Zwischenruf Nr. 4

--- 22.06.2021 ---

Naiv und unvorsichtig: Die riskante IT-Beschaffung des Bundestages

Der Bundestag könnte Vorbild für andere Institutionen sein und beim Einkauf sicherheitsrelevanter IT-Produkte deutschen und europäischen Unternehmen den Vorzug geben.

Der Bundestag ist das höchste Verfassungsorgan in Deutschland. Die Abgeordneten werden vom Volk gewählt und entscheiden über die wichtigsten Gesetze in unserem Land. Das ist die zentrale Säule unserer Demokratie – und die darf niemand untergraben. Eine Cyberattacke auf das Parlament wäre nichts anderes als ein Anschlag auf die Demokratie. Deshalb sollten die IT-Systeme zu den besonders widerstandsfähigen Infrastrukturen zählen, bei denen ausschließlich vertrauenswürdige europäische Anbieter zum Einsatz kommen.

Umso verwunderlicher ist, dass der Bundestag seine eigene Bedrohungslage offensichtlich weniger dramatisch einschätzt. Im kürzlich verabschiedeten IT-Sicherheitsgesetz fehlt das Verfassungsorgan auf der Liste der kritischen Infrastrukturen (Kritis), die besondere Schutzvorkehrungen gegen Hacker- und Cyberangriffe treffen müssen. Zu diesem exklusiven Zirkel zählen in Deutschland alle Lebens- und Wirtschaftsbereiche, die für das Funktionieren unserer Gesellschaft wichtig sind – also Energie, Wasser, Ernährung, Gesundheit, Telekommunikation, Finanz- und Versicherungswesen sowie Transport und Verkehr. Das Versorgen mit demokratischen Entscheidungsprozessen gehört bisher nicht dazu. Das hat erhebliche Auswirkungen auf die Beschaffungspraxis des Bundestages bei sicherheitsrelevanten IT-Systemen.

Im Gegensatz zu anderen streng regelementierten Kritis-Infrastrukturen bekommt der Bundestag bei der Auftragsvergabe die freie Wahl – und kann auch bei ausländischen IT-Anbietern einkaufen, die eng mit dem Staat oder seinen Geheimdiensten zusammenarbeiten. Das führt zu der skurrilen Situation, dass das IT-Sicherheitsgesetz für den Bau der neuen superschnellen 5G-Mobilfunknetze deutlich strengere Auswahlkriterien ansetzt als für die nicht minder sensiblen WLan-Hotspots im Berliner Parlament. Die Bundesregierung darf nur „Empfehlungen“ vor der Anschaffung wichtiger IT-Komponenten aussprechen. Mehr aber auch nicht. Die vertraulichen Daten der Abgeordneten bekommen dadurch weniger Sicherheitsrelevanz als die Daten aus den Vermittlungsrechnern großer Telekom-Konzerne.

Besonders deutlich zeigt sich das bei den WLan-Ausschreibungen der Bundestagsverwaltung, die der US-amerikanische IT-Riese Cisco gewinnt. In den 13 Liegenschaften des Bundestages sind inzwischen 2700 drahtlose WLan-Hotspots aufgebaut, zu denen die Abgeordneten und ihre Mitarbeiter – summa summarum 4500 Nutzer – jederzeit einwählen können. Das Risiko, das der Bundestag damit eingeht, ist seit den Enthüllungen des ehemaligen NSA-Agenten Edward Snowden bekannt: Die US-Geheimdienste hatten auch in die Router ihrer Hausmarke Cisco Hintertüren eingebaut, um die dort transportierten Daten abfangen und ausspionieren zu können.

Der Bundestag ist bei vielen – auch sicherheitsrelevanten – Komponenten seiner IT-Systeme gezwungen, aus Mangel an europäischen Alternativen mit US-amerikanischen Software- und Hardwareherstellern zusammenzuarbeiten. Bei WLan-Routern gibt es solch eine Monopolstellung des Marktführers Cisco nicht. Mit Lancom Systems aus Würselen bei Aachen und Octogate aus Paderborn bauen zwei Mittelständler eigene konkurrenzfähige und vertrauenswürdige WLan-Router auch für professionelle Einsätze, wie ihn die Abgeordneten des Bundestages benötigen. Solch ein prestigeträchtiger „Schaufenster“-Auftrag hätte Signalwirkung für andere Behörden und Branchen: Der Bundestag würde mit seinen eigenen Anschaffungen den wenigen Überlebenden der einstmals so starken deutschen Netztechnik den Rücken stärken. Und müsste nicht mit Forschungsförderung in Milliardenhöhe – wie beim europäischen Cloud-Projekt Gaia-X – den Wiederaufbau einer eigenen IT-Industrie starten.

