05.12.2015

IT-SicherheitDiebesgrüße aus Moskau

Die Hacker, die den Bundestag attackierten, greifen weitere Regierungen von Nato-Ländern an. Analysten glauben: Dahinter stecken Russen.
Die E-Mail hatte einen ehrenwerten Absender, es gab keinen erkennbaren Grund, ihr zu misstrauen. Am 30. April landete die Nachricht mit der Endung "un.org" in den Postfächern deutscher Bundestagsabgeordneter; sie stammte vermeintlich von den Vereinten Nationen. Wer jedoch den Link zu einem "News Bulletin" der Uno anklickte, öffnete unwissentlich Cyberspionen Tür und Tor zum digitalen Nervensystem des Bundestags. In mehr als einem Dutzend Abgeordnetenbüros tauchte die Mail im Postfach auf.
Auf diese banale Weise begann der bislang offenbar schwerste Hackerangriff auf ein deutsches Verfassungsorgan. Er führte, nach seiner Entdeckung, zu heftigen Debatten über den Schutz der Netze im Berliner Regierungsviertel. Und darüber, wie arg- und ahnungslos Abgeordnete, die auch Gesetze zur IT-Sicherheit beschließen, bisweilen mit eigenen Computern und Daten umgehen. Die Aufklärung der Hintergründe der Attacke gestaltete sich unterdessen zäh.
Nun liegt der Abschlussbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor, der teilweise als "vertraulich" eingestuft ist. Er beschreibt nicht nur, wie virtuos die Hacker ihren Angriff inszenierten. Er wirft auch ein peinlich grelles Licht darauf, wie dürftig der Bundestag seine Kommunikationssysteme in der Vergangenheit geschützt hat.
Die mutmaßlichen Urheber des Angriffs, eine Hackergruppe namens "Sofacy" oder "APT28", sind bereits seit fast zehn Jahren aktiv. Aus dem BSI-Bericht geht hervor, dass die Gruppe mindestens zwei osteuropäische Regierungen attackierte, bevor der Bundestag ihr Ziel wurde. Parallele Analysen der russischen IT-Sicherheitsfirma Kaspersky Lab ergaben, dass Sofacy seitdem ihr Arsenal verfeinert und die Zahl der Angriffe erhöht hat. In diesem Jahr hat die Gruppe demnach mehrere weitere Regierungen ins Visier genommen.
In Berlin gruben sich die Angreifer seinerzeit in Windeseile von den befallenen Rechnern der Parlamentarier aus weiter durchs Netz. Am Ende fanden sie Zugang zu 14 Servern des Parlakom-Netzes, darunter auch der Hauptserver, auf dem sämtliche Zugangsdaten zum Bundestag gespeichert sind.
Für Hacker ist das ein Glücksfall, für Betroffene der größte anzunehmende Unfall. Es ist, als ob ein Bankräuber den Generalschlüssel für sämtliche Räume und Tresore eines Geldhauses in Händen hielte.
Mitte Mai, kurz nachdem der Angriff bekannt geworden war, hatten die Hacker bereits 12,5 Gigabyte an Daten erbeutet. Was folgte, war ein wochenlanger Hickhack über die Frage, ob das Netz sofort heruntergefahren werden müsse oder noch Zeit bis zur Sommerpause sei. Und darüber, wer helfen dürfe, den Schaden zu beseitigen: nur der auf Autonomie pochende Bundestag selbst? Die Fachleute des BSI? Oder gar der Verfassungsschutz? Derweil flossen weitere 3,5 Gigabyte an Daten ab.
Das BSI mühte sich seither, die Spuren der Schadcodes und Angriffsinstrumente mit so kryptischen Namen wie "Coreshell" und "Xtunnel" nachzuverfolgen, parallel machten Mitarbeiter von Kaspersky Lab in Moskau dasselbe. In den vergangenen Monaten beobachteten diese erneut massive Attacken der Gruppe, gegen Regierungen anderer Nato-Staaten, aber auch gegen Rüstungsfirmen, insbesondere aus der Luft- und Raumfahrtbranche.
Die Gruppe arbeite hoch professionell, arbeitsteilig mit diversen Teams und verfüge über erhebliche personelle und finanzielle Mittel, sagt Kaspersky-Analyst Costin Raiu. "Allein im vergangenen Jahr hat Sofacy fünf verschiedene Zero Days eingesetzt, das ist ein Rekord." "Zero Day"-Attacken machen sich Wissen um bislang unbekannte Schwachstellen in Computerprogrammen zu eigen. Die Schlüssel für solche Hintertüren werden auf Graumärkten gehandelt, auf denen sich auch Geheimdienste tummeln. Sofacy attackierte in der Vergangenheit unter anderem Ziele in Frankreich, Großbritannien, Griechenland und Belgien.
Die Gruppe verfolge offenbar langfristige Aufklärungsziele, urteilt Raiu, von finanziellen Interessen sei bislang nichts bekannt. All das spreche für eine "state-sponsored attack", also einen Staat als Urheber. Kaspersky Lab hat zudem festgestellt, dass die Schadsoftware augenscheinlich auf Rechnern mit russischen Spracheinstellungen programmiert wurde.
Im Fall des Bundestags stellte das BSI quasi nebenbei fest, dass sich auch gewöhnliche Cyberkriminelle für die Abgeordneten interessieren. Bei der Spurensicherung im Parlakom-Netz stieß die Behörde auf etwa hundert Banking-Trojaner – kleine digitale Schnüffler, dazu angetan, die Bankdaten von Volksvertretern auszukundschaften, um ihre Konten plündern zu können.
Wie es scheint, haben sich die Abgeordneten mit arglosen Klicks transparenter gemacht, als ihnen für gewöhnlich lieb ist.
Von Maik Baumgärtner, Sven Röbel, Marcel Rosenbach und Jörg Schindler

DER SPIEGEL 50/2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGEL-Verlag Rudolf Augstein GmbH & Co. KG.

