Was wurde gehackt?

Hackern ist es gelungen, in das IT-Netzwerk der Bundesregierung einzudringen. Seit Dezember ist der Angriff auf den IVBB (Informationsverbund Bonn-Berlin) intern bekannt, erst jetzt wurde er öffentlich. Wie lang und wo genau sich die Angreifer im Netzwerk bewegen konnten, ist unklar. Möglicherweise hatten sie ein Jahr lang Zugriff auf Teile des Netzes. Das Innenministerium bestätigte einen "IT-Sicherheitsvorfall" – ein anderes Wort für Angriff. Wie es nach einer Sondersitzung des Parlamentarischen Kontrollgremiums des Bundestages hieß, dauere der Angriff noch an.

Laut Süddeutscher Zeitung ist das Außenministerium betroffen. Ob die Hacker auch in Systeme anderer Ministerien eingedrungen sind, ist nicht bekannt. Ebenso wenig ist bekannt, an welchen Daten sie interessiert waren. Die Deutsche Presse-Agentur meldete, die Angreifer hätten Daten aus dem System kopiert.

Der IVBB ist stärker gesichert als das Netzwerk des Bundestages, das 2015 bereits Ziel eines großen Angriffs war. Damals wurden Teile des Systems für längere Zeit lahmgelegt. Der CDU-Geheimdienstexperte Patrick Sensburg sagte, im Unterschied zu damals hätten die Hacker bei ihrer "Target Attack" dieses Mal gezielt nach bestimmten Dokumenten gesucht.

Der Hackerangriff könnte Teil eines noch weitaus größeren organisierten Spionageangriffs auf EU-Staaten sein. In der Welt sagt der Sicherheitsexperte Benjamin Read von der US-Sicherheitsfirma FireEye, er beobachte seit einigen Monaten Angriffe auf Außen- und Verteidigungsministerien in ganz Europa.

Warum ist das gefährlich?

Im IVBB kommunizieren Bundesrat, Bundeskanzleramt und Bundesministerien, Bundesrechnungshof sowie diverse Sicherheitsbehörden an den verschiedenen Standorten Bonn und Berlin miteinander. Über das Netzwerk laufen E-Mail, Internet und Telefonie – also die gesamte Kommunikation. Die Daten sind stark schutzbedürftig, ein Angriff auf das System kann Folgen für die Sicherheit der Bundesrepublik haben. Entsprechend stark ist das Regierungsnetz auch gesichert.

Der IVBB besteht dabei aus verschiedenen Teilnetzen. Jedes Ministerium ist einerseits daran angeschlossen, besitzt aber andererseits immer auch noch ein eigenes, gesondert gesichertes Netz. Das bedeutet, dass Hacker nicht automatisch Daten aus dem gesamten Regierungsnetz sehen können, wenn sie ein Ministerium angegriffen haben. Innerhalb des IVBB werden Daten außerdem verschlüsselt übertragen. Die Bedrohung richtet sich also danach, welche Stelle der Bundesregierung angegriffen wurde und welche Daten von dort kopiert wurden.

Wer sind die Hacker?

Das ist schwer zu sagen. Nach Informationen von ZEIT ONLINE gibt es Hinweise darauf, dass der Angriff nicht von der Hackergruppe APT28 (Fancy Bear) ausgeführt wurde, wie zuerst von Medien berichtet, sondern von Hackern, die noch enger mit der russischen Regierung in Verbindung stehen.

Als der Bundestag 2015 gehackt wurde, führte eine Spur nach Russland, zur Hackergruppe Fancy Bear, die auch unter dem Pseudonym APT28 bekannt ist. APT28 ist bisherigen Analysen nach mit dem russischen Staat verbunden.

Solche Zuschreibungen sind allerdings schwierig. Ein Beispiel: Die Angreifer operieren von einem Server aus, der deutschen Sicherheitsbehörden schon früher einmal aufgefallen war. Nur weil dieser Server schon mal in einem Zusammenhang mit Russland auftauchte, heißt das nicht, dass es nun wieder der Fall sein muss. Andere Gruppen können den Server gekapert haben und ihn für ihre Zwecke nutzen – zum Beispiel um einen Angriff wie eine russische Attacke aussehen zu lassen.