 

„Der Glaube an das Gute der Digitalisierung geht verloren, wenn wir durch zu viele Sicherheitsrisiken die Kontrolle über diese Technologie verlieren.“

Über mich

Was mich bewegt

Digitalisierung, datenschutz, IT-Sicherheit

Die Diskussionen über die Digitalwelt in Europa sind gespickt mit Halbwissen und Widersprüchen. Weite Teile von Politik und Wirtschaft erkennen zwar, dass die Wettbewerbsfähigkeit unseres Landes von einer möglichst schnellen Digitalisierung abhängt. Nur getan haben die Verantwortlichen dafür viel zu wenig. Die meisten schauen zu, wie die digitalen Supermächte USA und China ihren Vorsprung ausbauen. Und klammern sich dabei an ein Gottvertrauen in alles Gute dieser technologischen Revolution. Die vielen Sicherheitsrisiken aber werden ignoriert und ausgeblendet — weit mehr als in jedem anderen gesellschaftlichen Bereich.

Über das Ergebnis ärgern wir uns jeden Tag: Ein eher stümperhaft zusammengestückeltes Internet, das — wäre es ein Auto oder ein Wohnhaus — wegen gravierender Mängel überhaupt keine Zulassung der Aufsichtsbehörden bekommen würde. Dabei braucht die jetzt entstehende Gigabit-Gesellschaft ein stabiles Fundament aus hochwertigen Netzen, Software und Hardware ohne Qualitätsmängel und Schwachstellen. Nur verlaufen bisher die meisten Initiativen im Sande. Die politisch Verantwortlichen vertrauen lieber der Selbsthilfe und wälzen die Lösung des Problems auf eher schlecht ausgebildete Computernutzer ab.

Dass diese Strategie nicht die erhofften Erfolge bringt, beweisen die Zahlen: Jedes Jahr wachsen die Bedrohung und die Schäden durch von Geheimdiensten gesteuerte Hacker-Banden, die unsere IT-Systeme lahmlegen und ausspionieren. Mehr noch: Sogar IT-Konzerne schrecken nicht davor zurück, unsere Privatsphäre zu verletzen. Als eines von 60 Opfern der Spitzelaffäre bei der Deutschen Telekom habe ich es selbst erlebt und Lehren daraus gezogen: Ich will weiter über das Thema Cybersecurity aufklären und in Zukunft Spannendes und Erhellendes auf dieser Website berichten. Deswegen publiziere ich hier auch unter meinem Spitznamen CyberBerke, der mir aufgrund meiner umfangreichen journalistischen Arbeit zu diesen Themen schon vor einigen Jahren zugeschrieben wurde.

Wer ich bin

Journalist, Volkswirt, Boulespieler

Mein Name ist Jürgen Berke. Ich bin 63 Jahre alt und schreibe seit mehr als 30 Jahren für die WirtschaftsWoche über alle Themen rund um Digitalisierung. Inzwischen gleite ich in den Ruhestand und schaffe mir mit dieser Web-Seite meine eigene Plattform, auf der ich Ergebnisse meiner Recherchen und meine Einschätzungen zu aktuellen Entwicklungen publizieren werde. Als Volkswirt sozialwissenschaftlicher Richtung schaue ich mir gerne die technologischen und gesellschaftlichen Auswirkungen einer zunehmenden Vernetzung aller Lebensbereiche an.

Privat geht es bei mir noch sehr analog zu. Ich radele meist abseits viel befahrener Straßen ohne Elektromotor durchs Land und freue mich über jede alte Bahntrasse, die zu einem Radschnellweg umgebaut wird. Viel Zeit verbringe ich auf den Boule-Plätzen in Köln und Umgebung. Der französische Nationalsport ist meine zweite große Leidenschaft.

 

Kurzvita

Geboren 1958 in Bochum. Journalistische Ausbildung ab 1979 an der Kölner Schule — Institut für Publizistik. Parallel — ab 1980 — Studium der Volkswirtschaftslehre und Soziologie an der Universität in Köln. Abschluss als Diplom-Volkswirt sozialwissenschaftlicher Richtung. Danach 32 Jahre lang Redakteur für die „WirtschaftsWoche“. Seit 2020 ehrenamtlich tätig im Europäischen Kompetenzzentrum für Sicherheit in der Informationstechnologie (Eurobits e.V.) in Bochum.

Mehr auf Wikipedia

„Wäre das Internet ein Auto oder Wohnhaus, dann würde es wegen gravierender Mängel keine Zulassung der Aufsichtsbehörden bekommen.“