Hadmut Danisch

Ansichten eines Informatikers

IT-Kompetenz des Bundestages

Hadmut
14.6.2015 11:25

Nichts genaues weiß man nicht. Schon gar nicht zum jetzigen Zeitpunkt.

Die FAZ hat drei lesenswerte Artikel zum Bundestags-Hack: hier und hier und hier.

Demnach sitzt die Hauptursache für den Hack nicht in China, Russland oder den USA, sondern im Bundestag.

Zitat:

Fachleute sind sich einig, dass der Angriff keinen Erfolg gehabt hätte, hätten die Regeln des BSI auch im Bundestag gegolten. „Die Chance wäre um einiges größer gewesen, den Angriff abzuwehren,“ sagte der CDU-Abgeordnete Clemens Binninger der F.A.S.

Naja, zwischen „keinen Erfolg gehabt hätten” und „Chancen wären um einiges größer gewesen” liegen noch Welten, aber es riecht inzwischen doch sehr nach Chaos, Schlamperei und vor allem der Willkür, Bequemlichkeit, Borniertheit und Inkompetenz der Bundestagsabgeordneten.

Was jetzt nicht überrascht. Denn deren bisherige Tätigkeit in Sachen IT-Politik ließ bisher ja nur schwerlich auf Sachkunde und Verständnis schließen.

Anscheinend stößt das Konzept, dass Politiker eigentlich gar nichts können und von nichts eine Ahnung haben müssen, so langsam an seine Grenzen.


28 Kommentare (RSS-Feed)

yasar
14.6.2015 11:38
Kommentarlink

Heute morgen kam in SEWR3 noch die Meldug, daß SPAM-Mails von einer von Angela Merkels Computern unter Ihrem Namen verschickt wurden und da auch eingie Trojaner an Mails von Bundestagsabgeordnete mit im Anhang waren.

Wenn’s denn stimmt, wäre das ja noch besser.

lks


Hadmut
14.6.2015 11:43
Kommentarlink

@yasar: Siehe dazu den dritten FAZ-Link.


fragezeichen
14.6.2015 11:42
Kommentarlink

Ganz unverständlich finde ich, dass man da seit Tagen die Leitungen offen lässt, obwohl man von abfliessenden Daten weiß.

Selbst wenn man sagte: ohne Web sind wir da im Bundestag kaum handlungsfähig. So müsste man doch auch sagen: besser das, als alle Daten klauen zu lassen!?

Aber offenbar folge ich einer weniger edlen Logik als die Leute aus dem Bundestag…


marko
14.6.2015 11:51
Kommentarlink

Ob das Ding jetzt zu einem Elb-BER-S21-Prunkprojekt wird?

“könnte die Installierung eines neuen IT-Systems mehr als ein Jahr dauern”

http://www.sueddeutsche.de/panorama/hackerangriff-auf-den-bundestag-gesamtes-it-netz-des-bundestages-muss-ausgetauscht-werden-1.2519934

Ich stehe da nicht so in den Möglichkeiten des Machbaren, aber auf einer Skala von 1 bis 100, wo 100 maximal peinlich bedeutet: wie peinlich ist diese Unfähigkeit der Bundestags-IT?

Zu den Regeln des BSI steht im SZ-Artikel die Sache so, dass das Bundestagsnetz 2009 nicht an das, vom BSI überwachte Netz der BuReg angeschlossen wurde und daher (wieso?) nicht vom BSI überwacht wurde.


Manfred P.
14.6.2015 11:59
Kommentarlink

>Denn deren bisherige Tätigkeit in Sachen IT-Politik ließ bisher ja nur schwerlich auf Sachkunde und Verständnis schließen.

Kennst das doch. Jeder, der mal ein Windows installiert oder eine Grafikkarte eingebaut hat, hält sich für einen Top-IT-Experten.


Cornelius
14.6.2015 12:01
Kommentarlink

Stefan H.
14.6.2015 12:27
Kommentarlink

Der Artikel, der als erster Artikel auf Seite eins der Sonntags-FAZ ist, ist Satz für Satz Schwachsinn. (wohl noch nicht online)

Und das Zitat von Clemens Binnienger, das sich sowohl dort findet und du hier rausstellst, ist der größte Blödsinn überhaupt.

