Hacker nutzen immer öfter Sicherheitslücken bei Behörden

Mehrere tausend Hacker-Angriffe auf die Systeme der Bundesbehörden registriert das Bundesamt für die Sicherheit in der Informationstechnik (BSI) jeden Tag. © Getty Images

Bonn. . Mehrere tausend Hacker-Angriffe auf die Systeme der Bundesbehörden registriert das Bundesamt für die Sicherheit in der Informationstechnik (BSI). Die Behörden wiesen „erhebliche Schwachstellen“ auf, die Hacker sich zunutze machten. Im Internet würden Trojaner für 300 bis 3000 Euro verkauft.

Die Sicherheitslücke bei dem nach einem Hackerangriff im Januar lahm gelegten Internetauftritt der nordrhein-westfälischen Polizei ist kein Einzelfall. Große Teile der Computerstrukturen der Bundesbehörden sind überaltert. Sie sind teilweise noch mit Systemen wie Windows 2000 ausgestattet, wurde auf einer Veranstaltung der Friedrich Ebert-Stiftung in Bonn bekannt.

Viele Behörden wiesen „leider“ erhebliche Schwachstellen auf, räumt Horst Flätgen ein, der Vizepräsident des Bundesamtes für die Sicherheit in der Informationstechnik (BSI). Er sagte auf der Veranstaltung, Hacker würden sich die Lücken zunehmend zunutze machen. „Das ist eine Entwicklung der letzten zwei, drei Jahre“. Trojaner, die eindringen könnten, würden zu Preisen von 300 bis 3000 Euro im Internet angeboten und seien viel leichter als früher zu installieren. Die Folge: „Es gibt mehrere tausend Angriffe pro Tag auf die Systeme der Bundesbehörden. Vier bis fünf täglich sind sogar von Staaten organisiert“.

Bundesamt für Informationstechnik-Sicherheit ordnet „Penetrations-Tests“ an

Das BSI hat bei den Bundesbehörden viel Nachlässigkeit gegenüber dieser Entwicklung festgestellt. Es zieht deshalb die Zügel straffer. Bundesweit gilt seit kurzem die Anordnung, dass Behördenleiter selbst für die Sicherheit der IT-Technik verantwortlich zeichnen. Sie haben dem Bonner Amt zu melden, wo und wie viele Schnittstellen es in ihren Behörden zwischen den internen Netzen und dem Internet gibt. Zusätzlich wurden „Penetrations-Tests“ angeordnet.

Noch mehr Kopfschmerzen macht der Bonner Behörde die System-Sicherheit der „kritischen Infrastruktur, die sich in privater Hand befindet“. Gemeint sind damit zum Beispiel Stromerzeuger, Wasserversorger, aber auch Banken, die den Geldverkehr sicherzustellen haben. Die betroffenen Firmen zeigten oft eine Tendenz, mit immer neuen Selbstverpflichtungen staatliche Eingriffe abzuwehren, sagte Flätgen. Notfalls werde man aber doch per Gesetz Maßnahmen wie Meldepflichten einführen müssen.

Polizei-System muss wegen Sicherheitslücke komplett neu aufgebaut werden

Nordrhein-Westfalens Innenminister Ralf Jäger (SPD) hat auf der Veranstaltung erstmals einige Details über den Hackerangriff auf das eigene Polizeisystem genannt. „Wir sind selbst Opfer geworden“, sagte er, „ein Hacker hat uns auf die Sicherheitslücke aufmerksam gemacht. Wenn die Polizei selbst Opfer wird, kann erst Recht jede Privatperson Opfer dieser Angriffe werden. Wir brauchen mehr internationale Zusammenarbeit“.

Ende Januar war ein „Whitehead“, ein freundlicher Hacker, ins Portal www.polizei-nrw.de eingedrungen. Er hätte die Möglichkeit gehabt, auf diese Weise gefälschte Fahndungsersuchen zu platzieren. Stattdessen machte er in einer bis heute anonymen Mail die Polizei auf diese Hack-Möglichkeit aufmerksam. Jetzt muss das System, so die Zwischenberichte des Amtes für Polizeiliche Dienste in Duisburg, wohl komplett neu aufgebaut werden. Das kann sogar bis 2013 dauern.