Dieser Artikel ist ausschließlich für den privaten Gebrauch bestimmt. Sie dürfen diesen Artikel jedoch gerne verlinken.
Unter http://www.spiegelgruppe-nachdrucke.de können Sie einzelne Artikel für Nachdruck bzw. digitale Publikation lizenzieren.


DER SPIEGEL 50/2015
Titelbild
Der digitale SPIEGEL
Diese Ausgabe jetzt digital lesen

Die digitale Welt der Nachrichten. Mit interaktiven Grafiken, spannenden Videos und beeindruckenden 3-D-Modellen.
Sie lesen die neue Ausgabe noch vor Erscheinen der Print-Ausgabe, schon freitags ab 18 Uhr.
Einmal anmelden, auf jedem Gerät lesen - auch offline. Optimiert für Windows 8, Android, iPad, iPhone, Kindle Fire, BlackBerry Z10 sowie für PC/Mac.

Abo-Angebote

Den SPIEGEL lesen oder verschenken und Vorteile sichern!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Artikel als PDF
Artikel als PDF ansehen

IT-Sicherheit:
Diebesgrüße aus Moskau

Video 01:17

Neue Jupiter-Animation Sturzflug in den "Großen roten Fleck"

  • Video "Officer down: Britische Polizei lacht über ausgerutschten Kollegen" Video 01:04
    "Officer down": Britische Polizei lacht über ausgerutschten Kollegen
  • Video "Abschied mit Tränen: Wolfgang Kubickis letzter Auftritt im Landtag" Video 02:00
    Abschied mit Tränen: Wolfgang Kubickis letzter Auftritt im Landtag
  • Video "Ex-SPD-Chef Kurt Beck über GroKo-Gespräche: Der gleiche Mist wie bei Jamaika" Video 02:12
    Ex-SPD-Chef Kurt Beck über GroKo-Gespräche: "Der gleiche Mist wie bei Jamaika"
  • Video "Star Wars am Wohnhaus: So haben Sie Darth Vader noch nie erlebt" Video 01:26
    Star Wars am Wohnhaus: So haben Sie Darth Vader noch nie erlebt
  • Video "Waffenschau in Washington: USA präsentieren Beweise für Irans Einmischung im Jemen" Video 00:56
    Waffenschau in Washington: USA präsentieren Beweise für Irans Einmischung im Jemen
  • Video "Bei Schnee auf die Rennstrecke: Weißes Rauschen" Video 00:55
    Bei Schnee auf die Rennstrecke: Weißes Rauschen
  • Video "Roy Moore erkennt Wahlergebnis nicht an: Der Kampf geht weiter" Video 02:13
    Roy Moore erkennt Wahlergebnis nicht an: "Der Kampf geht weiter"
  • Video "Tatort: Mit dem Blitzkrieg Bop gegen die AFD, brillant!" Video 04:29
    "Tatort": "Mit dem Blitzkrieg Bop gegen die AFD, brillant!"
  • Video "Filmstarts im Video: (Hoffentlich nicht) der letzte Jedi" Video 05:51
    Filmstarts im Video: (Hoffentlich nicht) der letzte Jedi
  • Video "Virales Video: Star-Wars-Crashtest" Video 01:22
    Virales Video: Star-Wars-Crashtest
  • Video "Großes Glück: Baby mit externem Herzen überlebt" Video 01:26
    Großes Glück: Baby mit externem Herzen überlebt
  • Video "Brexit-Abstimmung im Parlament: Rückschlag für May" Video 01:00
    Brexit-Abstimmung im Parlament: Rückschlag für May
  • Video "Weinstein über Hayek: Alle sexuellen Vorwürfe von Salma sind nicht korrekt" Video 00:58
    Weinstein über Hayek: "Alle sexuellen Vorwürfe von Salma sind nicht korrekt"
  • Video "Schlappe für Trump: Skandal-Republikaner verliert Wahl in Alabama" Video 01:46
    Schlappe für Trump: Skandal-Republikaner verliert Wahl in Alabama
  • Video "Jerusalem-Demo in Berlin: Mein Herz, mein Boden, mein Blut ist Palästina" Video 03:35
    Jerusalem-Demo in Berlin: "Mein Herz, mein Boden, mein Blut ist Palästina"
  • Video "Neue Jupiter-Animation: Sturzflug in den Großen roten Fleck" Video 01:17
    Neue Jupiter-Animation: Sturzflug in den "Großen roten Fleck"