Zwischenruf Nr. 4

--- 22.06.2021 ---

Naiv und unvorsichtig: Die riskante IT-Beschaffung des Bundestages

Der Bundestag könnte Vorbild für andere Institutionen sein und beim Einkauf sicherheitsrelevanter IT-Produkte deutschen und europäischen Unternehmen den Vorzug geben.

Der Bundestag ist das höchste Verfassungsorgan in Deutschland. Die Abgeordneten werden vom Volk gewählt und entscheiden über die wichtigsten Gesetze in unserem Land. Das ist die zentrale Säule unserer Demokratie – und die darf niemand untergraben. Eine Cyberattacke auf das Parlament wäre nichts anderes als ein Anschlag auf die Demokratie. Deshalb sollten die IT-Systeme zu den besonders widerstandsfähigen Infrastrukturen zählen, bei denen ausschließlich vertrauenswürdige europäische Anbieter zum Einsatz kommen.

Umso verwunderlicher ist, dass der Bundestag seine eigene Bedrohungslage offensichtlich weniger dramatisch einschätzt. Im kürzlich verabschiedeten IT-Sicherheitsgesetz fehlt das Verfassungsorgan auf der Liste der kritischen Infrastrukturen (Kritis), die besondere Schutzvorkehrungen gegen Hacker- und Cyberangriffe treffen müssen. Zu diesem exklusiven Zirkel zählen in Deutschland alle Lebens- und Wirtschaftsbereiche, die für das Funktionieren unserer Gesellschaft wichtig sind – also Energie, Wasser, Ernährung, Gesundheit, Telekommunikation, Finanz- und Versicherungswesen sowie Transport und Verkehr. Das Versorgen mit demokratischen Entscheidungsprozessen gehört bisher nicht dazu. Das hat erhebliche Auswirkungen auf die Beschaffungspraxis des Bundestages bei sicherheitsrelevanten IT-Systemen.

Im Gegensatz zu anderen streng regelementierten Kritis-Infrastrukturen bekommt der Bundestag bei der Auftragsvergabe die freie Wahl – und kann auch bei ausländischen IT-Anbietern einkaufen, die eng mit dem Staat oder seinen Geheimdiensten zusammenarbeiten. Das führt zu der skurrilen Situation, dass das IT-Sicherheitsgesetz für den Bau der neuen superschnellen 5G-Mobilfunknetze deutlich strengere Auswahlkriterien ansetzt als für die nicht minder sensiblen WLan-Hotspots im Berliner Parlament. Die Bundesregierung darf nur „Empfehlungen“ vor der Anschaffung wichtiger IT-Komponenten aussprechen. Mehr aber auch nicht. Die vertraulichen Daten der Abgeordneten bekommen dadurch weniger Sicherheitsrelevanz als die Daten aus den Vermittlungsrechnern großer Telekom-Konzerne.

Besonders deutlich zeigt sich das bei den WLan-Ausschreibungen der Bundestagsverwaltung, die der US-amerikanische IT-Riese Cisco gewinnt. In den 13 Liegenschaften des Bundestages sind inzwischen 2700 drahtlose WLan-Hotspots aufgebaut, zu denen die Abgeordneten und ihre Mitarbeiter – summa summarum 4500 Nutzer – jederzeit einwählen können. Das Risiko, das der Bundestag damit eingeht, ist seit den Enthüllungen des ehemaligen NSA-Agenten Edward Snowden bekannt: Die US-Geheimdienste hatten auch in die Router ihrer Hausmarke Cisco Hintertüren eingebaut, um die dort transportierten Daten abfangen und ausspionieren zu können.

