Leider scheinen unsere Abgeordneten nicht auf die Mahnungen des Innenministers de Maizière zu hören, der den Bürgern vorwirft, allzu sorglos mit ihren Daten umzugehen. Durch die Blume heißt das, dass die Bundesregierung sich um die IT Sicherheit der Bürger nicht kümmern will. Die Bürger sollen gefälligst für ihre IT Sicherheit selbst sorgen.

Nun sind unsere Abgeordneten aber auch Regierungsmitglieder auf einen relativ einfachen Hacking Angriff reingefallen, wie ihn Tausende von Nutzern täglich erleben. Unsere Regierung hat dafür nicht einmal eine einheitliche Meldestelle und schon gar keine Behörde eingerichtet, die den Bürgern ähnlich wie bei einem Einbruch in ihr Heim helfen würde. Dabei kann die Regierung und das Abgeordnetenhaus auf viele Behörden zugreifen (u.a. das BSI), die eigentlich in der Lage sein sollten, die Bürger zu warnen und zu helfen. Die Regierung und die Abgeordneten sind aber anscheinend nicht in der Lage zu erkennen, dass die zuständigen Behörden nicht in der Lage sind (Organisation, Mitarbeiter, Skill) Schutz auf dem Stand der Technik zu gewährleisten. Das eigentliche Problem ist aber, dass im Bundestag nicht einmal einige wenige Abgeordnete die Probleme der IT Sicherheit im Ansatz verstehen, um aktiv zu werden. Es ist zu vermuten, dass es auf anderen Fachgebieten ähnlich aussieht.

Der Angriff war eher simpel und nicht von hochkrimineller Qualität wie er typisch ist für Geheimdienste. Die Bundestagsabgeordneten scheinen nicht einmal die einfachsten Regeln der IT Sicherheit zu kennen. Die Organisation Bundestag (verantwortlich ist der Bundestagspräsident) hat offensichtlich keinen Plan wie eine Grundsicherung mit Schulungen und technischen Kontrollen hergestellt wird. Das liegt natürlich auch an den Abgeordneten selbst, die schon quasi vom Beruf her ziemlich beratungsresistent sind.

Offensichtlich wurde der Virus über Email von Bekannten eingeschleust. Abgeordnete sollten wie jeder Email Benutzer wenigstens die grundlegenden Mechanismen und Sicherheitsmaßnahmen kennen.

• Viren in Email werden heute meist mit Absendern von Bekannten verteilt (Whaling).
• Jeder IT Benutzer sollte wissen, dass eine Email Absender ähnlich leicht gefälscht werden kann wie der Absender auf einem Brief. Dafür gibt es Software, die jeder Laie bedienen kann.
• Bekommt man eine überraschende Email z.B. von Frau Merkel (siehe Blog Beitrag Phishing eMail von Bekannten vom 3.6.2011) , müssen sofort die Alarmglocken läuten.
• Im „Digitalen A Dabei Wahn“ geben Abgeordnete, ihre Mitarbeiter und Parteigenossen ihre Kontakte über Facebook und andere Apps allgemein bekannt. Da kann man leicht Vertraulichkeit herstellen.
• Jeder Email Benutzer sollte wissen wie man verdächtige Links erkennen kann (So erkennt man Phishing Email )
• Auf jedem Gerät von Abgeordneten und Mitarbeitern muss ein professionelles Anti Viren Programm installiert werden.
• Bundestagsnetze und Parteinetze müssen klar getrennt werden.
• Grundsätzlich dürfen Mitglieder einer Firma (Bundestag) keine Software und auch keine Treiber selbständig installieren. Die Organisation Bundestag muss für eine einheitliche, sichere  Infrastruktur sorgen. Das scheint aber bei unseren Bundestagsabgeordneten nicht durchsetzbar zu sein. Es gibt aber offensichtlich keine Regeln, wie der Fall Edathy zeigt, was die Bundestagsabgeordneten mit ihrem Dienst PC machen dürfen und was nicht, wie ihre dienstliche Email zu handhaben ist (Fall Mappus und Gönner in Baden-Württemberg)  und welche dienstliche Daten auf privaten Geräten gespeichert werden dürfen. Typische Anzeichen eines IT Betriebs, der ausser Kontrolle ist.

Mittelfristig sollte der Bundestag davon abkommen. wichtige Dokumente per Email zu verteilen. In modernen IT Organisationen werden sensitive Daten zentral gespeichert und nur berechtigten Personen wird der verschlüsselte  Zugriff und die Bearbeitung erlaubt. Selbstverständlich werden die Zugriffe protokolliert. Es versteht sich von selbst, dass dann der Zugriff auf diese Daten professionell gesichert werden muss. Die Sicherheitsmaßnahmen und der Betrieb müssen überwacht und jeweils auf den neuesten Stand der Technik gebracht werden. Leider scheint bei der Vergabe der Restrukturierung der Bundestags IT schon wieder die Politik wichtiger zu sein als die Sicherheit.

Beim Neuaufbau der Bundestags IT könnten sich dann auch einige Abgeordnete in die komplexe Materie IT Sicherheit einarbeiten und auch Gesetze und Infrastrukturen erarbeiten, die den Bürgern direkt nutzt. Im Moment arbeitet man ja nur an einer Meldepflicht für Angriffe auf Unternehmen. Die ganze Problematik der privaten IT Sicherheit einfach auf die EU Ebene zu schieben ist wohl wenig sinnvoll. Die Bürger haben ein Recht darauf, dass ihr „Digitales Heim“ ähnlich vom Staat geschützt wird wie ihre Wohnung und ihr Auto.

PS   Ein schönes Beispiel für Digital Inkompetenz aus der CDU Zentrale. Wie sollen denn die Anbieter von Internet Anschlüssen den Missbrauch bitte feststellen? Plant die CDU geheime Abkommen mit Russland und China?