Hackerangriff auf Bundesdatennetz dauert weiterhin an

Der Hackerangriff auf das Datennetzwerk des Bundes dauert offenbar weiter an. In einer E-Mail an Mitarbeiter des Auswärtigen Amts, die der Süddeutschen Zeitung vorliegt, heißt es demnach, die Aktivitäten der Hacker seien „eingegrenzt, isoliert und kontrolliert“. Der Rundfunk Berlin-Brandenburg (RBB) will indes erfahren haben, dass der entscheidende Hinweis, der zur Entdeckung des Angriffs führte, von einem ausländischen Geheimdienst stammt.

Deutsche Nachrichtendienste sollen seit dem 19. Dezember wissen, dass das Regierungsnetzwerk gehackt wurde. Anfang Januar soll dann das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgefunden haben, dass der Einbruch über Systeme der Hochschule des Bundes erfolgte. Von dort aus hätten die Hacker versucht, bis ins Auswärtige Amt vorzudringen. Sie hätten zunächst aber nur Systeme der Liegenschaftsverwaltung des Außenministeriums und eines Referats mit Bezug zu Russland infiziert.

Derzeit würden die Folgen des Angriffs analysiert und die laufenden Aktionen der Angreifer überwacht, um weitere Erkenntnisse zu sammeln. Das erklärte die Bundesregierung gestern im Parlamentarischen Kontrollgremium des Bundestags. Bisher sei nur ein geringer Schaden festgestellt worden: Die Täter sollen nur sechs Dokumente mit Bezügen zu Russland, der Ukraine und Weißrussland erbeutet haben.

Die Ermittlungen sollen auch ergeben haben, dass der Angriff auf die Hochschule des Bundes bereits Ende 2016 erfolgreich war. Wie es den Hackern gelang, die Systeme der Hochschule zu infiltrieren, ist indes nicht bekannt. Von der benutzten Malware namens „Snake“ oder auch „Uroburos“ leiten die Ermittler jedoch die Herkunft der Täter ab, da westliche Geheimdienste das Schadprogramm dem russischen Geheimdienst FSB zuordnen.

Belastbare Beweise für die Urheberschaft gibt es hingegen keine. Für den IT-Sicherheitsexperten und NATO-Berater Sandro Gaycken von der European School of Management und Technology in Berlin ist zwar eine russische Urheberschaft plausibel, jedoch längst nicht bewiesen. Im Deutschlandfunk sagte er: „Die Nachrichtendienste sind sehr gut darin, die Stile gegenseitig zu imitieren, komplett bis in die kleinsten technischen Details, und diese Analysen kommen meist von irgendwelchen IT-Sicherheitsfirmen, die natürlich dann sofort bei CNN erscheinen, wenn sie als erster „die Russen!“ schreien. Von daher ist das immer so: Das sind eher Komplizen von solchen Verschleierungstaktiken, und da muss man immer sehr vorsichtig sein. Feststellen kann man es eigentlich nur, wenn man eine menschliche Quelle im gegnerischen Hacker-Team hat. Die sind aber sehr selten und die würde man im Zweifelsfall auch nicht ausspielen.“

Weitere Details zu dem Hackerangriff wollte der Vorsitzende des Parlamentarischen Kontrollgremiums, Armin Schuster, nach der gestrigen geheimen Sitzung nicht öffentlich machen. Damit entsprach er dem Bericht zufolge einem Wunsch der Bundesregierung, die offenbar befürchtet, dass Einzelheiten zu dem Angriff dem Angreifer einen Vorteil gewähren könnten.

Das Datennetzwerk des Bundes – genannt Informationsverbund Berlin-Bonn – dient vor allem dem sicheren Austausch von Daten zwischen Ministerien und Bundesbehörden. Es ist in sich abgeschlossen und soll nur an wenigen speziell abgesicherten Punkten über eine Verbindung zum öffentlichen Internet verfügen. Bitdefender vermutet, dass die Hacker über zielgerichtete Spear-Phishing-E-Mails mit einer maßgeschneiderten Schadsoftware in das Netzwerk eingedrungen sind. Dass es den Betreibern des von seinem Anspruch her sichersten Netzwerks Deutschlands ein Jahr lang nicht aufgefallen ist, dass sich Unbefugte einen Zugang verschafft haben, nährt Zweifel an dessen Sicherheit.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.