Copy. Paste

FAQ Welche Daten haben die Hacker geklaut, und wie haben sie das angestellt?

Wie funktioniert ein Cyberangriff? Für einen externen Angriff auf ein Computernetzwerk gibt es grundsätzlich zwei Hauptwege: Die Schadsoftware, sogenannte Trojaner, können etwa durch einen infizierten Datenträger wie einen USB-Stick auf einen Rechner gelangen. Dies kann unwissentlich oder auch mit Vorsatz geschehen. Die zweite Möglichkeit ist ein klassischer Hacker-Angriff. Dabei wird von außen über das Internet auf das System zugegriffen, indem unbekannte Schwachstellen ausgenutzt werden. Wie genau die Angreifer im Bundestag vorgegangen sind, ist noch nicht bekannt.

Auf welche Daten können die Hacker zugreifen? Ist ein Computer als Einfallstor gefunden, kann von dort aus weiteroperiert werden, da alle circa 20.000 Rechner des Bundestages mit dem „Parlakom“-Netz verbunden sind. Den Hackern ist es offenbar gelungen, Kontrolle über den sogenannten Verzeichnisdienst zu übernehmen. Dieser Knotenpunkt dient als zentrale Nutzerverwaltung. Möglich wäre also der Zugriff auf sämtliche Accounts und Passwörter der Abgeordneten, ihrer Mitarbeiter und Angestellten des Bundestages, Mailinglisten und Datenbanken. Die Angreifer können sich selbst alle Rechte geben. Ob Daten, etwa des Geheimdienstausschusses, besonders geschützt sind, war zunächst unklar.

Werden Daten kopiert? Ja. Nach Informationen der Süddeutschen Zeitung sind fünf Rechner von Abgeordneten betroffen, darunter zwei Geräte der Linken und drei von der CDU. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von 15 Computern. Diese Rechner sollen benutzt worden sein, um Daten zu kopieren. Ihre IP-Adressen wurden inzwischen gesperrt. Ob der Angriff noch andauert, ist unklar. Doch über einen Zeitraum von mehreren Wochen, seit Mitte Mai, könnten theoretisch sämtliche Daten abgesaugt worden sein. Dies wäre allerdings eine überschaubare Menge an größtenteils nutzlosen Informationen. Tatsächlich gibt es aber Hinweise darauf, dass die Hacker gezielt vorgegangen und die Inhalte ganz bestimmter Laufwerke kopiert haben.

Wieso gelingt es nicht, den Angriff abzuwehren? Ein laufendes System zu reparieren ist schwierig, erst recht, weil es nicht möglich ist, den Abgeordneten Vorschriften zu machen, welche Geräte mit welchen System sie nutzen. Wenn es nicht gelingt, alle Angriffswege zu lokalisieren und entsprechend abzuwehren, bleibt nur die radikale Lösung. Das System muss komplett neu aufgesetzt werden – das Parlament wäre in dieser Zeit quasi arbeitsunfähig. Bundestagspräsident Norbert Lammert (CDU) soll bereits vor einigen Wochen diese Möglichkeit in Betracht gezogen haben. Dies hätte eine vorgezogene Sommerpause bedeutet.

Wer hat das technische Know-how für eine solche Attacke? Um einen solchen Angriff steuern zu können und dabei keine Spuren zu hinterlassen, die die eigene Identität verraten, braucht es viele Experten mit noch mehr Zeit. Das BSI und der Verfassungsschutz tippen auf einen ausländischen Geheimdienst. Hinweise sollen auf eine russische Urheberschaft deuten. Doch die Analyse ist schwierig. Versucht wird, Muster früherer Attacken wiederzuerkennen. Doch weil das auch die Hacker wissen, besteht auch die Gefahr falscher Fährten. Die Kompetenzen für einen solchen Angriff haben auch die USA, Großbritannien, Israel oder China.

Gab es einen vergleichbaren Angriff schon einmal? Cyberattacken auf Institution wie den Bundestag sind normal und finden regelmäßig statt. Doch so schwerwiegend war noch keine, auch nicht auf andere westliche Parlamente. Einen Angriff, der das halbe Land lahmlegte, musste Estland im Jahr 2007 erleben. Vermutlich russischen Hackern gelang es damals, Websites von Regierung, Parteien, Firmen, Banken, Handynetzbetreibern und Zeitungen lahmzulegen. Im Jahr 2013 drang der britische technische Nachrichtendienst GCHQ erfolgreich in das Netzwerk des Europäischen Parlaments ein und konnte so an vertrauliche E-Mails und persönliche Dokumente von Abgeordneten und IT-Experten des Hauses gelangen. FALK STEINER, ERIK PETER