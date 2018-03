International

Das steckt hinter dem Hacker-Angriff auf das Regierungsnetz



Das steckt hinter dem Hacker-Angriff auf das deutsche Regierungsnetz

Ein ganzes Jahr lang könnten Hacker im besonders gesicherten Netzwerk des Bundes herumgeschnüffelt haben. Seit Dezember wissen die deutschen Behörden davon - nun ist das politische Berlin in Aufruhr.

Patrick Beuth und Angela Gruber

Das bislang als sicher geltende Bundesnetz wurde Opfer eines Hackerangriffs. Nachdem Angreifer 2015 bereits den Bundestag attackiert hatten, sind staatliche Einrichtungen nun wieder zum Ziel geworden. Laut Sicherheitskreisen führt die Spur angeblich erneut nach Russland. Doch viele Fragen sind bislang offen. Lesen Sie hier, was man bisher weiss:

Wer wurde gehackt?

Das Bundesinnenministerium (BMI) spricht von einem «Sicherheitsvorfall, ( ...) der die Informationstechnik und Netze des Bundes betrifft». Konkret geht es also um das sogenannte Datennetz der Bundesverwaltung - der Informationsverbund Berlin-Bonn (IVBB). Das berichtet die Nachrichtenagentur dpa unter Berufung auf Sicherheitskreise. Das Datennetz des IVBB bildet die Infrastruktur unter anderem für die interne Kommunikation der Bundesbehörden.

Auch die Namen von im Einzelnen betroffenen Ministerien kursieren, es soll um das das Auswärtige Amt und das Bundesministerium der Verteidigung (BMVg) gehen. Die Informationen zum BMVg sind aber derzeit widersprüchlich. Es wurde möglicherweise angegriffen, aber ob der Angriff erfolgreich war, darüber gibt es verschiedene, bisher nicht öffentliche Informationen. Das mit der Aufklärung des Vorfalls betraute Bundesamt für Sicherheit in der Informationstechnik (BSI) will sich voraussichtlich am morgigen Donnerstag äussern.

Angriff auf Ministerien in ganz Europa? Die Cyberattacke auf deutsche Regierungsstellen könnte Teil eines grösseren organisierten Spionageangriffs auf EU-Staaten sein. Dies sagte der Leiter des Cyberspionage-Analyseteams bei der US-Sicherheitsfirma FireEye, Benjamin Read, der Zeitung «Welt» vom Donnerstag.Hinter dem Angriff auf das besonders geschützte Internetnetz der Bundesregierung steckt seinen Angaben zufolge die Hackergruppe APT28. «Wir beobachten seit einigen Monaten, dass APT28 gezielt Aussen- und Verteidigungsministerien in der europäischen Union angreift und versucht, sich Zugang zu geschützten Systemen zu verschaffen», sagte Read.Die Erkenntnis habe sein Team aus bestimmten E-Mails - sogenannten Spearphishing-Mails - gewonnen, «die unsere Sicherheitssysteme in den vergangenen Monaten bei diversen EU-Regierungen entdeckt haben». (sda)

Was ist das IVBB?

Das IVBB ist eines von drei Netzen, die vom Innenministerium verantwortet werden. Die beiden anderen sind das IVBV/BVN (Informationsverbund der Bundesverwaltung/Bundesverwaltungsnetz) und das Bund-Länder-Verbindungsnetz DOI. Das steht für Deutschland-Online-Infrastruktur.

Das IVBB gilt als vergleichsweise sicheres Netz. Es ist unter anderem durch Filter und Firewalls für bestimmte Websites und andere Massnahmen vor üblichen Angriffen mit Schadsoftware geschützt. Damit einher gehen allerdings auch Nutzungseinschränkungen für die Anwender.

Genutzt wird das IVBB von Teilen des Bundestags, dem Bundesrat, dem Bundeskanzleramt und Bundesministerien, dem Bundesrechnungshof sowie Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten. Der technische Betrieb unterliegt vor allem der Telekom-Tochter T-Systems, bestimmte Sicherheitsmassnahmen werden vom BSI durchgeführt. Es ist eine Art «grosses Intranet», wie es das BSI mal beschrieb, das an zentralen Knotenpunkten ans öffentliche Internet angeschlossen ist.

Wer steckt hinter den Angriffen?

