Spionage Das steckt hinter dem Hackerangriff aufs Regierungsnetz

Ein ganzes Jahr lang könnten Hacker im besonders gesicherten Netzwerk des Bundes herumgeschnüffelt haben. Seit Dezember wissen die deutschen Behörden davon - nun ist das politische Berlin in Aufruhr.
Auswärtiges Amt in Berlin

Auswärtiges Amt in Berlin

Foto: DPA

Das bislang als sicher geltende Bundesnetz wurde Opfer eines Hackerangriffs. Nachdem Angreifer 2015 bereits den Bundestag attackiert hatten, sind staatliche Einrichtungen nun wieder zum Ziel geworden. Laut Sicherheitskreisen führt die Spur angeblich erneut nach Russland. Doch viele Fragen sind bislang offen. Lesen Sie hier, was man bisher weiß:

Wer wurde gehackt?

Das Bundesinnenministerium (BMI) spricht von einem "Sicherheitsvorfall, (…...) der die Informationstechnik und Netze des Bundes betrifft". Konkret geht es also um das sogenannte Datennetz der Bundesverwaltung - der Informationsverbund Berlin-Bonn (IVBB). Das berichtet die Nachrichtenagentur dpa unter Berufung auf Sicherheitskreise. Das Datennetz des IVBB bildet die Infrastruktur unter anderem für die interne Kommunikation der Bundesbehörden.

Auch die Namen von im Einzelnen betroffenen Ministerien kursieren, es soll um das Auswärtige Amt und das Bundesministerium der Verteidigung (BMVg) gehen. Die Informationen zum BMVg sind aber derzeit widersprüchlich. Es wurde möglicherweise angegriffen, aber ob der Angriff erfolgreich war, darüber gibt es verschiedene, bisher nicht öffentliche Informationen. Das mit der Aufklärung des Vorfalls betraute Bundesamt für Sicherheit in der Informationstechnik (BSI) will sich voraussichtlich am heutigen Donnerstag äußern.

Was ist das IVBB?

Das IVBB ist eines von drei Netzen, die vom Innenministerium verantwortet werden. Die beiden anderen sind das IVBV/BVN (Informationsverbund der Bundesverwaltung/Bundesverwaltungsnetz) und das Bund-Länder-Verbindungsnetz DOI. Das steht für Deutschland-Online-Infrastruktur.

Das IVBB gilt als vergleichsweise sicheres Netz. Es ist unter anderem durch Filter und Firewalls für bestimmte Websites und andere Maßnahmen vor üblichen Angriffen mit Schadsoftware geschützt. Damit einher gehen allerdings auch Nutzungseinschränkungen für die Anwender.

Genutzt wird das IVBB von Teilen des Bundestags, dem Bundesrat, dem Bundeskanzleramt und Bundesministerien, dem Bundesrechnungshof sowie Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten. Der technische Betrieb unterliegt vor allem der Telekom-Tochter T-Systems, bestimmte Sicherheitsmaßnahmen werden vom BSI durchgeführt. Es ist eine Art "großes Intranet", wie es das BSI mal beschrieb, das an zentralen Knotenpunkten ans öffentliche Internet angeschlossen ist.

Wer steckt hinter den Angriffen?

Angeblich soll die Spur nach Russland führen. Unter Berufung auf Sicherheitskreise berichtet die dpa zudem, dass die Gruppe APT 28 verdächtigt wird. Ob diese erste Verdächtigung tatsächlich stimmt, ist aber unklar. Denn bei der Rückverfolgung von Hackerangriffen, der sogenannten Attribution (mehr dazu hier), stützen sich die Experten zumeist auf uneindeutige Indizien.

