Dass kein Com­pu­ter gegen Schad­soft­ware gefeit ist, soll­te jeder Nut­zer eines sol­chen Geräts mitt­ler­wei­le wis­sen. Es ist ja auch kein Rei­fen gegen Plat­ten gefeit und kein Lebe­we­sen gegen den Tod.
Nun hat es mal eine Ein­rich­tung erwischt, die sich sonst ger­ne als ulti­ma­ti­ve Instanz in der Kon­trol­le ihrer Bür­ger her­vor­tut: Die Bun­des­tags­rech­ner haben sich selbst einen Bun­destro­ja­ner ein­ge­fan­gen, der dazu geführt hat, dass von außen per ergat­ter­ten Admin-Account Daten abge­zapft wer­den konnten:

Ers­te foren­si­sche Unter­su­chun­gen haben Arte­fak­te eines Angriffs­werk­zeugs namens Mimi­katz zuta­ge geför­dert. „Ein Feld-, Wald- und Wie­sen­mo­dul, das immer wie­der in Atta­cken auf­taucht“, sagt Fischer. Es dient unter ande­rem dazu, in Win­dows-Sys­te­men Pass­wor­te oder Zer­ti­fi­ka­te zu stehlen.
– via ZEIT ONLINE

Das ist jetzt pein­lich. Da wur­den ohne gro­ßen Auf­wand an einen com­pu­ter­tech­nisch nai­ven Nut­zer eine E-Mail ver­schickt mit einem Link auf eine Sei­te, die dann statt­des­sen Schad­soft­ware gela­den und – instal­liert? – hat. Das ist ja sehr inter­es­sant, denn nicht nur, dass eigent­lich alle Sys­te­me, und vor allem die des Bun­des­tags mit einem Viren­scan­ner aus­ge­rüs­tet sein soll­ten, der sol­che “Wald-und-Wiesen”-Software auf­spü­ren kann, auch schei­nen ele­men­ta­re Grund­sät­ze der digi­ta­len Kom­mu­ni­ka­ti­on miss­ach­tet wor­den zu sein.1
Das sind Regeln, die eigent­lich seit 20 Jah­ren jedem bekannt sein dürf­ten. Damit soll­te man kei­ne durch­schnitt­li­chen Nut­zer mehr her­ein­le­gen können.
Umso trau­ri­ger ist es, dass damit der Bun­des­tag her­ein­ge­legt wur­de, der ja nun genau die­se IT-Sicher­het per Gesetz ver­ord­net – und nun selbst ekla­tan­te Lücken in der Sicher­heit zeigt.
Aber viel­leicht geht es ja dar­um, dass man nur wirk­lich wich­ti­ge Ein­rich­tun­gen mit die­sem Gesetz schüt­zen möch­te. Und mor­gen stellt sich das Gan­ze dann als gründ­lich miss­lun­ge­ne PR-Akti­on heraus.


  1. Der berühm­te unbe­dach­te Dop­pel­klick auf setup.exe”