Angeblich soll die Spur nach Russland führen. Unter Berufung auf Sicherheitskreise berichtet die dpa zudem, dass die Gruppe APT 28 verdächtigt wird. Ob diese erste Verdächtigung tatsächlich stimmt, ist aber unklar. Denn bei der Rückverfolgung von Hackerangriffen, der sogenannten Attribution (mehr dazu hier), stützen sich die Experten zumeist auf uneindeutige Indizien.

Die Abkürzung APT steht für «Advanced Persistent Threat», also eine langfristige und ausgefeilte Bedrohung. Die russische oder von Russland unterstützte Gruppe ist seit Jahren berüchtigt und auch unter dem Namen Fancy Bear oder Sofacy bekannt. Sie wird unter anderem für den Bundestagshack im Jahr 2015 verantwortlich gemacht, als 16 Gigabyte Daten aus dem Bundestagsnetz «Parlakom» abflossen. Dieses gesonderte Netz ist aktuell aber nicht betroffen.

Wie gross ist der Schaden?

Laut einem Sprecher des Innenministeriums wurde die Attacke bereits im Dezember entdeckt. Damals lief sie aber schon über eine längere Zeit, womöglich ein ganzes Jahr. Mittlerweile sei der Angriff «isoliert und unter Kontrolle gebracht». Es seien derzeit keine angegriffenen Stellen ausserhalb der Bundesverwaltung bekannt.

Abgesehen davon liegt das Ausmass des Angriffs noch im Dunkeln: Laut dpa sollen mittels Schadsoftware Daten des Aussen- und des Verteidigungsministeriums kopiert worden sein. Nach Informationen aus Sicherheitskreisen gegenüber dem SPIEGEL könnte sich der Datenabfluss aber womöglich auch nur auf das Aussenministerium beschränken. Um welche Datenmenge es geht - einzelne Dateien oder die Inhalte mehrerer Festplatten - ist ebenfalls unklar.

Sollten die Angreifer nach bestimmten Informationen gesucht haben, wäre es womöglich nicht einmal nötig, Daten zu kopieren - das Mitlesen könnte ausreichen. Allein die Meldung über einen neuerlichen Hackerangriff auf staatliche Datennetze dürfte jedoch für einen immensen Vertrauensschaden in die staatlichen IT-Kompetenzen sorgen.

Die Frage, was die Hacker mit den 2015 erbeuteten 16 Gigabyte an Daten aus dem «Parlakom»-Netzwerk anstellten, ist bis heute nicht geklärt. Experten hatten Angst, dass der Hack zu peinlichen Veröffentlichungen kurz vor der Bundestagswahl 2017 führen würde. Das war aber nicht der Fall.

Was passiert jetzt?

Derzeit laufen nach Angaben des Innenministeriums «Analysen und Sicherungsmassnahmen». An dem Vorfall werde «mit hoher Priorität und erheblichen Ressourcen gearbeitet.» Wie der SPIEGEL aus Expertenkreisen erfuhr, sollen diese Ressourcen derart erheblich sein, dass andere BSI-Projekte dafür vorübergehend auf Eis gelegt wurden. Denkbar ist, dass die Angriffe über einen längeren Zeitraum beobachtet wurden, um mehr über die Täter und ihre Absichten zu erfahren.

Der Ausschuss Digitale Agenda wird sich am Donnerstag zu einer Sondersitzung treffen. Aus Parlamentskreisen hiess es laut Reuters, auch eine Sondersitzung des Parlamentarischen Kontrollgremiums (PKGr), das die Geheimdienste kontrolliert, sei möglich.

Grünen-Fraktionsvize Konstantin von Notz sagte, die Bundesregierung müsse schnellstmöglich aufklären, welche Daten konkret abgeflossen seien und ob im Zuge des Angriffs eine Sicherheitslücke verwendet wurde, die deutschen Behörden bekannt war. «Auch wird die Frage zu klären sein, warum die Öffentlichkeit erst jetzt über den Angriff informiert wurde.» Wenn nach dem verheerenden Angriffen auf den Bundestag und andere nun auch das sehr viel besser geschützte Regierungsnetz und Ministerien betroffen seien, zeige dies, «wie schlecht es um die IT-Sicherheit in unseren Land insgesamt steht».

Anmerkung: In einer früheren Version war versehentlich vom Bundesamt für Verteidigung die Rede. Richtig muss es selbstverständlich Bundesministerium für Verteidigung heissen. Der Fehler wurde korrigiert.

mit Material von dpa/Reuters

