Gehackte Daten aus dem Bundestag: Im Visier der Cyberkrieger

2015 kam es zum bislang größten Hacker-Angriff auf den Bundestag. Viele Dokumente wurden gestohlen. Vor der Wahl könnte das gefährlich werden.

Zeichnung von einer Person im Kapuzenpulli an einem Laptop

Daten können als Waffe eingesetzt werden – die Website btleaks.net ist aber noch leer Foto: Michael Szyszka

BERLIN taz | Es ist ein Tag im Februar 2014, als Marieluise Beck erfährt, dass da noch jemand ist. In ihrem Computer. Einer, der durch die Hintertür gekommen ist. Der sich nimmt, was ihm gefällt.

Überrascht sei sie damals nicht gewesen, sagt Beck. Sie ist seit fast 30 Jahren Bundestagsabgeordnete der Grünen, Ost­euro­pa-Sprecherin ihrer Fraktion, Russland-Expertin und -Kritikerin. Sie empfängt in ihrem Büro unter den Linden. Es gibt grünen Tee und frische Aprikosen. Es ist zehn Uhr, und Beck hat noch nicht gefrühstückt.

Zwei ihrer Mitarbeiter kommen aus Russland. Beide waren Mitarbeiter in politisch engagierten NGOs. Opposition. Da sei man einiges gewohnt, sagt Beck. „Wir arbeiten hier mit der Grundannahme, dass wir nicht alleine sind.“ Im Cyberwar ist Russland eine Weltmacht.

Deswegen sei man in ihrem Büro nicht erstaunt gewesen, als der Anruf der Bundestagsverwaltung gekommen sei. Ein Mitarbeiter der IT-Abteilung informierte Beck über Auffälligkeiten.

Diagnose: „MiniDuke“

Sie selbst habe nichts mitbekommen, sagt Beck. Woher auch? Alles lief weiter. Das Perfide bei diesen Angriffen aus dem Netz: Bemerkt werden sie oft sehr viel später. Die Bundesverwaltung ließ Becks Computer abholen und suchte auf der Festplatte nach den Spuren des Eindringlings: Wie war er hineingekommen? Und vor allem: Woher kam er, und was nahm er mit?

Nach einigen Wochen bekam Beck einen Bescheid. Die Ergebnisse der Unter­suchung lägen in der Geheimschutzstelle des Bundestags zur Einsicht bereits. Beck las, dass ein Trojaner ihren Computer ­infiziert hatte. Damals hörte sie das erste Mal den Namen „MiniDuke“. Sie konnte nicht ahnen, dass MiniDuke erst der Anfang war, dass ein gutes Jahr später der Bundestag durch einen ähnlichen Angriff lahmgelegt werden würde und dass ihre Kollegen bis heute, ein paar Wochen vor der Wahl, immer noch die Folgen dieses Angriffs fürchten.

Bundesamt für Sicherheit in der Informationstechnik: Das BSI mit Sitz in Bonn ist die "nationale Cyber-Sicherheitsbehörde". Sie ist verantwortlich für den Schutz der Regierungsnetze, allerdings nicht für das des Bundestages. Außerdem für die Beratung von Politik, Verwaltung und Unternehmen – besonders solchen, die für das Gemeinwesen wichtig sind, etwa in der Energieversorgung.

Nationales Cyber-Abwehrzentrum: Die Kooperationseinrichtung ist seit 2011 für die Abwehr elektronischer Angriffe auf die BRD zuständig. Federführend ist das BSI, weitere Mitglieder sind unter anderem das Bundesamt für Verfassungsschutz, das BKA, der Bundesnachrichtendienst und die Bundeswehr.

Kommando Cyber- und Informationsraum: Seit 2017 hat die Bundeswehr über ein eigenes Cyberkommando, welches auch in der Lage sein soll, selbst anzugreifen. 2021 soll die Abteilung mit 15.000 Männern und Frauen voll einsatzbereit sein.

