Also sozusagen Verfassungsfeinde in der Bundesregierung (siehe zum Beispiel Ergebnis der NSU-Ausschüsse oder der Beihilfe zur Spionage für fremde Mächte durch Frank-Walter Steinmeier durch Freigabe von Daten deutscher Bürger am DE-CIX an ausländische Geheimdienste, wo der durch Weisung an die Bundesregierung gebundene Generalbundesanwalt nicht mal ein Strafverfahren oder wenigstens ein Ermittlungsverfahren einleitet wegen der Spionage für fremde Mächte)).
      Erschwerend kommt hinzu, dass zwar das Bundesamt für Sicherheit mit Spionen durchsetzt ist (ein Vizepräsident ist ein (Ex?)-Spion vom BND, bei dem man nicht weiß, auf was der vereidigt ist), aber technisch nicht in der Lage ist, sinnvolle Beiträge zur IT-Sicherheit zu leisten. Zumal auch immer zu vermuten ist, dass das BSI nicht für den Bürger sondern für Geheimdienste an der Demokratie vorbei arbeitet. Von so einer Mischpoke würde ich mir auch nicht ohne Not in die Netze sehen lassen. Nur im SM-Club :-)
      Die Politiker benötigen keinen Psychiater, wie du falsch vermutest, sonder seriöse Unterstützung bei der IT-Sicherheit, die sie von der Exekutive nicht bekommen (dürfen).

      1. „sonder seriöse Unterstützung bei der IT-Sicherheit, die sie von der Exekutive nicht bekommen (dürfen)“

        Da beisst sich die Katze in den Schwanz, denn die Serösität von Anbietern wird ja auch wiederum von denen testiert, die als Exekutive nicht eingreifen dürfen, womit es schwer werden dürfte wahrhaft seriöse Helfer zu finden, denn die sind ja auch potentiell Druck ausgesetzt bzgl. ihrer zukünftigen Sicherheits-Freigaben… ;)

        Dann halt wie immer, T-Systemlos beauftragen, dann wird alles irgendwann vielleicht gut! :)

      2. Bis auf T-Systems, die einen ehemaligen BND-Spion als Mitarbeiter ihres „Trust“-Centers beschäftigte, sind mir keine privaten Unternehmen bekannt, die Spione von Nachrichtendiensten beschäftigen. Gibt es da neuere Erkenntnisse?

  5. schließe mich Hash1 nahtlos an – vielen Dank für die umfassende, fundiert-fachliche Aufbereitung des Themas (eigentlich müsste man es Skandal nennen..)!

  6. ich finde es sehr merkwürdig das ausgerechnet der Bundesanwalt (rechtlicher Vertreter der Regierung der Deutschen) sich hinter Zitaten von Grundgesetz und STGB verschanzt.

    Die Sache ist doch klar. Unsere Regierung, und damit wir alle, wurde angegriffen.

    War es ein ausländischer Geheimdienst ist es eine kriegerische Handlung.
    Waren es wirtschaftliche oder Privatinteressenh ist es ein Terrorakt.

    In beiden Fällen muss scharf reagiert werden. Ich gebe Bundeskanzler Frau Merkel den Rat sich von solchen Theoretikern zu trennen.

    Die „ich bin ja nicht direkt betroffen“ ist abstoßend.

    Ich gehe immer zur Wahl und erwarte das meine Stimme auch Gewicht hat. Dazu gehört auch das mein Angeordneter geschütz sowie aktuell und richtig informiert wird. Und der Schutz seiner Person und seiner Arbeit sind wesentlich für mich als Bürger.

    da die Verantwortlichen die Krise nicht in den Griff bekommen betreibt man kurzer Hand Zensur. Die Sperrung tausender Internetseiten ist gen au das.

    Wir schicken unsere Soldaten um die halbe Welt um die Demokratie zu verteidigen. Im eingenen land diskutieren wir monatelang über Zuständigkeiten.

    Lobenswert ist die Informationspolitk des BND. Obwohl ich keine „geheimen“ Dienste mag.
    Absolut unzureichend die Leistung der zuständigen Ämter und Institutionen. Ausgerechnet die sind auch für mich und meine Sicherheit zuständig.

    Komisch das weder Regierung, noch Kabinett, noch Regierungspartei zur Sache Stellung nehmen. Wozu auch. Die Machtposition ist ja, noch, nicht gefährdet.

    danke an XING für diese sehr ausführliche Zusammenfassung.

    1. @Anton Hudoba

      Können Sie ausschließen,dass der deutsche Verfassungsschutz der Übeltäter war?
      immerhin wäre er auch ein großer Nutznießer von Interna der einzelnen Abgeordneten.
      Falls man dem Verfassungsschutz für seine jetzigen und zukünftigen Missetaten belangen will,wüsste er genau bei welchen Abgeordneten er Daumenschrauben anlegen kann,die Informationen wären für den Verfassungsschutz eine prima Lebensversicherung.
      Da man nicht groß in dieser Angelegenheit agiert,werde ich mit meiner Vermutung nicht ganz falsch liegen.

