Hackerangriff auf Bundesregierung war wohl Teil weltweiter Spähaktion

Vom Hackerangriff waren offenbar nicht nur deutsche Regierungsnetze betroffen: Laut einem Bericht war er Teil einer weltweiten Spähaktion.


Der Hackerangriff auf deutsche Regierungsnetze war nach Informationen von NDR, WDR und Süddeutscher Zeitung Teil einer internationalen Spähaktion. Die Hacker sollen demnach 17 Rechner infiziert haben.

Betroffen sind laut den Medien Staaten in Südamerika, im Baltikum, in Skandinavien und in der ehemaligen Sowjetunion. Um welche konkreten Länder es sich handele, sei noch unklar. Es gebe allerdings eine Ausnahme – die Ukraine. Der SZ zufolge haben die Hacker eine geringe Zahl an Dokumenten kopiert – einige sollen einen Bezug zu Russland gehabt haben.

Der Angriff auf die Netze der Bundesregierung war bereits seit Mitte Dezember bekannt, wie das Handelsblatt aus Sicherheitskreisen erfuhr. Die Beamtete Staatssekretärin im Bundesinnenministerium Emily Haber habe dann entschieden, ihn laufen zu lassen, um ihn zu beobachten und zu analysieren, woher er stammt. Ein Sprecher des Innenministeriums sagte am Freitag, Bundesinnenminister Thomas de Maizière habe darüber persönlich entschieden.

Die Bundesanwaltschaft hat wegen des Hackerangriffs Vorermittlungen wegen geheimdienstlicher Agententätigkeit gegen unbekannt eingeleitet. Vor einem förmlichen Ermittlungsverfahren brauche man aber mehr Informationen, sagte ein Sprecher der obersten Anklagebehörde am Freitag in Karlsruhe. Zuvor hatte der „Spiegel“ darüber berichtet.

Wie lange der Angriff zu dem Zeitpunkt bereits gelaufen war, lasse sich nicht genau sagen, hieß es aus Sicherheitskreisen. Die Logdaten, die für die Analyse des Angriffs nötig sind, werden nur für drei Monate gespeichert, sodass nur bis September zurückgeblickt werden konnte.

Es gebe aber Hinweise darauf, dass die Angreifer bereits 2016 über Computer einer Hochschule des Bundes in das Netzwerk des Bundes eingedrungen sind. Beobachtet wurde der Angriff laut Informationen aus Sicherheitskreisen seit Mitte Januar bis vergangenen Mittwochabend. Als die Medienberichte über den Vorfall kamen, wurde die Beobachtung abgebrochen und das Mobile Incident Response Teams (MIRT) des Bundesamts für Sicherheit in der Informationstechnik (BSI) stoppte über Nacht den Angriff.

Allerdings gilt auch hier, wie bei so vielem was Hackerangriffe angeht: Sicher kann man sich nicht sein, ob die Schädlinge im System und alle Hintertüren, die sich die Angreifer gelegt haben, wirklich beseitigt wurden. Das musste auch das Bundesinnenministerium am Freitag zugeben.

Nach eigenen Angaben könne es nicht mit Gewissheit sagen, ob der Hackerangriff auf das Netzwerk der Regierung noch läuft oder nicht. Bei Fragen der IT-Sicherheit gebe es nie eine hundertprozentige Gewissheit, sagte ein Sprecher des Bundesinnenministeriums am Freitag vor Journalisten in Berlin


Von wem genau der Angriff stammte, und ob die Spur nach Russland führt, ist laut Angaben aus Sicherheitskreisen noch Teil der Ermittlungen. Nur eines sei auf Grundlage der Analyse der Methode und des Zugriffs sicher, hieß es: „APT28“, die Hackergruppe, der Verbindungen zum russischen Staat nachgesagt werden, wie die Nachrichtenagentur dpa berichtet hatte, war es nicht. Die Methode und der Zugriff der Angreifer unterscheide sich demnach von dem Muster von „APT28“.

Die russische Regierung in Moskau wehrte sich am Freitag in einem Statement dagegen, dass russischen Hacker den Angriff zu verantworten haben. „Wir nehmen mit Bedauern zur Kenntnis, dass alle Hackerangriffe in der Welt mit russischen Hackern in Verbindung gebracht werden“, sagte Kreml-Sprecher Dimitri Peskow am Freitag. Dafür gebe es aber „keine greifbaren Beweise“.

Laut Sicherheitskreisen war von dem erfolgreichen Angriff das Auswärtige Amt betroffen, das ohnehin die meisten Angriffe von allen Ministerien zu verzeichnen hat. Das Verteidigungsministerium war nur indirekt betroffen durch den Rechner eines Austauschbeamten, den er vom Verteidigungsministerium ins Auswärtige Amt mitgebracht hatte.

Zugang hatten sich die Hacker laut Sicherheitskreisen über die Hochschule des Bundes verschafft. Wo genau die Sicherheitslücke lag, ist aber noch nicht klar. Betroffen waren laut heutigem Wissensstand 17 sogenannte Clients, Programme, die auf dem Endgerät eines Netzwerks ausgeführt werden und mit einem Zentralrechner kommunizieren. Laut Sicherheitskreisen gibt es derzeit keine Hinweise darauf, dass weitere Rechner betroffen sind.


Erst am Freitag vergangener Woche hatten die Angreifer demnach überhaupt damit begonnen Daten abzuziehen, vorher verhielten sie sich ruhig. Das ist durchaus eine gängige Methode. Angreifer versuchen zunächst verdeckt möglichst viele Stellen zu infiltrieren und überall Hintertüren einzubauen. Erst später greifen sie dann tatsächlich auf die Daten zu. Im aktuellen Fall hatten es die Angreifer insbesondere auf das Russland-Referat im Auswärtigen Amt und Informationen zur Ukraine abgesehen. Die abgezogenen Daten bewegen sich laut Sicherheitskreisen noch im Bereich von Megabyte.

Ein Sprecher des Innenministeriums sagte am Freitag vor Journalisten, dass nun ermittelt werde, wer die Informationen am Mittwoch an die Öffentlichkeit gegeben habe und drohte auch damit, eine Strafanzeige zu stellen.