Nach wochenlanger Analyse ist es gelungen, die E-Mail zu identifizieren, über die Mitte Mai die Bundestagsrechner infiziert wurden. Hacker hatten unter anderem Administratorenpasswörter abgefangen und damit Zugriff auf das Netz des Bundestages. Nach Recherchen von NDR, WDR und SZ ist den Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) nun klar, wie die Systeme angegriffen wurden. Im Fall des Bundestags handelte es sich um eine E-Mail, die so aussah, als sei sie von den UN verschickt worden - hinter dem @-Symbol stand in der Adresse die Domain "un.org".
Die Mail thematisierte in der Betreff-Zeile den Ukraine-Konflikt, der eine Wirtschaft in Trümmern hinterlasse: "Ukraine conflict with Russia leaves economy in ruins". Angehängt war ein Link zu einem "UN News Bulletin". Mit dem Klick auf diesen Link gelangten die Nutzer zu einer Internetseite, die die Rechner mit dem verhängnisvollen Schadcode infizierte.
Die Mail ist weiterhin auf verschiedenen Rechnern des Bundestags gespeichert, darunter auch auf Computern von mehr als 30 Abgeordneten. Die wurden darüber erst am Freitag zu ihrer eigenen Überraschung durch die Bundestagsverwaltung informiert. Weshalb die Mail nicht bereits im Zuge der Wartungs- und Reparaturarbeiten am Bundestagsnetzwerk gelöscht wurde, ist unklar. Allerdings ist die schädliche Homepage, die in der Mail verlinkt ist, gesperrt.
Abgeordnete mehrerer Fraktionen zeigten sich verärgert, dass sie erst jetzt über den Verbleib der Mails informiert wurden. Steffi Lemke, Bundestagsabgeordnete der Grünen, erklärte NDR, WDR und SZ: "Ich halte es für einen unglaublichen Vorgang, dass wir erst jetzt darüber informiert wurden, dass sich diese Mails weiterhin im Bundestagsnetzwerk befinden." Die Bundestagsverwaltung müsse schnell darüber aufklären, seit wann BSI und Verwaltung von der Existenz der Mails wissen.
Mittlerweile hat das BSI auch herausgefunden, dass mehrere internationale Organisationen zeitgleich zum Bundestag angegriffen wurden. Darüber informierte ein Mitarbeiter der Behörde am Donnerstag die Kommission für den Einsatz neuer Informations- und Kommunikationstechniken- und -medien des Bundestages (IuK-Kommission). Details sind nicht bekannt.
Am Donnerstag verschickte Bundestagspräsident Norbert Lammert ein Schreiben an alle Abgeordneten. Darin heißt es: "Aktuell kann davon ausgegangen werden, dass die Schadsoftware des Angreifers und die damit verbundenen Auswirkungen beseitigt wurden."
Ist das wirklich so? Abgeordnete kritisieren die Informationspolitik im Bundestag. "Selbst in der IuK-Kommission fehlen Informationen", sagt Konstantin von Notz (Grüne). "Was genau passiert ist, aus welcher Richtung der Angriff kam - all das ist unklar. Mehr Transparenz wäre dringend angebracht."