Erfolgreicher Angriff auf die IT-Infrastruktur der Volkszählung 2021 – BSI spricht von „schwerwiegendem Sicherheitsereignis“ – BMI will den Hacker-Angriff kleinreden, Zensus-PR verschweigt ihn gar

Jenseits der Corona-Blase: Vorbereitungen für die Volkszählung auf der letzten Etappe

Logo des ehemaligen Arbeitskreis Zensus (AK Zensus)

Die Vorbereitungen für die (zumindest nach außen hin) wegen Corona auf 2022 verschobene Volkszählung (ehemals „Zensus 2021“, jetzt „Zensus 2022“) laufen auf Hochtouren. Es sind weniger als sechs Monate bis zum amtlichen Stichtag des 15. Mai 2022.

Wie üblich werden ohne Wahrnehmung der Öffentlichkeit weiter Meldedaten aller in Deutschland lebenden Menschen zentral zusammengeführt und aktualisiert. Die auch diese Problematik behandelnde Verfassungsbeschwerde liegt weiter auf Eis.

Der aktuelle amtliche Newsletter der staatlichen Statistiker zum Zensus vom 19.11.2021 teilt mit, dass bereits seit September dieses Jahres den ersten Wohungseigentümer*innen Vorbefragungs-Fragebögen zugestellt worden sind, dass die „Ziehung“ der Stichproben von Haushaltsanschriften, deren rund 10 Millionen Bewohner*innen mit ausführlichen Fragestellungen konfrontiert werden am oder ab 1.9.2021 erfolgreich vonstatten gegangen ist und dass die von Tür zu Tür ziehenden Befrager*innen (Neusprech: „Personenerheber“) schon geschult werden. Und ja, auch ein „Hygienekonzept“ wurde bereits erfolgreich erstellt. (Wie konnte es eigentlich jemals soweit kommen, dass das Statistische Bundesamt mit seiner personellen wie institutionellen historischen NS-Vorbelastung sich einen derart ebenfalls NS-belasteten Begriff so unschuldig zu verwenden traut?)

Was der offizielle Zensus-Newsletter verschweigt? Seit der Herausgabe des letzten Newsletters vom Mai 2021 ist öffentlich geworden, dass es einen erfolgreichen und schwerwiegenden Angriff auf die IT-Struktur des Zensus gegeben hat.

Was ist passiert?

Ende September 2021 melden einige Medien einen erfolgreichen Angriff auf die IT-Infrastruktur des Statistischen Bundesamts. Die Aufregung ist zunächst groß, steht doch die Bundestagswahl bevor und wird ein Zusammenhang damit vermutet.

Doch dann wird abgewiegelt. Die Wahlserver seien ungefährdet, wird erklärt. Auf tagesschau.de heißt es am 24.9.2021 dazu:

„Betroffen sei zudem Technik für den Zensus, also der Erhebung von Bevölkerungsdaten in Deutschland. Diese Server seien aber vom Wahlserver komplett getrennt. Es gebe keine Gefahrenlage.“

Dementsprechend schwindet die öffentliche Aufmerksamkeit zur Sachen ebenso schnell wie sie entstand. Nichts neues in dieser Zeit blitzlichartiger Konzentration- und Erregungspunkte.

Rund einen Monate später beginnen wir, beim zuständigen Bundesinnenministerium (BMI) zum weiteren Ausgang der Sache und zu weiteren Ergebnissen des Hackerangriffs nachzuhaken.

Alle unsere Fragen und Nachfragen und die dazugehörigen Rückmeldungen des BMI grob zusammengefasst kann man folgendes stichpunktartig festhalten:

  • Es gab einen erfolgreichen Angriff Dritter auf die IT-Infrastruktur zum bevorstehenden Zensus.
  • Den Angreifern gelang es, so genannte „Webshells“, also Fernzugänge in Form von Schadsoftware auf zwei Servern der Zensus-IT zu installieren.
  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine ebenfalls dem BMI unterstehende Behörde, bewertet das als „Major Incident“, als „schwerwiegendes Sicherheitsereignis“.

Wann dieser Angriff stattgefunden hat und wie lange es gedauert hat, bis er entdeckt worden ist, dazu möchte das BMI „grundsätzlich“ nichts mitteilen.

Widersprüche

Ab dann wird es spannend. Denn im weiteren folgen eine Reihe Entwarnungen und Beschönigungsversuchen, die im Gesamten nicht überzeugen.

Das BMI meint behaupten zu können, dass es keine „Möglichkeit zur Manipulation von Daten auf den dem Zensus zugeschriebenen IT-Systemen inklusive der betroffenen Server gegeben“ habe. Und weiter, dass es zu keinerlei „Manipulation (Datenverarbeitung durch die Angreifer) oder Datenabfluss bei den betroffenen Servern oder damit verbundenen IT-Systemen gekommen“ sei.

Im Angesicht der zugleich vom BMI bestätigten erfolgreichen Installation von Schadsoftware auf zwei Zensus-Servern durch unbekannte Dritte, also durch die Angreifer, ist diese Behauptung offensichtlicher Unsinn und kann nur als Beschwichtigungsversuch gedeutet werden.

Diese Widersprüchlichkeit unterminiert damit die Glaubwürdigkeit weiterer Behauptungen des BMI, wonach

  • es keine Möglichkeit gegeben habe, auf Daten und Strukturen des Zensus zuzugreifen,
  • keinerlei Datenabfluss festgestellt werden konnte,
  • „zu keinem Zeitpunkt Daten des Zensus gefährdet“ gewesen seien.

Auch dass keinerlei weitere IT-Angriffe auf die Zensus-Infrastruktur bekannt sei erscheint uns als sehr fragwürdig.

Warum überhaupt die ganze Aufregung?

Wenn hier von „Zensusdaten“ die Rede oder Schrift ist, dann klingt das zunächst langweilig und harmlos. Doch der Schein trügt.

Im Zuge des Zensus wurden (und werden fortlaufend) umfangreiche Daten über jeden in Deutschland lebenden und gemeldeten Menschen von den Meldeämtern abgefragt und zentral zusammengeführt. Nicht nur die Gesamtheit, auch einzelne Bestandteile der Datensätze sind hochsensibel. Insofern handelt es sich bei alleine schon bei diesen Datenbanken um ein äußerst lohnenswertes Beuteziel für staatliche Akteure (Geheimdienste) wie auch für profitorientierte Datenräuber.

Wir haben den Umfang dieser Datenbank in einem Blogbeitrag anläßlich einer noch im Endergebnis unbehandelten Verfassungsbeschwerde Angang 2019 versucht deutlich zu machen.

Erst wenn man sich verinnerlicht hat, wie brandgefährlich die Zensus-Datenbanen sind, wird einem deutlich, wie eklatant die Verniedlichungsversuche des BMI im Zuge des anerkannten und zugestandenen so erfolgreichen wie schwerwiegenden IT-Angriffs sind.

Dieser Beitrag wurde unter Bericht veröffentlicht. Setze ein Lesezeichen auf den Permalink.