Berlin. Nach der Cyber-Attacke im Parlament müssen im schlimmsten Fall 20.000 Computer ausgetauscht werden. Noch ist unklar, wer dahinter steckt.

Dass sie verwundbar sind, wissen die Abgeordneten seit Langem. Wann immer der NSA-Untersuchungsausschuss über vertrauliche Vorgänge diskutiert, verstauen seine Mitglieder ihre Handys in Schließfächern. Seit gestern, spätestens seit gestern, wissen sie, dass nicht allein ihre Mobiltelefone unsicher sind: Das Computer-Netzwerk „Parlakom“ ist „kompromittiert“, wie die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer vertraulichen Sitzung erklärten. Im Klartext: hoffnungslos verseucht.

Das Parlament ist seit dem 8. Mai Ziel eines Hackerangriffs. Vier Wochen später ist immer noch unklar, wer dahintersteckt, wie viele Daten abgeflossen sind und wer betroffen ist. Der Angreifer ist nicht zu stoppen. Ihm ist es gelungen, an Passwörter, Administratorenrechte für die Infrastruktur zu kommen. Er sitzt am Knotenpunkt, der alle 20.000 Computer zusammenfasst. Mithin ist der Bundestag nicht mehr Herr im digitalen Haus. Software und Server müssten ausgetauscht werden und womöglich sogar alle Rechner, die gesamte Hardware. Niemand weiß, wie viel Zeit verstreichen, wie viel Geld das kosten wird und wie lange es noch vertretbar ist, das ganze System nicht sofort abzuschalten.

Zum Glück beginnt Anfang Juli die parlamentarische Sommerpause. Dann läuft der politische Betrieb im Stand-by-Modus. Zuletzt flossen schon weniger Daten ab. Es ist aber gut möglich, dass Schadsoftware erst inaktiv ist und dann „erwacht“. Die Verunsicherung im Hohen Haus ist groß. Es heißt, dass die ersten Abgeordneten schon auf private Rechner ausweichen. Für den delikaten NSA-Untersuchungsausschuss versichert sein Vorsitzender Patrick Sensburg (CDU), dass die Rechner mit sensiblen Daten gar nicht an „Parlakom“ angeschlossen seien.

Für Geheimdienstexperten war der Angriff schulbuchmäßig. Zunächst wird eine Spionage-Software im Netzwerk der Opfer installiert – mit ihr ein Fernzugriffsprogramm. Das kontaktiert das System, erteilt dem Rechner Befehle, es steuert und überwacht ihn. Zur Verschleierung befinden sich die Systeme meist in Drittländern, mitunter hintereinander geschaltet in mehreren Staaten. Der Standort eines Servers sagt eher wenig über den Täter aus.

Vom „Trojaner“ im Bundestag schließen die Experten auf einen „geheimdienstlichen Hintergrund“. Für den Bundesnachrichtendienst (BND) geht die derzeit größte Gefahr „von staatlichen Akteuren“ aus. Was sie abschöpfen wollen, ist unklar. Nicht nur Passwörter, vertrauliche Dokumente, Gesetzentwürfe und politische Unterlagen kommen infrage. Auch Informationen über Gewohnheiten und das Umfeld von Abgeordneten können nützlich sein, etwa für Anwerbungsversuche. Das Kölner Bundesamt für Verfassungsschutz beobachtet, dass Geheimdienste auch zunehmend mit kriminellen Hackern kooperieren. Das „Outsourcing“ hilft, die Spuren zu verwischen. Vom Verfassungsschutz kam auch der Hinweis, der die Experten des Bundestages auf die Spur brachte. Sie haben das BSI auf den Plan gerufen und auf dessen Empfehlung hin eine private Firma engagiert. Der Generalbundesanwalt ist ebenfalls eingeschaltet.

Wochenlang drang nicht viel nach außen, weil man dem Angreifer nicht in die Hände spielen wollte. Er sollte nicht erfahren, wie er aufgeflogen ist, welche Gegenmaßnahmen ergriffen wurden. Gestern dann, um 7.30 Uhr, erfuhren die Fraktionen in der Sitzung der Kommission des Ältestenrats für einen Einsatz neuer Informations- und Kommunikationstechniken: Das Computernetz ist nicht zu retten, Unterlagen sind unsicher. Das BSI hat Teile des Datenverkehrs über das besser gesicherte Datennetz der Regierung umgeleitet. Die Geheimdienste dürften sich bestätigt fühlen. Sie warnen seit Langem vor Cyber-Attacken.

Der BND hat im Februar 2013 die Cyber-Expertise in eine Unterabteilung zusammengeführt. Die technische Fernaufklärung trägt die Bezeichnung „Sigint Support to Cyber Defense“ (SSCD). Sie ist ein Frühwarnsystem. Es sucht nach Schadsoftware mit Hinweisen, die Geheimdienste verraten. Das sei so, hat BND-Präsident Gerhard Schindler mal erklärt, als suche man auf einer stark befahrenen Autobahn ein Fluchtfahrzeug mit Diebesgut. „Manchmal haben wir nur das Kennzeichen, manchmal vielleicht nur die Autofarbe.“ Idealerweise fange man das Fluchtfahrzeug ab, bevor es das Diebesgut aufnehme. Die SSCD-Strategie setzt einen internationalen Verbund voraus. Je mehr Dienste ihre Fühler ausstrecken, umso mehr Cyber-Angriffe werden entdeckt.

Hier wird es politisch. Im Zuge der Aufklärung der NSA-Affäre steht die internationale Zusammenarbeit auf dem Prüfstand. Der Bundestag erfährt nicht nur seine Verwundbarkeit, sondern auch, wie sehr er auf die Geheimdienste angewiesen ist. Bisher regelt das Parlament seine Sicherheit selbst. Es ist eine Frage der Gewaltenteilung, dass das BSI vielleicht zu Rate gezogen und im Notfall eingeschaltet wird, aber der Verfassungsschutz wurde zum Beispiel kaum eingebunden. Nun soll er zwar vom BSI informiert werden, aber nicht innerhalb des IT-Systems (Abgeordnetenbüros, Fraktionen, Verwaltung) des Bundestages tätig werden. Darauf ließ sich auch die zögernde Opposition ein. Die Union hatte sie gewarnt, die Cyber-Attacke sei „kein Thema, das sich zum Politisieren eignet“. Die Probe steht schon heute im Bundestag an: das IT-Sicherheitsgesetz.