Angriff aufs Regierungsnetz Hacker drin, draußen Stille

Seit Monaten wussten die Sicherheitsbehörden vom Hackerangriff aufs Regierungsnetz. Fachpolitiker ärgern sich, dass sie nicht informiert wurden - dabei könnte das Teil der Strategie sein.
Beamter der Bundespolizei patroulliert vor dem Auswärtigen Amt

Beamter der Bundespolizei patroulliert vor dem Auswärtigen Amt

Foto: Kay Nietfeld/ dpa

Die Abgeordneten des Deutschen Bundestages sind merklich irritiert. Von dem Hackerangriff auf das Regierungsnetzwerk haben selbst die Fachpolitiker aus den Medien erfahren - Monate, nachdem die Sicherheitsbehörden die Angriffe bemerkt hatten.

Patrick Sensburg, Geheimdienstexperte der CDU, sagte im ZDF-Morgenmagazin: "Dass so etwas stattgefunden hat, ein Hacker-Angriff, das waberte gerüchteweise, aber wir hatten offiziell keine Unterrichtung der Bundesregierung". "Es ärgert mich, dass das Parlament nicht proaktiv informiert wurde", sagte der digitalpolitische Sprecher der FDP, Manuel Höferlin, dem "Handelsblatt" . Und auch Anke Domscheit-Berg, Obfrau der Linksfraktion im Digitalausschuss des Bundestages, ist sauer: Dass man als fachlich zuständige Abgeordnete erst aus der Presse von den Vorfall erfahren, sei "schon wirklich skandalös", sagte sie im ZDF-Morgenmagazin.

Angreifer war laut Innenministerium "jederzeit voll kontrolliert"

Der parlamentarische Staatssekretär im Innenministerium, Ole Schröder, sagte dem Redaktionsnetzwerk Deutschland am Donnerstagvormittag, der Angreifer sei "jederzeit voll kontrolliert von den Sicherheitsbehörden beobachtet worden, um weitere Erkenntnisse über den Angriffsmodus zu erhalten und Sicherheitsmaßnahmen im (Bundesnetz) IVBB einzuleiten".

Die Sicherungsmaßnahmen seien noch nicht abgeschlossen, fügte der CDU-Politiker hinzu, ohne Details zu nennen. Um die Aufklärung des Falles nicht zu gefährden, solle es keine weiteren öffentlichen Informationen geben.

Zurückhalten - und aufklären?

Das von Schröder nun beschriebene Vorgehen ist in der IT-Welt nicht unüblich, wenn man einen Angreifer entdeckt hat. Die Analyse eines Hackerangriffs ist zudem aufwendig: Dazu gehört die nachträgliche IT-forensische Untersuchung von Code-Artefakten in den betroffenen Systemen, die Rückschlüsse auf ihre Programmierer beinhalten können. Aber auch die Beobachtung, worauf die Täter gerade zugreifen oder wohin sie Daten ausleiten wollen, gehört zu den gängigen Methoden.

Hätten die Behörden frühzeitig die Abgeordneten informiert, wäre das möglicherweise einer Warnung an die Täter gleichgekommen, legt nun auch Schröders Äußerung aus dem Innenministerium nahe. Denn je mehr Menschen von dem Angriff gewusst hätten, desto eher wären die Informationen an die Öffentlichkeit gelangt. Hätten sich die Angreifer daraufhin schnell zurückgezogen, wäre die Aufklärung möglicherweise erschwert worden.

Doch keine Stellungnahme vom BSI

Erst am heutigen Donnerstag wollen Regierung und Sicherheitsbehörden die Parlamentarier informieren. Im Laufe des Tages kommen zu diesem Zweck sowohl der Digitalausschuss als auch das sogenannte Parlamentarische Kontrollgremium zusammen. Das ist für die Kontrolle der Nachrichtendienste zuständig und hat das Recht, von der Bundesregierung über Tätigkeiten der Dienste sowie besondere Vorgänge unterrichtet zu werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagiert ungewöhnlich: Am Mittwochabend heißt es aus der Pressestelle, das BSI werde am Donnerstag ein Statement abgeben, nach der Sitzung des PKGr. Am Donnerstagvormittag kommt eine E-Mail, das BSI könne "entgegen unserer Ankündigung" doch keine Stellungnahme "zum IT-Sicherheitsvorfall in der Bundesverwaltung" abgeben. Anfragen seien ans Bundesinnenministerium zu richten.

Bis dahin gibt es nur bruchstückhafte und teils widersprüchliche Informationen über den Hack (lesen Sie hier im Detail, was bislang bekannt ist): Bis mindestens zum gestrigen Mittwoch soll er gedauert haben, berichtet die dpa unter Berufung auf Sicherheitskreise. Dazu passt die Aussage aus dem Innenministerium, der Angriff sei nun "isoliert" - das bedeutet nämlich nicht, dass er gestoppt und die Täter mit ihrer Schadsoftware aus dem Netz entfernt wurden.

Wie erfolgreich war der Angriff?

Im Dezember 2017, hieß es gestern, sollen die Behörden den Angriff bemerkt haben. Damit hätte er mindestens zwei bis drei Monate lang angehalten, möglicherweise aber auch ein ganzes Jahr, wie die dpa erfahren haben will.

Dass neben dem Auswärtigen Amt auch das Verteidigungsministerium betroffen sein soll, wie gestern kolportiert wurde, ist nach bisherigem Stand falsch. Bundeswehr und Verteidigungsministerium sind nach übereinstimmenden Informationen von SPIEGEL und anderen Medien nicht gehackt worden.

Ob überhaupt Daten aus dem Regierungsnetz kopiert wurden, ist offiziell noch unklar, es gibt dazu verschiedene inoffizielle Angaben. Der Angriff könnte trotz seiner Dauer also eher erfolglos verlaufen sein. Staatssekretär Schröder gab sich jedenfalls am Donnerstag selbstbewusst: "Es handelt sich um eine äußerst erfolgreiche Operation der Sicherheitsbehörden des Bundes: Es ist in exzellenter Zusammenarbeit gelungen, einen Hackerangriff auf das Netz des Bundes zu isolieren und unter Kontrolle zu bringen."

Wer als Täter in Frage kommt, ist noch offen. Mehrere Abgeordnete, darunter CDU-Mitglied Sensburg und Linken-Politikerin Domscheit-Berg, wollen von Indizien wissen, die auf russische Täter hindeuten. Dieser Verdacht verbreitete sich schon mit den ersten Meldungen über den Hackerangriff. Die dpa berichtete unter Berufung auf Sicherheitskreise zudem noch konkreter, dass die Hackergruppe Fancy Bear alias APT 28 verantwortlich sei. Sie wird für den Hackerangriff auf den Bundestag 2015 verantwortlich gemacht und soll der russischen Regierung beziehungsweise dem russischen Militärgeheimdienst GRU nahestehen.

Es kursieren aber auch Informationen, nach denen der Angriff für APT 28 untypisch war. Dass APT 28 laut dem IT-Sicherheitsunternehmen FireEye  in den vergangenen Monaten in ganz Europa aktiv war, ist jedenfalls für sich genommen kein Beleg dafür, dass die Gruppe auch ins deutsche Regierungsnetz eingedrungen ist. Sie besteht seit mehr als zehn Jahren, und besonders rege Aktivitäten werden immer wieder verzeichnet. So stellte das Bundesamt für Verfassungsschutz im Jahr 2016 einen "eklatanten Anstieg " von gezielten Versuchen durch APT 28 fest, deutsche Parteien und Bundestagsfraktionen mit manipulierten E-Mails Schadsoftware unterzuschieben.

mit Material von Reuters