Hacker im Netz des Bundes

Seit Monaten werden deutsche Ministerien ausgespäht. Der Cyberangriff läuft noch. Wer dahintersteckt, ist unklar

Aus Berlin Tanja Tricario

Geschlossen treten die Vertreter des Parlamentarischen Kontrollgremiums an diesem Donnerstag vor die Presse. Jedem Einzelnen ist der Ernst der Lage anzusehen. Der Vorsitzende Armin Schuster (CDU) bestätigt einen „veritablen Cyberangriff auf Teile des Regierungsnetzes“. Er spricht von einer „noch laufenden Attacke“, von Geheimnisverrat und einem beträchtlichen Schaden.

Die Dimension des Falls lässt Kritik daran, wie der Spähangriff in die Öffentlichkeit kam, nahezu verpuffen. Denn erst am Donnerstag wurden die Abgeordneten von den Sicherheitsbehörden über den Angriff informiert. „Es mag gute Argumente geben, warum man bestimmte Informationen in den letzten Wochen sehr eng gehalten hat“, kommentierte der Grünen-Politiker Konstantin von Notz. Jedoch sei es völlig inakzeptabel aus den Medien zu erfahren, was „hier Phase ist“.

Nach den ersten Berichten hatte das Bundesinnenministerium die Attacke auf die Informationstechnik und die Netze des Bundes bestätigt, aber versichert: „Innerhalb der Bundesverwaltung wurde der Angriff isoliert und unter Kontrolle gebracht.“ Wer hinter dem Hack steht – darüber wird heftig spekuliert.

Experten vermuten, dass die Cyberspione des russischen Hackerkollektiv „APT28“ den Angriff koordiniert und umgesetzt haben könnten. Die Spione hatten dabei konkrete Ministerien und Daten im Blick. Offenbar sind sowohl das Auswärtige Amt als auch das Verteidigungsministerium von den Hackern ausgespäht worden.

APT28 steht für „Advanced Persistent Threat 28“. Die Hacker sind auch unter dem Namen „sofacy group“ oder „fancy bear“ bekannt. Die Gruppe wird immer wieder in Verbindungen mit der russischen Regierung gebracht und gilt als eine der aktivsten Cyberspionage-Einheiten der Welt. Stichhaltige Belege dafür aber gibt es nicht.

Laut der Sicherheitsagentur FireEye gehen die Hacker häufig nach der gleichen Strategie vor: Sie stehlen vertrauliche Informationen und verbreiten diese dann – vor allem über die sozialen Medien. Die Gruppe wird auch mit der versuchten Einflussnahme auf die US-Präsidentschaftwahl 2016 in Zusammenhang gebracht.

Unklar ist, zu welchen Informationen die Hacker Zugang hatten oder noch haben. Bisherigen Informationen zufolge wurde der Angriff im Dezember 2017 entdeckt. Zu diesem Zeitpunkt hatten die Cyperspione bereits seit Monaten, vermutlich ein ganzes Jahr lang, Zutritt zum Verwaltungsnetz des Bundes.

Was die Abgeordneten offenbar überrascht hat, bestätigt Vermutungen von IT-Sicherheitsexperten. „Es gibt keine 100-prozentige Sicherheit“, sagte Marc Fliehe der taz. „Das gilt auch für die Verwaltung der Regierung.“ Für den Leiter Digitales und IT-Sicherheit beim TÜV-Verband zeigt der Fall die Asymmetrie zwischen Hackern und Sicherheitsleuten. „Ein Hacker muss immer nur eine Schwachstelle finden. Der Sicherheitschef einer Behörde oder eines Unternehmens muss alle Fenster geschlossen ­halten.“

Mit den Fenstern meint er die Lücken, die die Cyberspione nutzen, um in die Systeme einzudringen. Mit der Digitalisierung steigt die Zahl der Einfallstore. „Schwachstelle ist das Zusammenspiel zwischen Mensch, Maschine und Prozess. Das müssen Sicherheitsleute im Blick haben.“ Mehr Experten und mehr Geld brauchen Behörden und Firmen, um sich zu wappnen und „Vorfälle“ schnell zu entdecken.

„Wir müssen ein Bewusstsein dafür schaffen, dass man etwas tun muss, um sicher zu bleiben“, sagt Fliehe. Die technische Ausstattung hält er für das geringste Problem. „Cybersicherheit muss zur Priorität werden.“ Doch können die Hacker entlarvt werden? „Das wäre ein glücklicher Zufall“, sagt Fliehe. „Sie tun alles, um die Spuren zu verwischen oder eine falsche Fährte zu legen. Wer auf Bundesministerien einen Angriff verübt, ist clever genug, seine Visitenkarte nicht zu hinterlegen.“

Foto: Mitglieder des Parlamentarischen Kontroll- gremiums vor und nach der Sitzung des GremiumsFoto: Kay Nietfeld/dpa

Das sieht auch Nabil Alsabah vom Internetverband Bitkom so. Aber: „Es gibt Möglichkeiten, den Kreis der Verdächtigen einzugrenzen“, sagte Alsabah gegenüber der taz. Dies sei kein einfacher Weg. „Man muss auch damit leben können, dass die Täter vielleicht nie entlarvt werden.“

Es ist nicht das erste Mal, dass die IT-Netze des Bundes Opfer von Hackerangriffen wurden. Bereits im Frühsommer 2015 geriet der Bundestag ins Visier der digitalen Spione. Die Parlaments-IT schaltete daraufhin die Computersysteme des Bundestags ab, um das Netz auf den neuesten Sicherheitsstand zu bringen. Weder die Abgeordneten noch ihre Mitarbeiter hatten währenddessen Zugriff auf E-Mails oder Einträge auf ihren Webseiten.

Vor knapp drei Jahren speisten Datenhacker Trojaner in das Netzwerk und konnten somit Daten abzweigen. Bis heute ist nicht völlig geklärt, wer hinter dem Angriff steckte. Allerdings teilen Experten die Einschätzung, dass professionelle Netzwerke, zum Beispiel ausländische Geheimdienste, die Attacke veranlasst haben. Vermutlich kommt auch das Hackerkollektiv APT28 als Täter in Frage.