Kommentar zur Debatte über IT-Sicherheit: "Die Empörten sind nackt"
Deutschlands Politik beschwert sich über russische Hacker. Zurecht – aber handeln müsste sie selbst. Ein Kommentar von Falk Steiner.
(Bild: Shutterstock.com/janews / Bearbeitung: heise online)
Groß ist die öffentliche Erregung der offiziellen Stellen über den Spähangriff des militärischen Geheimdienstes der Russischen Föderation auf die SPD, Infrastrukturbetreiber, Stiftungen und Verbände vor gut einem Jahr. Deutschlands und Tschechiens Minister zeigen sich empört, bei voller Solidarität der EU und der NATO. Außenministerin Annalena Baerbock (Grüne) kündigte Konsequenzen an, Innenministerin Nancy Faeser (SPD) spricht von hybriden Bedrohungen und lässt sich – vor der Europawahl im Juni – zu dem Satz hinreißen: "Es gilt, unsere Demokratie auch im Digitalen zu schützen."
Das alles klingt nach Entschlossenheit oder soll zumindest so klingen. Dabei ist klar, die Angreifer des russischen Militärnachrichtendienstes haben das gemacht, was auch ihr Auftrag ist: Spionage. Sabotageaktionen haben sie, so heißt es aus Behördenkreisen, nicht durchgeführt. Hybride Angriffe sind das also nicht, wenn es auch Vorbereitungshandlungen sein können, der Blick durchs Schlüsselloch für weitere Handlungsoptionen. Nun ist solche Spionage definitiv keine Petitesse und wer sich dabei erwischen lässt, muss mit förmlichem Protest rechnen. Aber außer einem lauten Aufstampfen fällt den Verantwortlichen in der Bundesrepublik offenkundig wenig ein.
Dabei gäbe es eigentlich eine Menge Maßnahmen, die ergriffen werden könnten, um die Probleme deutlich zu reduzieren. Gerade die Methoden, die die "Fancy Bear" getaufte GRU-Einheit genutzt hat, sind Teil dessen, was schon lange kritisiert wird und längst hätte adressiert werden können. Ein anderer Name für die Einheit ist APT28.
Warme Worte statt konkreter Maßnahmen
Betrachten wir zuerst einmal Microsofts Sicherheitsproblem: Über zwei Monate, nachdem die russischen Angreifer die Lücken genutzt hatten, veröffentlichte Microsoft ein erstes CVE mit Anleitungen, wie die Bedrohung eingehegt werden könne. Sicherheitsupdates folgten. Zwei Monate sind im Ernstfall eine sehr lange Zeit. Microsoft muss sich nicht nur deshalb fragen lassen, ob es in der derzeitigen Weltlage ausreichend Sicherheit garantieren kann. Scheinbar konsequenzenlos.
Das zweite Problem: Vernetzte Geräte. Als vor wenigen Monaten ein Ubiquiti-EdgeRouter-Botnetz von FBI, BKA und anderen vom Netz genommen wurde, war das Problem schnell beschrieben: Autoupdates sind im Auslieferungszustand oft nicht aktiviert, Firewalls deaktiviert und mit Standard-Zugangsdaten versehen. Dass diese Geräte leichte Opfer sind, daran besteht kein Zweifel. Doch die gesetzlichen Standards für vernetzte Geräte sind bislang gering, der Cyber Resilience Act kommt erst noch – und das mit jahrelangen Übergangsfristen. Die Angst davor, die Anbieter zu überfordern, ist nach wie vor größer als die Angst vor böswilligen Akteuren. Vorläufiges Ergebnis daher: Keines.
