Hacker-Attacke auf die Leiterin des Europareferats. Spionage-Software Regin über einen USB-Stick eingeschleust

Berlin. Das Amt von Bundeskanzlerin Angela Merkel ist Ziel eines Spionageangriffs geworden. Nach Informationen der „Bild“-Zeitung wurde auf dem USB-Stick einer Referatsleiterin und Vertrauten von Merkel eine Späh-Software entdeckt, wie sie vom US-amerikanischen und britischen Geheimdienst verwendet werde.

Die Leiterin der Europaabteilung habe im Kanzleramt an einem Redemanuskript zu Strategien der Europäischen Union gearbeitet. Nach Dienstschluss habe sie unter Verstoß gegen interne Sicherheitsvorschriften das auf einem USB-Stick gespeicherte Dokument mit nach Hause genommen und daran auf ihrem privaten Laptop weitergearbeitet. Als der Stick dann wieder im Kanzleramt an einen dortigen Hochsicherheitscomputer angeschlossen worden sei, habe dessen Virenscanner Alarm geschlagen. Der USB-Speicher sei mit der Spionage-Software Regin verseucht gewesen, einem sogenannten Trojaner, der das unbemerkte Mitlesen und Kopieren von Dateien erlaube. Diese Software sei vom US-Geheimdienst NSA und dem britischen Dienst GCHQ entwickelt worden, hieß es in dem Bericht.

Das zuständige parlamentarische Gremium zur Kontrolle der Geheimdienste wurde in seiner letzten Sitzung vor der Weihnachtspause über den Vorgang informiert. Nach „Bild“-Informationen wurden nach dem Auffliegen des Spähangriffs alle 200 Hochsicherheits-Laptops im Kanzleramt überprüft. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) habe aber keine weiteren betroffenen Rechner feststellen können.

Vize-Regierungssprecherin Christiane Wirtz wollte am Montag den Vorgang und das beschriebene „Angriffsmuster“ ausdrücklich nicht bestätigen. „Es kam zu keiner Zeit zu einer Infizierung des IT-Systems des Bundeskanzleramts“, sagte sie. Grundsätzlich werde das Parlamentarische Kontrollgremium (PKGr) informiert, wenn es zu solchen Vorfällen komme. Details wollte die Sprecherin nicht nennen. Zum angeblichen Verhalten der Referatsleiterin sagte Wirtz, das Kanzleramt unterrichte die zuständigen Mitarbeiter über die Gefahren der Cyberkriminalität. Es gebe aber keinen Anlass, die Frage der IT-Sicherheit im Kanzleramt grundsätzlich zu überdenken.

Der Urheber des Monate zurückliegenden Angriffs mit der schwer zu entdeckenden Software Regin konnte nicht nachverfolgt werden. Unklar ist auch, ob Dokumente abgefischt wurden. Entsprechende Untersuchungen der Sicherheitsbehörden blieben demnach erfolglos. Klar ist allerdings, dass derartige Cyberattacken keine Seltenheit sind. Aus dem aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland geht hervor, dass seit Mai 2014 monatlich bis zu 60.000 verseuchte E-Mails in den Netzen der Bundesverwaltung abgefangen wurden. Im Jahr 2014 seien täglich zudem 15 bis 20 Angriffe auf das Regierungsnetz entdeckt worden, die durch normale Schutzmaßnahmen nicht erkannt worden wären. Zudem würden täglich rund 3500 Zugriffe aus dem Behördennetz auf Server blockiert, die Schadsoftware enthalten.

Die IT-Sicherheitsfirma Symantec hatte Ende November erstmals über den hochkomplexen Trojaner berichtet. Demnach kann Regin auf infizierten Rechnern Screenshots machen, den Mauszeiger steuern, Passwörter stehlen, den Datenverkehr überwachen und gelöschte Dateien wiederherstellen. Laut der US-Nachrichtenseite „The Intercept“ wird Regin seit 2008 eingesetzt, um Informationen von Regierungen, Firmen und Forschungsinstituten zu stehlen. Demnach waren der britische Geheimdienst GCHQ und der US-Geheimdienst NSA an seiner Entwicklung beteiligt. „The Intercept“ zufolge wurde die Cyberwaffe von der NSA und dem GCHQ zum Beispiel bei einem Angriff auf den belgischen Provider Belgacom eingesetzt. Das BSI geht davon aus, dass Regin für eine große Cyberattacke auf die EU-Kommission im Jahr 2011 verwendet wurde. „Wir haben das nachvollzogen, es gibt eindeutige Übereinstimmungen“, hatte BSI-Vizepräsident Andreas Könen kürzlich dem „Spiegel“ gesagt. Die Sicherheitsexperten hätten die auf den EU-Rechnern gefundene Malware mit einer Analyse von Regin verglichen, die Symantec veröffentlicht hatte. Experten schließen nicht aus, dass mittlerweile auch andere Geheimdienste mit weiterentwickelten Versionen der Software arbeiten.

2013 hatte die Ausspähung durch US-Behörden in Deutschland und anderen EU-Ländern für Empörung gesorgt. Insbesondere hatten Berichte über das Abhören eines Handys von Merkel durch die NSA zu harschen Reaktionen der Kanzlerin geführt und die deutsch-amerikanischen Beziehungen belastet. Der Ex-US-Geheimdienstmitarbeiter Edward Snowden hatte von umfangreichen Ausspähungen der NSA berichtet und damit eine Empörungswelle in Europa ausgelöst. Die US-Behörden wollen Snowden, der in Russland im politischen Asyl lebt, wegen Geheimnisverrats vor Gericht stellen.

Die Partei Die Linke forderte vollständige Aufklärung über den neuen Vorgang. Es sei dringend geboten, „die Umstände zu ermitteln und herauszufinden, wer hinter dem Spionageangriff steckt“, sagte der Linken-Innenexperte Jan Korte. Der für die Spionageabwehr zuständige Verfassungsschutz solle Anfang des Jahres den Innenausschuss informieren. Der erneute Spionageangriff zeige, dass sich seit den Enthüllungen Edward Snowdens nichts an der Praxis der Dienste geändert habe, kritisierte Korte.