NSA-Skandal: EU-Abgeordnete zweifeln IT-Sicherheit des Parlaments an
Die Volksvertreter in Brüssel wollten im Rahmen ihrer Untersuchung der NSA-Affäre erneut in Erfahrung bringen, ob sie selbst Ziel geheimdienstlicher Spähaktionen geworden sein könnten. Antworten von Sicherheitsexperten stellten sie nicht zufrieden.
Innenpolitiker des EU-Parlaments wollten im Rahmen ihrer laufenden Untersuchung der NSA-Affäre erneut in Erfahrung bringen, ob sie selbst Ziel geheimdienstlicher Spähaktionen geworden sein könnten. "Ich möchte Konkretes hören, insbesondere, ob das EU-Parlament betroffen war", betonte etwa Sophie in't Veld von den Liberalen bei einer Anhörung von Sicherheitsexperten am Donnerstag in Brüssel. Die Antworten der Sachverständigen hielten sich trotz Nachbohrens aber im Vagen und konnten die Volksvertreter nicht zufriedenstellen.
Die EU-Einrichtungen seien "hochwertige Angriffsziele", erklärte Freddy Dezeure vom Computer Emergency Response Team für die Brüsseler Institutionen (CERT-EU). Böswilligen Hackern gehe es dabei darum, privilegierte politische oder wirtschaftliche Informationen abzugreifen. Im Lauf eines Jahres habe die im September 2012 eingerichtete Stelle mit 50 Mitarbeitern 650 Warnmeldungen über laufende Angriffe und verwundbare Systeme gegeben. Darunter seien zehn Fälle gewesen, in denen eine "koordinierte Reaktion" nötig gewesen sei.
"Wenn es einen gravierenden Zwischenfall gibt, bemühen wir uns um Abhilfe und Aufklärung", versicherte Dezeure. So würden etwa Mustervergleiche von Schadcode durchgeführt, um weitere Malware ausfindig zumachen. Es sei aber "sehr schwer zu verfolgen", wer wo in welche IT-Systeme einbreche. Meist wisse man gar nicht, dass oder ob man betroffen ist. 100-prozentig könne niemand garantieren, dass Dritte unberechtigt in Netzwerke der EU-Gremien eindringen könnte. Es sei wichtig, den Schutzwall gegen Cyberattacken ständig zu erhöhen sowie den Informationsaustausch und die Möglichkeit zur Früherkennung zu verbessern.
Besonders beunruhigt zeigten sich die Abgeordneten nach wie vor über den massiven Cyberangriff auf das belgische Telekommunikationsunternehmen Belgacom. Dieses betreibt über seine Tochter BICS (Belgacom International Carrier Services) einen Austauschknoten für Daten- und Kommunikationsdienste zwischen mehreren hundert Providern einschließlich der Zugangsanbieter der EU-Einrichtungen.
Dezeure beteuerte genauso wie Belgacom-Vertreter im Oktober, dass zur Zeit keine Indizien für Auswirkungen der ausgefeilten Attacke auf Daten und Netzwerke der EU-Institutionen vorlägen. Ihm sei auch nichts bekannt von vorsätzlich eingebauten Hintertüren in die im Belgacom kompromittierten Microsoft-Produkte. Derlei Software sei generell anfällig für Angriffe.
Ein eigenes Verfahren zur Verfolgung möglicher Täter könne die EU derzeit nicht einleiten, meinte der Abgesandte des Notfallteams. Spekulationen, dass der britische Geheimdienst Government Communications Headquarters (GCHQ) hinter dem 2010 gestarteten Angriff stecke, beruhten allein auf Presseberichten. Um die Netzwerksicherheit für die EU-Gremien zu erhöhen, empfahl Dezeure die Verlagerung von Kommunikationsdiensten des Parlaments, der Kommission und des Rats in eine sichere Cloud. Verschlüsselungslösungen für alle Nutzer etwa über GPG umzusetzen, sei dagegen schwierig.
