Angriff aufs Regierungsnetz Hacker drin, draußen Stille

Seit Monaten wussten die Sicherheitsbehörden vom Hackerangriff aufs Regierungsnetz. Fachpolitiker ärgern sich, dass sie nicht informiert wurden - dabei könnte das Teil der Strategie sein.

Beamter der Bundespolizei patroulliert vor dem Auswärtigen Amt
DPA

Beamter der Bundespolizei patroulliert vor dem Auswärtigen Amt

Von


Die Abgeordneten des Deutschen Bundestages sind merklich irritiert. Von dem Hackerangriff auf das Regierungsnetzwerk haben selbst die Fachpolitiker aus den Medien erfahren - Monate, nachdem die Sicherheitsbehörden die Angriffe bemerkt hatten.

Patrick Sensburg, Geheimdienstexperte der CDU, sagte im ZDF-Morgenmagazin: "Dass so etwas stattgefunden hat, ein Hacker-Angriff, das waberte gerüchteweise, aber wir hatten offiziell keine Unterrichtung der Bundesregierung". "Es ärgert mich, dass das Parlament nicht proaktiv informiert wurde", sagte der digitalpolitische Sprecher der FDP, Manuel Höferlin, dem "Handelsblatt". Und auch Anke Domscheit-Berg, Obfrau der Linksfraktion im Digitalausschuss des Bundestages, ist sauer: Dass man als fachlich zuständige Abgeordnete erst aus der Presse von den Vorfall erfahren, sei "schon wirklich skandalös", sagte sie im ZDF-Morgenmagazin.

Angreifer war laut Innenministerium "jederzeit voll kontrolliert"

Der parlamentarische Staatssekretär im Innenministerium, Ole Schröder, sagte dem Redaktionsnetzwerk Deutschland am Donnerstagvormittag, der Angreifer sei "jederzeit voll kontrolliert von den Sicherheitsbehörden beobachtet worden, um weitere Erkenntnisse über den Angriffsmodus zu erhalten und Sicherheitsmaßnahmen im (Bundesnetz) IVBB einzuleiten".

Die Sicherungsmaßnahmen seien noch nicht abgeschlossen, fügte der CDU-Politiker hinzu, ohne Details zu nennen. Um die Aufklärung des Falles nicht zu gefährden, solle es keine weiteren öffentlichen Informationen geben.

Zurückhalten - und aufklären?

Das von Schröder nun beschriebene Vorgehen ist in der IT-Welt nicht unüblich, wenn man einen Angreifer entdeckt hat. Die Analyse eines Hackerangriffs ist zudem aufwendig: Dazu gehört die nachträgliche IT-forensische Untersuchung von Code-Artefakten in den betroffenen Systemen, die Rückschlüsse auf ihre Programmierer beinhalten können. Aber auch die Beobachtung, worauf die Täter gerade zugreifen oder wohin sie Daten ausleiten wollen, gehört zu den gängigen Methoden.

Hätten die Behörden frühzeitig die Abgeordneten informiert, wäre das möglicherweise einer Warnung an die Täter gleichgekommen, legt nun auch Schröders Äußerung aus dem Innenministerium nahe. Denn je mehr Menschen von dem Angriff gewusst hätten, desto eher wären die Informationen an die Öffentlichkeit gelangt. Hätten sich die Angreifer daraufhin schnell zurückgezogen, wäre die Aufklärung möglicherweise erschwert worden.

Doch keine Stellungnahme vom BSI

Erst am heutigen Donnerstag wollen Regierung und Sicherheitsbehörden die Parlamentarier informieren. Im Laufe des Tages kommen zu diesem Zweck sowohl der Digitalausschuss als auch das sogenannte Parlamentarische Kontrollgremium zusammen. Das ist für die Kontrolle der Nachrichtendienste zuständig und hat das Recht, von der Bundesregierung über Tätigkeiten der Dienste sowie besondere Vorgänge unterrichtet zu werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagiert ungewöhnlich: Am Mittwochabend heißt es aus der Pressestelle, das BSI werde am Donnerstag ein Statement abgeben, nach der Sitzung des PKGr. Am Donnerstagvormittag kommt eine E-Mail, das BSI könne "entgegen unserer Ankündigung" doch keine Stellungnahme "zum IT-Sicherheitsvorfall in der Bundesverwaltung" abgeben. Anfragen seien ans Bundesinnenministerium zu richten.

