05.12.2015

IT-SicherheitDiebesgrüße aus Moskau

Die Hacker, die den Bundestag attackierten, greifen weitere Regierungen von Nato-Ländern an. Analysten glauben: Dahinter stecken Russen.
Die E-Mail hatte einen ehrenwerten Absender, es gab keinen erkennbaren Grund, ihr zu misstrauen. Am 30. April landete die Nachricht mit der Endung "un.org" in den Postfächern deutscher Bundestagsabgeordneter; sie stammte vermeintlich von den Vereinten Nationen. Wer jedoch den Link zu einem "News Bulletin" der Uno anklickte, öffnete unwissentlich Cyberspionen Tür und Tor zum digitalen Nervensystem des Bundestags. In mehr als einem Dutzend Abgeordnetenbüros tauchte die Mail im Postfach auf.
Auf diese banale Weise begann der bislang offenbar schwerste Hackerangriff auf ein deutsches Verfassungsorgan. Er führte, nach seiner Entdeckung, zu heftigen Debatten über den Schutz der Netze im Berliner Regierungsviertel. Und darüber, wie arg- und ahnungslos Abgeordnete, die auch Gesetze zur IT-Sicherheit beschließen, bisweilen mit eigenen Computern und Daten umgehen. Die Aufklärung der Hintergründe der Attacke gestaltete sich unterdessen zäh.
Nun liegt der Abschlussbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor, der teilweise als "vertraulich" eingestuft ist. Er beschreibt nicht nur, wie virtuos die Hacker ihren Angriff inszenierten. Er wirft auch ein peinlich grelles Licht darauf, wie dürftig der Bundestag seine Kommunikationssysteme in der Vergangenheit geschützt hat.
Die mutmaßlichen Urheber des Angriffs, eine Hackergruppe namens "Sofacy" oder "APT28", sind bereits seit fast zehn Jahren aktiv. Aus dem BSI-Bericht geht hervor, dass die Gruppe mindestens zwei osteuropäische Regierungen attackierte, bevor der Bundestag ihr Ziel wurde. Parallele Analysen der russischen IT-Sicherheitsfirma Kaspersky Lab ergaben, dass Sofacy seitdem ihr Arsenal verfeinert und die Zahl der Angriffe erhöht hat. In diesem Jahr hat die Gruppe demnach mehrere weitere Regierungen ins Visier genommen.
In Berlin gruben sich die Angreifer seinerzeit in Windeseile von den befallenen Rechnern der Parlamentarier aus weiter durchs Netz. Am Ende fanden sie Zugang zu 14 Servern des Parlakom-Netzes, darunter auch der Hauptserver, auf dem sämtliche Zugangsdaten zum Bundestag gespeichert sind.
Für Hacker ist das ein Glücksfall, für Betroffene der größte anzunehmende Unfall. Es ist, als ob ein Bankräuber den Generalschlüssel für sämtliche Räume und Tresore eines Geldhauses in Händen hielte.
Mitte Mai, kurz nachdem der Angriff bekannt geworden war, hatten die Hacker bereits 12,5 Gigabyte an Daten erbeutet. Was folgte, war ein wochenlanger Hickhack über die Frage, ob das Netz sofort heruntergefahren werden müsse oder noch Zeit bis zur Sommerpause sei. Und darüber, wer helfen dürfe, den Schaden zu beseitigen: nur der auf Autonomie pochende Bundestag selbst? Die Fachleute des BSI? Oder gar der Verfassungsschutz? Derweil flossen weitere 3,5 Gigabyte an Daten ab.
Das BSI mühte sich seither, die Spuren der Schadcodes und Angriffsinstrumente mit so kryptischen Namen wie "Coreshell" und "Xtunnel" nachzuverfolgen, parallel machten Mitarbeiter von Kaspersky Lab in Moskau dasselbe. In den vergangenen Monaten beobachteten diese erneut massive Attacken der Gruppe, gegen Regierungen anderer Nato-Staaten, aber auch gegen Rüstungsfirmen, insbesondere aus der Luft- und Raumfahrtbranche.
Die Gruppe arbeite hoch professionell, arbeitsteilig mit diversen Teams und verfüge über erhebliche personelle und finanzielle Mittel, sagt Kaspersky-Analyst Costin Raiu. "Allein im vergangenen Jahr hat Sofacy fünf verschiedene Zero Days eingesetzt, das ist ein Rekord." "Zero Day"-Attacken machen sich Wissen um bislang unbekannte Schwachstellen in Computerprogrammen zu eigen. Die Schlüssel für solche Hintertüren werden auf Graumärkten gehandelt, auf denen sich auch Geheimdienste tummeln. Sofacy attackierte in der Vergangenheit unter anderem Ziele in Frankreich, Großbritannien, Griechenland und Belgien.
Die Gruppe verfolge offenbar langfristige Aufklärungsziele, urteilt Raiu, von finanziellen Interessen sei bislang nichts bekannt. All das spreche für eine "state-sponsored attack", also einen Staat als Urheber. Kaspersky Lab hat zudem festgestellt, dass die Schadsoftware augenscheinlich auf Rechnern mit russischen Spracheinstellungen programmiert wurde.
Im Fall des Bundestags stellte das BSI quasi nebenbei fest, dass sich auch gewöhnliche Cyberkriminelle für die Abgeordneten interessieren. Bei der Spurensicherung im Parlakom-Netz stieß die Behörde auf etwa hundert Banking-Trojaner – kleine digitale Schnüffler, dazu angetan, die Bankdaten von Volksvertretern auszukundschaften, um ihre Konten plündern zu können.
Wie es scheint, haben sich die Abgeordneten mit arglosen Klicks transparenter gemacht, als ihnen für gewöhnlich lieb ist.
Von Maik Baumgärtner, Sven Röbel, Marcel Rosenbach und Jörg Schindler