Denn wir als Fachleute sind uns garantiert nicht einig, wie man Zero-Day-Attacken verhindert, und ob irgendwelche Regeln des BSI, die im Allgemeinen auch nicht so umfassend implementiert werden können, genau diese Attacke jetzt verhindern hätten können, ist Kaffeesatzleserei der lächerlichsten Sorte.

Dass der Bundestag als Legislative sich nicht in ein Boot mit der Exekutive (also hier dem IT-Betrieb der Bundesregierung) setzen will, ist sein gutes verfassungsmässiges Recht. Dass die Regeln so mies aufgeweicht sind, hat sich die Organisation Bundestag tatsächlich zuzuschreiben. Dass man dann externe Fachleute vom BSI im Krisenfall auch “nur mal gucken läßt” und quasi Angst vor denen hat, weil die ja in irgendeiner Weise mit einem bunterepublikanischen Geheimdienst verbandelt sind, ist natürlich ganz grosses Kino.
Aber wahrscheinlich hat wohl jeder Parlamentarier und seine Mitarbeiter einen Ordner mit Dateien, die er gar nicht lesen bzw. auf seiner Platte aufbewahren dürfte, weil sie eben irgendwelchen Geheimhaltungsrichtlinien unterliegen, die er gerade verletzt. Und davor hat er halt Angst (und vor der Öffentlichmachung der Facebook-Freundschaft mit Assad…)


Hadmut
14.6.2015 12:34
Kommentarlink

@Stefan H:

Das ist so nicht ganz richtig.

Denn erstens kann man nach mehreren Wochen nicht mehr von einer „Zero-Day-Attacke” reden.

Zweitens sind per Mail verschickte Malware-Pakete auch kein „Zero Day” mehr.

Und drittens: Sich einfach an ein paar grundlegende Regeln zu halten kann schon sehr viel bringen, auch gegen Zero-Day-Exploits. Denn auch Zero-Day-Exploits sind keine schwarze Magie, sondern müssen organisatorische Hindernisse erst überwinden, so es sie gibt. Man sollte deshalb auch vermeiden, Netze mit einem „Single Point of Failure” zu bauen.

> Dass der Bundestag als Legislative sich nicht in ein Boot mit der Exekutive (also hier dem IT-Betrieb der Bundesregierung) setzen will, ist sein gutes verfassungsmässiges Recht.

Ja.

Aber keine Entschuldigung dafür, auf ein gleiches Sicherheitsniveau zu verzichten.

> Dass die Regeln so mies aufgeweicht sind, hat sich die Organisation Bundestag tatsächlich zuzuschreiben.

Das ist der Punkt.


Missingno.
14.6.2015 12:33
Kommentarlink

> Ob das Ding jetzt zu einem Elb-BER-S21-Prunkprojekt wird?
Wahrscheinlich “ist”. Die haben die Firewall weggelassen, weil die Datenentrauchungsanlage nicht funktionsfähig ist. 😉


Elias
14.6.2015 13:15
Kommentarlink

Ich warte ja noch darauf, dass sich herausstellt, dass da eine ganz normale Bande von Kriminellen aus Nigeria einen Glücksgriff getan hat und jetzt ganz viel Material und Kompromat verscherbeln kann.

(Als der Angriff frisch durch Presse und Glotze ging, war das meine erste scherzhafte Anmerkung, und je mehr vom ganzen Vorgang ans Licht kommt, desto weniger absurd kommt mir mein Scherz vor. Wäre nur ein bisschen schade für die Propaganda, wenns keine bösen russischen Staatshacker waren.)


Will Anders
14.6.2015 14:32
Kommentarlink

OT

die neue CocaCola Werbung – the VanBergen Family: We chose happiness over tradition – hat in Polen zu einem Proteststurm geführt und der Zuckerbrause-Hersteller hat schleunigst erklärt, er werde diese Werbung in Polen nicht schalten:

http://finanse.wp.pl/kat,1033691,title,Tej-reklamy-w-Polsce-nie-ma-i-nie-bedzie-ale-prawica-i-tak-wzywa-do-bojkotu-Coca-Coli,wid,17632291,wiadomosc.html?ticaid=1150b6


rleo
14.6.2015 14:35
Kommentarlink

ich vermute mal, das ist alles ein Fake, mit einigen kleinen Virchen und Trojanerchen.
Vermutlich wollen die doch nur neue iPods haben und auch der IT-Admin bekommt dabei einige Gigabyte RAM und Firewallboxen ab.
Man muss ja schließlich international mithalten.
Ich habe eine super IT …, was du hast nur …, ich habe aber mehr Cyberwaffen … als du.
So geht geht das doch, beim Bier auf Gipfeltreffen.

