Der Hackerangriff auf die Bundesregierung soll über das Mailprogramm Microsoft Outlook gelungen sein. Dies berichtete die Süddeutschen Zeitung unter Berufung auf anonyme Quellen.

Demnach sollen die Hacker zunächst einen Regierungsrechner mit Schadsoftware infiziert haben. Um eine Blockade des Auswärtigen Amtes zu umgehen und die sensiblen Informationen aus dem abgeschlossenen Netz zu externen Server zu senden, sollen die Hacker eine E-Mail an einen infizierten Rechner gesendet haben.

Die E-Mail soll einen Anhang enthalten haben, den Outlook standardmäßig ohne Zustimmung der Nutzer herunterlädt. Über diese Infrastruktur sollen die Hacker von außen die Schadsoftware kontrolliert haben können. Eine Sprecherin von Microsoft wollte den Fall auf Nachfrage der Süddeutschen Zeitung "zu diesem Zeitpunkt nicht kommentieren".

Die Art des Angriffs über Outlook sei ungewöhnlich und bisher öffentlich nicht bekannt. Die Süddeutsche zitierte einen IT-Sicherheitsforscher, der das Vorgehen der Hacker als elegant beschreibt, "weil es unauffällig ist". 

Der Hackerangriff habe zum Jahreswechsel von 2016 auf 2017 stattgefunden, daraufhin hätten die Angreifer rund ein Jahr lang Zugriff auf das zentrale Datennetz der Bundesverwaltung, den sogenannten Informationsverbund Berlin-Bonn (IVBB), gehabt. Es ist eine Art Intranet für Bundesrat, Bundeskanzleramt, Bundesministerien, den Bundesrechnungshof und diverse Sicherheitsbehörden und galt bislang als sicher. Nach dem Hack des Bundestags im Jahr 2015 ist dies der zweite große bekannt gewordene Angriff auf die IT-Infrastruktur der deutschen Regierung.

Welche Daten nach außen drangen, ist bislang unbekannt. Betroffen waren vermutlich 17 Computer. Der Generalbundesanwalt ermittelt gegen Unbekannt wegen Verdachts der geheimdienstlichen Agententätigkeit. Verdächtigt wird unter anderem die Gruppe Turla, der eine Verbindung zu russischen Geheimdiensten nachgesagt wird. Für diesen Verdacht spreche laut Sicherheitsforschern, dass eines der eingesetzten Schadprogramme bisher nur von dieser Gruppe genutzt worden sei. Eine klare Zuordnung der Hacker ist jedoch schwierig und Russland weist die Vorwürfe von sich.

Der Rechercheverbund aus Süddeutsche Zeitung, NDR und WDR berichtete ohne Berufung auf konkrete Quellen, dass der Angriff Teil einer weltweiten Attacke gewesen sein könnte. Demnach sollen auch Staaten in Skandinavien, Südamerika und den ehemaligen Sowjetstaaten betroffen sein, darunter die Ukraine. Um welche Länder es sich handle, sei unklar.