Bis dahin gibt es nur bruchstückhafte und teils widersprüchliche Informationen über den Hack (lesen Sie hier im Detail, was bislang bekannt ist): Bis mindestens zum gestrigen Mittwoch soll er gedauert haben, berichtet die dpa unter Berufung auf Sicherheitskreise. Dazu passt die Aussage aus dem Innenministerium, der Angriff sei nun "isoliert" - das bedeutet nämlich nicht, dass er gestoppt und die Täter mit ihrer Schadsoftware aus dem Netz entfernt wurden.

Wie erfolgreich war der Angriff?

Im Dezember 2017, hieß es gestern, sollen die Behörden den Angriff bemerkt haben. Damit hätte er mindestens zwei bis drei Monate lang angehalten, möglicherweise aber auch ein ganzes Jahr, wie die dpa erfahren haben will.

Dass neben dem Auswärtigen Amt auch das Verteidigungsministerium betroffen sein soll, wie gestern kolportiert wurde, ist nach bisherigem Stand falsch. Bundeswehr und Verteidigungsministerium sind nach übereinstimmenden Informationen von SPIEGEL und anderen Medien nicht gehackt worden.

Ob überhaupt Daten aus dem Regierungsnetz kopiert wurden, ist offiziell noch unklar, es gibt dazu verschiedene inoffizielle Angaben. Der Angriff könnte trotz seiner Dauer also eher erfolglos verlaufen sein. Staatssekretär Schröder gab sich jedenfalls am Donnerstag selbstbewusst: "Es handelt sich um eine äußerst erfolgreiche Operation der Sicherheitsbehörden des Bundes: Es ist in exzellenter Zusammenarbeit gelungen, einen Hackerangriff auf das Netz des Bundes zu isolieren und unter Kontrolle zu bringen."

Wer als Täter in Frage kommt, ist noch offen. Mehrere Abgeordnete, darunter CDU-Mitglied Sensburg und Linken-Politikerin Domscheit-Berg, wollen von Indizien wissen, die auf russische Täter hindeuten. Dieser Verdacht verbreitete sich schon mit den ersten Meldungen über den Hackerangriff. Die dpa berichtete unter Berufung auf Sicherheitskreise zudem noch konkreter, dass die Hackergruppe Fancy Bear alias APT 28 verantwortlich sei. Sie wird für den Hackerangriff auf den Bundestag 2015 verantwortlich gemacht und soll der russischen Regierung beziehungsweise dem russischen Militärgeheimdienst GRU nahestehen.

Es kursieren aber auch Informationen, nach denen der Angriff für APT 28 untypisch war. Dass APT 28 laut dem IT-Sicherheitsunternehmen FireEye in den vergangenen Monaten in ganz Europa aktiv war, ist jedenfalls für sich genommen kein Beleg dafür, dass die Gruppe auch ins deutsche Regierungsnetz eingedrungen ist. Sie besteht seit mehr als zehn Jahren, und besonders rege Aktivitäten werden immer wieder verzeichnet. So stellte das Bundesamt für Verfassungsschutz im Jahr 2016 einen "eklatanten Anstieg" von gezielten Versuchen durch APT 28 fest, deutsche Parteien und Bundestagsfraktionen mit manipulierten E-Mails Schadsoftware unterzuschieben.

