Interview mit Petra Pau
Seit dem Angriff auf die IT-Systeme des Bundestags 2015 raunten Sicherheitsbehörden und konservative PolitikerInnen von aus Moskau gesteuerten Manipulationen der Wahlen im September 2016. Bundestags-Vizepräsidentin Petra Pau war in der letzten Legislaturperiode Vorsitzende der Kommission für Informations- und Kommunikationstechnik des Ältestenrates. Dirk Burczyk befragte sie zu dem Hackerangriff und zur Rolle des Bundesamtes für Verfassungsschutz (BfV) bei dessen Aufklärung.
Frau Pau, zunächst meinen Glückwunsch zur Wiederwahl in den Bundestag. Die Wahl ist sicherlich nicht so ausgegangen, wie viele erhofft haben, aber immerhin ohne Manipulationsversuche. Wenige Wochen vor der Wahl, am 20. Juni 2017, hatte der Tagesspiegel getitelt: „Hacker wählt mit“. In dem Artikel zeigte sich ein Abgeordneter des Bundestages sicher, die im Juni 2015 gehackten Daten würden vor der Wahl auftauchen, und die Entscheidung darüber falle in Moskau. Das deckt sich auch mit vielen Aussagen von BfV-Präsident Hans-Georg Maaßen. Nun ist nichts passiert – sind Sie überrascht?
Pau: Ich weiß ja nicht, wer welche Glaskugel befragt hat, jedenfalls wissen wir bis heute nicht, welche Daten, mit welchem Inhalt damals bei dem Hackerangriff wirklich abgeflossen sind, bevor er bemerkt wurde und die Schleusen geschlossen wurden. Insofern müsste man immer damit rechnen, dass – wer immer in den Besitz dieser Dinge gekommen ist – sie gegebenenfalls zu einem gewissen Zeitpunkt veröffentlicht. Ich kann nicht sagen, welcher Qualität diese Daten sind und wie weit dort persönliche Informationen über Kolleginnen und Kollegen oder ihre Schwerpunktsetzung oder Einschätzungen oder Kalendereinträge von längst abgelaufenen Terminen oder was sonst noch enthalten sind. Also das kann ich alles nicht sagen. Und die Kolleginnen und Kollegen, die betroffen waren, soweit das feststellbar ist, sind damals darüber in Kenntnis gesetzt worden und haben selbst für sich entschieden, dass sie das selbst nicht öffentlich machen. Mein Eindruck ist, dass wir es in diesem Wahlkampf weniger mit einer Bedrohung durch längst abgeflossene Daten zu tun hatten, sondern mit völlig neuen Formen der Beeinflussung der öffentlichen Meinung oder auch der Meinungsbildung durch bots und ähnliche Dinge. Das muss man aber deutlich von den tagtäglich, besser gesagt stündlich stattfindenden Angriffen auf IT-Systeme unterscheiden. Von denen sind wir alle, nicht nur der Deutsche Bundestag betroffen. Und da ist mein Eindruck, es ist uns gelungen, nach diesem tatsächlich schwerwiegenden Ereignis die Sicherung im Bundestag zu härten, ohne dass man für die Zukunft so etwas vollständig ausschließen kann. Absolute Sicherheit gibt es auch in diesem Bereich nicht.
Das BfV hat natürlich ein großes Gewese über seine Hinweise auf die Quelle der Angriffe und seine Erkenntnisse dazu gemacht. Schützt das BfV seine Quellen oder seine Defizite bei der Fähigkeit, solche Angriffe überhaupt erkennen und richtig zuordnen zu können?
Als im Präsidium des 18. Bundestages Verantwortliche für das Thema Sicherheit der Bundestags-IT fühle ich mich durch das Bundesamt für Verfassungsschutz in keiner Weise aufgeklärt über tatsächliche Erkenntnisse zur Identität und zum Charakter der Angreifer. Es ist immer die Rede davon, dass die Angriffe von Servern ausgegangen sind, welche in Russland ihren Sitz haben. Es wird öffentlich kolportiert, dass sich auch Nachrichtendienste dieser Angriffsmuster bedienen, aber weder mir noch den anderen zuständigen Abgeordneten in den zuständigen Gremien sind dazu ansonsten Beweise oder handfeste Hinweise vorgelegt worden.
Spricht nicht unbedingt für das Bundesamt für Verfassungsschutz und seine Fähigkeit, Angriffe und AngreiferInnen erkennen und richtig zuordnen zu können. Umso vehementer wurde dem Bundestag vom Bundesamt für Verfassungsschutz vorgeworfen, nicht zu kooperieren.
