Cyberangriff auf das Parlament Bundestag bestätigt Abfluss von E-Mail-Daten

Beim Cyberangriff auf den Deutschen Bundestag sind auch E-Mail-Daten kopiert worden. Das bestätigt ein Parlamentssprecher nun. Dass auch der Rechner von Angela Merkel betroffen sei, will der Bundestag aber ausdrücklich nicht bestätigen.
Reichstagsgebäude in Berlin: E-Mail-Daten entwendet

Reichstagsgebäude in Berlin: E-Mail-Daten entwendet

Foto: Maurizio Gambarini/ dpa

Die interne Rundmail mit dem Betreff "Angriff auf das Datennetz" erreichte die Bundestagsabgeordneten am Donnerstagnachmittag. Knapp sechs Wochen nach Entdeckung des bislang schwersten Hackerangriffs auf das deutsche Parlament versorgte Bundestagsdirektor Horst Risse die 631 Volksvertreter mit Ratschlägen zum sicheren Umgang mit ihren Dienstcomputern. Unter anderem bat Risse darum, "Anhänge von E-Mails, deren Ursprung unklar ist" nicht zu öffnen, "unbekannten Links in E-Mails" nicht zu folgen und "keine USB-Geräte unbekannter Herkunft" zu verwenden.

Die Verhaltensregeln, die für jeden halbwegs kundigen Internetnutzer eigentlich eine Selbstverständlichkeit sein sollten, kamen reichlich spät: Experten vermuten, dass die Hacker bereits vor einiger Zeit erfolgreich in das Bundestagsnetz "Parlakom" eingedrungen waren, offenbar mithilfe in E-Mails versteckter Schadsoftware.

Nach bisherigen Erkenntnissen sind Rechner in mindestens 15 Abgeordnetenbüros betroffen. Bei der Cyberattacke kopierten die Spione offenbar auch gigabyteweise E-Mails von Parlamentariern, die in digitalen Archiv-Dateien des Mail-Programms "Outlook" gespeichert waren.

Inzwischen bestätigte Bundestagssprecher Ernst Hebeker SPIEGEL ONLINE, "dass bei dem Angriff E-Mail-Daten von Abgeordneten abgeflossen sind". Über Art und Umfang der von den Hackern erbeuteten Daten machte Hebeker keine Angaben und verwies auf die "noch nicht abgeschlossenen Untersuchungen".

Ausdrücklich nicht bestätigen wollte Hebeker einen Medienbericht, wonach auch ein Computer im Bundestagsbüro von Kanzlerin Angela Merkel mit dem Trojaner infiziert worden sei. Am Wochenende hatte die "Bild am Sonntag" berichtet, der Merkel-Rechner sei einer der der ersten gewesen, "bei dem der Trojaner nachgewiesen werden konnte".

Unterdessen verdichten sich Hinweise, dass die Spur der Bundestags-Spione nach Russland führt. Am Freitag veröffentlichte die Fraktion der Linken  einen eigenen Untersuchungsbericht zum Cyberangriff auf ihre Server.

Nach Recherchen des IT-Forensikers Claudio Guarnieri, den die Fraktion mit der Analyse der Attacke beauftragt hatte, steckt womöglich die Hacker-Gruppe "APT28" dahinter, auch bekannt als "Sofacy Group" oder "Operation Pawn Down". Guarnieri betont aber auch, dass es bei solchen Angriffen stets möglich sei, dass die Herkunft bewusst verschleiert oder gezielt falsche Fährten gelegt würden.

Die Gruppe mit dem Spitznamen Sofacy wird nach Ansicht von Sicherheitsexperten von staatlichen russischen Stellen unterstützt. Sie soll seit rund neun Jahren aktiv sein und vornehmlich staatliche Institutionen attackieren. Laut Guarnieri haben die Cyberkrieger bereits "erfolgreich Außen- und Innenministerien von Ex-Sowjet-Staaten, osteuropäische Regierungen und Militäreinrichtungen sowie die NATO und das Weiße Haus angegriffen".

Bei der Attacke auf das Bundestagsnetz suchten die Hacker dem Guarnieri-Bericht zufolge automatisiert nach PDF-Dateien, sowie Exel- und Worddokumenten jüngeren Datums.