Copyright: Florian Flade
Die Lage ist ernst. Auch deshalb begann die Sitzung am Donnerstagmorgen ungewöhnlich früh. Schon um 07.30 Uhr kamen die Mitglieder der “Kommission für den Einsatz neuer Informations- und Kommunikationstechniken- und medien”, kurz IuK, im Bundestag zusammen. Seit Wochen ist das IT-Netz des Parlaments das Ziel eines bislang beispiellosen Cyberangriffs.
Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), und ein IT-Experte seines Hauses bemühten sich um Aufklärung. Zwei Stunden lang beantworteten sie die Fragen der Abgeordneten. Werden wir angegriffen? Wie groß ist der Schaden? Sind unsere E-Mails sicher? Was muss jetzt getan werden?
Tags zuvor noch überschlugen sich die Meldungen zum Cyberangriff auf den Bundestag. Von einem “Totalschaden” des Computer-Netzes war die Rede, “Bundestag bekomt Hackerangriff nicht unter Kontrolle” titelte die Süddeutsche Zeitung. Andere spekulierten, dass womöglich das gesamte Bundestag-IT-Netz neu installiert werden müsse – für mindestens 100 Millionen Euro.
Was aber ist wirklich passiert im Computer-System des Bundestages, im “Parlakom”?
08. Mai 2015: Irgendetwas stimmte nicht. Ein Server der Bundestagsverwaltung meldete eine Überlastung. Gigabyte an Daten wurden offenbar auf eine Festplatte transferiert. Mitarbeiter des Bundestags-Referats IT 5 (“IT-Sicherheit”), zuständig für rund 20.000 7.000 Computer im gesamten Bundestagsnetz, nahmen sich der Sache an. Zunächst einmal nichts ungewöhnliches. Es passiert häufiger, dass Computer-Viren oder Trojaner, etwa über Spam-Mails, in das System gelangen. Eine Routineüberprüfung also.
Diesmal aber war etwas anders. Die Analyse ergab, dass “zu diesem Server nicht vorgesehene Verbindungen zu einem Abgeordnetenbüro bestanden haben”. Und nicht nur das. Der verdächtige Computer hatte auch den Server einer anderen Bundestags-Fraktion kontaktiert. Ebenfalls ungewöhnlich. Weitere Untersuchungen ergaben, dass dort ein weiterer Computer eben dieser Fraktion in “unüblicher Form” auf den Server zugegriffen habe.
Das Fazit der IT-Experten: Jemand hatte Administratoren-Rechte – ohne Wissen der Berechtigten – genutzt, um im Netzwerk Verbindungen aufzubauen.
12. Mai 2015: In der Zentrale des Bundesamtes für Verfassungsschutz (BfV) in Köln-Chorweiler ist die Abteilung 4 des deutschen Inlandsgeheimdienstes ansässig – “Spionageabwehr”. Deren Mitarbeiter sollen die Bundesrepublik vor den neugierigen Geheimdiensten anderer Staaten schützen – allen voran Russland und China.
Spionage findet heutzutage längst nicht mehr nur mit eingeschleusten Agenten oder angeworbenen Spitzeln statt. Ausgeforscht, gestohlen, sabotiert wird zunehmend auf elektronischem Weg. Mit Schadsoftware, Viren, Trojanern, Würmern, verschickt per E-Mail oder mit einem USB-Stick installiert.
Für derartige Angriffe nutzen sowohl staatliche Hacker als auch Cyber-Kriminelle häufig Server im Ausland. Von dort steuern und verwalten sie ihre Hackerangriffe. Die Server dienen sozusagen als Waffen- und Munitionslager, als Kommandozentrale oder als Lagerstätte für geklaute Daten. Viele dieser schädlichen Serversysteme sind bekannt. Sie werden von IT-Experten aufgespürt und auf “schwarzen Listen” geführt. Mehr als 100.000 solcher “Hacker-Server” kennen die deutschen Behörden inzwischen.