MiniDuke ist ein Trojaner, der durch eine Schwachstelle im Adobe Reader seinen Weg in den Computer findet. Er ist in der Cyberwelt kein ­Unbekannter. 2013 erfuhr man von 59 Angriffen auf Ziele in 23 Staaten. Darunter US-­Forschungseinrichtungen und Regierungseinrichtungen in Portugal, Rumänien und Irland.

MiniDuke kommt per E-Mail, versteckt in einer Einladung zu einem Menschenrechtsseminar oder einem Artikel über die Zusammenarbeit der Ukraine mit der Nato, die als PDF-Datei anhängen. Es reicht ein Klick auf die Datei, und MiniDuke ist drin. Auch in Becks Büro muss einmal jemand an der falschen Stelle geklickt haben.

Das Interesse an dem Angriff sei damals minimal gewesen, sagt Beck. Sie weiß bis heute nicht, wohin ihre Daten abgeflossen sind. Das Bundesamt für Sicherheit in der ­Informationstechnik, das BSI, lieferte keine weiteren Informationen. Der Angriff wurde als Einzelfall verbucht und versank im Alltagsgeschäft – bis zum Frühjahr 2015.

30. April 2015: Der Cyber-Super-GAU

Am 30. April 2015, einem Donnerstag, drangen Angreifer in den Bundestag ein. Genauer: in dessen Netzwerk. Es ist der größte Angriff auf den Bundestag in der Geschichte, wenn man so will ein Cyber-Super-GAU: Auch das Abgeordnetenbüro von Bundeskanzlerin Angela Merkel und von Bundestagsvizepräsident Johannes Singhammer waren betroffen. Am Ende dieser Attacke wurden rund 16 Gigabyte Daten aus sechzehn Abgeordnetenbüros kopiert. ­

Welche Informationen jetzt in fremden Händen sind, wissen nur die Hacker. Es waren unter anderem die E-Mail-­Postfächer, auf die es die Angreifer abgesehen hatten. Die Abgeordneten fürchten, dass die ­Informationen benutzt werden könnten. Am 24. September 2017 geht Deutschland wählen. Im Januar 2017 registrierten Unbekannte die Domain btleaks.net. Noch ist die Seite leer. Das könnte sich bald ändern.

Die Parlamentarier wissen nur zu gut, wie Daten zur Waffe werden können. Wie sie auch Wahlkämpfe beeinflussen. Das zeigte der Hack auf Präsidentschafts­kandidatin Hillary Clinton. Im Herbst 2016 veröffentlichte Wiki­leaks Tausende E-Mails der Demokratischen Partei. Die Inhalte ­bedeuteten für vier Mitarbeiter von Clinton das Karriere­ende und kostete die Demokraten vermutlich den Wahlsieg. Ähnlich am 5. Mai 2017 in Frankreich: Im ­Internet tauchten E-Mails der Macron-Kampagne auf. Rund 9 Gigabytes. Zwei Tage vor der Wahl.

IT-Attacken

Dieser Text stammt aus der taz.am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im praktischen Wochenendabo. Und rund um die Uhr bei Facebook und Twitter.

Seit zehn Jahren registrieren IT-Spezialisten einen Anstieg politisch gesteuerter Ha­cker­an­griffe. Im Jahr 2010 wurde öffentlich, dass das Schadprogramm Stuxnet gezielt das iranische Atomprogramm störte. Dabei arbeiteten offenbar CIA, NSA und israelischer Geheimdienst mit.

Im Dezember 2015 saßen mehrere Zehntausende Menschen in der Ukrai­ne vorübergehend im Dunkeln. Der Grund: ein Hack auf einen regionalen Energieversorger. Für die erste Hälfte des Jahres 2016 zählt das BSI im Netz der Bundesverwaltung rund 200 Schadsoftware-Infektionen pro Monat. Attacken auf Politiker, Parteien und Infrastruktur. Sie zeigen: Wer die richtigen Daten hat, der hat Einfluss. Was bedeutet dies für Deutschland? Wie sicher sind die deutschen Netze im Wahljahr 2017?