Um das ein für alle Mal zu sagen: Nachdem wir diesen Angriff festgestellt hatten und gleichzeitig aus dem für die Datensicherheit zuständigen Bundesamt für die Sicherheit in der Informationstechnik (BSI) uns entsprechende Hinweise zu derzeit gängigen Angriffsmustern erreichten, haben wir uns der Hilfe von Expertinnen und Experten des BSI bedient. Und zwar nicht nur in der akuten Lage, sondern über ein Jahr lang, nachdem der Angriff bereits abgewehrt war und es um die Härtung der Systeme ging. Da wurden auch dritte, externe Partner in Anspruch genommen. Betroffene Kolleginnen und Kollegen haben eigenständig entschieden, inwieweit sie den Ermittlungsbehörden, also dem Bundeskriminalamt, und gegebenenfalls auch dem für die Spionageabwehr zuständigen Verfassungsschutz, ihre betroffene Hardware zur Auswertung übergeben. Das können und müssen die Abgeordneten für sich entscheiden. Aber wir haben keine Veranlassung gesehen, einem Nachrichtendienst zu erlauben, die IT-Systeme des Deutschen Bundestages von innen in irgendeiner Weise zu betrachten, zu begutachten. Wir sind hier auch verpflichtet, die Kolleginnen und Kollegen und natürlich das Verfassungsorgan Bundestag auch in seiner Mandatsausübung und seiner Unabhängigkeit zu schützen, und Geheimdienste sind und bleiben für mich Fremdkörper in einer Demokratie. Und die haben weder in den Daten der frei gewählten Abgeordneten etwas zu suchen noch der ihnen zur Hand gehenden Bundestagsverwaltung. Das haben wir übrigens einmütig im Präsidium des Deutschen Bundestages auch so beschlossen, dass wir natürlich mit ermittelnden Behörden kooperieren, dass das auch in unserem Interesse ist, aber dass wir die eigenen internen Systeme nicht den Nachrichtendiensten in irgendeiner Weise offen legen.
Vermuten Sie noch eine andere Agenda hinter dem Agieren des Verfassungsschutzpräsidenten? Es gibt ja die Konkurrenz von BfV und BSI gerade im Bereich der Cyber-Sicherheit.
Es ist ja kein Geheimnis, dass die LINKE das BSI sich sehr viel unabhängiger vom Bundesinnenministerium, aber natürlich auch sehr viel unabhängiger von der Zusammenarbeit mit den Nachrichtendiensten wünscht. Es ist ja vollkommen widersinnig, dass unter dem Dach des Bundesinnenministeriums die eine Behörde an der Behebung von Schwachstellen in IT-Systemen arbeitet, und die anderen Behörden suchen gerade solche Schwachstellen, um da mit ihren Trojanern oder sonst was reinzukommen. Das ist das eine. Das andere: Der Präsident des Bundesamtes für Verfassungsschutz hat seine Vorwürfe in Richtung Bundestag sehr persönlich an mich adressiert. Daher vermute ich, dass es da eher um andere Rechnungen ging, die wir miteinander offen haben. Ich bin nach wie vor der Auffassung, dass der Verfassungsschutz nicht die richtige Behörde ist, um die Gefahrenabwehr zu betreiben und im Zweifelsfall immer der Quellenschutz und der Schutz der Arbeitsweise der Geheimdienste vor der Aufklärung auch von schwersten Straftaten gehen. Das haben wir im NSU-Komplex erlebt, das erleben wir beim Thema NSA, und ich habe den Eindruck auch hier in diesem Zusammenhang. Um das mal zu bebildern: Wir hatten im vergangenen Jahr immer wieder Versuche von Angriffen auf unsere IT-Systeme, so wie das jedes Unternehmen und jede Privatperson erlebt. Es gab ein Angriffsmuster, welches nicht erfolgreich war, welches uns aber auffiel, also den Expertinnen und Experten hier in der Bundestagsverwaltung. Wir haben diesen Angriff gesetzeskonform dem BSI gemeldet, darüber erreichte das ebenfalls nach den gesetzlich vorgesehenen Meldewegen das Bundesamt für Verfassungsschutz. Und dann meldete sich der Verfassungsschutz hier bei der Bundestagsverwaltung und bot Beratung an. Beratung nehmen wir selbstverständlich immer gerne an. Ich war Zeugin dieser Beratungssitzung, weil ich dachte, vielleicht lernst du noch etwas. Es stellte sich heraus, dass wir nicht vom Bundesamt für Verfassungsschutz Informationen darüber bekamen, welche Kenntnisse zu dem Angriffsmuster ihnen zur Zeit gerade bekannt sind und worauf man achten muss, sondern sie wollten eigentlich von uns Informationen haben, was wir gerade festgestellt haben und wie wir damit umgehen – und das verbunden mit einem Blick in unsere Systeme. Ich gehe davon aus, dass da ein hoch bezahlter Experte einen Tag lang einen Ausflug in den Deutschen Bundestag machen durfte, um uns zu erklären, dass er uns auch nicht sagen kann, wer hinter diesem gerade neu auftauchenden Muster steckt.
Mir ist aufgefallen, dass in der öffentlichen Debatte durchaus festgehalten wurde: Der Bundestag hat was getan, um seine Systeme gegen weitere Angriffe zu härten, wurde dabei aber nicht nur vom BSI unterstützt oder beraten, sondern auch von einer privaten Firma. Ist das problematisch, oder haben wir uns einfach darauf einzustellen, dass öffentliche Einrichtungen auf lange Sicht von privaten Unternehmen abhängig bleiben, um die Sicherheit ihrer Informationstechnik zu gewährleisten?
