Mitte Mai hatte der Spiegel erstmals berichtet, dass sich unbekannte Angreifer Zugang zum IT-System des Bundestags verschafft hatten. Die Hacker infiltrierten demnach mit Schadsoftware die Rechner von Abgeordneten. Am Mittwoch dieser Woche berichteten mehrere Medien, dass es den Spezialisten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bis heute nicht gelungen sei, die Angreifer zu identifizieren und die Angriffe zu stoppen. Die Union dementiert. Wer hat recht und welche Konsequenzen folgen? Wir fassen die aktuellen Entwicklungen zusammen.
Wie viele Rechner sind infiziert?
Darüber, wie groß die Auswirkungen des Angriffs wirklich sind, streiten derzeit Oppositions- und Koalitionsvertreter. Am Donnerstag unterrichtete das BSI Digitalexperten des Ältestenrats des Bundestags über das mögliche Ausmaß. Der internetpolitische Sprecher der Unionsfraktion, Thomas Jarzombek, sagte ZEIT ONLINE im Anschluss, es seien nur 15 Bundestagsrechner angegriffen worden. Die schädlichen IP-Adressen seien gesperrt worden. Seine Schlussfolgerung: "Von einem Totalschaden kann nicht die Rede sein." Der Grünen-Abgeordnete Konstantin von Notz sprach allerdings von einem "sehr ernsten, sehr problematischen Vorgang". Informationen aus dem Bundestag zufolge sind bereits mehrere Gigabyte an Daten von Unbekannten abgezapft worden.
Welche Informationen stecken im Netzwerk des Bundestags?
Möglicherweise ist es den Angreifern gelungen, über die infizierten Computer in den innersten Kern der IT-Infrastruktur des Parlaments zu gelangen. Der Spiegel berichtete zunächst, dass die Angreifer sich über einen Fraktionscomputer Administratoren-Passwörter beschafft hätten und somit Zugriff auf den sogenannten Verzeichnisdienst (Active Directory) des internen Netzwerks Parlakom hatten, der Benutzer, Dienste und Freigaben verwaltet. An Parlakom angeschlossen sind die Dienstcomputer des Bundestags, aber auch Rechner in Wahlkreisbüros und der Bundestagsfraktionen. Insgesamt ist von 20.000 Geräten die Rede.
Welche Daten bedroht sind oder schon abgegriffen wurden, ist unklar. Die Geheimschutzstelle, der NSA-Untersuchungsausschuss und die Personalverwaltung des Bundestages seien von dem Angriff jedenfalls ausgeschlossen, da sie besonders gesicherte Netzwerke nutzen. Rüdiger Petz, Pressesprecher der SPD-Fraktion, sagt: "Wir nutzen die IT-Infrastruktur des Bundestags". Das Fraktionsnetz sei allerdings "separat abgesichert".
Wie sieht ein möglicher Angriff aus?
In den bisherigen Berichten ist von einem Trojaner die Rede. Die Schadprogramme tarnen sich als nützliche Anwendung oder nisten sich tief im Betriebssystem der Rechner ein, um dort ihre Funktionen auszuführen. Häufig werden dabei Daten und Dateien des infizierten Rechners auf einen Server im Internet übertragen. Für Sandro Gaycken, IT-Experte an der European School of Management and Technology, bewegen sich die Angriffe auf den Bundestag allerdings nicht mehr in einfachen Kategorien, sondern erinnern an komplexe Spionageprogramme wie etwa das von der NSA entwickelte Regin oder neue Schadsoftware aus Russland und Nordkorea. Solche Attacken bestehen nicht nur aus einem einfachen Trojaner, sondern aus mehreren Modulen, die nach und nach geladen werden und sich immer wieder verändern. Zudem sind sie gezielt auf den Einsatz in einzelnen Netzwerken optimiert, um bestimmte Informationen abzugreifen.
Wie kommt ein Trojaner überhaupt in den Bundestag?
