Hacker sind in Netzwerke der Bundesregierung eingedrungen. Sie bewegen sich seit rund einem Jahr im zentralen Datennetz der Bundesverwaltung: den Informationsverbund Berlin-Bonn (IVBB). Nach dem Hack des Bundestags im Jahr 2015 ist dies der nächste Angriff auf die IT-Infrastruktur der deutschen Regierung. Und er wiegt schwerer: Denn das IVBB ist so etwas wie das Intranet für Bundesrat, Bundeskanzleramt, Bundesministerien, den Bundesrechnungshof und diverse Sicherheitsbehörden. Sie alle kommunizieren untereinander über dieses Netzwerk, das nur an wenigen Stellen an das öffentliche Internet angeschlossen ist. Es galt als sicher. Bis jetzt.

Die erste und wichtigste Frage derzeit: Wie wird man die Eindringlinge wieder los? Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist die Gefahr im Dezember zwar erkannt und "isoliert" worden. Mitglieder des Parlamentarischen Kontrollgremiums sagten hingegen am Donnerstag, der Angriff dauere prinzipiell noch an.

Weitere Fragen sind: Wie kamen die Angreifer in das System und wer steckt dahinter? Wie schwer das zu beantworten ist, zeigt sich an den widersprüchlichen Aussagen: Am Mittwochabend vermeldete die Nachrichtenagentur dpa zunächst, die Hackergruppe APT28, auch als Fancy Bear bekannt, stecke dahinter. Sie soll bereits für die Cyberattacke auf den Bundestag vor gut zwei Jahren verantwortlich gewesen sein und Kontakte zum russischen Geheimdienst haben.

Am Donnerstagnachmittag korrigierte sich die Nachrichtenagentur dann: Nicht APT28, sondern die russische Gruppe Snake (auch als Turla bekannt) sei verantwortlich. Diese Gruppe haben Sicherheitsforscher ebenfalls schon seit einigen Jahren auf dem Schirm. Vergangenen Mai schrieb die Firma Fox-IT in einer Analyse, der Schadcode von Snake sei "noch ausgeklügelter als der von APT28 und die Infrastruktur der Gruppe komplexer". Snake wird verdächtigt, Angriffe auf Rüstungsunternehmen, Regierungen und Organisationen unternommen zu haben. Der Spiegel zitiert Sicherheitskreise, wonach Snake eher gezielt nach verwertbaren Informationen suche, anstatt möglichst viele Daten abzugreifen. Auch gebe es Verbindungen zum russischen Geheimdienst FSB.

Angreifer legen falsche Fährten

Erst APT28, dann Snake – könnte bald vielleicht schon wieder eine andere Gruppe unter Verdacht stehen? Und wie sicher ist es wirklich, dass ein russischer Geheimdienst dahintersteckt? Darüber lässt sich zum jetzigen Stand nur mutmaßen. Denn wie immer in solchen Situationen gilt das Mantra der IT-Sicherheit: "Attribution is hard" – die Zuordnung (von Angriffen) ist zwar nicht unmöglich, aber schwierig.

Im Gegensatz zu Attentätern und Amokläufern, die sich zwar nicht immer sofort fassen, zumindest aber oft schnell identifizieren lassen, haben es Ermittlerinnen und Ermittler im Fall von Menschen, die Cyberangriffe begehen, schwerer. In diesen Fällen können die Täter ihre Spuren nicht nur besser verwischen, sondern auch falsche Fährten legen. Für die professionellen Jäger von Schadsoftware, die in diesem Fall etwa für das BSI, häufig aber auch für Privatunternehmen wie FireEye, Kaspersky oder Crowdstrike arbeiten, gleicht die Fahndung einer Schnitzeljagd.

"Mit hundertprozentiger Sicherheit kann man nie sicher sein, wer hinter einer Cyberattacke steckt", sagt Christian Funk, Leiter der deutschen Forschungsabteilung des Sicherheitsunternehmens Kaspersky im Gespräch mit ZEIT ONLINE. IT-Wissenschaftler wie er vermeiden deshalb Aussagen über die genaue Herkunft potenzieller Angreifer. Stattdessen ordnen sie Merkmale, die sie während der Analyse finden, Akteuren wie eben APT28 zu. "Die Schwierigkeit ist es, am Ende zu sagen, wer genau hinter diesem Akteur steckt", sagt Funk. Also welche Einzelperson, Gruppe oder welcher Geheimdienst letztlich verantwortlich ist und den Auftrag gegeben hat.

Wo landen die Daten?

Nach derartigen Hacks verfolgen IT-Experten verschiedene Spuren. Etwa den Pfad der Daten. Im Fall des Bundestagshacks von 2015 war es ein Trojaner, eine Schadsoftware also, die über einen schadhaften Link in einer E-Mail auf einem Zielrechner installiert wurde. Wer einen solchen Trojaner in einem fremden Netz platziert, kann Dateien von einem Rechner stehlen, aber auch heimlich Kommunikation oder Passwörter aufzeichnen. Gestohlene Daten werden dann über das Internet zu den Hackern übertragen. Ist die Schadsoftware erst einmal identifiziert, lässt sich der Weg der Daten verfolgen.

Dass sie das verraten könnte, wissen natürlich auch die Angreifer – und verwischen ihre Spuren. Im Fall des Bundestagshacks fanden die Ermittler etwa einen Server in Paris, der von einer Firma in Pakistan gemietet worden war. Je mehr Computer zwischen dem Angriffsziel und dem tatsächlichen Angreifer geschaltet sind, desto schwieriger wird es, diesen zu finden. Allerdings machen auch hochprofessionelle Hacker manchmal Fehler: So fanden IT-Experten während der Untersuchung des Angriffs auf den Bundestag kurzzeitig eine unverschlüsselte Verbindung zu einem Cloud-Server im Nordosten Moskaus. Dort sitzt auch der russische Geheimdienst GRU. Jener Geheimdienst also, der verdächtigt wird, etwa mit APT28 in Verbindung zu stehen.