Am 12. Mai, einem Mittwoch, erhielt die Spionageabwehr des Verfassungsschutzes einen brisanten Hinweis. Ein Quelle aus dem Ausland meldete, dass zwei Computer mit deutschen IP-Adressen mit einem verdächtigen Server in Osteuropa Kontakt aufgenommen hatten, über den schon häufiger Schadsoftware verbreitet worden war. Auch vom russischen Geheimdienst.
Der Verfassungsschutz konnte die besagten Computer aufgrund der IP-Adresse schnell zuordnen: Sie befanden sich im Bundestag. Ein Mitarbeiter der Spionageabwehr griff daraufhin umgehend zum Telefon und kontaktierte die Geheimschutzstelle (ZR 4) der Bundestagsverwaltung. Anschließend wurde auch das BSI in Bonn informiert.
Die IT-Fachleute des Bundestages fanden schnell heraus: die Computer, die der Verfassungsschutz benannt hatte, waren jene Abgeordenten-PCs, die bereits wenige Tage zuvor aufgrund ihres ungewöhnlichen Netzwerkverhaltens aufgefallen waren. Einer gehörte zur CDU-Fraktion, einer zur Partei “Die Linke”.
Der Verdacht hatte sich erhärtet: Hacker waren in das Bundestagsnetz “Parlakom” eingedrungen, hatten sich Passwörter und Zugangsrechte verschafft und versuchten wohl Daten abzusaugen.
15. Mai 2015: Die Bundestagsverwaltung entschied sich, das BSI, das eigentlich nur für den Schutz der Regierungsnetze, nicht aber des Bundestages verantwortlich ist, zu Hilfe zu holen. Die Bonner Behörde von Michael Hange entsandte am Folgetag schließlich drei Computer-Forensiker samt eigener Detektionstechnik sowie zwei Mitarbeiter einer externen Firma, mit der das BSI häufiger zusammen gearbeitet hatte, nach Berlin.
Fieberhaft durchsuchten die IT-Experten am Wochenende das Bundestagsnetz “Parlakom” nach einer Schadsoftware. Und versuchten die dringendsten Fragen zu klären: Wie war der Angreifer in das System gekommen? Wie viele Computer sind betroffen? Sind Daten abgeflossen?
21. Mai 2015: Die IuK-Kommission des Bundestages unter Vorsitz von Petra Pau (Linke) lässt sich vom BSI-Präsidenten Hange in einer Sitzung über den Stand der Ermittlungen informieren. Es sei wichtig “schnell zu handeln”, betonte Hange. Der entstandene Schaden, der Grad der Infizierung sei noch nicht abschließend geklärt. Die Angreifer seien jedoch “tief in das Netz eingedrungen” und könnten “jederzeit wieder aktiv werden”. Daher versuche man, die Kommunikation der betroffenen Computer nach außen zu unterbinden.
Hange machte klar, dass es sich um einen sogenannten “Advanced Persistant Threat”, eine APT-Attacke, handelt. Ein komplexer Cyberangriff, der mehrstufig ablaufe. In der Regel würden derartige Angreifer, meist staatliche Stellen, bis zu 70 Tage brauchen um ein Netzwerksystem vollständig zu durchdringen.
“Festzuhalten ist, dass das Ausmaß des Angriffs bis zur Stunde nicht vollständig ermittelt werden konnte”, teilte Bundestagspräsident Norbert Lammert den Abgeordneten in einem Schreiben mit. “Gegenmaßnahmen wurden ergriffen.”
Nach unseren Informationen gehen die BSI-Forensiker inzwischen davon aus, dass das Schadprogramm, ein Trojaner, mutmaßlich per E-Mail in den Bundestag gelangte. Allerdings nicht – wie so oft – über eine angehängte Datei, etwa ein Foto oder ein PDF-Dokument. Sondern über einen Link der via E-Mail an an mindestens ein Abgeordnetenbüro verschickt worden sein soll. Der Link führte auf eine Webseite, die wohl mit einer Schadsoftware präpariert worden war, die sich daraufhin unbemerkt installiert hat.
Anschließend verbreitete sich der Trojaner immer weiter im Netzwerk.
