Bis zu 20.000 verseuchte Computer sind die Folge des Angriffs auf die IT des Bundestags! Oder doch nur 15? Die Hardware im Bundestag muss ausgetauscht werden! Nein, muss sie nicht. Die Attacke hat vor einem halben Jahr begonnen! Eher vor ein paar Wochen, Ende April. Die Russen stecken dahinter! Das kann kein Mensch beweisen.

Es geht vieles durcheinander in der Aufklärung und Berichterstattung über den Vorfall. Das liegt an mangelnden oder widersprüchlichen Informationen derjenigen, die ihn untersuchen. Es liegt an der komplexen Struktur der Netzwerke im Bundestag, an der Komplexität des Angriffs selbst. Es liegt sicherlich auch daran, dass Politiker mit wenig technischem Hintergrundwissen mit ebensolchen Journalisten darüber reden, die dann falsch, ungenau, widersprüchlich oder irreführend berichten, und an Medien (ZEIT ONLINE kann sich da nicht freisprechen), die falsche, ungenaue, widersprüchliche oder irreführende Berichte übernehmen.

Leider spricht einiges dafür, dass sich an dem Informationschaos in nächster Zeit nichts ändern wird. An der Aufklärung beteiligt sind die Bundestagsverwaltung, das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesamt für Verfassungsschutz und die Karlsruher Firma BFK. Und den Fraktionen steht es natürlich frei, weitere Experten einzuschalten. Viel Gelegenheit für Missverständnisse also.

Die Bundestagsfraktion der Linken zum Beispiel hat den IT-Sicherheitsforscher Claudio Guarnieri beauftragt, zwei ihrer Server zu untersuchen, um mehr über das Ausmaß und den Hintergrund der Attacke zu erfahren.

Guarnieri lebt in Berlin und hat sich gewissermaßen einen Namen als Fachmann für Staatstrojaner gemacht. So hat er zum Beispiel für das kanadische Citizen Lab der Universität von Toronto mehrere Schnüffelprogramme und ihre Einsätze in repressiven Staaten analysiert. Und er hat ein System mitentwickelt, das derartige Schadsoftware erkennen soll.

Sein Bericht bezieht sich auf das Netz der Linken-Fraktion, das an das Netz des Bundestags angeschlossen ist. Das bedeutet: Die Spuren der Schadsoftware, die er gefunden hat, sagen wenig darüber aus, ob das Bundestagsnetz davon genauso betroffen ist. Die Netze sind nicht gleich aufgebaut. Was in dem einen funktioniert, wird im anderen möglicherweise durch Firewalls verhindert. Es ist theoretisch sogar denkbar, dass Guarnieri Spuren eines völlig anderen Angriffs entdeckt hat. Seine Analyse ist also nicht die endgültige Antwort auf alle Fragen, die sich zu der Attacke stellen.

Bemerkenswert an dem Bericht ist jedoch, wie vergleichsweise selbstbewusst er die mutmaßlichen Angreifer beim Namen nennt. Guarnieri schreibt, seine Untersuchungen legten nahe, "dass der Angriff von einer staatlich unterstützen Gruppe namens Sofacy (oder APT28) stammt. Frühere Analysen der Sicherheitsforscher von FireEye aus dem Oktober 2014 legen nahe, dass die Gruppe russischer Herkunft sein könnte. Es gibt jedoch keine Beweise, die es ermöglichen, die Angriffe bestimmten Regierungen oder Staaten zuzuordnen." Laut FireEye ist APT28 eine Gruppe, die von einer Regierung unterstützt wird, wahrscheinlich der russischen.

Dünne Beweisführung

Bisher gab es nur anonyme oder indirekte Äußerungen, die russische Täter hinter dem Angriff auf den Bundestag nahelegten. So berichtet die dpa auch am heutigen Freitag, "konkrete Spuren" würden zu Sofacy / APT 28 führen, unter Berufung auf "mit der Untersuchung vertraute Experten". Die wollten also nicht namentlich genannt werden.

Guarnieri lehnt sich also vergleichsweise weit aus dem Fenster. Sein Versuch einer Beweisführung ist allerdings nicht ganz überzeugend. Sie steht und fällt letztlich mit der Vermutung, dass APT28 bereits im Februar 2015 jenen Server nutzte, der auch im Mai als sogenannter Command-and-Control-Server für den Angriff auf den Bundestag herhielt. (Genauer wird es bei golem.de erklärt.)

"Die Linke ist ein Sicherheitsrisiko"

Das aber ist keineswegs sicher. Kriminelle mieten Server für ihre Aktionen an oder übernehmen heimlich die Kontrolle – aber wenn sie schlau sind, wechseln sie ihre Infrastruktur schnell wieder. Guarnieri jedenfalls liefert keinen Beweis dafür, wer wann wie lange den fraglichen Server nutzte. Auf eine entsprechende Nachfrage per E-Mail hat er bisher nicht geantwortet.

Dafür kann Guarnieri vorangegangene Berichte bestätigen, nach denen es die Angreifer auf Word, Excel- und PDF-Dateien abgesehen hatten, die auf den 1. Mai 2015 oder später datiert sind. Ein entsprechendes Skript konnte er rekonstruieren. Er schreibt aber auch, dass es auch Versionen des Skriptes geben könnte, die andere Daten sammelten.

Grundsätzlich gilt das für alles, was er finden konnte: "Durch das Wesen des Angreifers und seiner Arbeitsweise (…) kann jedoch nicht ausgeschlossen werden, dass noch zusätzliche, anspruchsvolle Artefakte platziert wurden, die entweder bisher noch nicht gefunden oder aber nach der Entdeckung und der öffentlichen Enthüllung des Vorfalls wieder entfernt wurden."

Soll heißen: Andere Experten werden möglicherweise andere Spuren finden, die Aufschluss über andere betroffene Rechner, andere abgezogene Dateien und andere mögliche Täter liefern. Und auch die Betroffenen sind sich alles andere als einig darüber, wie sie für eine bessere Aufklärung und Informationspolitik sorgen können. 

So teilte der Parlamentarische Geschäftsführer der Unionsfraktion, Bernhard Kaster, bereits mit, was er von Guarnieris Analyse hält: überhaupt nichts. Die Linke nehme durch die Veröffentlichung technischer Details zur Schadsoftware in ihrem Fraktionsnetz in Kauf, dass daraus Rückschlüsse auf den Angriff auf das Netz des Bundestages gezogen werden können. Er schließt mit dem Satz: "Die Linksfraktion ist durch die Veröffentlichung ein Sicherheitsrisiko für den Deutschen Bundestag geworden."

Willkommen im Computer-Chaos-Club.