Der Bundestag ist bei vielen – auch sicherheitsrelevanten – Komponenten seiner IT-Systeme gezwungen, aus Mangel an europäischen Alternativen mit US-amerikanischen Software- und Hardwareherstellern zusammenzuarbeiten. Bei WLan-Routern gibt es solch eine Monopolstellung des Marktführers Cisco nicht. Mit Lancom Systems aus Würselen bei Aachen und Octogate aus Paderborn bauen zwei Mittelständler eigene konkurrenzfähige und vertrauenswürdige WLan-Router auch für professionelle Einsätze, wie ihn die Abgeordneten des Bundestages benötigen. Solch ein prestigeträchtiger „Schaufenster“-Auftrag hätte Signalwirkung für andere Behörden und Branchen: Der Bundestag würde mit seinen eigenen Anschaffungen den wenigen Überlebenden der einstmals so starken deutschen Netztechnik den Rücken stärken. Und müsste nicht mit Forschungsförderung in Milliardenhöhe – wie beim europäischen Cloud-Projekt Gaia-X – den Wiederaufbau einer eigenen IT-Industrie starten.

 

Zwischenruf Nr. 3

--- 22.04.2021 ---

Der Blindflug der Unternehmen im Cyberkrieg

Die Zahl der Cyberangriffe steigt so rasant, dass viele Unternehmen auf einen Mehrfronten-Kampf mit mehreren Banden nicht vorbereitet sind. Das Problem ist hausgemacht: Um Kosten zu sparen, verzichten die Opfer auf die vollständige Aufklärung aller Attacken auf ihre IT-Systeme.

Studien über die aktuelle Bedrohungslage im Cyberraum kommen eigentlich immer zu dem gleichen Ergebnis: Die Zahl der erfolgreichen Cyberangriffe steigt stetig an. Eine Trendwende ist trotz zusätzlicher Investitionen in die IT-Sicherheit nicht in Sicht. Die in dieser Woche publizierten Ergebnisse einer Umfrage des Spezialversicherers Hiscox reihen sich da nahtlos in die schier endlose Kette ähnlicher Security-Reports ein.

Eher am Rande warnen die Autoren des Hiscox-Reports vor einer neuen Bedrohung, die in den Briefings des Bundesamtes für Sicherheit in der Informationstechnik (BSI) überhaupt noch keine Rolle spielt: Unternehmen, die nur einen einzigen Hackerangriff erlebt haben, sind nur noch eine kleine Minderheit. Die Mehrzahl räumt inzwischen ein, dass ihr Unternehmen von mehreren Hackergruppen erfolgreich unter Beschuss genommen wurde — entweder gleichzeitig oder zeitversetzt.

Die Unternehmen sind auf diese neue Form der Bedrohung überhaupt nicht vorbereitet. Dabei zeichnet sich schon länger ab, dass Cyberbanden bei ihren Opfern einen Mehrfronten-Kampf eröffnen. Bei rund einem Dutzend in Deutschland aktiven hochprofessionellen Angreifergruppen, die meist eng mit ausländischen Geheimdiensten zusammenarbeiten, ist es sehr wahrscheinlich, dass mehrere Gruppen besonders innovative Unternehmen ins Visier nehmen und die IT-Systeme mit ihren Spionageprogrammen verseuchen. Solche geschickt getarnten Angriffe bleiben über viele Monate und mitunter sogar Jahre unentdeckt. Genug Zeit für andere Angreifergruppen, ebenfalls dort einzudringen. Viele Unternehmen entdecken das erst, wenn auch noch die organisierte Kriminalität ihre IT-Systeme kapert und hohe Lösegelder zur Freigabe aller Daten fordert.

Diese offene Flanke ist Teil eines verantwortungslosen Missmanagements. Das Problem ist hausgemacht: Auch im Notfall stocken Vorstände und Geschäftsführer nicht das IT-Budget auf und verzichten auf eine vollständige Aufklärung des Cyberangriffs. Diese Erfahrung machen die von IT-Sicherheitsfirmen wie G Data in Bochum und Syss in Tübingen aufgebauten Spezialeinheiten, die Unternehmen bei besonders schweren Cyberangriffen zu Hilfe eilen. Ihre Notfall-Einsätze sind gefragt, mehr aber auch nicht. Danach dürfen sie wieder abrücken.

