Beobachteter Hackerangriff
Geheimdienst-Kontrolleure: Attacke auf Netze des Bundes läuft noch
Berlin. Der Hackerangriff auf die Netze des Bundes läuft noch. Das teilte das Geheimdienst-Kontrollgremium des Bundestages nach einer Unterrichtung durch Sicherheitsbehörden und Regierungsvertreter mit. Es handele sich um einen noch laufenden Angriff, sagte der Vorsitzende des Gremiums, Armin Schuster (CDU), am Donnerstag nach einer Sondersitzung. »Deswegen wären öffentliche Diskussionen über Details schlicht eine Warnung an die Angreifer, die wir nicht geben wollen.«
Der geschäftsführende Bundesinnenminister Thomas de Maizière (CDU) hält den Hackerangriff für einen »ernstzunehmenden Vorgang«. Es handele sich um einen »technisch anspruchsvollen und von langer Hand geplanten Angriff«, sagte de Maizière am Donnerstag in Berlin. Die Attacke sei isoliert und unter Kontrolle gebracht worden. Der hochprofessionelle Angreifer sei dabei – kontrolliert von den Sicherheitsbehörden – beobachtet worden, um weitere Erkenntnisse zu erhalten. »Diese Maßnahmen sind noch nicht abgeschlossen«, so de Maizière.
Wenn westliche Staaten von Hackern angegriffen werden, wird zumeist Russland dahinter vermutet. Beweise dafür zu finden, ist schwer. Auch wenn so gut wie nichts über das Ausmaß des jüngsten Hackerangriffs auf das Netz der Bundesregierung bekannt ist, muss die sich kritische Fragen gefallen lassen, denn: Vertraulichkeit ist eine wesentliche Voraussetzung für das Handeln von Regierungen. Doch am Mittwochabend musste das Bundesinnenministerium bestätigen, dass der als besonders sicher gepriesene Informationsverbund Berlin-Bonn offenbar von unbekannten Hackern erfolgreich unterwandert wurde. Zu den Nutzern des Informationsverbundes gehören das Kanzleramt, die Ministerien, der Rechnungshof sowie die obersten Sicherheitsbehörden.
Vermutlich 2017, so das Ministerium von Thomas de Maizière, sei Schadsoftware eingeschleust worden, die Angreifer haben wohl auch über eine längere Zeit Beute gemacht. Im Dezember hätten deutsche Sicherheitstechniker den elektronischen Einbruch entdeckt. Lapidar und äußert vage hieß es noch am Donnerstag: Die Verantwortlichen der Behörden seien informiert. Man habe Maßnahmen zur Aufklärung und zum Schutz getroffen. Der Angriff in die Bundesverwaltung sei isoliert und unter Kontrolle. Zunächst hieß es, das Außenamt und das Verteidigungsministerium seinen Angriffsziele gewesen, dann grenzte man alles auf das noch von Sigmar Gabriel (SPD) geführte Diplomatiezentrum ein. Dennoch setzten Mutmaßungen ein, auch andere EU-Staaten könnten betroffen sein.
Es gibt pro Tag rund eintausend Versuche, in das deutsche Regierungsnetz einzudringen. Die meisten sind harmlos. Einige wenige Neugierige schaffen es ab und zu, in offene Kommunikationsbereiche. Der
jüngste Fall scheint jedoch gravierender. Es heißt, deutsche Sicherheitsbehörden hätten die Angreifer über eine längere Zeit beobachtet und analysiert, um Informationen über deren Herkunft und Ziele zu gewinnen. So das nicht der Versuch ist, eigene Überlegenheit zu behaupten, ergeben sich Fragen: Wer hat entschieden, dass man mit den Angreifern, die offenbar ja schon fündig geworden sind, »Spielchen« treibt? Das für den Schutz der Netze zuständige Bundesamt für Sicherheit
in der Informationstechnik (BSI), das sofort nach Erkennen seine Mobile Incident Response Teams (MIRT) ins Auswärtige Amt entsandt hat, kaum. Das Bundesamt für Verfassungsschutz, das verantwortlich Spionageabwehr betreibt? Zwar lässt sich dessen Chef Hans-Georg Maaßen dazu hinreißen, Vermutungen über mögliche elektronische Manipulationen der Bundestagswahl zu streuen, doch so eine weitreichende »Spielentscheidung« trifft er nicht. Jedenfalls nicht ohne das Okay seines Chefs. Das ist noch Thomas de Maizière. Da er jedoch in der – vermutlich kommenden – schwarz-roten Regierung Horst Seehofer (CSU) Platz machen muss, wäre er in der Not ein geeigneter Sündenbock.
Was ist nun bei der Beobachtung der Hacker herausgekommen? Nicht viel Neues. Hinter dem Angriff, so wird lanciert, soll die Gruppe mit dem NATO-Code Advanced Persistent Threat 28, kurz APT 28,
Es gibt pro Tag rund eintausend Versuche, in das deutsche Regierungsnetz einzudringen. Die meisten sind harmlos.
stecken. Die wird seit 2004 beobachtet und in Russland verortet. Laut Experten ist die Gruppe zumindest regierungsnah, also im Bunde mit Moskaus geheimen Diensten. Heißt es. Im Mai 2015 soll sich die APT-28- Gruppe schon im Netz des Bundestages getummelt haben. Damals gab es vehemente Versuche der Regierung, das Parlament in das angeblich wesentlich sicherere Verbundsystem Berlin-Bonn einzugliedern. Doch man beließ es letztlich dabei, die IT des Bundestages auszutauschen. Vor einem Jahr gerieten dann die KonradAdenauer-Stiftung der CDU und die Friedrich-Ebert-Stiftung der SPD ins Netz von Cyberkriminellen. Dass die zur APT 28 gehörten, wurde behauptet, doch belegt ist nichts.
Nicht nur in Hackerkreisen weiß man, wie schwer es ist zu beweisen, dass ein Angriff aus diesem oder jenem Land, von dieser oder jener Gruppe vorgetragen wurde. Noch schwerer ist es, Auftraggeber von Hackern zu benennen. Es geht lediglich um Plausibilität. Im Falle von ATP 28 – auch »Fancy Bear«, »Sofacy Group«, »PawnStorm« oder »Strontium« genannt – konnte man sich bislang etwa darauf stützen, dass sich kyrillische Schriftzeichen in den Programmen befinden, dass die Angreifer vor allem zu Moskauer Bürozeiten aktiv waren und dass gezielt jene attackiert wurden, die irgendwie in Konflikt mit Russland geraten sind. Man registriert – wie bei jedem gewöhnlichen Wohnungseinbruch – gemeinsame Spuren und Methoden. Doch Beweise sind das nicht. Wie immer im Geheimdienstmilieu kann man auch davon ausgehen, dass Gegner unter »falscher Flagge« unterwegs sind. Es ist eigenartig, wie schnell die Bundesregierung vergessen hat, wer das Handy der Kanzlerin sowie den IT-Zugang verschiedener Regierungsstellen gehackt hat. Das war der größte US-Geheimdienst NSA und der wird aller Wahrscheinlichkeit nach nicht von Moskau gelenkt. Jedenfalls hat der Whistleblower Edward Snowden darüber nicht berichtet. Um die politische Verantwortung für die jüngste Attacke auf das deutsche Regierungsnetz exakt benennen zu können, müsste es in Moskau schon einen »Eduardowitsch Snegow« geben. Doch das ist eher unwahrscheinlich.