Wie sind die Hacker in das Netz eingedrungen?

Das ist bisher unbekannt. Medien zitierten Sicherheitskreise, denen zufolge die Angreifer eine Schadsoftware einschleusten. Auf welchem Wege, ist unklar. In vergleichbaren Fällen brachten Angreifer über E-Mails sogenannte Trojaner in die Netzwerke ein, die über Onlineverbindungen der Computer Daten ausleiten. Das können etwa Zugangsdaten zu geschützten Bereichen sein, zu Datenbanken oder zu Kommunikationsaccounts. Andere Wege, Trojaner zu platzieren, sind E-Mails mit Links, die auf infizierte Webseiten verweisen, oder infizierte Hardware, etwa Speichersticks.

Der IVBB enthält Filter, die solche Links in Mails oder auf Websites automatisch prüfen. Die dahinter liegenden Server werden blockiert, wenn sie früher schon einmal im Zusammenhang mit Hacks aufgefallen sind. Diese Filterlisten werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ständig aktualisiert, dazu nutzt das Bundesamt auch entsprechende Informationen der deutschen Geheimdienste.

Was tun die Sicherheitsbehörden?

Die Ermittlungen führt das BSI und der für Spionageabwehr zuständige Bundesverfassungsschutz. Auch der Bundesnachrichtendienst ist als Auslandsgeheimdienst eingebunden. Die Verantwortlichen in den betroffenen Behörden seien informiert sowie Maßnahmen zur Aufklärung und zum Schutz getroffen worden. "An dem Vorfall wird mit hoher Priorität und erheblichen Ressourcen gearbeitet", versicherte ein Sprecher des Innenministeriums.

Nach Informationen von ZEIT ONLINE ließen die Sicherheitsbehörden die Angreifer gewähren, um sie weiter beobachten zu können. Sie wollten so mehr über Ziele und Herkunft der Attacke erfahren, hieß es in Sicherheitskreisen.

Das klingt zumindest plausibel. Der IVBB wird mit einigem Aufwand gesichert – dass ein erfolgreicher Angriff darauf ein Jahr lang unbemerkt blieb, ist unwahrscheinlich. Wäre er wirklich so lange unbemerkt geblieben, wäre das allein bereits peinlich.

Wie reagiert die Politik?

Oppositionspolitiker kritisieren vor allem die Informationspolitik der Bundesregierung, weil man erst aus den Medien von dem Angriff erfahren habe. Das Parlamentarische Kontrollgremium für die Geheimdienste (PKGr) habe in den vergangenen Monaten mehrmals getagt, der Angriff aber sei dabei nie Thema gewesen, sagte der Linkspolitiker André Hahn. "Ein solcher Angriff ist ein Vorfall mit besonderer Bedeutung, der hätte dem PKGr sofort gemeldet werden müssen." Es sei ein Skandal, dass die Nachrichtendienste in dem geheim tagenden Bundestagsgremium kein Wort darüber verloren hätten. Mehrere Politiker warnten davor, APT28 als Urheber zu benennen, das sei alles andere als sicher.

Der innenpolitische Sprecher der Unionsfraktion, Stephan Mayer, bemängelte, dass der Hack öffentlich bekannt wurde. Es handele sich "um einen besonders verwerflichen Geheimnisverrat, der dazu geführt hat, dass der Sachverhalt öffentlich wurde", sagte er ZEIT ONLINE. Das müsse "strafrechtlich verfolgt werden". Die Kritik an der Informationspolitik der Bundesregierung sei folglich in keiner Weise nachvollziehen, sagte Mayer.

Ein ehemaliger hochrangiger deutscher Außenpolitiker sagte ZEIT ONLINE: "Ausspionieren gehört leider zum Alltag der internationalem Beziehungen, und ich hoffe, dass wir es genauso in den Staaten tun, aus denen der Angriff kommt."