Wer Antworten auf diese Fragen sucht, der hat es schwer. Die Entscheider in Münchner Gewerbegebieten und Berliner Besprechungszimmern reden. Aber nicht öffentlich. IT-Sicherheit wird in Deutschland hinter verschlossenen Türen gemacht.

Die Troll-Armee auf Facebook

Für Marieluise Beck endet bald ihre Zeit im Bundestag. Sie spricht offen. „Einflussnahme gibt es doch schon lange.“ Beck erinnert sich an 2014. Für sie das Jahr, in dem sie nicht nur MiniDuke kennenlernte, sondern auch das, was Experten eine Troll-Armee nennen.

Es muss wohl Anfang 2014 gewesen sein, ganz genau erinnert sich Beck nicht mehr, da wurden ihre Mitarbeiter in ihrem Wahlkreisbüro in Bremen stutzig. Becks Facebook-Seite entwickelte sich zu einem schwarzen Brett aus Pöbeleien und persönlichen Angriffen. Es war einer ihrer Mitarbeiter im Berliner Büro, der Beck aufklärte: Das seien keine verärgerten Bürger, die ihrer Wut auf die Politikerin auf deren Facebook-Seite Luft machten, das seien gesteuerte Trolls, eine Art Cyberschlägertruppe. Sie fluten Online­foren, machen Stimmung in Kommentarspalten oder eben auch auf Facebook-Seiten wie der von Beck. Anders als bei Mini­Duke ist für Beck der Schaden der Trolls sofort sichtbar.

Mittlerweile weiß sie: MiniDuke kam vermutlich aus Osteuropa. In die Welt entsandt hat ihn die Hackergruppe APT29. Auch bekannt als „Cozy Bear“ oder „The Dukes“. Davon gehen zumindest die deutschen Behörden aus. Aber wer steckt hinter dieser Gruppe, und was wollen unbekannte Osteuropäer von einer Bremer Abgeordneten?

Die Spur führt nach Moskau

In einem Bericht des FBI werden die Gruppen APT29 und APT28 dem russischen Geheimdienst zugeordnet. Die amerikanische IT-Sicherheitsfirma Fire­eye schreibt in einem Bericht über APT28, sie wüsste nicht genau, wer die Hacker sind und wo sie sitzen. „Aber wir haben Beweise für lang andauernde, zielgerichtete Operation, die auf Finanzierung von einer Regierung schließen lassen – einer Regierung, die in Moskau sitzt.“ Ähnlich äußern sich auch andere IT-Sicherheitsfirmen.

Wer herausfinden will, woher ein Angriff kommt, der muss in den Code schauen. Es gibt wiederkehrende Muster, bestimmte Formulierungen. Eine Art digitale Handschrift. Sicherheitsforscher haben herausgefunden: APT29 und APT28 schreiben Teile ihres Codes in kyrillischer Schrift. Die Zeiten, die sich im Code finden lassen, passen zu Bürozeiten in Moskau und Sankt Petersburg.

Aber: Jeder kann sich dieser Muster bedienen. Beweisen lässt sich wenig in dieser Welt aus Codes und fremdgesteuerten Servern. Zu den Angriffszielen von APT29 und APT28 gehören neben der Demokratischen Partei und Macron auch politische Organisationen in Europa, Afrika und den USA. Davon gehen die IT-Spezialisten aus. Auch der Bundestag wurde vermutlich Opfer von APT28.

Angriff über Schadsoftware

Durch welche Tür APT28 in den Bundestag kam, kann man in Protokollen der Kommission nachlesen, die den Hack aufarbeiten soll. Sie wurden auf der Seite Netzpolitik.org geleakt.

Klickt man sich durch die Dokumente, wird Folgendes deutlich: Am 8. Mai 2015 merkt die Bundestagsverwaltung, dass etwas im Netzwerk nicht stimmt. In einem Abgeordnetenbüro wird ein Rechner ausgetauscht. Routine für die IT der Bundestagsverwaltung. Vier Tage später: Der Verfassungsschutz kontaktiert die Geheimschutzstelle des Bundestags. Von Bundestagsrechnern sollen auffällige E-Mails verschickt worden sein.

