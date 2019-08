Der Security-Supergau rund um die vor allem in Intel-Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre ficht die Bundesregierung kaum mehr an. Sämtliche in diesem Zusammenhang bekannten Schwachstellen seien "auf allen potenziell gefährdeten IT-Systemen" durch die "von den Herstellern kostenlos bereitgestellten Patches" im regulären Management von Sicherheitsupdates "mitigiert", schreibt das Bundesinnenministerium in einer heise online vorliegenden Antwort auf eine Anfrage der Bundestagsabgeordneten Anke Domscheit-Berg (Die Linke).

"Die konsequente Umsetzung der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen IT-Sicherheitsbausteine" und der zugehörigen Maßnahmen sowie eine vielschichtige und mehrstufige Sicherheitsarchitektur gewährleisteten "grundsätzlich schon standardmäßig ein sehr hohes Maß an IT-Sicherheit unabhängig von einzelnen konkreten Angriffsvektoren wie Spectre oder Meltdown". Die Administratoren und das Personal der Informationssicherheitsorganisation in den Ministerien bewerteten ständig Sicherheitslücken und ergriffen geeignete organisatorische beziehungsweise technische Schritte, betont der IT-Beauftragte der Bundesregierung, Klaus Vitt, in dem Schreiben.

Regierung hat keinen vollständigen Überblick

Das BSI als IT-Sicherheitsdienstleister des Bundes hat im Einsatz gegen Meltdown und Spectre 114.787 Euro für externe Leistungen ausgegeben und intern 2876 Personenstunden aufgewendet. Der Anteil potenziell angreifbarer Rechner im BSI, bei denen Mitarbeiter so wirksame Maßnahmen ergriffen hätten, um nicht mehr aufgrund dieser Schwachstellen angreifbar zu sein, liege aus Sicht der Behörde selbst "bei 100 Prozent".

Auf die gerade neu offengelegte Sicherheitslücke in Prozessoren von Intel & Co. bezog sich das Auskunftsersuchen der Parlamentarierin noch nicht. Das BSI selbst ließ eine Anfrage von heise online, ob die Regierungsangaben erhärtet seien, zunächst unbeantwortet. [Update 7.8., 11.41 Uhr:] Ein Behördensprecher erklärte inzwischen: "Den Aussagen von Staatssekretär Vitt haben wir nichts hinzuzufügen."

Domscheit-Berg kommt in der Antwort der Regierung vor allem spanisch vor, dass die Risiken in der gesamten Verwaltung weitflächig abgemildert seien. Die Bundesregierung hat nämlich gar keinen vollständigen Überblick, welche Software oder Lizenzen die Behörden des Bundes erworben haben. Auf eine frühere Anfrage der Linken hin lieferte das Innenministerium nur eine lückenhafte Aufstellung zu Software, die in Behörden genutzt wird.

Betriebssystemzoo

Alleine im Bereich der Server besteht demnach ein großer und bunter Zoo an verschiedenen Betriebssystemen. Auf manchen der Rechner läuft demnach noch Debian 3.1, das seit gut zehn Jahren nicht mehr gepflegt wird. Auch der Support für die laut Regierung nach wie vor eingesetzte Linux-Variante CentOS 4 ist bereits seit vielen Jahren ausgelaufen. Ferner sind in mehreren Ministerien Computer noch mit Windows Server 2003 bestückt, wofür Microsoft den erweiterten Updatezyklus offiziell schon Mitte 2015 einstellte.

"Wie sicher sind insbesondere alle die IT-Systeme, für die es eindeutig keine Patches mehr gab, weil sie schon zu alt dafür sind?", lautet für Domscheit-Berg so die große offene Frage. Offenbar würden in den Ämtern jenseits des BSI nur kostenfrei verfügbare Sicherheitsupdates der Hersteller angewendet, soweit diese welche veröffentlichten. Die Linke konstatiert daher: "Wer sich gegenüber dieser neuen Art von Sicherheitslücken so naiv sicher gibt, hat offenbar nicht einmal das Ausmaß des Problems erkannt." Mit hoher Wahrscheinlichkeit habe die Regierung so auch nicht das Nötige getan, um künftig besser gegen derartige Angriffsflächen gewappnet zu sein.

[Update 07.08.2019 11:27]

Ein Sprecher des BSI erklärte mittlerweile gegenüber heise online: "Den Aussagen von Staatssekretär Vitt haben wir nichts hinzuzufügen."

Siehe dazu auch:

(anw)