Hack von BwFuhrpark Chauffeurdienst des Bundestags wurde mit Erpressersoftware angegriffen
Limousine hinter dem Reichstag (Archivbild)
Foto: Soeren Stache/ dpaDer Hackerangriff auf den Fahrdienstleister des Bundestags hat wohl weniger schwerwiegende Auswirkungen als zunächst zu befürchten war. Am Wochenende war bekannt geworden, dass die Bundeswehr-Tochter BwFuhrpark Opfer eines Cyberangriffs wurde. Weil das Unternehmen die Fahrten von Abgeordneten organisiert, könnten Hacker darüber theoretisch auch Privatadressen oder Bewegungsmuster und Treffen von Parlamentariern ausspähen.
Nun hat die IT-Verwaltung des Bundestags den Abgeordneten erste Ergebnisse ihrer Untersuchung des Vorfalls mitgeteilt. Demnach ist ein einzelner Computer befallen, der nicht direkt mit dem System verbunden sei, über das die Fahraufträge des Bundestags bearbeitet werden.
Es lägen auch aktuell keine Erkenntnisse darüber vor, dass aus diesem System Daten abgeflossen seien. So heißt es in einer E-Mail an die Parlamentarier von Dienstagabend, die dem SPIEGEL vorliegt. Zuerst hatte Tagesschau.de darüber berichtet .
Angriff lief über einen bekannten Erpressungstrojaner
Die IT-Verwaltung des Bundestags teilte außerdem weitere Details zum Angriff mit. Diese geben zumindest Anlass zur Annahme, dass es die Angreifer nicht auf sensible Daten abgesehen hatten. So sei das System der BwFuhrpark mit der bekannten Schadsoftware Emotet kompromittiert worden.
Emotet ist eine sogenannte Ransomware - also ein Erpressungstrojaner, der Daten seiner Opfer auf deren Computer verschlüsselt. Gegen eine Lösegeldzahlung werden die Daten wieder freigegeben. Die Schadsoftware wird von Cyberkriminellen weltweit breit gestreut. Sie wird eingesetzt, um Geld zu verdienen. Bisher sind keine Fälle bekannt, in denen Emotet zur gezielten Spionage eingesetzt wurde.
Allerdings kann Emotet weitere Schadsoftware nachladen und so die Art und Weise variieren, wie Angriffe ablaufen. IT-Sicherheitsforscher haben in den vergangenen Monaten bei anderen Ransomware-Typen beobachtet, dass diese in einigen Fällen auch genutzt werden , um Daten zu stehlen. Allerdings wurden die Daten dann genutzt, um den Druck auf die Opfer weiter zu erhöhen: indem mit einer Veröffentlichung gedroht wurde.
Auch das Bundesamt für Sicherheit in der Informationstechnik warnt auf seiner Website, dass mit Emotet theoretisch ein Datenabfluss möglich sei.
Wer hinter Emotet steckt, ist trotz der seit Jahren andauernden Angriffe weiterhin ein Mysterium. Einige Experten sagen, dass die Hintermänner in Russland oder Osteuropa zu finden seien. Auffällig ist, dass es fast nie zu Emotet-Infektionen in Russland kommt. (Lesen Sie hier mehr zur Jagd auf die Hintermänner von Emotet.)
Infiziert wurde der Computer von BwFuhrpark laut Angaben der IT-Verwaltung des Bundestags über eine E-Mail. Dieser Angriffsweg ist typisch für Erpressungstrojaner wie Emotet. Meist finden sich in den authentisch wirkenden E-Mails Links oder Anhänge, über die der Angriff automatisch beginnt, wenn sie angeklickt werden.
Politiker kritisieren lange Speicherung der Fahrdaten
Die Infektion wurde im aktuellen Fall jedoch frühzeitig erkannt, heißt es. Dadurch seien keine Daten verschlüsselt worden und der infizierte Computer wurde sofort vom Netz genommen, was eine Verbreitung von Emotet verhindern kann.
Im Zuge der aktuellen Untersuchung teilte die IT-Verwaltung des Bundestags den Parlamentariern mit, dass BwFuhrpark drei Monate nach einer Fahrt noch die Daten zu den Fahraufträgen speichere. Personenbezogene Daten werden danach gelöscht, heißt es.
Manuel Höferlin, digitalpolitischer Sprecher der FDP-Bundestagsfraktion, sagte, dass es eine derart lange Speicherfrist beim vorherigen Dienstleister nicht gegeben habe. "Das sollte sich auch der Bundesdatenschutzbeauftragte genauer anschauen", sagte Höferlin gegenüber Tagesschau.de . "Die anlasslose Bevorratung von Daten birgt enorme Sicherheitsrisiken", sagte Konstantin von Notz, Fraktionsvize der Grünen gegenüber dem Medium. Die betroffene Firma wollte sich laut dem Bericht nicht zum Sachverhalt äußern.
