Netz-Sicherheit Hackerangriff auf den Bundestag

Die Kuppel des Reichstagsgebäudes ist ein beliebtes Touristenziel. Hacker haben ein anderes Ziel: die Computer der Abgeordneten.

(Foto: Kay Nietfeld/picture alliance/dpa)
  • Mindestens zehn Abgeordnete aus allen Fraktionen sind von einem Hackerangriff auf den Deutschen Bundestag betroffen.
  • Die Vorgehensweise des Bundesamts für Sicherheit in der Informationstechnik (BSI) deutet auf einen ernstzunehmenden Vorfall hin.
  • Abgeordnete kritisieren die Informationspolitik der zuständigen Behörden in diesem Fall.
Von Hakan Tanriverdi

Unbekannte Hacker haben erneut versucht, in das Netz des Bundestages einzudringen. Nach Kenntnis der Süddeutschen Zeitung sind mindestens zehn Abgeordnetenbüros und alle im Bundestag vertretenen Fraktionen betroffen. Mit fünf Abgeordneten konnte die SZ über den Fall sprechen. Sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch das Bundesamt für Verfassungsschutz (BfV) haben den Angriff bestätigt. Ziel war unter anderem die Grüne Marieluise Beck, die schon einmal das Opfer von Hackern war. Die IT-Abteilung des Bundestages konnte den neuen Angriff abwehren. Abgeordnete kritisieren die Informationspolitik der zuständigen Behörden in diesem Fall.

Gesamtes IT-Netz des Bundestages muss ausgetauscht werden

Der Cyberangriff auf das IT-System des Bundestages ist so gravierend, dass es möglicherweise ein Jahr dauern könnte, bis der Schaden repariert ist. Inzwischen wächst die Kritik am Krisenmanagement von Bundestagspräsident Lammert. mehr...

Ein Sprecher des BSI teilte Anfang Februar mit, dass die Behörde "aufgrund von Auffälligkeiten im Netzwerkverkehr" im "engen Austausch" mit dem Bundestag stehe. Der Angriff wurde "aufgrund eines Hinweises des BfV" entdeckt. Von den Rechnern aus wurde versucht, Kontakt zu einer "potenziell schadhaften" Webseite aufzunehmen. Diese Verbindung wurde zur Sicherheit blockiert. Einer der Abgeordneten, der anonym bleiben will, teilt mit: "Wir haben bei der Leitungsebene der Bundestagsverwaltung nachgefragt und dort die Information bekommen, dass es sich nicht um ein einfaches Virus handelt, sondern um einen Hackerangriff."

Hinweise auf Serververbindungen zu einer israelischen Nachrichtenseite

Details sind von den zuständigen Stellen schwer zu bekommen. Das BSI teilte am Dienstagabend mit, dass die Analyse mittlerweile abgeschlossen sei, inhaltlich äußerte sich die Behörde nicht. Die Nutzerkonten auf den entsprechenden Rechnern wurden neu aufgesetzt. Die Behörde ließ sich von Abgeordneten Abbilder ihrer Festplatten schicken, um diese technisch auszuwerten. Dieser Umstand, und die Infektion mehrerer Rechner in kurzer Zeit, deuten darauf hin, dass es sich um einen ernst zu nehmenden Vorfall handelt. Technisch ausgewertet wird eine Festplatte nur dann, wenn der Verdacht besteht, dass sich auf ihr Spuren von Angreifern befinden.

Auch Becks Festplatten-Abbild befindet sich beim BSI. Sie und andere Abgeordnete sagten unabhängig voneinander, dass sie mit der Verwaltung des Bundestages gesprochen hätten. "Mir wurde von den Verantwortlichen gesagt, dass sie unter anderem auf Serververbindungen zu einer israelischen Nachrichtenseite gestoßen seien", sagt Beck. Auch einer ihrer Mitarbeiter habe diese Seite aufgerufen. Es ist unklar, ob der Mitarbeiter die echte Webseite besucht hat oder eine gefälschte Version, über die Schadsoftware auf seinen Computer geladen wurde. Die Verwaltung ließ Nachfragen dazu unbeantwortet, ebenso die Verantwortlichen der genannten Nachrichtenseite.

Die betroffene Abgeordnete fürchtet, dass die Behörden sie im Unklaren lassen

Dass der Angriff überhaupt erst erkannt wurde, hängt auch mit den Lehren zusammen, die der Bundestag nach dem Hackerangriff im Mai 2015 gezogen hat. Damals war es einer mutmaßlich russischen Hackergruppe gelungen, 16 Gigabyte an Daten aus dem Netzwerk auszuleiten. Seither greift auch der Bundestag auf Listen zurück, die das BSI erstellt und über die ein Zugang zu schadhaften Webseiten blockiert wird. Wenn also Schadsoftware, die sich auf Rechnern der Abgeordneten befindet, die Verbindung zu einer "potenziell schadhaften" Webseite aufbauen will, wird diese Verbindung geblockt.

Bereits im Jahr 2014 war Becks Büro von Hackern angegriffen worden. Erst zwei Jahre später, sagte sie der Frankfurter Allgemeinen Zeitung, erfuhr sie, dass es sich um die Hackergruppe APT29 gehandelt haben soll. Das sind Hacker, die Nachrichtendiensten zufolge im russischen Staatsauftrag agieren. Die Bundestagsverwaltung hat Beck und andere Abgeordnete über den Vorfall nicht weiter informiert. Beck kritisiert immer wieder Russlands Menschenrechtspolitik und steht in Kontakt mit russischen Dissidenten. Im Fall des neuen Angriffs geht sie jedoch nicht davon aus, dass der russische Staat etwas damit zu tun hat. Denn er traf mit seiner Attacke schließlich auch andere Abgeordnete.

Mitgeteilt wird Beck nicht einmal der Name der Schadsoftware

Seit Februar bleibt das BSI still. Keines der betroffenen Büros hat erfahren, wer sich hinter dem Angriff verbirgt und wie zielgerichtet dieser war. Konnte Beck 2014 noch in der Geheimschutzstelle des Bundestages nachlesen, welche Schadsoftware auf ihrem Rechner gefunden wurde - Sicherheitsforscher nennen sie "miniduke" -, so bekommt sie nun nicht einmal diese Information.

Die SZ hat unterdessen die technische Analyse auf der Grundlage des Informationsfreiheitsgesetzes (IFG) angefordert. Das Gesetz zwingt Behörden zur Transparenz - es sei denn, sie machen, wie das BSI in diesem Fall, eine Ausnahme geltend: nationale Sicherheit. Mit derselben Begründung lehnte die Bundestagsverwaltung eine IFG-Anfrage nach der E-Mail-Kommunikation zwischen ihr, dem BSI und dem BfV zu dem Angriff ab.

Was der Code russischer Elite-Hacker verrät

Sie hackten die US-Demokraten, sie hackten den Bundestag: Die SZ hat Teile einer Software analysieren lassen, mit der die mutmaßlich russische APT28-Gruppe operiert. Von Hakan Tanriverdi mehr...