Also um das einmal deutlich zu sagen: Die IT-Sicherheit wird durch hier im Haus angestellte Mitarbeiterinnen und Mitarbeiter der Bundestagsverwaltung gesichert. Ja, wir haben uns der Hilfe einer externen Firma beim Aufsetzen von eigenen und auch von der Bundestags-IT betriebenen Sicherheitssystemen versichert. Und ja, ich glaube, keine öffentliche Verwaltung kann sich ein solches Fachpersonal, welches sich auch ständig weiterentwickeln muss, nur für den Fall der Fälle vorhalten. Das heißt, wir haben eine zertifizierte Firma um partielle Dienstleistungen gebeten. Ich glaube, das ist vertretbar. Aber ansonsten werden alle Systeme von der Bundestagsverwaltung selbst betrieben. Im Übrigen habe ich in der vergangenen Legislaturperiode auch ein anderes – lange von mir verfolgtes – Ziel mit Hilfe des gesamten Präsidiums erreichen können: Wir haben einen Großteil der Dienstleistungen für die einzelnen Abgeordneten wieder ins Haus holen können, wenn es um Unterstützung geht bei täglichen Problemen. Da geht es nicht um Hackerangriffe, sondern um die technische Unterstützung im Alltag der Abgeordneten. Daneben würde ich auch gern noch mal was anderes sagen. Neben der Härtung der Systeme – was natürlich immer ein Wettlauf von Hase und Igel ist, wenn wir wissen, dass wir es hier mit Kriminalität zu tun haben – haben wir sehr viele Maßnahmen ergriffen, um innere Gefährdungsmöglichkeiten auszuschließen. Das erste ist die sensible Nutzung von IT. Damit sind die Abgeordneten genauso gemeint wie die Mitarbeiterinnen und Mitarbeiter. Nun kann ich den Abgeordneten nicht vorschreiben, wie sie das Mandat ausüben und wie Informationen, die vielleicht von Bürgerinnen und Bürgern kommen, auch auf die IT-Sicherheit geprüft werden – also der berühmte USB-Stick, den ich in der Post finde, mit angeblich ganz brisanten oder geheimen Sachen drauf. Wenn Abgeordnete sich den auf den vom Bundestag zur Verfügung gestellten Geräten ansehen und gegebenenfalls damit selbst die Systeme gefährden. Wie gesagt, ein hoch sensibles Thema, hier geht es um die freie Ausübung des Mandats. Aber für die Mitarbeiterinnen und Mitarbeiter der Bundestagsverwaltung sind Sensibilisierungskampagnen, Schulungen und anderes seit vergangenem Jahr verpflichtend, und das werden wir jetzt auch den neu eingezogenen und alten Abgeordneten mitteilen. Es gibt das Angebot für jedes MdB-Büro, dass alle Mitarbeiterinnen und Mitarbeiter an einer solchen Sensibilisierungsschulung teilnehmen. Da geht es um einfachste Vorkehrungen, also beispielsweise den USB-Stick eben nicht einfach reinzustecken, sondern zunächst mal prüfen zu lassen. Allen muss immer klar sein, dass es um den Schutz persönlicher wie dienstlicher Daten geht und darum, auf diese Weise auch die eigenen Systeme in irgendeiner Art und Weise zu schützen.
Das wäre dann also das Plädoyer, die Frage nach den Möglichkeiten einer Härtung von Systemen in den Vordergrund zu stellen und nicht, wie organisieren wir den hack-back und wie kommen wir zu den entsprechenden Ressourcen? Das hatte ja die Bundesregierung in ihrer „Cyber-Sicherheitsstrategie“ vom vergangenen Frühjahr in den Mittelpunkt gerückt.
Völlig klar. Ich bin da sehr optimistisch, egal ob ich mich da jetzt weiter um dieses Feld kümmere oder ob jemand anderes das übernimmt. Ich denke, dass wir im Bundestag jetzt gut aufgestellt sind. Um das auch mal zu sagen: Ja, es gab diesen großen Angriff, aber es ist keiner der anderen, auch der hier laufenden sensiblen Bereiche, in irgendeiner Weise in Mitleidenschaft gezogen worden. Also wir debattieren als Innenpolitikerinnen und Innenpolitiker über sensible Infrastrukturen von Energieversorgung bis sonst irgendwas. Es gibt selbstverständlich im Bundestag nicht nur das Intranet, sondern auch IT-gestützt andere sensible Bereiche, über die selbstverständlich jetzt nicht breit in der Öffentlichkeit gesprochen wurde. Aber auch die haben wir im Zuge all dieser Maßnahmen überprüft bis hin zu den Bereichen, die wir zwar gerne noch weiter einschränken wollten, also die im Geheimschutzbereich liegen. Falls es also jemandem gelingt, über die Abgeordneten-IT hier ins interne System zu kommen, kommt er auf die Art und Weise nicht an Staatsgeheimnisse. Durch solche relativ einfachen Maßnahmen, innerhalb des gesamten Systems einzelne Bereiche voneinander abzuschotten und eine Bewegung von Angreifern innerhalb des Systems einzudämmen, ist deutlich mehr geholfen als durch irgendwelche staatlichen Hackerfantasien.