Erst jetzt wird klar: Die Auffälligkeiten sind ein Angriff. Was die Spezialisten noch nicht wissen: Wohl schon seit dem 30. April tummelt sich APT28 im Bundestagsnetzwerk. Als Schlüsselbund dient den Hackern ein sogenannter Pishing-Angriff. ­E-Mails, deren Link das Opfer auf eine Seite führt, die zuvor präparierte wurde: mit Malware, also Schadsoftware.

Katastrophe oder Glück im Unglück?

Am 15. Mai beginnt das BSI mit der Analyse. Drei Mitarbeiter des BSI und zwei externe IT‑Spezialisten versuchen das Bundestagsnetz wieder unter Kontrolle zu bringen. Am 27. Mai das wohl letzte Aufbäumen von APT28. Die Hacker installieren erneut ein Schadprogramm. Am 20. August wird das Bundestagsnetzwerk heruntergefahren, die Nutzerkonten werden gesperrt und das System neu aufgesetzt. 16 Gigabytes Daten: kopiert.

Eine politische Katastrophe, ein ­Armutszeugnis für die deutsche IT-Sicherheit, sagen die einen. Glück im Unglück, die anderen. Es gibt Angriffe, die fliegen erst nach Monaten oder Jahren auf. Ein kanadischer Telekommunikationsanbieter wurde vermutlich über Jahre hinweg immer wieder gehackt. Ohne dass irgendjemand etwas merkte.

Unsicherheit bleibt

Auch nach dem Ende des Angriffs bleibt bei den Politikern die Angst: Wie sicher sind unsere Daten, unsere E-Mails und Gespräche? Was sagt dieser Vorfall über die IT-Sicherheitslage in der deutschen Politik, in ganz Deutschland aus? Antworten liefert ein Blick in das innere System des Bundestags und der dortige Umgang mit Handys. Für die Telefone der Parlamentarier ist niemand zuständig, nur sie selbst.

Auch wenn Dienst-Mails, private Kommunikation und das Netz des Bundestags zusammenkommen: Für die IT-­Sicherheit ist die Bundestagsverwaltung nicht verantwortlich. Auch nicht das BSI oder sonst eine Behörde. Sicherheitstechnisch ist diese Freiheit der Parlamentarier ein Problem. Denn Parlamentarier machen Fehler. Ein falscher Klick, eine falsche App, und der Angreifer ist im Mobiltelefon. Und mit ­etwas Pech im Netz des Bundestags.

Zwar gibt es im IT-Schulungszentrum des Bundestags seit 2015 Kurse, in denen die Abgeordneten lernen, ihre Daten besser zu schützen. Allerdings: Die Schulungen sind freiwillig. Volkshochschulkurse gegen Cyber­armeen.

Jede Software hat eine Sicherheitslücke

Zwei, die recht erfolgreich für Deutschlands IT-­Sicherheit kämpfen, sind Sebastian Neef und Tim Schäfers. Es ist noch nicht lange her, da verzockten sie ihre Nächte im Kinderzimmer. Heute sind sie Experten. Bachelorstudenten, Fachmänner auf ihrem Gebiet, die regelmäßig nach Sicherheitslücken suchen, Einfallstore, durch die ein Hacker den Computer übernimmt. Jede Software hat eine Sicherheitslücke. Und jede Infrastruktur nutzt Software. Wasserwerke, Krankenhäuser, Smart Homes.

Neef und Schäfers empfangen in einem schmucklosen Studierzimmer in der Technischen Universität Berlin, 3. Etage der Elektrotechnik. Schäfers, 22, blonde Kurzhaarfrisur, und Neef, 23, brauner Vollbart, packen sofort ihren Rechner aus.

Seit 2012 durchforsten sie das Netz nach Lücken. Werden sie fündig, melden sie das beim BSI oder direkt beim Hersteller. Was für sie als Hobby begann, ist mittlerweile ihr Job. Seit 2012 haben beide eine eigene Website: Internetwache.org.

