Der Deutsche Bundestag schickt alle Besucher seiner Webseiten zu Servern von US-Anbietern, auch E-Mails könnten von diesen überwacht werden. Das passiert seit mindestens drei Monaten, wahrscheinlich sogar einem halben Jahr. Was das vor dem Hintergrund der NSA-Spionageaffäre bedeutet, konnte uns der Bundestag nicht sagen – dort verstand man die Frage nicht.

Im Juni 2014 berichteten wir, dass der Deutsche Bundestag einen Internet-Anschluss vom US-Anbieter Verizon bezog, was diesem die Möglichkeit gab, „transparent und ohne Wissen des Bundestags den gesamten Traffic zu spiegeln und an Dritte auszuleiten“. Diese Enthüllung führte zu Kritik aus allen Fraktionen und letztlich zur Kündigung des Vertrags, was auch Innenminister de Maizière vor dem Geheimdienst-Untersuchungsausschuss als Konsequenz aus den Snowden-Enthüllungen benannte.

Vor diesem Hintergrund waren wir etwas erstaunt, als wir beim Besuch der Webseite des Bundestages kürzlich die klassischen Captchas von CloudFlare angezeigt bekamen. Die US-Firma betreibt ein Content Delivery Network, um Webseiten zahlender Kunden über die eigene Server- und Netz-Infrastruktur auszuliefern. Das ist beliebt beispielsweise zur Abwehr von DDoS-Angriffen, bedeutet aber eben, sämtliche Besucher der eigenen Webseite nicht mehr zum eigenen Server, sondern zu den Servern von CloudFlare zu schicken.

US-Anbieter: Verizon, CloudFlare, Equinix

Und genau das tut der Bundestag. Die Domains „bundestag.de“ und Subdomains wie „www.bundestag.de“ und „suche.bundestag.de“ zeigen alle auf Server von CloudFlare. Das bedeutet, dass sämtlicher IP-Verkehr mit diesen Domains an Server der US-Firma geht, die es dann an den eigentlichen Bundestags-Server weiterleiten:

OrgName: CloudFlare, Inc. OrgId: CLOUD14 Address: 665 Third Street #207 City: San Francisco StateProv: CA PostalCode: 94107 Country: US

Eine Whois-Anfrage von „bundestag.de“ ergibt, dass CloudFlare sogar für das Domain Name System (DNS) des Bundestages zuständig ist:

Domain: bundestag.de Nserver: buck.ns.cloudflare.com Nserver: ines.ns.cloudflare.com Changed: 2015-03-09T18:05:27+01:00

Company-in-the-Middle

Das bedeutet, dass sämtliche DNS-Anfragen für die Domain „bundestag.de“ und alle Subdomains von CloudFlare beantwortet werden. Damit ist es dem US-Anbieter möglich, sämtliche Anfragen an den Bundestag nach Belieben umzuleiten. Zum Beispiel könnte CloudFlare einige oder alle E-Mails an @bundestag.de – dessen Server immerhin vom Referat IT-Sicherheit des Bundestages betrieben werden – umleiten.

Das Gleiche könnte CloudFlare für das „Dokumentations- und Informationssystem für Parlamentarische Vorgänge“ (DIP) tun, dessen aktuelle Version unter dip21.bundestag.de und Archiv unter dip.bundestag.de läuft. Bei genauer Betrachtung ist das aber gar nicht so relevant, weil dessen Netz ohnehin schon von einem anderen US-Anbieter zur Verfügung gestellt wird, und zwar Equinix, Inc.

Seit wann das so ist, können wir nicht mit Sicherheit sagen. CloudFlare ist jedoch mindestens seit dem 9. März für das DNS zuständig, also über ein Vierteljahr. Da man CloudFlare vor allem gegen DDoS-Angriffe einsetzt und der letzte uns bekannte DDoS auf bundestag.de am 7. Januar war, halten wir es für möglich, dass CloudFlare seit fast einem halben Jahr eingesetzt wird.

Bundestag: „Ich verstehe die Frage in dem Kontext nicht.“

Wir haben dem Pressereferat des Bundestages vor zwei Wochen eine Reihe an Fragen geschickt. Jetzt haben wir auch eine Antwort, die wir hier in Volltext veröffentlichen:

netzpolitik.org: Warum wurde eine externe Firma beauftragt? Gibt es keine internen Ressourcen? Bundestag: Das Internetangebot des Bundestages wird seit mehreren Jahren von einem Dienstleister extern betrieben. netzpolitik.org: Warum wurde eine US-Firma beauftragt? Wurden auch deutsche oder europäische Firmen erwogen? Bundestag: Der Vertragspartner des Deutschen Bundestages hat mehrere Lösungen zur Vermeidung der Folgen von DDoS-Attacken, teilweise mit unterschiedlichen Partnern, u.a. Cloudflare, vorgelegt. netzpolitik.org: Wurden datenschutzrechtliche Fragen berücksichtigt? Bundestag: Ja. netzpolitik.org: Was bedeutet es, alle Besucher des deutschen Parlaments zu einer US-Firma zu schicken? Bundestag: Nur ein Teil des Bundestagsangebotes ist temporär bei Cloudflare gehostet. netzpolitik.org: Wie sah diese Erwägung auch vor dem Hintergrund der NSA-Spionageaffäre aus? Bundestag: Ich verstehe die Frage in dem Kontext nicht. netzpolitik.org: Wie lange soll bundestag.de noch von Cloudflare ausgeliefert werden? Bundestag: Dazu können wir aus Gründen der IT-Sicherheit keine Auskunft geben.

Wer mir die letzten beiden Antworten plausibel erklären kann, bekommt auf 11NP ein Bier.

Da wir die Antworten – gelinde gesagt – etwas verwunderlich fanden, haben wir am Donnerstag nochmal bei einigen Abgeordneten der „Kommission für den Einsatz neuer Informations- und Kommunikationstechniken und -medien“ (IuK-Kommission) beim Ältestenrat des Bundestages angefragt. Steffi Lemke, Halina Wawzyniak und Konstantin von Notz hatten leider bisher keine Zeit für eine Antwort, Petra Pau hat uns bisher noch gar nicht geantwortet.

Wir versuchen es jetzt mit einem Link zu diesem Posting einfach nochmal und werden die Antworten nachtragen, sobald/sofern sie eintreffen.