IT-Sicherheit: Kann es auch im Landtag NRW zu einem Cyber-Gau kommen?

Nachdem der Cyber-Angriff auf den Bundestag bekannt geworden sind, wird Sicherheit in den Parlamenten kontrovers diskutiert. Den IT-Schaden in Berlin zu beheben, soll über ein Jahr dauern – so die Einschätzung von Sicherheitsexperten. Auch auf den NRW Landtag gab es nach Medienberichten in der Vergangenheit Cyber-Angriffe. Unterlagen, die diesem Blog zugespielt wurde, enthalten weitere starke Indizien dafür, dass es mit der IT-Sicherheit im nordrein-westfälischen Landtag nach wie vor nicht gut bestellt ist.

In der Vergangenheit war der Landtag NRW Opfer von Cyberangriffen, man könnte daher in Düsseldorf vorgewarnt sein. Liest man aber die Protokolle eines Mitschnitts, der vermutlich von einem Besucherlaptop aus gemacht worden sind, sieht man dennoch eine Menge Daten-Traffic, der nicht in ein Netzwerk gehört, in dem auch hochsensible Daten verwaltet werden.

Die Protokolle zeigen, dass die Nutzer des Netzwerkes sichtbar sind. Wer sich im Landtag in das offenen WLAN Besuchernetzwerk einloggt, den erreicht ein multiples „Hallo!“ der anderen Geräte, die sich im Landtag befinden. Aber nicht nur das. Auch die genauen Gerätebezeichnungen („spdpresses-MacBook-Pro.local“), IP-Adressen, namentliche Zuordnungen („Martins-(xxxx) iPhone-local“) wurden offenbar mit einfachen technischen Mitteln – ohne zu sniffen – aufgefangen.

Nur 30 Minuten soll die Protokollierung der „herumfliegenden“ Datenpakete gedauert haben. Für diesen kurzen Zeitraum ist viel zu viel im Netzwerk erkennbar. „Da funken jede Menge Geräte innerhalb des Netzes“ sagte gestern ein IT-Experte gegenüber den Ruhrbaronen, der die Protokolle eingesehen hat. „Dass sich alle externen Geräte, wie beispielsweise mitgebrachte private Laptops, Handys oder Tablets ohne Weiteres im Landtagsnetz bewegen können, ist ein starkes Indiz dafür, dass es Sicherheits-Probleme im Landtag gibt.“

Man kann demzufolge von dem öffentlichen Netzwerk des Landtages aus in Bereiche einsehen, die eigentlich nicht öffentlich zugänglich sein sollten, meint der IT-Experte. Dazu zählen vor allem interne Bereiche wie „BUCHHHALTUNG“, die in der Aufzeichnung samt IP und Hardware-Bezeichnung erkennbar sind.

Datensicherheit geht vor Bequemlichkeit

Ein zusammenhängendes internes Netz und offenes Gastnetz, wäre nicht gerade das, was man als „safe“ bezeichnen kann. Man müsste dringend prüfen, wie weit und warum die einzelnen Netzwerkbereiche offenbar nur unzureichend voneinander getrennt sind. Fehlt die eindeutige Trennung tatsächlich, wäre das ein Kardinalfehler in der IT-Sicherheits-Architektur.

Ein Landtag ist kein Hochsicherheitstrakt. Besuchergruppen besichtigen den Landtag, Politiker führen ihre Parteimitglieder durchs Haus, zahlreiche Mitarbeiter gehen ein und aus. Kommt ein Besucher zu einer der vielen öffentlichen Veranstaltungen und kann er sich im Landtaggebäude mit seinem privaten Gerät in das Besuchernetzwerk einloggen und dann offenbar ohne große Hürden mit dem internen Netz kommunizieren – ohne dass an irgendeiner Stelle dessen private Sicherheitseinstellungen überprüft werden würde. Das ist zwar bequem und nutzerfreundlich eingerichtet, kann aber ein Einfallstor sein und somit fatale Folgen haben.

Die Sicherheit in der Verwaltung bewertete bereits vor einem Jahr ein Sachverständiger, den der NRW-Landtag zu einer Anhörung eingeladen hatte, so: „Die allgemeine Sicherheits-Lage in der öffentlichen Verwaltung ist kritisch“. Er berichtete über den Fall, bei dem ein ausländischer Geheimdienst verdächtig war, auf ein kommunales Netz einen Cyber-Angriff gestartet zu haben.

Noch eine Sicherheits-Lücke?

Ein Screenshot weist auch darauf hin, dass innerhalb des internen Landtags-Netzwerks möglicherweise zahlreiche gefälschte Netzwerkpakete unterwegs sind. Der „Beschuss“ eines Netzwerkes durch Datenpakete ist ein Indiz dafür, dass ein Interesse „Nicht-Befugter“ daran besteht, auf ein internes Netzwerk zuzugreifen. Im Fall von politischen Entscheidungen kann das auf Geheimdienste ebenso zutreffen, wie auf Unternehmen, die wirtschaftliche Interessen verfolgen.

Mit einem einfachen Analyse-Tool lassen sich verdächtige Netzwerktätigkeiten erkennen. Bedenklich ist, wenn in Landtagsnetzwerken zahlreiche Mac-Adressen stetig wechseln, wie dem Screenshot zu entnehmen ist. Denn dies kann ein Hinweis auf ein mögliches „ARP-spoofing“ sein – das Senden von gefälschten Datenpaketen, das benutzt wird, um im Fall von IP Telefonie mithören zu können oder den Datenverkehr zwischen Systemen in einem Computernetz abhören oder manipulieren zu können. Im Fachjargon heisst das Man-In-The-Middle-Angriff und klingt so nett, wie es in Wirklichkeit ist.

Der IT-Experte gab in seinem Dossier 2013 den NRW-Landtagsabgeordneten einen guten Rat mit auf den Weg: „Der Staat ist verpflichtet die Grundrechte seiner Bürger zu schützen. Daher sind IT-Sicherheitsmaßnahmen und Datenschutz für den Schutz der Bürger und ihrer Grundrechte unerlässlich“. Viel passiert ist seitdem offenbar nicht.

Das Bewusstsein der Mehrheit der Abgeordneten ist noch immer nicht ausreichend, wie das gerade verabschiedete IT-Sicherheitsgesetz zeigt, dass Deutschlandradio als „Totalschaden“ bezeichnete. Doch ist Sicherheit in Parlamenten elementar. Können Dinge nicht mehr vertraulich diskutiert werden, geraten Unterlagen, die als vertraulich oder streng vertraulich eingestuft werden, in falsche Hände und ist die elektronische Post der Abgeordneten ungeschützt, kann das gravierende Folgen haben.

Einen löchrigen Schweizer Käse in den IT-Systemen kann sich heute niemand leisten. Spätestens, wenn es im nordrhein-westfälischen NSU-Untersuchungsausschuss um Unterlagen mit dem Stempel „VS-Nur für den Dienstgebrauch“ geht, muss das Netz zu 100 % sicher sein.