Spionage Das steckt hinter dem Hackerangriff aufs Regierungsnetz

Ein ganzes Jahr lang könnten Hacker im besonders gesicherten Netzwerk des Bundes herumgeschnüffelt haben. Seit Dezember wissen die deutschen Behörden davon - nun ist das politische Berlin in Aufruhr.

Auswärtiges Amt in Berlin
DPA

Auswärtiges Amt in Berlin

Von und


Das bislang als sicher geltende Bundesnetz wurde Opfer eines Hackerangriffs. Nachdem Angreifer 2015 bereits den Bundestag attackiert hatten, sind staatliche Einrichtungen nun wieder zum Ziel geworden. Laut Sicherheitskreisen führt die Spur angeblich erneut nach Russland. Doch viele Fragen sind bislang offen. Lesen Sie hier, was man bisher weiß:

Wer wurde gehackt?

Das Bundesinnenministerium (BMI) spricht von einem "Sicherheitsvorfall, (…...) der die Informationstechnik und Netze des Bundes betrifft". Konkret geht es also um das sogenannte Datennetz der Bundesverwaltung - der Informationsverbund Berlin-Bonn (IVBB). Das berichtet die Nachrichtenagentur dpa unter Berufung auf Sicherheitskreise. Das Datennetz des IVBB bildet die Infrastruktur unter anderem für die interne Kommunikation der Bundesbehörden.

Auch die Namen von im Einzelnen betroffenen Ministerien kursieren, es soll um das Auswärtige Amt und das Bundesministerium der Verteidigung (BMVg) gehen. Die Informationen zum BMVg sind aber derzeit widersprüchlich. Es wurde möglicherweise angegriffen, aber ob der Angriff erfolgreich war, darüber gibt es verschiedene, bisher nicht öffentliche Informationen. Das mit der Aufklärung des Vorfalls betraute Bundesamt für Sicherheit in der Informationstechnik (BSI) will sich voraussichtlich am heutigen Donnerstag äußern.

Was ist das IVBB?

Das IVBB ist eines von drei Netzen, die vom Innenministerium verantwortet werden. Die beiden anderen sind das IVBV/BVN (Informationsverbund der Bundesverwaltung/Bundesverwaltungsnetz) und das Bund-Länder-Verbindungsnetz DOI. Das steht für Deutschland-Online-Infrastruktur.

Das IVBB gilt als vergleichsweise sicheres Netz. Es ist unter anderem durch Filter und Firewalls für bestimmte Websites und andere Maßnahmen vor üblichen Angriffen mit Schadsoftware geschützt. Damit einher gehen allerdings auch Nutzungseinschränkungen für die Anwender.

Genutzt wird das IVBB von Teilen des Bundestags, dem Bundesrat, dem Bundeskanzleramt und Bundesministerien, dem Bundesrechnungshof sowie Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten. Der technische Betrieb unterliegt vor allem der Telekom-Tochter T-Systems, bestimmte Sicherheitsmaßnahmen werden vom BSI durchgeführt. Es ist eine Art "großes Intranet", wie es das BSI mal beschrieb, das an zentralen Knotenpunkten ans öffentliche Internet angeschlossen ist.

Wer steckt hinter den Angriffen?

Angeblich soll die Spur nach Russland führen. Unter Berufung auf Sicherheitskreise berichtet die dpa zudem, dass die Gruppe APT 28 verdächtigt wird. Ob diese erste Verdächtigung tatsächlich stimmt, ist aber unklar. Denn bei der Rückverfolgung von Hackerangriffen, der sogenannten Attribution (mehr dazu hier), stützen sich die Experten zumeist auf uneindeutige Indizien.

Die Abkürzung APT steht für "Advanced Persistent Threat", also eine langfristige und ausgefeilte Bedrohung. Die russische oder von Russland unterstützte Gruppe ist seit Jahren berüchtigt und auch unter dem Namen Fancy Bear oder Sofacy bekannt. Sie wird unter anderem für den Bundestagshack im Jahr 2015 verantwortlich gemacht, als 16 Gigabyte Daten aus dem Bundestagsnetz "Parlakom" abflossen. Dieses gesonderte Netz ist aktuell aber nicht betroffen.

Hintergrund: So läuft die digitale Detektivarbeit

Wie groß ist der Schaden?

Laut einem Sprecher des Innenministeriums wurde die Attacke bereits im Dezember entdeckt. Damals lief sie aber schon über eine längere Zeit, womöglich ein ganzes Jahr. Mittlerweile sei der Angriff "isoliert und unter Kontrolle gebracht". Es seien derzeit keine angegriffenen Stellen außerhalb der Bundesverwaltung bekannt.

Abgesehen davon liegt das Ausmaß des Angriffs noch im Dunkeln: Laut dpa sollen mittels Schadsoftware Daten des Außen- und des Verteidigungsministeriums kopiert worden sein. Nach Informationen aus Sicherheitskreisen gegenüber dem SPIEGEL könnte sich der Datenabfluss aber womöglich auch nur auf das Außenministerium beschränken. Um welche Datenmenge es geht - einzelne Dateien oder die Inhalte mehrerer Festplatten - ist ebenfalls unklar.

Sollten die Angreifer nach bestimmten Informationen gesucht haben, wäre es womöglich nicht einmal nötig, Daten zu kopieren - das Mitlesen könnte ausreichen. Allein die Meldung über einen neuerlichen Hackerangriff auf staatliche Datennetze dürfte jedoch für einen immensen Vertrauensschaden in die staatlichen IT-Kompetenzen sorgen.