Eine Möglichkeit ist, dass die Schadsoftware bewusst oder unbewusst "von innen" eingeschleust wurde. Ende Dezember zum Beispiel wurde der Trojaner Regin auf dem USB-Stick einer Kanzleramtsmitarbeiterin entdeckt. Häufiger als auf Datenträgern verstecken sich Trojaner aber in den Anhängen von E-Mails oder in Dokumenten, die von den jeweiligen Nutzern geöffnet werden, weil sie den Absender für vertrauenswürdig halten. Auch mit dem Besuch von bestimmten Websites können sich Trojaner einnisten. Generell gilt: Je fortgeschrittener die Schadsoftware ist, desto schwieriger ist sie mit gängigen Virenscannern zu entdecken und zu entfernen.
Und wie wird man die Schadsoftware wieder los?
Möglicherweise nur mit viel Zeit und Geld. Zunächst einmal müssen die Instanzen der Schadsoftware identifiziert werden. Erst dann kann eine Säuberung stattfinden. "Eine Methode ist, alle Betriebssysteme zu löschen und neu aufzusetzen", sagt Gaycken. Das helfe allerdings nicht immer, denn komplexe Schadsoftware stecke oft so tief im System oder auf Peripherie-Geräten, dass ein Formatieren von Festplatten nicht ausreiche. Dazu kommt, dass es häufig mehr als eine Instanz der Schadsoftware gibt. "Wenn ein Geheimdienst angreift, baut er nicht nur einen Weg ein, sondern gleich Weg A und B und im besten Fall A, B, C und D", sagt Gaycken.
Kommentare
Politiker und IT ...
sorry da reden Blinde über Farben. Woran erkennt ein CDU SPezi denn, das ein Rechner infiziert wurde. Da hängt kein Schild dran "Vorsicht infiziert"
Und nach dem Artikel wissen wir, dass im Bundestag keine Profis sitzen sondern nur Leute, die von Neuland 3.0 immer noch keine Ahnung haben und dummes Zeug reden. Eine Schande und mein Beileid an die Admins.
Nun auch der Bundestag
wird Leute haben, die diese Systeme warten und überwachen. Andernfalls wäre die Kompromittierung kaum bemerkt worden, denn ein Schadcode der von einem Geheimdienst entwickelt wurde, wird gezielt in die Richtung optimiert sein, dass gängige Virenschutzprogramme diesen nicht erkennen.
In dem Artikel taucht explizit der Begriff "Active Directory" auf, insofern ist klar es handelt sich um eine Infrastruktur rund um Serverbetriebssysteme von Microsoft, die kompromittiert wurde. Dies sollte jedoch keinesfalls zu dem Schluss verleiten, eine Infrastruktur rund um Open Source / Linux sei nicht genauso angreifbar.
Wir wissen aus der Vergangenheit, wie beispielsweise die STASI Westdeutsche Politiker belauschte, in dem sie sich zunutze machte, die damals von der Bundespost benutzten Richtfunkstrecken waren nicht besonders Abhörsicher.
Mag sein die Methoden sind heute sehr viel raffinierter geworden, die Zielrichtung ist offenbar die Gleiche geblieben. Für den Politikbetrieb bedeutet dies mehr mit der Erkenntnis zu leben, jedes IT-System ist irgendwo kompromittierbar, fragt sich nur mit welchem Aufwand. Statt kleinlichem Streit wären mehr klar festgelegte Mechanismen zu Krisenbewältigung gefragt. Ähnlich wie man es bei Naturkatastrophen handhabt - da weiß man auch es ist keine Frage ob die nächste große Flut kommt, sondern mehr wann.
Doppelposting. Die Redaktion/mak
Wäre das nicht schön
wenn sich herausstellt das es der Bundestrojaner ist :-)
Selbs wenn, DAS wird sich leider
niemals öffentlich herausstellen. Wetten?
Und die Grundschutzkataloge des BSI?
Wurden die nicht im Bundestag umgesetzt?
Wenn die nämlich umgesetzt worden wären gebe es jetzt diese totale Verwirrung nicht.
Aber die gelten wohl nur für andere, weil aufwändig und damit teuer.
Der Bundestag möchte mit dem BSI nichts zu tun haben.
Ist igitt igitt. Jetzt haben die den Salat.