11. Juni 2015: Einen Monat nach Entdeckung des Cyberangriffs teilte das BSI der IuK-Kommission schließlich die Schadensbilanz mit: Auf Computern in fünfzehn Bundestagsbüros sämtlicher Fraktionen sei die Schadsoftware mittlerweile entdeckt worden. Das Programm sei allerdings noch immer aktiv. Aber es gebe keine Verbindung mehr zum Server, der es gesteuert hat. Der Trojaner agiert damit sozusagen “führungslos”.
Von zwei Computern seien lokal gespeicherte E-Mails offenbar abgeflossen, wie die “Welt” aus Parlamentskreisen erfuhr. Der E-Mail-Exchange-Server des Bundestages sei aber nicht betroffen. Dort habe man keine Infektion feststellen können.
Zur Sicherheit wurde mittlerweile ein Teil des Bundestags-Internetverkehrs über das Regierungsnetz IVBB umgeleitet. Was wohl inzwischen nach Informationen der “Welt” zu einigen erheblichen Störungen führt. Bis zu drei Minuten dauert es nun bis eine Webseite lädt. Das System scheint überlastet.
Von einem Totalschaden des Netzwerkes könne jedoch keinesfalls die Rede sein, betont der Düsseldorfer CDU-Abgeordnete und IuK-Mitglied Thomas Jarzombek (CDU). Nach bisherigem Informationsstand müsse das System höchstens teilweise, aber nicht komplett ersetzt werden. “Die Medienberichte sind völlig übertrieben”, sagte Jarzombek der “Welt”. BSI und Verfassungsschutz hätten den Vorfall nach den Ersthinweisen sehr schnell aufklären können.
Tatsächlich aber war es dem Verfassungsschutz bis gestern noch verwährt geblieben, in der Sache aktiv zu werden. Die IuK-Kommission, insbesondere die Vertreter der Links-Partei, hatten sich gegen eine Einmischung des Inlandsgeheimdienstes ausgesprochen. Das BSI ermittelte daher wochenlang in Hilfestellung für die Bundestagsverwaltung alleine und durfte seine Erkenntnisse nicht einmal dem Verfassungsschutz mitteilen. Und das obwohl ein Spionageverdacht von Anfang an vermutet wurde.
Nach einem Beschluss des Ältestenrates am gestrigen Donnerstag darf die Spionageabwehr sich nun den Fall genauer ansehen. Zwar ist dem Verfassungsschutz weiterhin verboten, die Computersysteme der Abgeordneten zu untersuchen, aber die Ermittlungen zu den Angreifern solle in Kooperation mit dem BSI stattfinden.
Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV) geht inzwischen offen von einem Cyberangriff eines ausländischen Nachrichtendienstes aus. Die Spuren weisen nach Russland, heißt es aus Sicherheitskreisen. Die Art des Angriffs, die verwendete Software und das Ziel der Attacken sprächen für eine russische Operation.
Die eingesetzte Schadsoftware ist in Fachkreisen bekannt. Sie soll in mehr als einem Dutzend Ländern bereits in unterschiedlichen Versionen eingesetzt worden sein. Betroffen waren Behörden, Unternehmen und Medien. So war der Trojaner etwa auch beim Hackerangriff auf den französischen Fernsehsender TV5 Monde eingesetzt worden. Zur Attacke hatten sich radikale Islamisten bekannt. Französische Behörden sollen inzwischen allerdings davon ausgehen, dass es sich um einen “Angriff unter falscher Flagge” gehandelt hat, der in Wahrheit aus Russland gesteuert wurde. Von einer Hackergruppe namens “APT28″.
“Die Software stammt aus einer russischen Hackerwerkstatt“, sagte ein Vertreter der Sicherheitsbehörden der “Welt”. Sowohl Kriminelle als auch Geheimdienste hätten sie bereits verwendet. “Beim Bundestag stellt sich im Prinzip nur die Frage, ob es ein Geheimdienst selbst war oder Hacker-Söldner im Auftrag einer Regierung.”
