Die bisher größte Hacker-Attacke auf den Bundestag dauert schon wesentlich länger als bisher bekannt. Nach Informationen der Nachrichtenagentur dpa haben die noch immer unbekannten Täter die betroffenen Parlamentscomputer wahrscheinlich schon vor etwa einem halben Jahr angegriffen. Experten gehen davon aus, dass die Hacker den von ihnen eingesetzten Trojaner in mehreren Attacken Stück für Stück nach Art eines Puzzles auf den betroffenen Computern zusammengesetzt haben.

Entdeckt wurde der Angriff erst, als die Schadsoftware Anfang Mai in dem Netzwerk des Parlaments aktiv wurde.

Das Bundesamt für Verfassungsschutz hatte den Bundestag am 12. Mai auf die Attacke aufmerksam gemacht. Damals habe man bemerkt, dass von Parlamentscomputern aus verdächtige Server angesteuert wurden, hieß es. Zunächst seien lediglich 15 von mehreren Tausend Bundestagsrechnern angegriffen worden. Dabei verschafften die Täter sich aber Administratoren-Zugriffsrechte, mit denen sie bis heute auf das gesamte Computernetz des Bundestages (Parlacom) zugreifen können.

Nach Informationen mehrerer Medien schickten die Angreifer zunächst unverdächtig wirkende Mails an die betroffenen Computer, die nur Anhänge mit sehr kleinen Datenmengen und keinen kompletten Trojaner enthielten. Tage oder Wochen später seien Mails mit weiteren Teilstücken hinterher geschickt worden, sodass sich der Trojaner auf den betroffenen Rechnern nach und nach zusammengesetzt habe, wenn der Anhang beispielsweise angeklickt wurde.

Das ist ein durchaus übliches Vorgehen von Hackern, damit die Installation eines Trojaners nicht von Virenscannern erkannt wird. Trojaner sind teilweise sogar in der Lage, sich nach und nach zusätzliche Spionagefunktionen nachzuladen.

Wann genau die Hacker ihren Angriff starteten, bleibt möglicherweise unklar –  viele zur Klärung wichtige Dateien seien routinemäßig wegen der im Bundestag geltenden kurzen Speicherfristen gelöscht worden, hieß es.

In den vergangenen Tagen haben die Computerexperten keine von dem Trojaner ausgelösten Datenabflüsse mehr bemerkt, hatte ZEIT ONLINE erfahren. Nach wie vor sei aber unklar, in welchen Teilen des Parlamentsnetzes sich der Trojaner noch eingenistet habe. Es könne auch immer noch nicht ausgeschlossen werden, dass er wieder aktiviert werde.

Bundestagspräsident Norbert Lammert (CDU) hatte vor einer Woche gesagt, seit etwa Ende Mai sei es nach Feststellungen des Bundesamtes für die Sicherheit in der Informationstechnik und der Bundestagsverwaltung zu keinen Datenabflüssen mehr gekommen.

Nach wie vor ungeklärt ist, wer die Computerattacke ausführte. Ende vergangener Woche hatten sich die Anzeichen auf russische Täter verdichtet. Verfassungsschutzpräsident Hans-Georg Maaßen hatte die Sorge geäußert, dass es sich um einen Angriff eines ausländischen Nachrichtendienstes handeln könnte. Beweise für einen Ursprung des Angriffs in Russland haben die Ermittler bislang jedoch nicht gefunden.