Ronald Prins, Chef und Mitgründer des umstrittenen niederländischen Diestleisters Fox-IT, konnte nur bestätigen, dass die Firma im Belgacom-Fall eingeschaltet worden sei und es sich um einen "sehr ausgetüftelten Angriff" gehandelt habe. Über Einzelheiten dürfe aber nur der Kunde sprechen. Fox-IT habe sich bereits mehrfach an Ermittlungen in vergleichbaren Spionagefällen beteiligt. Es bleibe aber oft unklar, welches genaue Ziel ein Angreifer verfolgt habe. Um Details aufzudecken, müssten die Aufklärer theoretisch in die Systeme einbrechen, auf die entdeckte Spuren verwiesen. Dies dürften sie aber nicht. Die Kunden seien zudem meist bemüht, nur ihr Netz zu säubern und einschlägige Vorkommnisse nicht an die große Glocke zu hängen.
Generell machte Prins in Europa bei vielen Akteuren die "etwas naive Einstellung" aus, dass "hier nicht auch eines Tages ein Cyberkrieg stattfinden wird". Fox-IT exportiere viel Ausrüstung zum Schutz kritischer Infrastrukturen wie Stromnetze ins Ausland, habe für diesen Geschäftszweig aber keine Abnehmer bei EU-Instituten. Diese seien offenbar nicht bereit, mehr in die Sicherheit zu investieren. Dies könne auch am europäischen Beschaffungssystem liegen, das immer auf die günstigste Lösung ausgerichtet sei, nicht auf die beste. "Die andere Seite gibt zig Milliarden aus, um in IT-Systeme einzubrechen", gab Prins zu bedenken. Jede Einrichtung müsse sich selbst fragen, ob sie fähig sei, "sich gegen einen solchen Feind zu verteidigen".
"Wir versuchen, gemeinsame Lösungen zu finden und Sicherheitsstrukturen aufzubauen, um die EU-Institutionen besser zu schützen", beteuerte dagegen Giancarlo Vilella, Leiter der Generaldirektion für Innovation und technischen Support des Parlaments (ITEC). Einschlägige Maßnahmen basierten auf internationalen Sicherheitsnormen. Im internen Kommunikationssystem der Abgeordneten werde auch alles verschlüsselt. In einen Pilotprojekt werde überdies der Einsatz elektronischer Identifizierungssystem geprobt.
Die Behörde lasse auch ständig Penetrationstests durchführen, um Schwachstellen frühzeitig auf die Spur zu kommen, betonte der Italiener. Ein externes Audit für die Sicherheitsverfahren, das die Linke Cornelia Ernst ins Spiel gebracht hatte, bezeichnete er als "gute Idee". Eine solche Begutachtung solle dann aber gemeinsam mit dem Rat und der Kommission durchgeführt werden.
Der Datenschutzbeauftragte der für den Betrieb des Schengen-Informationssystem II (SIS II) und der Datenbank Eurodac zuständigen Agentur eu-Lisa, Luca Zampaglione, empfahl, starke Authentifizierungsverfahren zu implementieren. Damit könne der Zugriff unbekannter Parteien leichter ausgeschlossen und die Verfügbarkeit von Informationen besser gewährleistet werden. Er wies zugleich Berichte zurück, dass das noch vergleichsweise junge SIS II gehackt worden sei. Derlei Anschuldigungen gingen auf das Vorgängersystem zurück, das eu-Lisa nicht verwaltet habe.
Die Sitzungsleiterin in't Veld zeigte sich angesichts der Ausführungen verwundert, dass es trotz des skizzierten übermächtigen Gegners keine Hinweise auf eine Kompromittierung von EU-Netzwerken geben solle. Eigentlich müsse man den Versuch, in Europa mit "einer Handvoll Leute einen Schutzwall aufzuziehen", von vornherein verloren geben. Andere Abgeordnete wie Axel Voss von den Konservativen oder Jan Philipp Albrecht von den Grünen versuchten, mit gezielten Fragen etwa nach verfolgbaren Spuren oder zur Professionalität der Angreifer im Belgacom-Fall mehr Licht ins Dunkel zu bringen, stocherten damit aber im Nebel. (jo)
