IT-Sicherheit:Schläfer im Datennetz

IT-Sicherheit: Im Januar 2017 gelang es den Hackern, das Auswärtige Amt anzusteuern. Zwei Monate später drangen sie in sein Netz vor.

Im Januar 2017 gelang es den Hackern, das Auswärtige Amt anzusteuern. Zwei Monate später drangen sie in sein Netz vor.

(Foto: John Macdougall/AFP)
  • Bei dem Hackerangriff auf Regierungsnetze handelt es sich offenbar um eine weltweite Spionageaktion.
  • Die Bundesregierung äußerte sich am Freitag ausweichend zu der Frage, ob der Angriff inzwischen gestoppt ist oder noch läuft. Bei etlichen Abgeordneten entstand der Eindruck, die Sache sei keineswegs ausgestanden.
  • Die Bundesanwaltschaft nahm Vorermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit auf.

Von Reiko Pinkert, Constanze von Bullion und Hakan Tanriverdi, Berlin

Der Hackerangriff auf die Netzwerke der Bundesregierung, der seit Mittwoch für erhebliche Unruhe im Bundestag und bei deutschen Sicherheitsbehörden sorgt, ist Teil einer internationalen Spähaktion. Betroffen sind nach Informationen von NDR, WDR und SZ Länder in Südamerika, im Baltikum, in Skandinavien und auch in der ehemaligen Sowjetunion. Um welche Länder es sich konkret handelt, war am Freitag noch unklar, mit zwei Ausnahmen: Neben der Bundesrepublik soll auch die Ukraine betroffen sein.

Wie am Mittwoch durch einen Medienbericht bekannt wurde, ist es Hackern gelungen, ins Datennetz des Bundes einzudringen. Betroffen ist ein internes Kommunikationsnetz, das Kanzleramt und die Bundesministerien mit Teilen des Bundestags verbindet, mit dem Bundesrat, den Sicherheitsbehörden und auch einer Hochschule. Bisher galt das Datennetz als besonders gesichert. Nun hat die Bundesanwaltschaft Vorermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit aufgenommen.

Der Angriff auf das deutsche Regierungsnetz begann nach Informationen aus Sicherheitskreisen schon Ende 2016. Die Hacker schleusten über die Hochschule des Bundes einen Trojaner ein. Dieser schlummerte dort zunächst nur und übermittelte keine Daten an die Angreifer. Erst am 15. Januar 2017 wurde er aktiv. Nun gelang es den Hackern, das Auswärtige Amt anzusteuern und vermutlich im März 2017 in dessen Büronetzwerk vorzudringen. Ausgangspunkt des Angriffs wurde nun das Referat für Liegenschaften des Auswärtigen Amtes. Wohin die Daten flossen, ist den Behörden bekannt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ließ die Angreifer zunächst gewähren, um zu verstehen, welche Ziele sie verfolgen. Hinter dem Angriff stecke, so heißt es aus Sicherheitskreisen, eine Gruppe, die "Turla" genannt wird. Dabei handelt es sich nach Ansicht von IT-Sicherheitsexperten um eine der technisch versiertesten Hackergruppen, die im Auftrag der russischen Regierung agieren. Den Hackern soll es gelungen sein, insgesamt 17 Rechner der deutschen Behörden zu infizieren, darunter auch ein wichtiger Rechner. Eine geringe Anzahl an Dokumenten sei kopiert worden, einige mit Bezug zu Russland. Einer der Rechner gehörte demnach einem Mitarbeiter des Verteidigungsministeriums, der zu dieser Zeit im Auswärtigen Amt tätig war. Ursprünglich hieß es, auch das Verteidigungsministerium sei von dem Angriff betroffen. Das ist offenbar nicht der Fall.

Dass deutsche Behörden auf den Hackerangriff aufmerksam wurden, verdankten sie einem ausländischen Nachrichtendienst. Er teilte dem Bundesnachrichtendienst und dem Bundesamt für Verfassungsschutz demnach am 19. Dezember 2017 mit, es gebe den Anfangsverdacht eines Angriffs. Der Hinweis wurde an das Cyberabwehrzentrum weitergeleitet. Das Bundeskriminalamt wurde offenbar nicht informiert.

Die Bundesregierung äußerte sich am Freitag nur indirekt zu der Frage, ob der Angriff inzwischen gestoppt ist oder noch läuft. Er könne sich zu technischen Fragen aus Gründen der Geheimhaltung nicht äußern, sagte der Sprecher des Bundesinnenministeriums in Berlin. Zudem lasse sich im "Gesamtkomplex der IT-Systeme" bedauerlicherweise nie absolute Gewissheit erlangen. "Es gibt keine hundertprozentige Sicherheit." Unmittelbar nach Bekanntwerden des Angriffs sei die "akute Gefahr" abgewendet worden, so der Sprecher. Das bedeute allerdings nicht, dass die Maßnahmen der Sicherheitsbehörden abgeschlossen seien.

Im Bundestag, wo am Freitag in drei Ausschüssen über den Angriff informiert wurde, entstand bei etlichen Abgeordneten der Eindruck, die Sache sei noch keineswegs ausgestanden. Die Zugbrücke im Auswärtigen Amt sei hochgezogen, war etwa im Innenausschuss zu hören. Mit anderen Worten: Man könne davon ausgehen, dass die Hacker dort keine weiteren Dokumente mehr erbeuten können. Allerdings sei nicht ausgeschlossen, dass die Angreifer sich noch immer im System befinden oder auch anderswo eingestiegen sind.

Um die Angreifer zu stoppen, müsse man ihre Methoden möglichst genau kennen

Im Ausschuss Digitale Agenda des Bundestags wurden erhebliche Zweifel laut, ob die Behörden den Angriff im Griff haben. "Uns ist in der Sitzung bestätigt worden, dass die Aussage von Staatssekretär Ole Schröder falsch war, der Angriff sei von Anfang an unter Kontrolle gewesen", erklärte die Linken-Abgeordnete und Netzexpertin Anke Domscheit-Berg. Innenstaatssekretär Schröder hatte noch am Donnerstag behauptet, der Angriff sei "jederzeit voll kontrolliert" worden. Und weitere Fragen sind offen. Woher will die Bundesregierung wissen, wann genau der Angriff begann, wo die Daten des betroffenen Netzes doch jeweils nach drei Monaten gelöscht werden mussten? In der Folge gebe es nun "schwarze Löcher" bei der Rückverfolgung der Attacke, hieß es im Bundestag, der "Infektionsweg" sei unbekannt. Missglückt ist offenbar auch der Plan, die Täter zunächst still zu beobachten, um sie im März mit einem Notfallprogramm zu stoppen. Dem kam ein Informant zuvor, der die Deutsche Presseagentur über den Fall unterrichtete. Man versuche "Klarheit zu erhalten", ob die undichte Stelle "in der Bundesregierung" oder einer beteiligten Behörde zu finden sei, sagte der Sprecher des Bundesinnenministeriums. Eine Anzeige werde geprüft.

Zur SZ-Startseite

Lesen Sie mehr zum Thema