“könnte die Installierung eines neuen IT-Systems mehr als ein Jahr dauern”
Man will Geld, vom Steuerzahler, mehr nicht.
http://www.spiegel.de/politik/deutschland/ipad-hype-im-bundestag-wischen-schuetteln-regieren-a-739859.html


Emil
14.6.2015 15:48
Kommentarlink

Ich war ziemlich überrascht, als es hieß im Bundestags-Netz hingen mehr als 10000 Rechner. Das konnte ich kaum glauben. In einem Benutzer-Kommentar hier zu einem anderen Thema wurde ein Artikel verlinkt, in dem steht:

1969 beschäftigten die Bundestagsabgeordneten insgesamt 663 Mitarbeiter, 2009 waren es bereits 6784

http://fehnblog.npage.de/die-wurzel-allen-uebels.html

Von diesen Mitarbeitern hat sicher jeder einen Rechner. Hinzukommen Smartphones, Tablets u.s.w., d.h. die Zahl dürfte schon stimmen. Es dürfte in diesem heterogenen Umfeld (Berlin + Wahlkreisbüros in ganz Deutschland) extrem schwierig sein zu verhindern, dass Mitarbeiter von ihren Privatgeräten (unwissentlich) Viren und Trojaner ins Netz einschleusen.


Unerster
14.6.2015 16:58
Kommentarlink

Im einem Bundestag voller Advokaten und Lehrer, die andere Probleme haben als etwas was nicht zu sehen ist, sollte es noch viel schlimmer kommen.
MOGIS e.V. hat Opperman, Advokat, schon letztes Jahr darauf hingewiesen das eine extra für den Bundestag generierte Mailadresse einen verseuchten Anhang hat. Er hat wohl nichts unternommen. Kann ich aus seiner Sicht verstehen. Erst Publik machen wenn es Passt.


rleo
14.6.2015 17:25
Kommentarlink

@Emil
ist das, was auf der verlinkten Seite steht, auch seriös?

Dort gibt es noch weitere Links:
z.B. den hier:
http://fehnblog.npage.de/das-auftriebskraftwerk-von-rosch-gaia.html

siehe auch hier:
https://www.psiram.com/ge/index.php/Rosch
“Es handelt sich hierbei um ein hypothetisches Perpetuum Mobile”

usw.


Bernd
14.6.2015 19:11
Kommentarlink

Gott was fürn Lamer Schwachsinn hier in den Kommentaren!

Ihr seit auch nicht besser als die Bundestags IT Abteilung!

“Keine Anhänge öffen” “Grundregeln zum sicheren Umgang” “Viren und Troianer” *brüll!*

Soll das Deutschland im Kampf gegen die NSA sein?! lol

Ihr seit solche Lamer, Looser und Deppen, das ihr der größere Feind darstellt, als die NSA selber!


Hadmut
14.6.2015 19:22
Kommentarlink

@Bernd:

Du hast zwar im Prinzip Recht, liegst aber trotzdem daneben.

Natürlich sind das mehr so Laien-Beruhigungsregeln, die nahe an der Esoterik liegen. Ich habe schon mehrfach im Blog beschrieben, was ich für notwendig und wirksam erachte, aber auch, dass man damit die nächsten 20 bis 30 Jahre beschäftigt wäre (weil man es in den letzen 20 bis 30 Jahren versäumt hat).

Bedenke aber, dass viele der Bundestagsleute und manche der Kommentatoren hier Laien sind und das aus Laiensicht beurteilen. Und als Laie steht man eben vor dem Windows wie der Ochse vor dem Berg und hat nicht sehr viele Aktionsmöglichkeiten.

Wollte man ernsthaft Sicherheit betreiben, dann gäbe es gar keine Klick-Möglichkeiten, von denen man wissen müsste, dass man sich beim Klicken gefährdet. Und es gäbe gar keine Anhänge, die man nicht öffnen darf, weil sie gefährlich wären.

> Ihr seit solche Lamer, Looser und Deppen, das ihr der größere Feind darstellt, als die NSA selber!

Sowas in der Art wollte ich eigentlich zum Ausdruck bringen, allerdings nicht bezüglich der Kommentatoren hier, sondern bezüglich des Bundestags.