mit Material von Reuters



insgesamt 17 Beiträge
Alle Kommentare öffnen
Seite 1
jjcamera 01.03.2018
1. in Frage stellen
Immer wenn man beginnt, die Ergebnisse von Geheimdienstarbeit zu veröffentlichen, siehe Assange oder Snowden, stellt man damit den eigentlichen Sinn von Geheimdienstarbeit in Frage." Veröffentlichen" ist das Gegenteil von "Geheimhalten". Damit wollen sich manche nicht abfinden.
martin_winter 01.03.2018
2. Viel Lärm um wenig
Geheimdienste versuchen die Absichten und Geheimnisse anderer Länder auszukundschaften. Das war schon immer so und wird auch immer so bleiben. Insofern beobachten wir hier einen ganz normalen Vorgang. Allerdings sollte man nicht vergessen, dass im Regierungsnetz nur Informationen kursieren, die nach dem Informationsfreiheitsgesetz ohnehin offenzulegen wären und Informationen, die dem niedrigsten Geheimhaltungsgrad "nur für den Dienstgebrauch" unterliegen. Alle vertraulichen, geheimen oder gar streng geheimen Unterlagen sind über diese Netze schlicht nicht zugänglich. Insofern sollte man hier die Kirche im Dorf lassen. Sicherlich müssen hier die Sicherheitsleute an der ein oder anderen Stelle nachjustieren, aber sowas kann jederzeit wieder vorkommen. Sehr viel mehr Sorge macht mir, dass die vielen Infrastrukturkomponenten (Wasser- und Elektrizitätsversorgung, Verkehrssteuerung, Krankenhäuser, Rettungsdienste....) in ihrer Funktion auf funktionierende IT-Komponenten angewiesen sind, die oft weitaus weniger als die Regierungsnetze geschützt sind. Das heißt für mich jedoch, dass unsere Infrastruktur von einem ausländischen Geheimdienst jederzeit zerstört werden kann ohne dass ein einziger Schuss fällt.
Der_schlaue_Det 01.03.2018
3. Hört hört...
Die Bundesbehörden merken es mal wieder: Jede IT-Infrastruktur ist angreifbar. Absolute Sicherheit kann es - schon rein theoretisch betrachtet - niemals geben. Nur ein paar Schlüsse daraus: 1. Sicherheitslücken sollten - wenn sie denn entdeckt wurden - so schnell wie möglich gestopft werden. Hoffentlich kapieren die "Sicherheits-"Behörden jetzt endlich, dass ein Ausnutzen von Sicherheitslücken mittels Staatstrojanern keine gute Idee ist. 2. Zentrale Lösungen sind immer problematisch: Ein erfolgreicher Angriff genügt, um alle Daten zu kapern! Also keine gute Idee: siehe z.B. bei der Rechtsanwaltskommunikation, oder bei der Elektronischen Gesundheitskarte. 3. Alle Erfahrung zeigt: "Open Source" bring ein höheres Sicherheitsniveau. Auch hier kann es Lücken geben - aber sie werden schneller gefunden und gestopft. Daher: Besser Finger weg von Microsoft, und stattdessen frei open source Software nutzen! 4. "Der Russe war's": Warum eigentlich? Jeder der sich mit dem Sachverhalt befasst weiß, dass die Attribution von IT-Angriffen äußerst schwierig ist. Mag sein, der Russe war's. Oder vielleicht doch Kim? Oder Trump? Bislang ist die Zuordnung zu den russischen Hackern eine reine Spekulation, ein Gerücht. 5. Ach ja: Und Geheimdienste sollte man abschaffen. Sie bringen's einfach nicht. Kosten uns nur unsere eigene Freiheit und die Integrität unserer Verfassung. Nutzen: Null.
frazis 01.03.2018
4. Nicht so ganz
verstehe ich den Hackerangriff auf das Verteidigungsministerium. Ich dachte, die Fakten wären doch mehr oder weniger schon über die Medien bekannt.
sven2016 01.03.2018
5.
Imner dann wenn eine Behörde informiert, der Hackerangriff war völlig unter Kontrolle, bin ich skeptisch. Man könnte das abwehren, umleiten oder den Zugriff begrenzen, ok. Aber einen Intruder unter Kontrolle halten, funktioniert erfahrungsgemäß nur, wenn mann vor der Aktion Hinweise hat.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.