Ungesichertes Pumpwerk Ohlstadt

Neef zeigt auf seinen Computer. Es öffnet sich ein Tool der University of Michigan. Eine Art Suchfenster, in das Neef eine Zahlenreihe eingibt. In diesem Fall eine Herstellernummer von Software für Industriegeräte. Pumpen zum Beispiel. Das Tool sucht nun alle entsprechenden Geräte, die ans Internet angeschlossen sind. Viele dieser Systeme liegen, einmal gefunden, völlig offen. In den letzten Monaten stießen sie auf über hundert ungesicherte Steuerungen von Wasser- und Heizkraft­werken, Parkplätzen, Gebäuden und Ampelsystemen.

Einer ihrer jüngsten Funde aus dem Juli 2017: das Wasserwerk in Ohlstadt. Tim Schäfers öffnet den Screenshot einer Internet­seite. Darauf ist die Schaltfläche des Pumpwerks zu sehen: Knöpfe, Regler, Wasserstandsanzeiger. Was passiert, wenn sie die Knöpfe drücken, haben Neef und Schäfers nicht ausprobiert. Sie hätten Ohlstadt die Wasserversorgung abgstellen können.

Über die IT-Sicherheitslage in Deutschland sagen die beiden Experten: verbesserungswürdig. Seit Juli 2015 gibt es zwar das IT-Sicherheitsgesetz in Deutschland. Es richtet sich vor allem an Betreiber von kritischer Infrastruktur: an Wasserwerke, Stromerzeuger, aber auch an Bundesbehörden und Unternehmen. Unter anderem sieht das Gesetz vor, dass Betreiber kritischer Infrastrukturen – wie etwa Energieunternehmen – IT-Sicherheit nach dem „Stand der Technik“ umsetzen. Wird eine Sicherheitslücke gefunden, dann sind die Betreiber selbst dafür zuständig, die entsprechenden Pro­ble­me zu lösen.

Unkalkulierbares Risiko

Das IT-Sicherheitsgesetz sei gut, meint Schäfers. Nur: Kleine Betreiber, wie das Wasserwerk in Ohlstadt, fallen oft durch das Raster. „Solange es diese Sicherheitslücken gibt, haben wir ein unkalkulierbares Risiko“, sagt er. In der Verantwortung, diese Lücken zu schließen, sehen sie neben den Softwarefirmen den Bund. Aber es gibt keine Behörde, die nach solchen Sicherheitslücken sucht, um Hersteller zu warnen. Und in diesem Fall auch keine klaren Zuständig­keiten. Vielleicht fehlt ganz einfach auch der Wille, wird immer wieder von Insidern und Experten vermutet. Immerhin sind ­Sicherheitslücken ein potenzieller Weg in ein System – und offene Türen brauchen auch die deutschen Behörden.

Sicherheitslücken, die außer dem Hacker noch niemand erkannt hat, sind begehrt. Auch von Regierungen. Denn wer den Schlüssel hat, der kann ausforschen, überwachen und analysieren. Im DarkNet werden diese Sicherheitslücken gehandelt. Für sehr viel Geld. Daten sind Einfluss und Macht, und eine Sicherheitslücke ist der erste Schritt dahin. Eine Lücke in einem Windows-System kann bis zu 100.000 Dollar einbringen. Käufer sind Kriminelle, Hacker und eben Regierungen.

Das Problem an diesem Handel: Wer Sicherheitslücken kauft und nicht dem Hersteller meldet, damit dieser sie schließt, der öffnet die Tore auch für andere Eindringlinge. So geschehen kürzlich bei WannaCry. Mitte Mai 2017 befiel die Schadsoftware innerhalb eines Tages rund 200.000 Privatleute und Organisationen in 150 Ländern. IT-Spezialisten gehen davon aus, dass die Angreifer eine Lücke nutzten, die schon Jahre zuvor vom US-Auslandsgeheimdienst NSA entdeckt worden war – und bewusst verschwiegen wurde.

Geheimdienste nutzen Sicherheitslücken

Auch der deutsche Staat kauft Sicherheitslücken. Aus einem internen Bundestagsdokument geht hervor, dass der BND in den kommenden Jahren voraussichtlich 150 Millionen Euro ausgeben will – unter anderem um Sicherheitslücken in WhatsApp und anderen Messengerdiensten nutzen zu können.

