Eine unter dem Namen Snake bekannte russische Hackergruppe soll hinter dem Angriff auf das Datennetzwerk des Bundes stehen. Das berichten die Deutsche Presse-Agentur und Spiegel Online. Demnach soll die Gruppe versucht haben, an deutsche Regierungsinterna zu gelangen.

Die Gruppe ist auch unter den Namen Turla und Uroburos bekannt und soll seit 2007 aktiv sein. Experten zufolge sei der Code, den die Gruppe für den Hack benutzte, weiter entwickelt als Codes von anderen russischen Hackern wie APT28. Diese Gruppe stand zunächst im Verdacht, für den Angriff auf das Netz des Bundes verantwortlich zu sein.  

Der Hackerangriff dauert darüber hinaus immer noch an. Das bestätigten Mitglieder des Parlamentarischen Kontrollgremiums (PKGr) des Bundestags nach einer Sondersitzung. Auf der hatten Vertreter der Bundesregierung das Gremium über die bisherigen Erkenntnisse zum Angriff informiert. Da der Angriff noch nicht beendet sei, wolle man über Details keine öffentliche Debatte führen, sagte der Vorsitzende des PKGr, Armin Schuster (CDU), anschließend. "Das wäre eine Warnung an die Angreifer, die wir nicht geben wollen." Zuvor war berichtet worden, der Angriff habe mindestens bis Mittwoch gedauert.

Es sei ein "veritabler Cyberangriff auf Teile des Regierungsnetzes", sagte Schuster. Er bestätigte Berichte, wonach die Angreifer Informationen aus dem Netz abgeschöpft haben: "Der Geheimnisverrat an sich ist ein beträchtlicher Schaden."

Das geheim tagende PKGr hatte sich fast zwei Stunden lang von der Bundesregierung über den Vorfall informieren lassen, der Sicherheitsbehörden schon im Dezember bekannt war, aber erst jetzt öffentlich wurde. Die Parlamentarier hatten von dem Angriff erst aus den Medien erfahren. Das sei "ein handfestes Problem, dass die zuständigen Kontrollgremien nicht über diesen Sachverhalt informiert wurden", sagte Konstantin von Notz, der für die Grünen Mitglied im PKGr ist. Es möge dafür gute Gründe gegeben haben, aber man verlange auch zu diesen Gründen der Geheimhaltung "volle Aufklärung".

Ziel des Angriffs war das Datennetzwerk IVBB (Informationsverbund Bonn-Berlin) der Bundesregierung beziehungsweise Teile dieses Behördennetzes. Abgeschottet vom Internet kommunizieren darin Bundesrat, Bundeskanzleramt und Bundesministerien, Bundesrechnungshof sowie diverse Sicherheitsbehörden an den Standorten Bonn und Berlin. 

Insbesondere betroffen von dem Angriff war laut Süddeutscher Zeitung unter anderem das Auswärtige Amt. Der Angriff lief Sicherheitskreisen zufolge möglicherweise schon ein ganzes Jahr. Demnach ließen die Fachleute des Bundes die Angreifer gewähren, um sie zu beobachten. So wollten sie Informationen über Ziele und Herkunft der Attacke erfahren. "Die Bundesregierung versucht, den Vorgang unter Kontrolle zu behalten", sagte Schuster dazu.

Regierungsvertreter vorladen

Die Ermittlungen zu dem Angriff werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem für Spionageabwehr zuständigen Bundesamt für Verfassungsschutz geführt. Auch der Bundesnachrichtendienst ist als Auslandsgeheimdienst eingebunden. Die betroffenen Behörden seien informiert und Maßnahmen zum Schutz getroffen worden, sagte ein Sprecher des Innenministeriums. Das Regierungsnetz IVBB ist stärker gesichert als das des Bundestages, das vor einiger Zeit bereits Ziel eines großen Onlineangriffs war. Teile des Systems waren damals über längere Zeit lahmgelegt gewesen. Der IVBB besteht aus verschiedenen Teilnetzen. Jedes davon ist gesondert gesichert.

Aus dem PKGr hieß es nach der Sitzung, man sei noch nicht zufrieden mit den Auskünften. Es stehe zu befürchten, dass man noch nicht sagen könne, wie groß der Schaden wirklich sei. Das PKGr wird sich in der kommenden Sitzungswoche des Bundestages daher erneut mit dem Thema befassen und Vertreter der Bundesregierung vorladen. Am Freitag soll auch der Verkehrsausschuss des Bundestages in geheimer Sitzung tagen und das Thema beraten.