_Josh
14.6.2015 22:26
Kommentarlink

DrMichi
14.6.2015 22:32
Kommentarlink

Nicht sehr viele Aktionsmöglichkeiten.

Naja, wenn WENIGSTENS die üblichen Nutzer nicht als Admin und mit Flash im www herumklicken würden, wenn wenigenstens Adblock oder Ghostery üblich wäre, wenn wenigstens die Vielfalt auch in Alternativen zelebriert würde (und nicht nur Ubuntu, Thunderbird und OpenOffice benutzt würden), wenn wenigstens die KMU, die überhaupt nichts mit IT zu tun haben (wo Beton gemischt und Holz gesägt wird) umsatteln würden, damit die Obrigkeit umdenken müsste und wenn wenigstens Facebook ignoriert würde und nur noch als Werbeplatform betrachtet würde.

Wenn wenigstens…

Natürlich, es gäbe natürlich etwas, was auch in der Deppenalternativszene nicht umgesetzt wurde. Eine Applikation schreibt bei ihrer Installation, wohin sie schreiben und funken will und wenn sie entführt wird, dann darf sie abgeschossen werden. Firefox meldet zu Beginn: Mein Verzeichnis, hier Downloads, hier Bookmarks. Wenn ich was anderes im Sinn habe, schiess mich ab. Libcapsicum ist ein Stichwort, aber es sollte auch unter Windows kein Problem sein, für ein Programm als Benutzer zu definieren können, was ein Programm eigentlich machen kann und was nicht. Die NSA hat dann immer noch freie Hand, aber alle anderen sind schon mal aussen vor. Wenn sich erst einmal diese Sicht auf die Dinge etabliert hat, dann ist es ein kleiner Schritt, auch Chaoten wie die NSA und den BND auszusperren.

Wieso ist das denn so schwer? Wir haben heute sogar auf Tablets 2GB und Acht Kerne!


dieterle
14.6.2015 23:19
Kommentarlink

@Josh_

Das ist überall so, das geht runter bis ins kleinste Dorfrathaus oder Sparkasse. Der Experte kann warnen bis er schwarz wird, von oben kommt immer die Anweisung: ‘Ist zu kompliziert ändern sie das’.
Mich wundert es ehrlich gesagt dass es noch nicht früher gekracht hat.
Wenns dann mal kracht wird der Experte gefeuert, denn er hat ‘versagt’.

Für Behörden arbeiten ist im Irrenhaus arbeiten, deshalb bleibt da auch kein fähiges Personal lange oder fängt dort erst gar nicht an, was das ganze noch verschärft.


bernd (ratata)
14.6.2015 23:20
Kommentarlink

In Ergänzung zu
Unerster
14.6.2015 16:58
https://www.danisch.de/blog/2015/06/14/it-kompetenz-des-bundestages/#comment-85139

Ein Hacker-Angriff auf den Bundestag scheint deutlich früher erfolgt und erkennbar geworden zu sein, als dies bislang bekannt geworden ist. So schreibt der Verein “Missbrauchsopfer gegen Internetsperren – MOGiS” in seinem Blog, dass dieser sich bereits am 4. Juni 2014 an den Fraktionsvorsitzenden der SPD-Bundestagsfraktion Thomas Oppermann wandte.

In einem Postscriptum in der Mail hatte Bahls bedauert, dass keine verschlüsselten Mails an Oppermann möglich waren. Eine solch unsichere Kommunikationsinfrastruktur ist bei einem Politiker, der immerhin dem für die Geheimdienste zuständigen Kontrollgremium vorsaß, eher befremdlich.

http://www.heise.de/tp/news/Bundestags-Hack-Ignorierte-Oppermann-Indizien-2690207.html


Stefan H.
14.6.2015 23:23
Kommentarlink

@Hadmut:

> Denn erstens kann man nach mehreren Wochen nicht mehr von einer „Zero-Day-Attacke” reden.

> Zweitens sind per Mail verschickte Malware-Pakete auch kein „Zero Day” mehr.

Das ist ja wohl nicht dein Ernst! Ein Zero-Day-Exploit ist mindestens so lange ein Zero-Day, bis ich als Administrator eine einigermaßen wasserdichte Methode habe, um einen Rechner als infiziert oder nicht-infiziert zu klassifizieren.

Das hat mit “nach mehreren Wochen” nix zu tun, siehe z.B. die Zeit von Verbreitung bis Entdeckung von Stuxnet.

