Vier Parteien versuchen derzeit, den Angriff auf das Bundestagsnetz aufzuklären: Die hauseigene IT-Abteilung, das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesamt für Verfassungsschutz und die BFK edv-consulting GmbH aus Karlsruhe, wie ZEIT ONLINE erfuhr. Das Unternehmen ist aus dem MicroBIT Virus Center des Rechenzentrums der Universität Karlsruhe hervorgegangen und wurde 1989 gegründet.

Der Geschäftsführer und Inhaber Christoph Fischer sagt: "Das ist kein allzu großer Fall. Die Aufregung ist nur so groß, weil es um den Bundestag geht. Aber in der Industrie gibt es viel größere Fälle." Selbst wenn, wie es in Medienberichten hieß, 20.000 Computer des Bundestags betroffen sein könnten, würde Fischer das nicht beeindrucken. "Wir haben auch Fälle mit mehreren Hunderttausend betroffenen Rechnern in aller Welt."

Fischer ist um verbale Deeskalation bemüht. "Die Mediengeschichte, dass 20.000 Rechner weggeschmissen werden müssen, ist Unsinn", sagt er. Eine "Überreaktion" nennt er entsprechende, aus dem Bundestag gestreute Hinweise an die Presse. Oder aber Journalisten hätten die Aussagen ihrer Informanten schlicht falsch interpretiert.

Nun mahnt er zur Geduld, die Untersuchungen würden einige Zeit dauern. Erschwert würden sie dadurch, dass "das Kind schon in den Brunnen gefallen" sei. Der Angriff oder zumindest die erste Phase ist vorbei, bestätigt Fischer: "Es ist im Moment Ruhe an der Front."

Normalerweise würden Firmen wie die BFK schneller gerufen, wenn es um sogenannte Advanced Persistent Threats (APT) geht, also um besonders ausgefeilte andauernde Bedrohungen. Im besten Fall, sagt Fischer, könne man die Täter beobachten und Rückschlüsse auf ihre Methoden oder sogar Ziele ziehen – und sie dann aus dem System werfen, wenn man zumindest die schlimmsten Löcher sofort stopfen kann. Im Falle des Bundestags ist das nun nicht mehr möglich.

Erste forensische Untersuchungen haben Artefakte eines Angriffswerkzeugs namens Mimikatz zutage gefördert. "Ein Feld-, Wald- und Wiesenmodul, das immer wieder in Attacken auftaucht", sagt Fischer. Es dient unter anderem dazu, in Windows-Systemen Passworte oder Zertifikate zu stehlen. 

Ein Hinweis auf die Täter sei Mimikatz nicht. Fischer sagt, das Modul sei zwar schon bei Angriffen aus Russland (aber nicht zwingend von russischen Tätern) eingesetzt worden. Doch deshalb könne man noch lange nicht darauf schließen, dass der russische Geheimdienst hinter dem Angriff auf den Bundestag steckt. Entsprechende Spekulationen, an denen sich indirekt auch Hans-Georg Maaßen, der Präsident des Bundesamtes für Verfassungsschutz, beteiligt hat, weist er zurück.

Verfassungsschutz soll mithelfen

Maaßen hatte am Donnerstag auf einer Konferenz in Potsdam gesagt, er habe die Sorge, "dass es sich um einen Cyberangriff eines ausländischen Nachrichtendienstes handelt". Zwar sagte er nicht direkt, um welchen Dienst es sich bei handeln könnte. Er fügte aber hinzu: "Mein Dienst hat immer wiederholt bestätigt, dass jedenfalls die Cyberangriffe von russischen Diensten hochqualifiziert sind und uns große Sorge bereiten."

Der Verfassungsschutz, zuständig für die Spionageabwehr in Deutschland, wird ebenfalls in die Aufklärung des Angriffs eingebunden. Allerdings soll er keinen direkten Zugang zu den Computern der Parlamentarier bekommen.