Bundestag will sich vor "unberechtigtem Datenabfluss" besser schützen
Weniger Software mit beschränkten Rechten, Zwei-Faktor-Authentisierung, längere Passwörter und zeitlich begrenzte Rechte für den IT-Support sollen das Bundestagsnetz nach dem vor sechs Monaten aufgedeckten Hack sicherer machen.
Die für Informations- und Kommunikationstechnik (IuK) zuständige Kommission des Bundestags hat am Donnerstag ein neues Konzept zur IT-Sicherheit verabschiedet. Das zum Ältestenrat gehörende Gremium will damit auf den massiven Hackerangriff auf das interne Netzwerk Parlakom reagieren, das im Sommer zur Reparatur einige Tage heruntergefahren werden musste.
Laut den heise online vorliegenden Beschlussvorlagen setzt die Kommission auf ein Paket "zeitnaher" und mittelfristiger Maßnahmen. Zu ersteren gehört ein Auftrag für die Bundestagsverwaltung, Browser-Erweiterungen "zur Darstellung multimedialer Inhalte" zu deaktivieren. Dies betrifft den größtenteils ohnehin bereits ausgeschalteten Flash Player sowie die Pendants für Shockwave, QuickTime und Silverlight.
Softwarekorb verkleinern
Bis zum Frühjahr 2016 sollen aber Ausnahmen gestattet sein, um den Fraktionen die Nutzung spezieller Dienste übergangsweise noch zu ermöglichen. Zudem soll die Verwaltung prüfen, ob "andere Erweiterungen" aus dem "aktuellen Sofwarewarenkorb" aussortiert werden müssten.
Dem IT-Support will das Gremium nur noch "im Bedarfsfall auf einzelne Geräte bezogene und zeitlich begrenzte Administrationsrechte" einräumen. Die rede ist von maximal 24 Stunden. Viele Abgeordnete waren eigentlich davon ausgegangen, dass dies längst der Fall gewesen sei und Zugriffe auch protokolliert würden. Letzteres ist aber offenbar auch jetzt noch nicht geplant.
Passwörter für die Festplattenverschlüsselung auf Wahlkreisgeräten und Laptops sollen dem Beschluss nach "künftig eine Länge von mindestens acht Zeichen" haben. Erläuternd heißt es zu dieser vermeintlichen Selbstverständlichkeit, dass diese Länge für Pins "in allgemeinen Hinweisen zur IT-Sicherheit" empfohlen werde. Wieso dieser Ansatz allein für Kryptolösungen für integrierte Speichermedien verbindlich werden soll, bleibt schleierhaft.
Prüfen muss die Verwaltung nun zudem, ob generell mehr "nicht zwingend benötigte Produkte" deinstalliert werden könnten. Sie soll auch ein Konzept vorlegen, wie die Ausführung ungeprüfter Software zu verhindern wäre. Die Freigabe aller Schnittstellen sei zentral über ein Programm zu steuern, empfiehlt die Kommission weiter. Sie ist sich dabei bewusst, dass dies "zu Funktionseinschränkungen für die Speichermedien und Geräte mit USB-Anschluss" führen werde. Auch nach Lösungen "zur Verwaltung von Drittgeräten wie Smartphones, Tablets oder Laptops" müsse gesucht werden.
Zwei-Faktor-Authentisierung - vielleicht
Für den Zugang zu Parlakom soll eine "Zwei-Faktor-Authentisierung" etwa mithilfe zusätzlicher Hardwarekomponenten wie "Chipkarte, Token oder USB-Stick" ins Auge gefasst werden. Allgemein beauftragt das Gremium auch die Verwaltung, weitere Wege "zum Schutz vor unberechtigtem Datenabfluss" zu "ermitteln". Dabei sei der Datenschutz der Nutzer zu berücksichtigen.
Die Überwachung der Internetnutzung der Abgeordneten und ihrer Mitarbeiter wollen die für die IT-Politik im eigenen Haus zuständigen Abgeordneten wieder dauerhaft ausbauen, nachdem sie zeitweilig reduziert worden war. Die "Protokolldaten" der zentralen Infrastruktursysteme Verzeichnisdienst, Namensdienst (DNS), IP-Adressvergabe (DHCP), von E-Mail-, Intrusion-Detection- und Firewall-Systemen sowie verschlüsselten Tunnelzugängen vom Wahlkreis aus und Proxies sollen ihnen zufolge drei Monate lang gespeichert werden.
Bei entsprechenden Informationen aller anderen zentralen IT-Systeme reiche eine Frist von sieben Tagen aus. Verknüpft werden dürfen personenbeziehbare Protokolldaten unterschiedlicher Systeme nur "im Vier-Augen-Prinzip". Mit einem solchen Ansatz hätte bei der jüngsten großen Attacke "wesentlich schneller" erkannt werden können, wie lange der Angreifer sich bereits im Netz befunden habe, heißt es zur Begründung.
Eher Flickwerk
Nicht zuletzt hat die Kommission beschlossen, den gesamten Internetauftritt des Bundestags effizienter vor DDoS-Angriffen zu schützen. 4000 Euro pro Monat wollen sich dies die Volksvertreter kosten lassen und dabei zugleich den bisher in Anspruch genommenen Diensten der US-Firma Cloudflare Adieu sagen, mit denen eigene Inhalte zuverlässiger ausgeliefert werden sollten. Insgesamt erscheinen die in Auftrag gegebenen und umrissenen Instrumente recht beliebig und nach wie vor lückenhaft. Eine umfassende neue IT-Sicherheitsstruktur für das Parlament zeichnet sich damit noch nicht ab.
(js)