Dabei ist das IT-System nur von dem Schadprogrammen befreit, das den Alarm ausgelöst hat. Erst eine vollständige Gefahrenanalyse würde eine intensive Fahndung nach weiteren gefährlichen Eindringlingen auslösen, die sich schon länger in den IT-Systemen verstecken. Nur: Solch eine Jagd mit dem Einsatz neuester forensischen Methoden bei der Spurensuche ist den meisten Führungskräften zu teuer. Sie verzichten lieber auf vollständige Transparenz und machen im Blindflug weiter.

 

Zwischenruf Nr. 2

--- 09.03.2021 ---

Wenn Cyberspionage zur Lappalie wird

Können Sie sich noch an Edward Snowden erinnern? Vor sieben Jahren wirbelten die Enthüllungen des ehemaligen NSA-Agenten die Welt durcheinander. Die von Snowden veröffentlichten Geheim-Dokumente stellten die US-amerikanische IT-Industrie unter den Generalverdacht, eng mit den Nachrichtendiensten zu kooperieren.

Die Aufregung war groß, aber die Bundesregierung zog daraus nur eine Konsequenz. Um Spionage durch Hintertüren in IT-Produkten zu verhindern, formulierte der damalige Bundesinnenminister Thomas de Maizière im Sommer 2014 den sogenannten No-Spy-Erlass. Bei öffentlichen Ausschreibungen sollte nicht mehr nur der Preis eine zentrale Rolle bei der Auftragsvergabe spielen, sondern auch die Vertrauenswürdigkeit des Unternehmens. Wer mit Deutschland Geschäfte machen will, muss schriftlich die Garantie abgeben, nicht mit ausländischen Nachrichtendiensten bei Späh-Operationen zusammenzuarbeiten. Mit diesem Versprechen wollte die Bundesregierung versteckten Kooperationen ein Ende bereiten oder zumindest erschweren.

Das will sie offenbar immer noch. Denn in dem jetzt im Bundestag debattierten Entwurf des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetze 2.0) sind solche Selbst-Erklärungen zur Vertrauenswürdigkeit mit hohen Vertragsstrafen bei Verstößen weiterhin enthalten.

Inzwischen scheinen einige Behörden die guten Vorsätze nach den Snowden-Enthüllungen aber wieder zu vergessen. Die politischen Ziele des No-Spy-Erlasses werden jedenfalls nicht mehr so gelebt wie sich das die Autoren im Bundesinnenministerium damals vorgestellt haben. Das zeigt eine unterschriftsreife Rahmenvereinbarung des Landeskriminalamtes (LKA) in Bayern. Bei der anstehenden Modernisierung der IT-Systeme soll der US-amerikanische Ausrüster Cisco Systems den 40-Millionen-Euro-Auftrag zur Erneuerung der Router und andere Netzkomponenten bekommen — mit einer No-Spy-Klausel, die ihren Namen nicht verdient.

Denn ausgerechnet bei der obersten bayerischen Kriminalbehörde, die im Zuge ihrer Ermittlungen auch überaus sensible Daten auswertet, verkümmert der No-Spy-Erlass zum zahnlosen Papiertiger. Sollte das Landeskriminalamt feststellen, dass Cisco einem ausländischen Nachrichtendienst Zugang zu vertraulichen Ermittlungsakten verschafft, dann deckelt der Kaufvertrag die dann zu zahlende Vertragsstrafe auf 10.000 Euro. „Im vorliegenden Fall“, erklärt das LKA auf meine Nachfrage, sei eine Vertragsstrafe in dieser Höhe „ausreichend“ — zumal „der Vertrag mit einem Zwischenhändler und nicht mit Cisco Systems geschlossen wird“.

Im Klartext heißt das: Wer einen Zwischenhändler einschaltet, bekommt quasi einen Freibrief. Spionage durch versteckte Hintertüren wird dann zur Lappalie. Eine Strafe in Höhe von 10.000 Euro kann jedes größere IT-Unternehmen locker aus der Portokasse zahlen.

Das bayerische Landeskriminalamt sendet damit das falsche Signal. So eine No-Spy-Garantie kann jeder Spion abgeben.