Und Auswirkungen eines Malware-infizierten Rechners wie z.B. die Benutzung zum Mailversand sind ja wohl eher trivial. Interessant ist eher in so einem Fall, ob die verschickten Links dann die gleiche Malware per ähnlichem Attack-Vector reinzuschieben versuchen, oder ob die ursprüngliche Malware anders strukturiert ist als die Second-Wave-Malware.


Hadmut
14.6.2015 23:48
Kommentarlink

@Stefan H.:

Zero-Day-Attacken sind solche, die schneller laufen, als man sich schützen kann, nicht als man sich schützen will.

Untätigkeit konstituiert keine Zero-Day-Attacke.

Und Malware an sich ist auch keine Zero-Day-Attacke. Da hier noch nicht veröffentlicht wurde, welche konkreten Sicherheitslöcher ausgenutzt wurden, besteht überhaupt kein Anlass, von einer Zero-Day-Attacke zu reden. Das Einschleusen von Malware und das Abziehen von Daten ist keine Zero-Day-Attacke.

> bis ich als Administrator eine einigermaßen wasserdichte Methode habe, um einen Rechner als infiziert oder nicht-infiziert zu klassifizieren.

Das stimmt so auch nicht. Bei Zero-Day geht es darum, ob der Exploit bekannt ist und Abwehrmethoden bestehen, nicht Detektionsmethoden.

Da aber bisher nichts darüber bekannt ist, welche Schwächen ausgenutzt wurden, kannst Du doch gar nicht sagen, ob eine solche Lücke ausgenutzt wurde. Du hast doch gar keine Grundlage für die Behauptung einer „Zero-Day-Attacke”. Vielleicht haben die ja auch etwas offengelassen, was sie hätten schließen können, oder sich einfach doof angestellt.

Man kann doch nicht einfach dann, wenn man praktisch gar nichts über den Angriff weiß, behaupten, dass es eine „Zero-Day-Attacke” wäre.


yasar
15.6.2015 8:35
Kommentarlink

Apropos Zero-Day-Attacke:

Wenn das behauptet wird, sollte man immer genauer hinsehen. Denn mit zero-days läßt sich ganz leicht einen Mitschuld des IT-Administrattion abstreiten, weil man da ja eh fast nichts dagegen machen könne. Dann war das halt schicksal, Kismet, Karma oder was auch immer, daß es einen erwischt hat und nicht Nachlässigkeit.

Auch werden echte zero-Days nicht “einfach so” verbrannt, sondern nur, wenn sich die Investition lohnt udn notwendig ist. Beim Bundestag dürfte bei der (vermutlichen) Infrastruktur einfaches social engineering gereicht haben.


ST_T
15.6.2015 12:05
Kommentarlink

Was ja noch besser war: Am ersten Tag direkt hieß es, es wäre wohl ein Angriff aus Russland.

https://www.tagesschau.de/inland/bundestag-cyberattacke-101.html

Dieselben, die auch zuerst meinten, jeder PC wäre befallen und danach nur noch angeblich 15 PCs. Aha.


Hier ganz entspannter Konservativer
17.6.2015 18:02
Kommentarlink

Bin heute vorm Kanzleramt vorbeigekommen: da stehen T-Systems Monteurwagen Stoßstange an Stoßstange. Sieht nach Großeinsatz aus…


Hadmut
17.6.2015 20:09
Kommentarlink

> Bin heute vorm Kanzleramt vorbeigekommen: da stehen T-Systems Monteurwagen Stoßstange an Stoßstange. Sieht nach Großeinsatz aus…

Na dann viel Erfolg. (Meine Meinung über und Äußerungen zu meiner Berufserfahrung mit T-Systems verkneife ich mir jetzt mal.)

Aber wieso stehen die vor dem Kanzleramt? Hieß es nicht, der Bundestag, aber nicht das Regierungsnetz wären betroffen?


Hier ganz entspannter Konservativer
18.6.2015 15:10
Kommentarlink

Das ist ein spannender Punkt, von wegen Bundestag und Regierung. Ist das IT-technisch wirklich getrennt? Glaube ich nicht, das steht bestimmt im gleichen RZ und ist verbandelt. Wenn es wirklich administrativen Vollzugriff auf Hardware und Verzeichnisdienst gab, ist alles offen. Man darf gespannt sein, wem das welches Material in die Hände gespielt hat. Wahnsinn, der Gedanke, umso unheimlicher wie das runtergespielt wird.