Die Frage, was die Hacker mit den 2015 erbeuteten 16 Gigabyte an Daten aus dem "Parlakom"-Netzwerk anstellten, ist bis heute nicht geklärt. Experten hatten Angst, dass der Hack zu peinlichen Veröffentlichungen kurz vor der Bundestagswahl 2017 führen würde. Das war aber nicht der Fall.

Was passiert jetzt?

Derzeit laufen nach Angaben des Innenministeriums "Analysen und Sicherungsmaßnahmen". An dem Vorfall werde "mit hoher Priorität und erheblichen Ressourcen gearbeitet." Wie der SPIEGEL aus Expertenkreisen erfuhr, sollen diese Ressourcen derart erheblich sein, dass andere BSI-Projekte dafür vorübergehend auf Eis gelegt wurden. Denkbar ist, dass die Angriffe über einen längeren Zeitraum beobachtet wurden, um mehr über die Täter und ihre Absichten zu erfahren.

Der Ausschuss Digitale Agenda wird sich am Donnerstag zu einer Sondersitzung treffen. Aus Parlamentskreisen hieß es laut Reuters, auch eine Sondersitzung des Parlamentarischen Kontrollgremiums (PKGr), das die Geheimdienste kontrolliert, sei möglich.

Grünen-Fraktionsvize Konstantin von Notz sagte, die Bundesregierung müsse schnellstmöglich aufklären, welche Daten konkret abgeflossen seien und ob im Zuge des Angriffs eine Sicherheitslücke verwendet wurde, die deutschen Behörden bekannt war. "Auch wird die Frage zu klären sein, warum die Öffentlichkeit erst jetzt über den Angriff informiert wurde." Wenn nach den verheerenden Angriffen auf den Bundestag und andere nun auch das sehr viel besser geschützte Regierungsnetz und Ministerien betroffen seien, zeige dies, "wie schlecht es um die IT-Sicherheit in unseren Land insgesamt steht".

Anmerkung: In einer früheren Version war versehentlich vom Bundesamt für Verteidigung die Rede. Richtig muss es selbstverständlich Bundesministerium der Verteidigung heißen. Der Fehler wurde korrigiert.

mit Material von dpa/Reuters

insgesamt 118 Beiträge
Alle Kommentare öffnen
Seite 1
so-oder-so 28.02.2018
1.
Wurde unser Neuland nun annektiert? Läuft mal wieder beim Bund...
Marlo 28.02.2018
2.
Hacker sind meistens diejenigen, die kein deutsches Unternehmen und die Regierung einstellen würden, weil ihnen formale Kompetenzen fehlen, die aber technisch mehr drauf haben, als diejenigen, die in der IT Sicherheit arbeiten. Meistens zumindest. Und ja, besonders Deutschland hängt hier weit zurück und muss sich beeilen, das in den Griff zu bekommen.
waldschrat_72 28.02.2018
3. Mich wundert nichts mehr..
.. aber es ärgert mich mittlerweile fast alles. Es mag jetzt albern klingen: aber gerade für Ostdeutsche sind die News der letzten Jahre/Monate/Wochen einfach über den Verstand gehend. Armee ? Funktioniert nicht. Grenzschutz? Kein Interesse. Spionageabwehr ? Im Schlafmodus. Leute ehrlich. Ich will die Stasi-Unterdrückungssystem-DDR ganz bestimmt nicht zurück. Aber dieser restriktive Staat wusste seine Interessen wenigstens effizient zu verteidigen. Und hat deswegen erst mal jedermann und jedwedem grundsätzlich misstraut. Wenn es um den Staat ging. Und im Grundprinzip halte ich eine solche Herangehensweise für richtig. Ich mag kaum glauben, dass das irgendwie nur mehr ein "Ost"-Gefühl ist, dass bei uns heute Anno 2018 in den wirklich systemrelevanten Sicherheits-Belangen etwas gründlich schief läuft ?
eisfuchs 28.02.2018
4. Es gibt ständig Angriffe
Wir bzw. unsere Bundes- und Landesämter und Ministerien werden rund um die Uhr angegriffen. Das sollte man dazu sagen. Interessant ist nur wie erfolgreich die Angriffe sind.
keine Zensur nötig 28.02.2018
5. Eigentlich schon gelöst der Fall -
der Russe war´s - wieder - angeblich, vielleicht oder so - er ist immer schuld, wenn unsere Sicherheitsexperten Fehler machen. Auch hat der Russe uns jetzt die große Kälte gebracht, damit wir sein Gas kaufen müssen. Schlimm ist vorallem: - sollte das Verteidigungsministerium gehackt worden sein, weiss der Russe wieviel Panzer und so rumstehen, weil die Teile fehlen. Das steht bei uns nicht bei SPON. - sollte das Aussenministerium gehackt worden sein, weiss der Russe wieviel Millionen wir in der Ukraine und Syrien versenkt haben - ohne Ergebnis - ganz, ganz schlimm - am Ende wissen die jetzt auch noch welcher der vielen Lobbyisten wen mit wieviel geschmiert hat. Alles andere - so rein technische - fällt unter Regie von Frau Nueland aus der Uckermarck. Der ist noch garnicht aufgefallen, dass unser starkes, großes Deutschland bei IT ein Entwicklungsland ist.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.