Thomas de Maizière, der Innenminister, hatte einen guten Rat fürs Parlament. Der Bundestag, gerade Opfer eines Hackerangriffs geworden, möge es fortan doch so halten wie die Regierung: "Der Schutzschild, den die Bundesregierung und die Bundesverwaltung um sich gezogen haben, funktioniert, und er funktioniert ziemlich gut", sagte er selbstbewusst im Plenum. Das war am 12. Juni 2015.
De Maizière sprach vom Informationsverbund Berlin-Bonn (IVBB), dem speziell gesicherten Netzwerk der Exekutive. An ihm hängen Bundesrat, Kanzleramt und Bundesministerien, Bundesrechnungshof und Sicherheitsbehörden in Berlin und Bonn und in Teilen der Bundestag. Seit Mittwoch dieser Woche weiß man: Auch der IVBB, auch die Bundesregierung ist hackbar.
Das Kommunikationsnetz besteht seit 1999 und sollte vor allem den Datenverkehr zwischen der alten Hauptstadt Bonn, wo damals noch mehr Behörden saßen, und Berlin sichern. Es wird von der Telekom betrieben und läuft auf Hardware, die für den IVBB konstruiert wurde. An den Schnittstellen von IVBB und öffentlichem Telekom-Netz sind sogenannte Sina-Boxen installiert, die eine verschlüsselte Verbindung über ein virtuelles privates Netzwerk (VPN) herstellen. Das bedeutet, dass der Datenverkehr zwischen den Behörden in einer Art virtuellem Tunnel verläuft, der besonders geschützt ist. Die Verbindungen zwischen IVBB und öffentlichem Internet sind durch Firewalls geschützt. Die IT der einzelnen Ministerien und des Kanzleramts selbst ist noch einmal gesichert.
Der Verdacht fällt auf die Gruppe "Snake"
Wer hat sich nun dennoch ins IVBB eingeschlichen - und wie? In Medienberichten tauchte schnell der Name "APT 28" auf. Tatsächlich soll es sich nach Informationen aus Sicherheitskreisen aber um die ebenfalls russische Hackergruppe "Snake" handeln. Sie gilt als technisch sehr versiert und wird oft den russischen Nachrichtendiensten zugeordnet. Diese Art von Angreifer werden "Advanced Persistent Threat" (APT) genannt, weil sie über genug Zeit und Ressourcen verfügen, um sich langfristig in Netzen einzunisten. Sie handeln meist im Auftrag eines Staates. Herauszufinden, wer hinter einem Angriff steckt, kann aber sehr schwierig sein. Einschätzungen von IT-Sicherheitsforschern sind meist keine gerichtsfesten Beweise, sondern nur eine Sammlung von Indizien.
APT-Gruppen suchen sich stets den einfachsten Weg in ein Netzwerk hinein. Das kann zum Beispiel eine Mail mit PDF-Anhang sein, die ein Sachbearbeiter erhält. Weil es sein Job ist, solche Anhänge zu öffnen, ist die Wahrscheinlichkeit hoch, dass sein Computer zum Einfallstor für die Hacker wird. Ein argloser Klick, und der Schadcode ist auf seinem Rechner. Damit er auch aktiviert wird, müssen Nutzer dabei - unbewusst - nachhelfen. Das geschieht etwa, wenn eines ihrer Programme automatisch Zusatzelemente ausführt, sogenannte Makros - und mit ihnen den Schadcode. Einmal im Netzwerk, versuchen Angreifer, sich auszubreiten. Ihr Ziel ist, auf Rechner zu gelangen, die über mehr Zugriffsrechte und mehr Informationen verfügen.
Die Verteidiger müssen sehr vorsichtig sein
Die Angreifer durchsuchen den infizierten Rechner nach Passwörtern von Administratoren. Mit denen melden sie sich auf anderen Rechnern an. Nun können die Hacker gezielt nach Daten suchen. Haben sie interessante Informationen ergattert, schicken sie diese an Server im Internet, die sie kontrollieren. Meist werden schlecht geschützte Server übernommen.
Wenn Sicherheitsexperten einen Hacker-Angriff aufklären, müssen sie vorsichtig sein. Sie können zum Beispiel nicht einfach die Angreifer aus dem Netz werfen, wenn sie diese aufgespürt haben. Zu groß ist die Gefahr, dass die Gegner noch andere Stellen kennen, über die sie wieder in das Netzwerk eindringen können. Also verfolgt die Verteidigung die Angreifer auf Schritt und Tritt. Baut eingeschleuste Schadsoftware Verbindungen zu einem Server im Internet auf, analysieren die Sicherheitsleute ihn - unter anderem, ob er aus früheren Angriffen bekannt ist, aus denen man mehr Informationen hat. Zu den technischen Indizien kommen nachrichtendienstliche Erkenntnisse.
An der Aufklärung des aktuellen Falles sind das Bundesamt für Sicherheit in der Informationstechnik, der Verfassungsschutz und der Bundesnachrichtendienst beteiligt. Wer auch immer die Angreifer sind: Spätestens seit diesem Mittwoch wissen sie, dass sie beobachtet werden.
