Zwischenruf: Was muss denn noch passieren?

Seit Wochen ist bekannt, dass der Deutsche Bundestag das erfolgreiche Ziel eines groß angelegten Hackerangriffs war und immer noch ist. Das Parlament als Herzstück unserer Demokratie ist somit in seiner Arbeit fundamental beeinträchtigt, die Vertraulichkeit von geheimen Informationen auf IT-System und Netzwerken kann augenblicklich nicht garantiert werden. Und die Reaktion in der Öffentlichkeit?
Zurückhaltend, keine Aufregung, zur Tagesordnung zurückkehrend. Und die Reaktion der verantwortlichen Stellen? Das Netzwerk und die IT-Systeme des Deutschen Bundestages müssen neu aufgebaut werden – prognostizierter Zeitraum zwei Jahre! Es stellen sich viele Fragen: Was muss denn noch passieren? Neben dem spektakulären Angriff auf das Innerste unserer Demokratie wurde bzw. wird (?) das Handy von Angela Merkel von „befreundeten“ Geheimdiensten abgehört, Kommunikationsdaten von Bürgern, geschützt durch das Grundgesetz (Artikel 10), werden systematisch ausgespäht, geschützt durch das Grundgesetz (Artikel 10) und nicht zu Letzt Wirtschaftsspionage der NSA unterstützt durch den BND. Wann endlich werden staatliche Ermittlungsbehörden aktiv? Was ist denn genau in Berlin passiert? Welche Sicherheitsmaßnahmen waren implementiert? Wie ist das Netzwerk des Deutschen Bundestages segmentiert und abgesichert? Sind vertrauliche Daten verschlüsselt, sind Zugriffe durch starke Authentisierung gesichert? Wird der E-Mail-Verkehr verschlüsselt? Fragen über Frage. Aufsichtsbehörden für den Datenschutz prüfen immer mehr, und dies zu Recht, die Einhaltung von Sicherheitsstandards in Unternehmen und verhängen Bußgelder? Es drängt sich bei den Vorfällen der Begriff der digitalen Sorglosigkeit auf. Nicht nur im Deutschen Bundestag muss im Bereich Informationssicherheit eine neuer Weg gewählt werden. Es ist schon längst Zeit die monokulturelle IP-Vernetzung von (Microsoft-)Systemen mit Jahrzehntealten Netzwerkprotokollen zu hinterfragen? Die grenzenlose Vernetzung von IT-Systemen, der Einsatz von fehlerhafter Software, die mangelnde Schulung von Mitarbeitern machen es Angreifern immer einfacher in Systeme einzudringen. Das neue IT-Sicherheitsgesetz („Gesetz zu Erhöhung der Sicherheit informationstechnischer Systeme“) bekämpft nur die Symptome aber nicht die Ursachen. Nur durch eine radikale Reduktion von Komplexität ist es möglich das Sicherheitsniveau entscheidend zu erhöhen. Und radikal bedeutet in diesem Kontext radikal: Die Härtung von Standardsystemen im ersten Schritt und mittelfristig die Entwicklung von neuen sicheren Netzwerkprotokollen, Betriebssystemen und Anwendungen, ohne auf „Altlasten“ Rücksicht nehmen zu müssen, ist die einzige Lösung. Dazu bedarf es aber Empörung, in der Bevölkerung, bei den Parlamentariern als unseren gewählten Volksvertreter und politischer Wille diesen Weg zu gehen.