Cyberangriff auf Ministerien: Hacker noch im Bundesnetz

Berlin taz | Die Nachricht kam über überraschend – zumindest für die Parlamentarier des Bundestags. Hacker attackierten das Datennetzwerk des Bundes offenbar seit Monaten. Derzeit mit Wissen der Behörden. „Es ist ein veritabler Cyberangriff auf Teile des Regierungsnetzes“, sagte der Vorsitzende des Parlamentarischen Kontrollgremiums, Armin Schuster (CDU).

Die Aufregung ist groß, sowohl unter den Experten im Bundesinnenministerium als auch unter den Abgeordneten. Das von Thomas de Maizière (CDU) noch geschäftsführend geleitete Ministerium hatte die Attacke auf die Informationstechnik und die Netze des Bundes bestätigt, aber versichert: „Innerhalb der Bundesverwaltung wurde der Angriff isoliert und unter Kontrolle gebracht.“

Am Donnerstag wurden die Abgeordneten von den Sicherheitsbehörden über den Angriff informiert. „Es mag gute Argumente geben, warum man bestimmte Informationen in den letzten Wochen sehr eng gehalten hat“, sagte der Grünen-Politiker Konstantin von Notz. Jedoch sei es völlig inakzeptabel aus den Medien zu erfahren, was „hier Phase ist“.

Der Fall ist nun Thema im Parlamentarischen Kontrollgremium und im Digitalausschuss des Bundestags. Offenbar gab es zuvor keine Unterrichtung der Abgeordneten durch die Bundesregierung. Unter anderem stieß bei Grünen und Linken auf scharfe Kritik, dass die Fachpolitiker die Informationen zur Cypberattacke aus der Presse erfuhren. Unklar ist zudem, welche Informationen tatsächlich von den Hackern aufgegriffen wurden. Bisherigen Informationen zufolge wurde der Angriff im Dezember 2017 entdeckt. Zu diesem Zeitpunkt hatten die Cyperspione bereits seit Monaten, vermutlich ein ganzes Jahr lang, Zutritt zum Verwaltungsnetz des Bundes.

Hintergründe nicht geklärt

Wer hinter dem Hack steht – darüber wird heftig spekuliert. Experten vermuten, dass die Cyberspione des russischen Hackerkollektiv „APT28“ den Angriff koordiniert und umgesetzt haben könnte. Sie hatten dabei konkrete Ministerien und Daten im Blick. Offenbar sind sowohl das Auswärtige Amt als auch das Verteidigungsministerium von den Hackern angegriffen worden.

APT28 steht für „Advanced Persistent Threat 28“. Die Hacker sind auch unter dem Namen „sofacy group“ oder „fancy bear“ bekannt. Die Gruppe zeigt immer wieder Verbindungen zur russischen Regierung und gilt als eine der aktivsten Cyberspionage-Einheiten. Laut der Sicherheitsagentur FireEye gehen die Hacker immer nach der gleichen Strategie vor: Sie stehlen vertrauliche Informationen und verbreiten diese dann – vor allem über die sozialen Medien. Die Gruppe wird auch mit der versuchten Einflussnahme auf die US-Präsidentschaftwahl 2016 in Zusammenhang gebracht.

Nicht das erste Mal

Es ist nicht das erste Mal, dass die IT-Netze des Bundes Opfer von Hackerangriffen wurden. Bereits im Frühsommer 2015 geriet der Bundestag ins Visier der digitalen Spione. Die Parlaments-IT schaltete daraufhin die Computersysteme des Bundestags ab, um das Netz auf den neuesten Sicherheitsstand zu bringen. Weder die Abgeordneten noch ihre Mitarbeiter hatten währenddessen Zugriff auf E-Mails oder Einträge auf ihren Webseiten.

Vor knapp drei Jahren speisten Datenhacker Trojaner in das Netzwerk und konnten somit Daten abzweigen. Bis heute ist nicht völlig geklärt, wer hinter dem Angriff steckte. Allerdings teilen Experten die Einschätzung, dass professionelle Netzwerke, zum Beispiel ausländische Geheimdienste, die Attacke veranlasst haben. Vermutlich kommt auch das Hackerkollektiv „APT28“ als Täter in Frage. Der heutige SPD-Generalsekretär Lars Klingbeil forderte nach dem Angriff in 2015, damals als netzpolitischer Sprecher der SPD-Fraktion im Bundestag, den Aufbau eines eigenständigen Hochsicherheitsnetzes, um weitere Attacken abzuwehren.

IT-Fachleute zeigen sich dagegen wenig überrascht vom aktuellen Angriff. Hacker seien den Sicherheitsexperten stets einen Schritt voraus, heißt es. Und: eindeutige digitale Spuren, die zu den Hintermännern der Attacke führen, seien nicht eindeutig auszumachen. Was wäre die Lösung? Der IT-Sicherheitsexperte Sandro Gaycken sprach sich im Deutschlanfunk eher für klassische Methoden der Datenverwahrung auf um Hackangriffe abzuwehren – nämlich auf Papier. (mit dpa)