Regin – eine aufwendig programmierte Spionagesoftware unklarer Herkunft – hat es bis in die obersten europäischen Regierungsinstitutionen geschafft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass der Trojaner im Jahr 2011 für einen breit angelegten Cyberangriff auf die EU-Kommission verwendet wurde, sagte BSI-Vizepräsident Andreas Könen dem Spiegel. Wie am Montag außerdem bekannt wurde, soll Regin im Kanzleramt entdeckt worden sein – bei einer Mitarbeiterin des Europareferats.

IT-Experten rund um Edward Snowden vermuten, dass der anspruchsvolle, weil schwer zu entdeckende Trojaner von dem amerikanischen Geheimdienst NSA sowie dessen britischen Pendant GCHQ programmiert wurde. Gesichert ist diese Annahme aber nicht. Möglich ist auch, dass ein anderer Geheimdienst die Software verwendet hat. 

Die Bundesregierung will die mögliche Sicherheitspanne im Haus von Angela Merkel nicht kommentieren, dementiert aber auch nur halbherzig. Sie könne das beschriebene "Angriffsmuster nicht bestätigen", sagte die stellvertretende Regierungssprecherin Christiane Wirtz. Die IT-Systeme des Kanzleramts seien nie infiziert gewesen.

Das jedoch widerspricht nicht dem Bericht der Bild-Zeitung. Demnach habe die Mitarbeiterin des Europareferats nach Dienstschluss zu Hause weiter an ihrem privaten Computer gearbeitet, an einer Rede zu Strategien der Europäischen Union. Das Manuskript habe sie auf ihrem privaten USB-Stick gespeichert und diesen mit zurück ins Kanzleramt genommen. Als sie das Speichergerät an ihren besonders gesicherten Dienstcomputer anschloss, habe das Antivirenprogramm des Kanzleramts Alarm geschlagen. 

Geheimdienstkontrolleure spät informiert

Der Fall soll sich im Sommer zugetragen haben. Erst in der letzten Sitzung vor Weihnachten wurden die Geheimdienstkontrolleure des Bundestages über den brisanten Vorfall informiert. Während die Bild-Zeitung von der Betroffenen als Leiterin des Europareferats spricht, soll es sich nach anderen Informationen nur um eine einfache Referentin im Kanzleramt handeln.

Die IT-Sicherheitsfirma Symantec hatte im November als erste über den neu entdeckten Virus berichtet. Damals ging die Firma davon aus, dass diverse Rechner in Russland und Saudi-Arabien, Mexiko, Irland, Indien, Belgien, Pakistan und Österreich mit Regin infiziert seien. Das Programm sei so gut getarnt, dass es über Jahre arbeite, ohne aufzufallen, erklärten die IT-Experten. Es ist folglich unklar, ob der private USB-Stick oder der Computer der Kanzleramtsmitarbeiterin durch Zufall oder gezielt mit dem Trojaner infiziert wurde.

Symantec zufolge macht Regin auf infizierten Rechnern Screenshots und kann den Mauszeiger steuern sowie Passwörter stehlen und – mithilfe eines Plug-ins – auch Telefonanrufe abfangen und abhören. Selbst wenn das Programm entdeckt werde, sei es oft schwierig festzustellen, was die Software genau getan habe.  

Für Mitarbeiter des Kanzleramts gibt es strenge Vorschriften, was den Schutz ihrer Dokumente betrifft. Darüber würden diese regelmäßig informiert, sagte Wirtz. Die Bundesregierung verweigerte jedoch die Aussage darüber, ob die Mitarbeiterin gegen eine konkrete Dienstvorschrift verstoßen hat, die es ihr explizit verbot, auch inhaltlich vielleicht harmlose Dokumente auf ihrem privaten USB-Stick zu speichern und zu bearbeiten. Wirtz sprach auf mehrfache Nachfrage hin nur allgemein von "Unterrichtungen" von Mitarbeitern und Sensibilisierung für Datenschutz, nicht von konkreten Vorschriften. Auch zu etwaigen Disziplinarmaßnahmen gegen die womöglich fahrlässig handelnde Mitarbeiterin schweigt die Bundesregierung bislang.