SPIEGEL ONLINE

Cyberattacke auf Regierung Behörden vermuten russische Hackergruppe "Snake" als Täter

Hinter dem Cyberangriff auf das Regierungsnetz steckt nach SPIEGEL-Informationen die russische Hackergruppe "Snake". Sie soll sich über die Bundesakademie für öffentliche Verwaltung ins Netz gehackt haben.

Der Cyberangriff auf das deutsche Regierungsnetz soll nach SPIEGEL-Informationen von der mutmaßlich russischen Hackergruppe "Snake", die auch unter dem Namen "Turla" bekannt ist, orchestriert worden sein. Zeitgleich lief diese Information auch über die Nachrichtenagentur dpa, die diesen Fall am Mittwoch bekannt gemacht hatte.

Nach Erkenntnissen der Sicherheitsbehörden soll die Gruppe, die dem russischen Geheimdienst zugeordnet wird, mit dem Angriff versucht haben, an deutsche Regierungs-Interna zu kommen.

Nach SPIEGEL-Informationen hatten sich die Angreifer über die Bundesakademie für öffentliche Verwaltung, einer Einrichtung der Hochschule des Bundes, in das bisher als sicher geltende Regierungsnetz gehackt. Nachdem dort auf einem oder mehreren Rechnern eine Schadsoftware eingeschmuggelt worden war, suchten sie sich in den weit verzweigten Servernetzen des Bundes einen Pfad ins Auswärtige Amt (AA).

Sicherheitsexperten halten die "Snake"-Attacken für deutlich komplexer als die Hackergruppe APT 28, die von der Nachrichtenagentur dpa zunächst für das Eindringen in das Regierungsnetz IVBB verantwortlich gemacht wurde. Aus Sicherheitskreisen hieß es, die Hacker versuchten, in geschlossenen Systemen gezielt nach verwertbaren Informationen zu suchen statt wie APT 28 so viel wie möglich an internen Daten auszuleiten.

"Snake" wird für zahlreiche Hackerangriffe auf internationale Organisationen, Rüstungsunternehmen und Regierungen verantwortlich gemacht. Der estnische Geheimdienst geht davon aus, dass der russische Geheimdienst FSB hinter der Gruppe steht. Diverse Sicherheitsunternehmen fanden zudem in den Codes der Hacker Spuren, die nach Russland führen.

Auf dem falschen Fuß erwischt

Die neuen Hinweise illustrieren, wie ernst der am Mittwoch bekannte Hackerangriff war. Demnach suchten die Hacker gezielt im Auswärtigen Amt (AA) nach Informationen über die deutsche Ost-Politik. Das Verteidigungsministerium, das nach ersten Meldungen der dpa ebenfalls von der Attacke betroffen war, konnte inzwischen nach SPIEGEL-Informationen einen Datenabfluss aus den eigenen Netzen ausschließen.

Am Donnerstag unterrichtete die Bundesregierung, die durch die Veröffentlichung am Tag zuvor auf dem falschen Fuß erwischt worden war, erstmals das Geheimdienstkontrollgremium über die Vorgänge. Gut zwei Stunden saßen die Abgeordneten in einem abhörsicheren Raum im Bundestag zusammen und ließen sich die bisherigen Erkenntnisse schildern.

Nach der Sitzung deuteten verschiedene Parlamentarier an, dass die Veröffentlichung des Cyberangriffs die Ermittlungen der Täter gestoppt hätten. Der Grünen-Abgeordnete Konstantin von Notz sagte, es gebe offenbar gute Argumente, warum bestimmte Informationen in den vergangenen Wochen "sehr eng" gehalten worden seien.

"Beträchtlicher Schaden"

Sein Unions-Kollege, der Vorsitzende des Kontrollgremiums Armin Schuster, sprach von einem "beträchtlichen Schaden". "Das angeblich so sichere Datennetz des Bundes ist leider nicht wirklich sicher", sagte der Linken-Geheimdienstkontrolleur André Hahn. "Ansonsten wäre das Eindringen über einen Hackerangriff auf hochsensible Bundesbehörden nicht möglich gewesen."

Nach Informationen aus Sicherheitskreisen war die Attacke auf das deutsche Regierungsnetz, das bisher als besonders sicher galt, im Dezember entdeckt worden, lief da aber wohl schon mehrere Monate. Was die Hacker genau erbeuteten, lässt sich demnach bisher noch nicht genau rekonstruieren.