    2. „Die Sache ist doch klar. Unsere Regierung, und damit wir alle, wurde angegriffen.“
      Das ist sachlich falsch. Es ging um den Deutschen Bundestag, nicht um die Bundesregierung. Und wir wurden nicht alle angegriffen, sondern in dem Fall nur der Deutsche Bundestag.

  7. Genau genommen veröffentlichen Sie Abschriften von Dokumenten. Nicht, dass ich Ihnen misstrauen würde, aber kann man die Originale mal sehen?! Wo stammen die her?

      1. Genau, Quellenschutz …

        Wer hier immer so auf eine oeffentliche Darlegung setzt – von Anderen wohlgemerkt -, der sollte sich selber einmal streng danach fragen, warum er dies nicht selber macht. Wer hat eigentlich ein Interesse daran, hier alles an die Oeffentlichkeit zu zerren? Dies sind sicher nicht die Freunde einer offenen Gesellschaft, sondern ganz im Gegenteil – deren Feinde.

        Viel Spass also dabei, dass Sie sich nun als Handlanger jener fuehlen duerfen (und dies auch mit einem Laecheln, wie Ihr Smiley zeigt), die mit einer offenen demokratischen Gesellschaft wenig am Hut haben.

      2. „Wer hat eigentlich ein Interesse daran, hier alles an die Oeffentlichkeit zu zerren?“

        Diese dummen anteilssouveränen Steuerzahler haben ein Interesse daran, dass ihre Assets ordentlich geschützt werden.

        Ich zahle für die Veranstaltung, also will ich auch wissen, wofür, Herr Dachdecker.

  8. WOW, ich dachte der Bundestag ist eine geschlossene Gesellschaft.
    Das ist spannender als der Agentenaustausch im kalten Krieg vor der Wende 1989.
    Solange aber dem Deutschen Reichstag noch der Link zu den Seiten des Mannheimer Morgens gewährt wird, dürfte alles im grünen Bereich sein. Wenn es rot wird, dann gibt es wohl ein Problem. Ein Anruf bei der Hotline und die Anforderung des Mannheimer Morgens wäre als Papier noch möglich, vorausgesetzt es hat keiner die Heidelberger Druckmaschine gehackt und außer Kraft gesetzt.
    Germany 2064 lässt grüßen, so scheint es.
    Gibt es dazu eigentlich auch bald einen Kinofilm, mit Kommentaren von Hacker Profis ???
    Lieben Gruß SUSI

  9. Hi,

    schöner Artikel.

    Könnt ihr aus den und die verlinkten Dokumente noch per griffigem Torrent zwecks Verteilung zur Verfügung stellen, falls ihr selbst plötzlich aus „persönlichen Gründen“ oder „technischen Problemen“ die weitere Verbreitung einstellen müsst?

  10. Schon wieder die vielen missachteten tollen Gesetze und Vorschriften, in Verbindung mit tollen unfähigen IT-Experten und dubiosen Drittanbietern. Und kein Ende der Katastrophe in Sicht.

    Aber den CCC mit seinen weltweit anerkannten Experten zu Rate ziehen, das geht gar nicht. Sieht nach gewollter Dämlichkeit aus.
    mfg R.K.

    1. „Sieht nach gewollter Dämlichkeit aus.“

      Oder gewollte Harmlosigkeit, „wir wollen nur spielen“.
      Brav Stöckchen fangen, Fresschen empfangen, den Brotkrumen folgen.

      1. Und wenn das BSI zu kompetent wird, dann bekommt es einfach eine Politlusche als Chef, dann gibt sich das von selbst! :)

    2. „Die Regierung habe bei dem Anlauf „den Datenschutz konsequent von Beginn an mitgedacht“ und „in jahrelanger Arbeit“ mit dem Bundsamt für Sicherheit in der Informationstechnik (BSI) und unter Einbezug aller Akteure „sehr hohe technische Standards für Smart-Meter-Gateways“ entwickelt, versicherte die Sozialdemokratin.“ [heise de]. Na dann kann man ja ganz beruhigt sein …

      1. „„den Datenschutz konsequent von Beginn an mitgedacht“ und „sehr hohe technische Standards für Smart-Meter-Gateways“ entwickelt“

        Bedeutet wahrscheinlich, dass alle Logs so weit anonymisiert sind, dass sie für eine Suche nach Traffic Anomalien nicht mehr zu gebrauchen sind.

        Wäre ja auch Scheixxe, wenn ein BT-ITler einen Faktions-ITler fragen könnte, was da gerade los ist… :)

        Deutschland ist einfach zu bekloppt dazu etwas angemessen richtig zu machen, also die richtige Balance zwischen kollidierenden Interessen zu finden. Bei uns werden Prinzipien so lange zu schanden geritten, bis das Kind im Brunnen ertrunken ist, nur um danach ins andere Extrem des Pendels zu verfallen. Man könnte daran verzweifeln, wenn man darin nicht aufgewachsen wäre…

  11. Ich möchte mich für diesen Beitrag bedanken. Ich würde mich auch über einen Torrent freuen, falls man die Verbreitung (warum auch immer) einstellen muss. Ich finde es aber auch schon erschreckend was im Bundestag derweil so abläuft.

    Lieben Dank

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.