 

Zwischenruf Nr. 1

--- 16.02.2021 ---

Ruiniert Solarwinds den Ruf der IT-Branche?

Der Cyberangriff auf den US-amerikanischen Netzmanagement-Spezialisten Solarwinds stürzt die IT-Industrie in eine Vertrauenskrise.

Wenn Unternehmen ihre Abläufe und Prozesse digitalisieren, dann hören sie bei der Suche nach dem passenden IT-Anbieter gerne auf ihr Bauchgefühl. Oft gehen dann Systemlieferanten als Sieger aus den Ausschreibungen hervor, die auch Spezialisten für Cybersecurity sind oder sich zumindest solch einen Ruf erarbeitet haben. Große IT- und Cloud-Anbieter wie Microsoft und IBM, aber auch die Deutsche Telekom profitieren von diesem Vertrauensvorschuss und freuen sich über hohe Zuwachsraten auf dem Cybersecurity-Markt. All die Erfahrungen beim Schutz der eigenen IT-Systeme, so die laut hinaus posaunte Marketing-Botschaft, sollen auch den Geschäftskunden zugute kommen.

Dieses Bauchgefühl entpuppt sich inzwischen als eine gefährliche Illusion.
Denn eine wichtige Lehre ziehen Sicherheitsspezialisten aus dem kurz vor Weihnachten 2020 bekannt gewordenen Cyberangriff auf die bislang wenig beachtete US-amerikanische IT-Firma Solarwinds: Auch in den Lieferketten der IT-Systeme gibt es schwarze Schafe, die die Sicherheit ihrer Produkte vernachlässigen. Solarwinds fällt nach Ansicht des US-amerikanischen Cybersicherheitsexperten Bruce Schneier genau in diese Kategorie. „Sehr miese IT-Sicherheit, hervorgerufen durch eine bewußte Geschäftsentscheidung zur Kostenreduktion“, stellt er dem Top-Management ein ganz schlechtes Zeugnis aus. Dabei müssten Produkte wie die von Solarwinds gebaute Netzmanagement-Software Orion behütet werden wie ein Goldschatz. Denn sie sind die ideale Plattform, um über die regelmäßigen Updates Millionen von Unternehmen und Behörden in aller Welt mit Malware zu infizieren.

Auch Solarwinds-Großkunden wie Microsoft und Cisco hatten diese offene Flanke nicht auf ihrem Radarschirm und trugen letztlich zur massenhaften Verbreitung der Hintertüren bei. Selbst die hoch gelobten, selbstlernenden Frühwarnsysteme der IT-Riesen schlugen viel zu spät Alarm. Neun Monate konnten sehr professionelle Cyberbanden Solarwinds als Basis für ihre versteckten Operationen nutzen. Es wird mehr als neun Monate dauern, bis wir einen genauen Überblick bekommen, bei welchen Solarwinds-Kunden sich die Cyberspione überall einnisten konnten, welche Geheimdienste hinter den Operationen stecken und wie hoch die Schäden sind.

Es ist bereits der zweite Fall, der die Reputation der IT-Branche schwer beschädigt. Vor vier Jahren gelang es der vermutlich von China gesteuerten Hackergruppe „Cloud Hopper“, die IT-Systeme von mehr als 45 Technologieunternehmen zu kompromittieren, um auf diesem Wege die doch nicht so gut bewachten Datenschätze gutgläubiger Cloud-Nutzer zu heben. Die US-Administration konnte sogar zwei chinesische Mitglieder dieser Bande aufspüren und vor Gericht stellen. Nur: Eine komplette, öffentlich zugängliche Übersicht, welche Cloud-Anbieter nun wegen versteckter Hintertüren ein Sicherheitsrisiko sind, gibt es bis heute noch nicht. Der IT-Branche ist so viel Transparenz offenbar zu gefährlich. Dabei wäre Transparenz das erste Gebot, damit die Vertrauensbasis für die vielen, noch bevorstehenden Digitalprojekte erhalten bleibt.