Hackerangriff auf Regierungsnetz Bundesregierung sucht den Informanten

Wer hat den Medien vom Hackerangriff aufs IT-Bundesnetz erzählt? Die Regierung sucht die undichte Stelle in den eigenen Reihen. Derweil werden neue Details zum Angriff bekannt.

Auswärtiges Amt in Berlin
FELIPE TRUEBA/EPA-EFE/REX/Shutterstock

Auswärtiges Amt in Berlin


Nach dem Bekanntwerden des Hackerangriffs auf das Regierungsnetz sucht das Bundesinnenministerium nach der möglichen undichten Stelle in den eigenen Reihen - und betont, dass keine hochsensiblen Dokumente in dem attackierten Netz zu finden gewesen seien. Wie die "Süddeutsche Zeitung" (SZ) berichtet, war der Angriff Teil einer international angelegten Aktion.

Die Deutsche Presse-Agentur (dpa) hatte am Mittwoch als Erstes berichtet, dass es ausländischen Hackern gelungen ist, in das bislang als sicher geltende Datennetzwerk des Bundes IVBB einzudringen. Jemand mit gewisser Sachkenntnis musste den Journalisten davon erzählt haben. Die Regierung hatte bis zu diesem Zeitpunkt keine Informationen veröffentlicht und nicht einmal das zuständige Bundestags-Kontrollgremium über den Vorfall unterrichtet.

Als Eingangstor für ihren Hack wählte die versierte Hackergruppe Snake die Bundesakademie für öffentliche Verwaltung, eine Einrichtung der Hochschule des Bundes. Der Gruppe wird unter anderem vom Bundesamt für Verfassungsschutz eine Verbindung zur russischen Regierung nachgesagt.

Mehr zum Hackerangriff

Regierung verärgert über "Vertrauensbruch" durch Informanten

Einem Sprecher des Innenressorts zufolge wird derzeit intern geprüft, welche Maßnahmen ergriffen werden könnten, um herauszufinden, wo die Stelle in der Bundesregierung oder bei den Behörden liege, über die diese Information nach außen gedrungen sei. "Und ganz konkret prüfen wir derzeit auch, ob es insoweit sinnvoll ist, eine entsprechende Strafanzeige zu erstatten."

In der Entscheidung für oder gegen eine Anzeige sei unter anderem abzuwägen, welche Erfolgsaussichten ein solch drastischer Schritt habe und ob möglicherweise andere Maßnahmen sinnvoller seien. Es gebe etwa das Instrument der dienstlichen Erklärung: Hier könne man all jene, die Zugang zu den Informationen gehabt hätten, auffordern, eine Erklärung abzugeben, dass sie nichts davon nach außen weitergegeben hätten. Man sei verärgert, dass es zu diesem "Vertrauensbruch" gekommen sei.

Längere Speicherfristen

Nach Informationen des SPIEGEL hat der Generalbundesanwalt Vorermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit aufgenommen, ein Sprecher der obersten Anklagebehörde in Karlsruhe hat dies mittlerweile bestätigt. Vor einem förmlichen Ermittlungsverfahren brauche die Behörde aber noch mehr Informationen.

Weil der Angriff sich zudem über viele Monate hingezogen hat, denkt die Bundesregierung nun auch über eine Verlängerung der Speicherfristen innerhalb des angegriffenen Informationsverbundes Berlin Bonn (IVBB) nach. Mit Rücksicht auf Datenschutzanforderungen ist die Speicherfrist für sogenannte Logfiles auf maximal drei Monate begrenzt. In diesen Dateien werden die Prozesse innerhalb eines Systems protokolliert. Die kurze Speicherdauer führte dazu, dass zum Zeitpunkt des ersten Hinweises auf einen möglichen Hackerangriff nur die ausführlichen Protokolle bis zum September 2017 vorlagen. Der Angriff könnte aber bereits im Dezember 2016 gestartet worden sein.

Keine Dokumente mit "Geheim"-Klassifikation im Netz vorhanden

Nach SPIEGEL-Informationen wurden in Deutschland insgesamt nur 17 Rechner infiziert. Einer davon soll der Laptop eines Mitarbeiters des Verteidigungsministeriums gewesen sein, der zum Angriffszeitpunkt aber fürs Auswärtige Amt gearbeitet habe, so die "SZ". Dies könnte erklären, wieso es in ersten Meldungen der dpa hieß, dass auch das Verteidigungsministerium betroffen sei.

Derweil betonte ein Ministeriumssprecher, in dem attackierten Informationsverbund würden keine geheimen Informationen transportiert oder gespeichert, sondern höchstens Dokumente mit der Geheimhaltungsstufe "Verschlusssache - Nur für den Dienstgebrauch" (VS-NfD). Sensiblere Dokumente sind mit "VS-Vertraulich", "Geheim" oder "Streng Geheim" klassifiziert.

gru/dpa

insgesamt 39 Beiträge
Alle Kommentare öffnen
Seite 1
mw12 02.03.2018
1. Es
wird Zeit, dass diese IT-Netze von Profis erstellt und gewartet werden. Die Nutzer müssen adäquat geschult werden. Sich jetzt über den Informanten aufzuregen, der die Information über den Angriff an die Medien gegeben hat, ist nur eine Nebelkerze. Macht endlich eure Arbeit richtig!!
hausfeen 02.03.2018
2. Durchstecher und Türöffner sind wahrscheinlich die selbe Person.
Mit der Veröffentlichung wurden wohl die Hacker gewarnt.
melnibone 02.03.2018
3. ein kleiner ...
Snowden. Ist allemal besser als gar keiner.
thomasum 02.03.2018
4. Fragwürdig
Hier wird der Überbringer der schlechten Nachricht gekreuzigt. Besser wäre es nicht monatelang ein Loch im Netz zu haben. Man kann zwar Geheimhaltung erwarten, und diese auch einfordern. Aber mit Maß. Der Skandal ist das Loch, nicht das Bekanntwerden des Loches. Man merkt der Regierung die lange Zeit der Groko an.
mk1964 02.03.2018
5.
Dass Journalisten über so etwas berichten, wenn Ihnen entsprechende Informationen angeboten werden ist verständlich, wobei man auch da eine gewisse Rücksichtnahme erwarten könnte. Und ich hoffe, dass der Kreis derjenigen, der so eine Info an die dpa durchstechen kann, so klein ist, dass man denjenigen auch ermitteln kann. Mehr als ärgerlich ist aber auch, dass selbst Politiker, die permanent mit Geheimsachen zu tun haben, weitere Informationen an Journalisten weitergegeben haben und öffentlich sogar noch mehr Infos gefordert haben.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.