Read the English version of this article here

Als Claudia Haydt entdeckt, dass der Deutsche Bundestag angegriffen wird, sitzt sie an ihrem Schreibtisch und ist entnervt. Ihr Büro liegt in einem Parlamentsgebäude in Berlin, Unter den Linden, erster Stock, im Innenhof blühen die Birken. Haydt, 50, leitet das Büro der Abgeordneten Inge Höger von der Linkspartei. Sie ist gerade dabei, eine Mail an einen Bekannten zu schreiben, den lieben René, aber sie scheitert schon bei der Anrede: Der kleine Strich über dem é, der Accent aigu, will nicht erscheinen. Haydt drückt die Taste. Nichts passiert. Sie drückt erneut, wieder und wieder. Keine Reaktion.

Haydt wählt die 117, die IT-Hotline des Bundestages, und schildert ihr Problem. Die Techniker, erinnert sie sich, empfehlen ihr, sie solle ihren Rechner neu starten. Auch das hilft nicht. Es ist Freitag, der 8. Mai 2015, nachmittags.

Am Montag tritt das Problem mit dem lieben René noch immer auf, ebenso am Dienstag. Endlich schaut ein Techniker des Bundestags vorbei und installiert Claudia Haydts Programme neu, doch der Accent aigu bleibt verschwunden.

Die IT-Spezialisten des deutschen Parlaments wissen jetzt, dass etwas nicht stimmt. Was sie nicht wissen, ist, dass sie längst die Kontrolle über das Rechnernetz des Bundestages verloren haben.

In jenen Tagen im Mai 2015 beginnt eine mehrwöchige digitale Schlacht, wie es sie in Deutschland nie zuvor gegeben hat. Es ist, als habe eine ausländische Guerillatruppe den Reichstag gestürmt, die Zentrale besetzt, Büros aufgebrochen – nur, dass dieser Kampf digital ausgetragen wird. Am Ende sind mindestens 16 Abgeordnetenbüros durchkämmt, Postfächer kopiert, Festplatten ausspioniert, interne und vermutlich auch vertrauliche Daten abgeflossen.

Zu den Zielen der Angreifer zählen die Büros der Bundeskanzlerin Angela Merkel und des Bundestagsvizepräsidenten Johannes Singhammer von der CSU; betroffen sind auch die Sozialdemokraten Martin Rabanus und Bettina Hagedorn, die im Vertrauensgremium sitzt, das die Budgets der deutschen Geheimdienste kontrolliert.

Als der Angriff schließlich abgewehrt ist, ermittelt die Bundesanwaltschaft wegen Spionageverdachts. Angela Merkel spricht von "hybrider Kriegsführung". Im Kanzleramt werden sogar Gegenschläge erwogen. Denn die Bundesregierung ist überzeugt, dass die Eindringlinge im Auftrag eines fremden Staates handelten, genauer, dass sie aus Russland stammen, aus einer Einheit des Militärgeheimdienstes, die unter dem Namen APT28 oder auch "Fancy Bear", schicker Bär, bekannt ist.

Es sind dieselben Cyber-Spione, die im vergangenen Sommer die US-Demokraten infiltrierten und unter anderem den E-Mail-Account von Hillary Clintons Wahlkampfmanager John Podesta hackten. Eine der Mails, die wenig später an die Öffentlichkeit gelangten, zeigte, wie die Parteispitze um die damalige Vorsitzende Debbie Wasserman Schultz gegen den Kandidaten Bernie Sanders intrigierte. Der Vorfall kostete Wasserman Schultz das Amt – und belastete Hillary Clintons Wahlkampf.

Und in der Nacht zum vergangenen Samstag tauchten im Schlussspurt des französischen Präsidentschaftswahlkampfs plötzlich Dokumente aus der Wahlkampfzentrale Emmanuel Macrons auf einer Website auf, Mails, Rechnungen, Budgetunterlagen – kurz vor jenem Zeitpunkt, ab dem es den Kandidaten gesetzlich nicht mehr erlaubt ist, Wahlkampf zu betreiben. Macrons Leute hatten nur noch Minuten, um eine Stellungnahme abzuschicken. Auch hinter dieser Attacke steckte Fancy Bear.

Wie arbeiten diese digitalen Einbrecher? Wie gelangten sie ins deutsche Parlament? Und werden sie in den kommenden Wochen versuchen, auch die Bundestagswahl zu beeinflussen, indem sie interne Dokumente veröffentlichen?

Es beginnt mit einer scheinbar harmlosen Mail

Am 30. April, gut eine Woche bevor Claudia Haydt ihrem Bekannten René zu schreiben versucht, erhalten mehrere Bundestagsabgeordnete gleichzeitig eine E-Mail. Die Adresse des Absenders endet auf @un.org. Die Mail sieht aus, als komme sie von den Vereinten Nationen. In Wahrheit stammt sie von den Hackern, von einem Server, den die Firewall des Bundestags nicht als problematisch erkennt. In der Betreff-Zeile heißt es: "Ukraine conflict with Russia leaves economy in ruins". Der Konflikt zwischen der Ukraine und Russland ruiniert die Wirtschaft. Die Mail enthält einen Link zu einem vermeintlichen Bulletin der UN. Wer ihn anklickt, landet auf einer Internetseite, die wie eine Seite der UN anmutet, in Wahrheit aber unbemerkt eine Schadsoftware auf dem Rechner des Mailempfängers installiert, einen sogenannten Trojaner.

Wie viele Abgeordnete den Link anklicken, lässt sich nicht mehr rekonstruieren. Sicher aber ist: Die Angreifer haben mit dem Trojaner eine Art digitale Dachluke im Bundestag geöffnet. Sie sind jetzt drin im Computersystem des deutschen Parlaments.

Der Zeitpunkt des Angriffs ist nicht zufällig gewählt. Am nächsten Morgen ist der 1. Mai, Feiertag. Hinter dem Reichstag lädt der Deutsche Gewerkschaftsbund zum Tag der Arbeit und baut Hüpfburgen auf. Drinnen, im Parlament, ist nichts los. Die IT-Abteilung hat frei. Die Einbrecher können ungestört loslegen.

Nachdem sie in das System eingestiegen sind, laden sie weitere Programme ins Bundestagsnetz hoch, darunter eines, das die Arbeitsspeicher aller angeschlossenen Rechner nach Passwörtern durchkämmt. Es dauert nur ein paar Stunden, bis sie sich einen offiziellen Zugang zum Bundestagsnetz eingerichtet haben. Auf das Computersystem wirken die Angreifer jetzt wie Abgeordnete oder Mitarbeiter des Bundestags.