Mitte Mai hatte der Spiegel erstmals berichtet, dass sich unbekannte Angreifer Zugang zum IT-System des Bundestags verschafft hatten. Die Hacker infiltrierten demnach mit Schadsoftware die Rechner von Abgeordneten. Am Mittwoch dieser Woche berichteten mehrere Medien, dass es den Spezialisten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bis heute nicht gelungen sei, die Angreifer zu identifizieren und die Angriffe zu stoppen. Die Union dementiert. Wer hat recht und welche Konsequenzen folgen? Wir fassen die aktuellen Entwicklungen zusammen.

Wie viele Rechner sind infiziert?

Darüber, wie groß die Auswirkungen des Angriffs wirklich sind, streiten derzeit Oppositions- und Koalitionsvertreter. Am Donnerstag unterrichtete das BSI Digitalexperten des Ältestenrats des Bundestags über das mögliche Ausmaß. Der internetpolitische Sprecher der Unionsfraktion, Thomas Jarzombek, sagte ZEIT ONLINE im Anschluss, es seien nur 15 Bundestagsrechner angegriffen worden. Die schädlichen IP-Adressen seien gesperrt worden. Seine Schlussfolgerung: "Von einem Totalschaden kann nicht die Rede sein." Der Grünen-Abgeordnete Konstantin von Notz sprach allerdings von einem "sehr ernsten, sehr problematischen Vorgang". Informationen aus dem Bundestag zufolge sind bereits mehrere Gigabyte an Daten von Unbekannten abgezapft worden. 

Welche Informationen stecken im Netzwerk des Bundestags?

Möglicherweise ist es den Angreifern gelungen, über die infizierten Computer in den innersten Kern der IT-Infrastruktur des Parlaments zu gelangen. Der Spiegel berichtete zunächst, dass die Angreifer sich über einen Fraktionscomputer Administratoren-Passwörter beschafft hätten und somit Zugriff auf den sogenannten Verzeichnisdienst (Active Directory) des internen Netzwerks Parlakom hatten, der Benutzer, Dienste und Freigaben verwaltet. An Parlakom angeschlossen sind die Dienstcomputer des Bundestags, aber auch Rechner in Wahlkreisbüros und der Bundestagsfraktionen. Insgesamt ist von 20.000 Geräten die Rede.

Welche Daten bedroht sind oder schon abgegriffen wurden, ist unklar. Die Geheimschutzstelle, der NSA-Untersuchungsausschuss und die Personalverwaltung des Bundestages seien von dem Angriff jedenfalls ausgeschlossen, da sie besonders gesicherte Netzwerke nutzen. Rüdiger Petz, Pressesprecher der SPD-Fraktion, sagt: "Wir nutzen die IT-Infrastruktur des Bundestags". Das Fraktionsnetz sei allerdings "separat abgesichert".

Wie sieht ein möglicher Angriff aus?

In den bisherigen Berichten ist von einem Trojaner die Rede. Die Schadprogramme tarnen sich als nützliche Anwendung oder nisten sich tief im Betriebssystem der Rechner ein, um dort ihre Funktionen auszuführen. Häufig werden dabei Daten und Dateien des infizierten Rechners auf einen Server im Internet übertragen. Für Sandro Gaycken, IT-Experte an der European School of Management and Technology, bewegen sich die Angriffe auf den Bundestag allerdings nicht mehr in einfachen Kategorien, sondern erinnern an komplexe Spionageprogramme wie etwa das von der NSA entwickelte Regin oder neue Schadsoftware aus Russland und Nordkorea. Solche Attacken bestehen nicht nur aus einem einfachen Trojaner, sondern aus mehreren Modulen, die nach und nach geladen werden und sich immer wieder verändern. Zudem sind sie gezielt auf den Einsatz in einzelnen Netzwerken optimiert, um bestimmte Informationen abzugreifen. 

Wie kommt ein Trojaner überhaupt in den Bundestag?

Eine Möglichkeit ist, dass die Schadsoftware bewusst oder unbewusst "von innen" eingeschleust wurde. Ende Dezember zum Beispiel wurde der Trojaner Regin auf dem USB-Stick einer Kanzleramtsmitarbeiterin entdeckt. Häufiger als auf Datenträgern verstecken sich Trojaner aber in den Anhängen von E-Mails oder in Dokumenten, die von den jeweiligen Nutzern geöffnet werden, weil sie den Absender für vertrauenswürdig halten. Auch mit dem Besuch von bestimmten Websites können sich Trojaner einnisten. Generell gilt: Je fortgeschrittener die Schadsoftware ist, desto schwieriger ist sie mit gängigen Virenscannern zu entdecken und zu entfernen.

Und wie wird man die Schadsoftware wieder los?

Möglicherweise nur mit viel Zeit und Geld. Zunächst einmal müssen die Instanzen der Schadsoftware identifiziert werden. Erst dann kann eine Säuberung stattfinden. "Eine Methode ist, alle Betriebssysteme zu löschen und neu aufzusetzen", sagt Gaycken. Das helfe allerdings nicht immer, denn komplexe Schadsoftware stecke oft so tief im System oder auf Peripherie-Geräten, dass ein Formatieren von Festplatten nicht ausreiche. Dazu kommt, dass es häufig mehr als eine Instanz der Schadsoftware gibt. "Wenn ein Geheimdienst angreift, baut er nicht nur einen Weg ein, sondern gleich Weg A und B und im besten Fall A, B, C und D", sagt Gaycken.