Tatsächlich, im Deutschen Bundestag ist es zum Totalschaden gekommen, zuletzt am Freitag. Denn da haben die Abgeordneten mit großer Mehrheit das IT-Sicherheitsgesetz verabschiedet. Um dieses Gesetz wurde heftig gerungen. Es gab massive Kritik und es gab einige Nachbesserungen. Aber dieses Gesetz verfehlt im Wesentlichen sein Ziel. Denn die von zahlreichen Experten dringend empfohlene Meldepflicht und Veröffentlichungspflicht von Sicherheitslücken sieht das IT-Sicherheitsgesetz ausdrücklich nicht vor - gegen den dringenden Rat der Experten.

Durchgesetzt haben sich hier die Sicherheitsbehörden, allen voran die Nachrichtendienste. Die brauchen nämlich solche Sicherheitslücken in den Computersystemen, um ihrer Spionagetätigkeit nachgehen zu können. Jeder Angriff auf ein Computersystem macht von einer Sicherheitslücke Gebrauch. Ohne Sicherheitslücken gibt es keine erfolgreichen Cyberangriffe. Wenn nun Sicherheitslücken gemeldet, veröffentlicht und dadurch dann auch geschlossen werden müssten, dann würden die meisten Cyberangriffe scheitern, unter denen wir heute leiden.

Auch der Angriff auf das Computernetzwerk des Bundestages hat Sicherheitslücken ausgenutzt. Ohne eine Sicherheitslücke hätten die Angreifer nicht an die Administratorenrechte von Parlakom gelangen können. Das aber ist den meisten Abgeordneten nicht bewusst. Deshalb haben sie ein völlig unzulängliches IT-Sicherheitsgesetz verabschiedet, das das Übel der Cyberangriffe nicht an der Wurzel packt.

Die IT-Sicherheitspolitik in Deutschland kann man schon seit Jahren nur noch als Totalschaden bezeichnen. Immerhin das haben die Abgeordneten des Bundestages jetzt einmal am eigenen Leibe erfahren. Seit vielen Wochen sind unbekannte Angreifer die Herren über das Computernetzwerk des Bundestages und nicht mehr die Abgeordneten.

Seit vier Wochen ist das nun bekannt. Und seit vier Wochen wächst von Tag zu Tag die Hilflosigkeit von Abgeordneten und Verwaltung, wie sie mit diesem Angriff umgehen können und sollen. Dabei haben die Angreifer nur solides Handwerk abgeliefert. Sie haben zugegebenermaßen erheblichen Aufwand getrieben, um die Schadsoftware platzieren zu können. Sie haben sich richtig Mühe gegeben, die Administratorenrechte zu stehlen und zu den Herren von Parlakom zu werden.

Aber solche Angriffe gehören in technischer Hinsicht zum Alltagsbetrieb eines Netzwerkes. Es gibt Standardmethoden, um solche Angriffe abzuwehren. Es gibt Standardwerkzeuge, um infizierte Systeme wie das Computernetzwerk des Bundestages zu säubern und nachhaltig gegen weitere Angriffe zu sichern.

Das alles passiert aber nicht in Berlin. Es fehlt die Umsetzung rascher Abwehrmaßnahmen, und es fehlt vor allen Dingen an Kompetenz. Die Bundestagsverwaltung verfügt nicht über IT-Experten mit entsprechenden Kenntnissen in der Abwehr solcher Attacken. Ein Großteil der Abgeordneten weiß gar nicht, wie ihnen geschieht, weil die PCs, vor denen ihre Mitarbeiter in den Angeordnetenbüros dort tagtäglich sitzen, einfach nur Black Boxes sind.

Stattdessen wird um Kompetenzen der Verfassungsschützer und der Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik gerangelt. Es wird über die Urheber der Attacke gerätselt, und es gibt vorschnelle Schuldzuschreibungen in Richtung Russland.

Dabei müsste die eigentliche Schuldzuschreibung der Politik gelten. Denn die hat nicht nur ein völlig unzureichendes IT-Sicherheitsgesetz auf den Weg gebracht, sondern auch tatenlos zugesehen, wie sich seit 1980 der IT-Standort Deutschland in Sachen Hardware von der internationalen Wettbewerbsfähigkeit verabschiedet hat.

Ziemlich häufig nutzen Angreifer für ihre Cyberattacken Sicherheitslücken in Routern genannten Vermittlungsrechnern aus. Auch im Bundestag sind einige Router während der vergangenen Tage ausgetauscht worden. Router werden nicht mehr in Deutschland gefertigt. Sie kommen von Cisco aus den USA oder von Huawei aus China. Welche Sicherheitslücken und unter Umständen Hintertüren sich in der Steuerungssoftware dieser Router verstecken, weiß kein Mensch in Deutschland. Das kann nur wissen, wer solche Router und andere Hardware selbst herstellt. Das hat die Politik vergessen. Und so ist die IT-Politik in Deutschland zum Totalschaden geworden, nicht nur, aber auch im Bundestag.