Die Bundesregierung hat über den Angriff auf Teile des Regierungsnetzwerks eine strenge Nachrichtensperre verhängt. Kaum jemand traut sich, etwas zum Hack des IVBB (dem Informationsverbund Berlin-Bonn) zu sagen. Es soll nicht mehr bekannt werden als die Dinge, die das Innenministerium verlautbart. So bleibt nur, die wenigen Informationen zu analysieren, die bislang gesichert sind. Und da fällt vor allem die Sprache der offiziellen Statements auf.

Innenminister Thomas de Maizière sagte: "Es ist ein Erfolg, dass der Hackerangriff auf das Netz des Bundes isoliert und unter Kontrolle gebracht werden konnte." Die Angreifer seien "kontrolliert von deutschen Sicherheitsbehörden beobachtet" worden. Ole Schröder, Staatssekretär im Innenministerium, ließ sich mit den Worten zitieren, der Angriff sei "jederzeit voll kontrolliert beobachtet" worden.

Armin Schuster, der Vorsitzende des Parlamentarischen Gremiums zur Kontrolle der Nachrichtendienste, war noch vorsichtiger. Er sagte nach einer Sondersitzung des PKGr, "die Bundesregierung versucht, den Vorgang unter Kontrolle zu halten".

Kontrolle des Angriffs, Versuch der Kontrolle. Es geht also darum, eine weitere Ausbreitung zu verhindern. Davon, dass der Angriff beendet ist, dass die Schadsoftware unschädlich gemacht werden konnte, ist nicht die Rede. Ganz offensichtlich ist das noch nicht gelungen.

Abwehroperation läuft noch

"Die Notfallmaßnahme der Bundesregierung läuft noch", sagte Stephan Thomae ZEIT ONLINE. Er ist für die Fraktion der FDP Mitglied im Parlamentarischen Kontrollgremium (PKGr). Die beteiligten Behörden könnten noch nicht sagen, ob sie bereits jedes Versteck der Angreifer gefunden hätten, die Rechner des betroffenen Netzwerkes würden noch immer durchsucht.

Thomae ergänzte damit eine Aussage von Schuster. Der hatte nach der PKGr-Sitzung gesagt, der Angriff auf das Regierungsnetzwerk sei noch nicht vorbei, es handele sich um einen "noch laufenden" Cyberangriff. Doch nicht den Angriff selbst habe Schuster damit gemeint, sagte Thomae, sondern die Abwehroperation. Die sei noch nicht vorbei.

Einen Spähangriff auf ein Computernetzwerk zu erkennen, ist nur der erste Schritt. Anschließend muss jeder Rechner, jede Software daraufhin geprüft werden, ob sie infiziert wurde. Erst danach können die betroffenen Systeme gereinigt oder neu installiert werden. Bei einem Angriff auf so sensible Systeme haben die Behörden außerdem ein großes Interesse daran, so viel wie möglich über die Angreifer zu erfahren – indem sie ihnen zuschauen und indem sie die Angriffswerkzeuge und Methoden analysieren.

"Besonders verwerflicher Geheimnisverrat"

Offensichtlich ist das dafür zuständige Bundesamt für Sicherheit in der Informationstechnik aber noch mit dem zweiten Schritt beschäftigt. Oder, wie Thomae sagte: "Wir können uns noch nicht sicher sein, ob der Tumor wirklich herausoperiert wurde."

Das erklärt, warum offizielle Stellen so ungehalten reagierten, nachdem der Angriff auf den IVBB bekannt wurde.

Es sei ein "besonders verwerflicher Geheimnisverrat, der dazu geführt hat, dass der Sachverhalt öffentlich wurde", sagte Stephan Meyer, der innenpolitische Sprecher der Unionsfraktion im Bundestag, ZEIT ONLINE. Es müsse strafrechtlich verfolgt werden, wer das geleakt habe. Und auch Thomae findet, es sei nicht nur ein Skandal, dass es eine Sicherheitslücke im sicheren Behördennetz gab. Sondern es sei auch ein Skandal, dass es einen Tippgeber gegeben habe, der den Fall öffentlich machte, bevor die Notfallmaßnahmen hätten beendet werden können.

Das Ganze klingt, als sei es eine größere Operation. Und es klingt, als sei die Kontrolle nicht ganz so perfekt, wie Innenminister de Maizière glauben machen will. Darauf deutet zum einen Schusters Formulierung vom Versuch der Kontrolle. Zum anderen aber auch die Aussage von Innenstaatssekretär Schröder. Der Angreifer sei "jederzeit voll kontrolliert von den Sicherheitsbehörden beobachtet worden", hatte Schröder gesagt.

Jederzeit unter Kontrolle?

Dieses "jederzeit" aber zieht André Hahn von der Linkspartei in Zweifel. Auch er ist Mitglied des PKGr. Man könne einen Hackerangriff nur kontrollieren, wenn man Kenntnis von ihm habe, schrieb Hahn in einer Erklärung. Herr Schröder solle doch bitte noch einmal genau informieren, "wann der Angriff nach heutigem Kenntnisstand tatsächlich begonnen hat und wann denn die Bundesregierung davon erfahren hat. Erst ab diesem Zeitpunkt könnten ja Gegenmaßnahmen ergriffen werden."

Das legt nahe, dass die beiden Daten nicht deckungsgleich sind. Das würde auch die Nachrichtensperre erklären. Sie soll einerseits die noch laufende Suche nach den Angreifern schützen, damit diese sich nicht noch tiefer im IVBB verstecken – wobei die Angreifer nach der medialen Aufmerksamkeit hierzulande sich sicher längst denken können, dass nach ihnen gesucht wird.

Zum anderen aber soll der Maulkorb den Eindruck erwecken, BSI und Innenministerium hätten alles im Griff. Es gibt Hinweise, daran zu zweifeln.