Menü
Security

Sicherheit von Industrieanlagen: Empörung über nachträgliche Änderung an Regierungsstellungnahme

Von
vorlesen Drucken Kommentare lesen 76 Beiträge

Die Bundesregierung hat ihre Antwort auf eine Anfrage der Grünen nachträglich in einem wichtigen Punkt verändert: Denn eine als "behoben" eingeschätzte Sicherheitslücke in hunderten deutschen Industrieanlagen war in Wirklichkeit noch höchst aktuell. Der parlamentarische Geschäftsführer der Grünen kritisiert, dass diese kritische Korrektur weder gekennzeichnet noch ausreichend kommuniziert wurde.

Nachdem c't im Juni dieses Jahres eine kritische Schwachstelle in hunderten deutschen Industrieanlagen aufdeckte, wurde das Problem auch in der Politik zum Thema. Kurz nach Veröffentlichung des c't-Artikels Gefahr im Kraftwerk hat etwa die grüne Bundestagsfraktion eine parlamentarische Anfrage an die Bundesregierung gestellt, um in Erfahrung zu bringen, wie es um die Sicherheit deutscher Industrieanlagen bestellt ist.

Insbesondere wollten die Parlamentarier wissen, warum seit Februar über Monate hinweg kein Sicherheitsupdate für die unter anderem in Fernwärmekraftwerken verwendeten Steuerungen veröffentlicht wurde und was das Bundesamt für Sicherheit in der Informationstechnik und das Bundesinnenministerium konkret unternommen haben, um die drohende Gefahr abzuwehren.

Die Antwort auf die Frage 9, ob die von c’t beschriebenen Sicherheitslücken mittlerweile behoben wurden, fiel ebenso knapp wie falsch aus: "Der Hersteller hat das Problem behoben" und "über den Kundendienst die Updates eingespielt", schrieb das Bundesinnenministerium (BMI) in seiner Antwort auf die Anfrage der Grünen. Grund zum Aufatmen waren diese Antworten allerdings nicht. Denn das Update, das der Hersteller über den Kundendienst eingespielt haben soll, gab es zu diesem Zeitpunkt noch gar nicht, wie der Hersteller der verwundbaren Industrieanlagen, das Schweizer Unternehmen Saia-Burgess, gegenüber heise Security erklärte.

Die Antwort auf Frage 9 vor ...

Nachdem diese Falschinformation in c't 15/13 thematisiert wurde, schien auch dem BMI klar geworden zu sein, dass es den Bundestag falsch unterrichtet hat: Wie wir nur durch Zufall bemerkten, wurde die entsprechende Antwort auf dem Server des Bundestages nach unserer Berichterstattung kommentarlos gegen eine neue Version ausgetauscht, die laut den Dateieigenschaften eine Woche nach Erscheinens des c't-Artikels geändert wurde. In der neuen Fassung wurde die Antwort auf Frage 9 inhaltlich deutlich abgeändert.

Statt "Der Hersteller hat das Problem behoben" heißt es nun lediglich, dass "der Hersteller der Steuerungsanlage Maßnahmen zur Behebung des Problems eingeleitet" habe und nur der Hersteller eines betroffenen Heizungstyps das Problem bei seinen Anlagen behoben habe. Allerdings entspricht selbst diese Antwort nicht den Tatsachen. Denn auch der Heizungsbauer wartete zu diesem Zeitpunkt auf das seit Monaten überfällige Sicherheitsupdate von Saia-Burgess.

... und nach der heimlichen Änderung.

In der neuen Fassung des Dokuments deutet nichts darauf hin, dass die Antwort seit ihrer Erstveröffentlichung maßgeblich verändert wurde. Auch die Bundestagsabgeordneten, denen die Bundesregierung die ursprüngliche Version zugesandt hatte, wurden nur unzureichend über die Änderung informiert. Zwar wurde einigen Abgeordneten aus der Fraktion der Grünen eine vom BMI stammende und an die Bundestagsverwaltung gerichtete E-Mail mit dem eher informell aussehenden Änderungswunsch per Fax weitergeleitet. Ein Hinweis darauf, dass dieser nachträgliche Korrekturwunsch tatsächlich ausgeführt wurde sowie eine Information der übrigen Abgeordneten blieb jedoch aus, wie uns Abgeordnetenbüros bestätigten.

Dementsprechend empört zeigte sich Volker Beck, Parlamentarischer Geschäftsführer der Grünen, in einem Schreiben an das BMI und den Bundestagspräsidenten: "Der dargestellte Vorgang legt den Schluss nahe, dass die Bundesregierung zum Zeitpunkt der Beantwortung [...] keine positive Kenntnis hinsichtlich der erfolgreichen Problembehebung [...] durch den Hersteller der [...] Steuerungsanlage hatte. Dies wurde jedoch nicht offen gelegt, sondern die vollständige Information erst drei Wochen später nachgeliefert."

Das "Nachschieben von Korrekturen" berge laut Beck die Gefahr, "dass [von] der Bundesregierung unbequeme Antworten aus der Debatte nach Veröffentlichung der Antwort zunächst herausgehalten und später unter geringerer Aufmerksamkeit der Öffentlichkeit nachgeschoben werden könne“. Beck rügt zudem ausdrücklich, dass "angesichts des verfassungsrechtlich verankerten Kontrollrechts der Abgeordneten" dieses Vorgehen "nicht hinnehmbar" sei.

Auch andere Abgeordnete und deren Referenten zeigten sich auf Nachfrage von heise Security empört über die heimliche Änderung der Regierungsantwort auf die parlamentarische Anfrage: "Durch die Verzögerung hat das Ministerium das Aufmerksamkeitsfenster gezielt verstreichen lassen, um dann die zutreffende Antwort nachzuschieben." Zwar versprach die Bundestagsverwaltung zukünftig Änderungen an Dokumenten auszuweisen, äußerte sich zu dieser Selbstverständlichkeit gegenüber einem Abgeordnetenreferenten auf dessen schriftliche Anfrage hin jedoch nur mündlich. (Louis-F. Stahl) / (rei)