Seit diesem Jahr will Deutschland im Cyberwar außerdem auch angriffsfähig werden. Im April nahm das neue Bundeswehrkommando Cyber- und In­formationsraum seine ­Arbeit auf. Rund 13.500 Leute sind ihm aktuell unterstellt. Das Kommando wirbt mit Sprüchen wie: „Deutschlands Freiheit wird auch im Cyberraum verteidigt.“ Ihr Auftrag ist der Schutz deutscher Netzwerke, wenn ­nötig auch mit einem ­digitalen Gegenschlag auf feindliche ­Systeme.

Gleichzeitig arbeitet das BSI gerade daran, die Türen des Bundestags in Zukunft fest verschlossen zu halten. Die Schwachstellen seien analysiert, die IT-Infrastruktur neu aufgelegt worden, heißt es aus der Behörde. Zusätzlich gäbe es jetzt die „Mobile Incident Response Teams“. Eine Art Cyberfeuerwehr, die im Notfall schnell eingreifen kann.

Unmut über schnelle Schritte des BSI

Im Mai 2015, zur Zeit des Bundestagshacks, war Marieluise Beck im Urlaub. Aber sie hat die Aufarbeitung miterlebt – und den Unmut der Kollegen darüber. Aus den Protokollen der aufarbeitenden Kommission geht hervor, dass die Abgeordneten zum Teil erst spät über die eingeleiteten Schritte des BSI informiert wurden. Manchmal auch erst eine Minute vorher. Am 15. Mai 2017 fuhren alle Rechner im Bundestag runter. Eine Minute hatten die Abgeordneten, um ihre offenen Dokumente zu sichern. Dann wurde der Bildschirm schwarz. Abgeordnete beklagten, dass sie sich Informationen zum Stand der Dinge aus der Presse zusammen­suchen müssten.

Weil sie der Aufarbeitung nicht vertraute, engagierte die Linksfraktion einen eigenen IT-Experten. Dieser untersuchte die befallenen ­Server der Linken und kam zum selben Schluss wie die Behörden: Der Schuldige heißt APT28. Aber 100 Prozent sicher können sich auch die Experten nicht sein. Denn es gibt nur ­Indizien.

Drei Hacks in drei Jahren

Im Januar 2017 wurde Marie­luise Beck erneut Opfer eines Hacks. Gemeinsam mit mindestens neun weiteren Abgeordneten. Wieder kamen die Angreifer über das Netzwerk des Bundestags. Wieder sei die Informationslage für die Betroffenen dünn gewesen, sagt Beck. Drei Hacks in drei Jahren. Ist der Arbeitsalltag jetzt ein anderer, Frau Beck? Wird man ­vorsichtiger? Paranoid? Wenn dies so sein sollte, lässt sich die Abgeordnete zumindest nichts anmerken. Der Arbeitsalltag sei derselbe, sagt Beck. „Etwas unglücklich ist das aber natürlich schon alles.“

Problematisch könnte auch der September werden. Zu­mindest für manch einen Ab­geordneten oder sogar für die gesamte Bundesregierung. Spricht man mit IT-Experten und Behördenmitarbeitern über die mögliche Veröffent­lichung der abge­flossenen 16 Gigabyte des Bundestagshacks, heißt es: Alles unter Kontrolle. Was eigentlich heißt: Nichts unter Kontrolle. Ob die Daten irgendwo im Netz auftauchen und mit welcher Wucht, das hat momentan nur einer in der Hand: APT28.

Letzte Frage an Beck: Was vermutet sie, was in den abgeflossenen 16 Gigabyte enthalten ist? An Staatsgeheimnisse glaube sie eher nicht, sagt Beck. „Es ­werden vielleicht ein paar harmlose Pornobildchen zum Vorschein kommen.“

In einem Monat ist Wahl.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bei wieviel Prozent liegen die Parteien? Wer hat welche Wahlkreise geholt?

▶ Alle Zahlen auf einen Blick

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.