Das gilt auch für einen anderen Teil des Ubiquiti-Problems: Nach wie vor ist die Rechtsgrundlage für das Notpatchen unsicherer Systeme für deutsche Behörden extrem wackelig. Das hängt auch damit zusammen, dass hiermit politisch "Hackback"-Wünsche verknüpft werden, die hochproblematisch sein könnten. Die Tätigkeiten aufzuteilen und etwa dem BSI die Notpatch-Tätigkeit als aktiven Verbraucherschutz zu übertragen, wäre eine denkbare Alternative – aber in der polizeilichen Gefahrenabwehr-Logik wäre das BSI ein Fremdkörper. Und so passiert weiterhin: Nichts.
Zero-Day-Problematik
Ein weiteres Problem ist ebenfalls hausgemacht: Die Zero-Day-Problematik. Finden ZITIS, Polizei oder Nachrichtendienste in Deutschland eine Sicherheitslücke, gibt es für sie bislang keinerlei Verpflichtung, diese sofort an die Hersteller weiterzumelden. Genau das sollte sich eigentlich ändern – so steht es im Koalitionsvertrag der Ampel. Der ist seit zweieinhalb Jahren nicht nur an diesem Punkt nicht umgesetzt. Aber wie dringlich das wäre, zeigt der Fancy-Bear-Fall. Natürlich ist es verlockend für die Hacker der selbst so wahrgenommen guten Seite, vermeintlich nur ihnen bekannte Sicherheitslücken möglichst lange exklusiv zu nutzen. Blöd nur, dass es nie eine Garantie geben kann, dass die Sicherheitslücke nicht auch woanders längst bekannt ist – und aktiv ausgenutzt wird. Das Bundesinnenministerium hat hierfür bis heute keinen sinnvollen Vorschlag vorlegen können. Was also zu Buche steht: Nichts.
Und dann wäre da noch die Frage, ob die IT-Sicherheitsvorschriften nicht insgesamt deutlich nachgeschärft gehörten. Im Prinzip hat die EU mit der Revision der Netzwerk- und Informationssicherheitsrichtlinie, der NIS2, hier schon einige Vorarbeiten geleistet. Allerdings muss sie noch in deutsches Recht umgesetzt werden. Seitdem im vergangenen Sommer der erste Vorschlag vorgelegt wurde, wird darum gerungen. Hinter den Kulissen geht es um Kosten, Kostenübernahmen, politisches Porzellan, Ausbau-, Einbau- und Umbaupflichten. Ähnliches gilt auch für Operational Technology, das als Teil der Betriebssicherheit bei kritischen Infrastruktur-Betreibern ebenfalls Gegenstand von Regulierung ist. Und selbst die Kriterien für physische Sicherungen, etwa mit Überwachungskameras, Sensorik, Zugangssystemen und ähnlichem, wo chinesische Anbieter gerne aus Kostengründen genommen werden, wäre eigentlich Teil der aktuellen Gesetzgebungsverfahren. Doch das Kritis-Dachgesetz, die junge und kleinere Offlineschwester des NIS2-Umsetzungsgesetzes, hängt genauso fest. Praktisch passiert daher, man ahnt es schon, vorerst: Gar nichts.
Wie im Märchenland
Die zuständige Innenministerin Nancy Faeser (SPD) tritt vor das Volk, lobt die Spionageabwehr, die "Schutzmaßnahmen gegen hybride Bedrohungen", und spricht: "Wir werden uns keinesfalls vom russischen Regime einschüchtern lassen."
Das erinnert fatal an Hans-Christian Andersens berühmtes Märchen vom Kaiser, der sich mit virtuellen Kleidern schmückte, die Dumme und Unfähige angeblich nicht sehen konnten. Niemand seiner Untergebenen bemängelt das, und auch das Volk nicht, bis ein kleines Kind die Wahrheit ausspricht: "Aber er hat ja gar nichts an!" Daraufhin beschließt der Kaiser, seinen Weg zu Ende zu gehen, um seine Täuschung bloß nicht eingestehen zu müssen.
Eineinhalb Jahre dauert diese Legislatur noch – unter den gegebenen Umständen ein langer Weg für die Zuständigen. Für die reale Cybersicherheit drohen das keine guten Zeiten zu werden.
(mack)
