Berlin. Vor allem das Außenministerium ist von der Cyberattacke betroffen. Sicherheitsbehörden vermuten russische Gruppe „APT28“ als Drahtzieher

Christian Unger

Angriffe von Hackern auf Server von Behörden und Parteien sind Alltag im weltweilen Kampf um Daten. Allein die Bundesregierung registriert pro Tag etwa 20 hoch spezialisierte Attacken auf ihre Computer. Die allermeisten können die Sicherheitsbehörden abwehren. Diesmal nicht.

Diesmal drangen die Hacker ein – offenbar bis auf die Server des Außenministeriums. Medienberichten zufolge konnten die Angreifer mit ihrer Schadsoftware auch Daten erbeuten. Die Bundesregierung sagt, der Angriff sei „unter Kontrolle“. Die Angreifer rechnen die Sicherheitsbehörden nach Information dieser und anderer Medien der russischen Gruppe „APT28“ zu. Sie sei auch für die Attacke auf die Rechner im Bundestag 2015 verantwortlich gewesen. Und damit sind laut Einschätzung vieler Experten Verbindungen der Cyberkriminellen bis in russische Regierungskreise möglich – aber für deutsche Nachrichtendienste bis heute nicht zu beweisen. Einzelne andere Experten sehen nicht genügend schlüssige Beweise für einen russischen Ursprung der Attacke, weil die von „APT28“ eingesetzte Software im Internet verfügbar sei.

Welche Behörden und Ministerien bei dem nun bekannt gewordenen Hackerangriff genau betroffen sind, ist unklar. Nach Informationen dieser und anderer Medien lag der Schwerpunkt auf dem Außenministerium. Aus Regierungskreisen heißt es, dass das Verteidigungsministerium nicht oder nur in wenigen Einzelfällen betroffen sei. Die Deutsche Presseagentur meldet dagegen, dass auch das Verteidigungsministerium betroffen sei.

Offiziell bestätigte das Bundesinnenministerium, dass es einen „Sicherheitsvorfall“ gegeben habe. Das Bundesamt für Sicherheit in der Informationstechnik und die Nachrichtendiens-
te untersuchen den Angriff derzeit. Ein Sprecher teilte mit, es seien keine betroffenen Stellen bekannt, die „außerhalb der Bundesverwaltung“ liegen. In der Bundesverwaltung sei „der Angriff unter Kontrolle“ gebracht worden.

Doch was beschwichtigend klingen mag, bleibt brisant: Denn zur Bundesverwaltung gehören Ministerien und der Rechnungshof, das Bundesverwaltungsamt, das Kartellamt. Sie alle nutzen den „Informationsverbund Berlin-Bonn“. Eigentlich ist das Netzwerk von anderen öffentlichen Netzen getrennt und soll so ein hohes Maß an Sicherheit der Daten garantieren.

Laut dpa ist die Attacke von Sicherheitsbehörden im Dezember erkannt worden. Damals sei der Angriff allerdings schon über eine längere Zeit gelaufen, womöglich ein Jahr. Seitdem bemühen sich die Behörden herauszufinden, wie tief die Cyberkriminellen mit ihrer programmierten Software in das Regierungsnetz eingedrungen sind.

Die Grünen forderten Aufklärung. Es müsse unter anderem geklärt werden, „ob im Zuge des Angriffs eine Sicherheitslücke verwendet wurde, die deutschen Behörden bekannt war“, sagte Fraktionsvize Konstantin von Notz. „Wenn nach den bisherigen, verheerenden Angriffen auf den Bundestag und andere nun auch das sehr viel besser geschützte Regierungsnetz und Ministerien betroffen sind, zeigt das, wie schlecht es um die IT-Sicherheit in unserem Land insgesamt steht.“

Seit dem Angriff auf das Netzwerk des Bundestags 2015 warnen Kriminalämter, Verfassungsschutz und Bundesnachrichtendienst: Die Hacker gehen immer professioneller vor, sie nutzen immer bessere Software.

Wie 2015 steht auch jetzt die Gruppe „APT28“ im Fokus. Die Abkürzung APT steht für Advanced Persistent Threat (etwa: fortgeschrittene andauernde Bedrohung). Laut Sicherheitsbehörden in Europa und den USA gelten die Cyberkriminellen auch als der mutmaßliche Täter hinter den Angriffen auf die Welt-Anti-Doping-Agentur (WADA), den französischen Fernsehsender TV5 Monde, die demokratische Partei der USA im Wahlkampf und den Angriff auf die Parteizentrale der CDU. Das bekannte US-Unternehmen für Cybersicherheit FireEye hat die Strategien von „APT28“ mehrfach und über Jahre untersucht. Die Experten bilanzieren: „Die russische und von staatlicher Seite unterstützte Gruppe ‚APT28‘ ist eine der aktivsten Cyberspionage-Einheiten.“ Wie die Hacker nun genau in das System des Bundes eindringen konnten, ist noch unklar. Beim Angriff auf den Bundestag spielte wohl auch Unbedachtheit eine Rolle. „Die Angreifer schickten eine E-Mail, die einen Link zu der Website mit Malware enthielt. Ein unbedachter Mitarbeiter hat diesen angeklickt und letztendlich damit das gesamte – damals leider nicht professionell geschützte – Netz des Bundestags infiziert“, sagte Professor Christoph Meinel im Gespräch mit unserer Redaktion. Er ist Direktor des Hasso-Plattner-Instituts in Potsdam. Grundsätzlich ist es für Ermittler schwierig, Cyberangriffe zurückzuverfolgen. „Es ist für Hacker technisch möglich, ihre digitalen Spuren zu verwischen“, sagt er. Wer also zur Quelle der Angriffe gelangen will, muss Geldströme identifizieren für das Mieten von Serverkapazitäten. Oder auch Bewegungsmuster anhand von Handydaten analysieren.