Die Abkürzung APT steht für "Advanced Persistent Threat", also eine langfristige und ausgefeilte Bedrohung. Die russische oder von Russland unterstützte Gruppe ist seit Jahren berüchtigt und auch unter dem Namen Fancy Bear oder Sofacy bekannt. Sie wird unter anderem für den Bundestagshack im Jahr 2015 verantwortlich gemacht, als 16 Gigabyte Daten aus dem Bundestagsnetz "Parlakom" abflossen. Dieses gesonderte Netz ist aktuell aber nicht betroffen.

Wie groß ist der Schaden?

Laut einem Sprecher des Innenministeriums wurde die Attacke bereits im Dezember entdeckt. Damals lief sie aber schon über eine längere Zeit, womöglich ein ganzes Jahr. Mittlerweile sei der Angriff "isoliert und unter Kontrolle gebracht". Es seien derzeit keine angegriffenen Stellen außerhalb der Bundesverwaltung bekannt.

Abgesehen davon liegt das Ausmaß des Angriffs noch im Dunkeln: Laut dpa sollen mittels Schadsoftware Daten des Außen- und des Verteidigungsministeriums kopiert worden sein. Nach Informationen aus Sicherheitskreisen gegenüber dem SPIEGEL könnte sich der Datenabfluss aber womöglich auch nur auf das Außenministerium beschränken. Um welche Datenmenge es geht - einzelne Dateien oder die Inhalte mehrerer Festplatten - ist ebenfalls unklar.

Sollten die Angreifer nach bestimmten Informationen gesucht haben, wäre es womöglich nicht einmal nötig, Daten zu kopieren - das Mitlesen könnte ausreichen. Allein die Meldung über einen neuerlichen Hackerangriff auf staatliche Datennetze dürfte jedoch für einen immensen Vertrauensschaden in die staatlichen IT-Kompetenzen sorgen.

Die Frage, was die Hacker mit den 2015 erbeuteten 16 Gigabyte an Daten aus dem "Parlakom"-Netzwerk anstellten, ist bis heute nicht geklärt. Experten hatten Angst, dass der Hack zu peinlichen Veröffentlichungen kurz vor der Bundestagswahl 2017 führen würde. Das war aber nicht der Fall.

Was passiert jetzt?

Derzeit laufen nach Angaben des Innenministeriums "Analysen und Sicherungsmaßnahmen". An dem Vorfall werde "mit hoher Priorität und erheblichen Ressourcen gearbeitet." Wie der SPIEGEL aus Expertenkreisen erfuhr, sollen diese Ressourcen derart erheblich sein, dass andere BSI-Projekte dafür vorübergehend auf Eis gelegt wurden. Denkbar ist, dass die Angriffe über einen längeren Zeitraum beobachtet wurden, um mehr über die Täter und ihre Absichten zu erfahren.

Der Ausschuss Digitale Agenda wird sich am Donnerstag zu einer Sondersitzung treffen. Aus Parlamentskreisen hieß es laut Reuters, auch eine Sondersitzung des Parlamentarischen Kontrollgremiums (PKGr), das die Geheimdienste kontrolliert, sei möglich.

Grünen-Fraktionsvize Konstantin von Notz sagte, die Bundesregierung müsse schnellstmöglich aufklären, welche Daten konkret abgeflossen seien und ob im Zuge des Angriffs eine Sicherheitslücke verwendet wurde, die deutschen Behörden bekannt war. "Auch wird die Frage zu klären sein, warum die Öffentlichkeit erst jetzt über den Angriff informiert wurde." Wenn nach den verheerenden Angriffen auf den Bundestag und andere nun auch das sehr viel besser geschützte Regierungsnetz und Ministerien betroffen seien, zeige dies, "wie schlecht es um die IT-Sicherheit in unseren Land insgesamt steht".

Anmerkung: In einer früheren Version war versehentlich vom Bundesamt für Verteidigung die Rede. Richtig muss es selbstverständlich Bundesministerium der Verteidigung heißen. Der Fehler wurde korrigiert.

mit Material von dpa/Reuters
Die Wiedergabe wurde unterbrochen.