DER SPIEGEL 50/2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGEL-Verlag Rudolf Augstein GmbH & Co. KG.

Dieser Artikel ist ausschließlich für den privaten Gebrauch bestimmt. Sie dürfen diesen Artikel jedoch gerne verlinken.
Unter http://www.spiegelgruppe-nachdrucke.de können Sie einzelne Artikel für Nachdruck bzw. digitale Publikation lizenzieren.


DER SPIEGEL 50/2015
Titelbild
Der digitale SPIEGEL
Diese Ausgabe jetzt digital lesen

Die digitale Welt der Nachrichten. Mit interaktiven Grafiken, spannenden Videos und beeindruckenden 3-D-Modellen.
Sie lesen die neue Ausgabe noch vor Erscheinen der Print-Ausgabe, schon freitags ab 18 Uhr.
Einmal anmelden, auf jedem Gerät lesen - auch offline. Optimiert für Windows 8, Android, iPad, iPhone, Kindle Fire, BlackBerry Z10 sowie für PC/Mac.

Abo-Angebote

Den SPIEGEL lesen oder verschenken und Vorteile sichern!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Artikel als PDF
Artikel als PDF ansehen

IT-Sicherheit:
Diebesgrüße aus Moskau

Video 03:51

Deutsche Rentner verlassen Venezuela "Die Leute schlachten Katzen und Hunde"

  • Video "Royal Wedding: Die schönsten Momente" Video 03:38
    Royal Wedding: Die schönsten Momente
  • Video "Kurioser Außeneinsatz auf der ISS: Astronauten verzweifeln an Kleinkamera" Video 01:26
    Kurioser Außeneinsatz auf der ISS: Astronauten verzweifeln an Kleinkamera
  • Video "Bauern gegen Wölfe: Immer Angst, dass hier ein gerissenes Kalb liegt" Video 03:20
    Bauern gegen Wölfe: "Immer Angst, dass hier ein gerissenes Kalb liegt"
  • Video "Eintracht-Feier nach Pokalerfolg: Zum Dank eine Dusche" Video 01:09
    Eintracht-Feier nach Pokalerfolg: Zum Dank eine Dusche
  • Video "Eine Niederlage zum Schluss: Ich muss erstmal zur Ruhe kommen" Video 00:50
    Eine Niederlage zum Schluss: "Ich muss erstmal zur Ruhe kommen"
  • Video "#MeToo-Rede in Cannes: Ihr werdet nicht davonkommen" Video 01:17
    #MeToo-Rede in Cannes: "Ihr werdet nicht davonkommen"
  • Video "Luftaufnahmen: Heiße Lava frisst sich durch Hawaii" Video 01:20
    Luftaufnahmen: Heiße Lava frisst sich durch Hawaii
  • Video "Planespotter-Video: Boeing 787 startet durch" Video 00:54
    Planespotter-Video: Boeing 787 startet durch
  • Video "Spritztour zur Hochzeitsfeier: See you!" Video 01:21
    Spritztour zur Hochzeitsfeier: See you!
  • Video "Berührende Royal Predigt: Die erlösende Kraft der Liebe" Video 00:57
    Berührende Royal Predigt: "Die erlösende Kraft der Liebe"
  • Video "Royal Wedding: Meghan dürfte einiges verändern" Video 02:38
    Royal Wedding: "Meghan dürfte einiges verändern"
  • Video "Magischer Moment bei der Royal Wedding: Gospelchor singt Stand by me" Video 03:25
    Magischer Moment bei der Royal Wedding: Gospelchor singt "Stand by me"
  • Video "Filmstarts im Video: Schlagfertiger Superheld auf Schurkenjagd" Video 08:23
    Filmstarts im Video: Schlagfertiger Superheld auf Schurkenjagd
  • Video "Rassistischer Vorfall in Manhattan: Die Angestellten sollten Englisch sprechen" Video 00:57
    Rassistischer Vorfall in Manhattan: "Die Angestellten sollten Englisch sprechen"
  • Video "Deutsche Rentner verlassen Venezuela: Die Leute schlachten Katzen und Hunde" Video 03:51
    Deutsche Rentner verlassen Venezuela: "Die Leute schlachten Katzen und Hunde"