Hackerangriff auf Regierung: Deutschland nur Teil einer weltweiten kampagne

3 Min
Logo iF
Artikel von:
Redaktion
Die deutschen Sicherheitsbehörden haben den Hackerangriff auf das Datennetzwerk des Bundes nach Darstellung der Bundesregierung inzwischen unter Kontrolle. Doch wer steckt hinter dem Angriff? Foto: Marius Becker/dpa
Die deutschen Sicherheitsbehörden haben den Hackerangriff auf das Datennetzwerk des Bundes nach Darstellung der Bundesregierung inzwischen unter Kontrolle. Doch wer steckt hinter dem Angriff? Foto: Marius Becker/dpa

Der Hackerangriff auf die deutsche Regierung ist offenbar schwerwiegender als bislang angenommen. Es soll sich um eine weltweite Kampagne handeln.

Der Hackerangriff auf die deutsche Regierung ist offenbar schwerwiegender als zunächst es zunächst schien. Neben Deutschland sollen noch weitere Länder von dem Hackerangriff betroffen gewesen sein. Der Angriff war offensichtlich Teil einer weltweiten Kampagne.

Der Angriff auf das deutsche Regierungsnetz war offenbar Teil einer weltweiten Hacker-Attacke. Das haben NDR, WDR und SZ aus Kreisen, die mit den Vorgängen vertraut sind, erfahren. Demnach sollen Staaten in Skandinavien, Südamerika und ehemalige Sowjet-Staaten ebenfalls attackiert worden sein. Auch die Ukraine ist offenbar betroffen. Um welche weiteren Länder es sich konkret handelt, ist unklar. In Deutschland sollen insgesamt 17 Computer von dem Trojaner-Angriff betroffen gewesen sein. Einer davon gehörte offenbar einem Mitarbeiter des Bundesverteidigungsministeriums, der damals seinen Dienst im Auswärtigen Amt verrichtete. Daher hieß es zwischenzeitlich, auch das Verteidigungsministerium sei von dem Hack betroffen. Das ist offenbar nicht der Fall.

Am Mittwoch hatte die Deutsche Presse-Agentur berichtet, dass ausländische Hacker in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden eingedrungen waren. Cyberspione der russischen Gruppe "APT28" hätten erfolgreich das deutsche Außen- und das Verteidigungsministerium angegriffen, hieß es in Sicherheitskreisen. Es sei Schadsoftware eingeschleust worden, die Angreifer hätten auch Daten erbeutet.


Datenklau: Darunter auch Dokumente mit Russland-Bezug


Der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz sollen kurz vor Weihnachten, am 19. Dezember, über den Angriff informiert worden sein. Der Hinweisgeber soll demnach ein ausländischer Geheimdienst gewesen sein. Einen Tag später soll der Vorgang an das Cyberabwehrzentrum delegiert worden sein. Das Bundeskriminalamt wurde offenbar nicht informiert.

Aus informierten Kreisen hieß es, zunächst war Ende 2016 die Hochschule des Bundes betroffen. Dort schlummerte der Trojaner bis zum 15. Januar 2017 und habe keine Informationen an die Angreifer übermittelt. Erst an jenem Tag bekam das Programm offenbar von außen den Steuerbefehl und begann zunächst, das Netzwerk zu analysieren und dann Daten abzusenden. Im März 2017 war es den Angreifern dann gelungen in die Infrastruktur des Auswärtigen Amtes vorzudringen. Der Ausgangspunkt des Angriffs lag offenbar im Referat für Liegenschaften des Auswärtigen Amts.
Die kopierte Datenmenge soll vergleichsweise gering gewesen sein. Offenbar waren darunter Dokumente mit einem Russland-Bezug. Wohin die Daten flossen ist unklar. Das BSI hat den Trojaner offenbar zunächst beobachtet und nicht eingegriffen, um Rückschlüsse auf die Angreifer und deren Strategien ziehen zu können.

Ist alles viel schlimmer, als zunächst angenommen? Nach dem Hackerangriff auf das deutsche Außenministerium verdichten sich die Anzeichen darauf, dass der Angriff auf das Datennetzwerk des Bundes Teil eines noch weitaus größeren organisierten Spionageangriffs auf EU-Staaten sein könnte. Das berichtete die "Welt" (Donnerstag) unter Berufung auf den Sicherheitsexperten Benjamin Read von der US-Sicherheitsfirma FireEye.

"Wir beobachten seit einigen Monaten, dass (die russische Gruppe) APT28 gezielt Außen- und Verteidigungsministerien in der Europäischen Union angreift und versucht, sich Zugang zu geschützten Systemen zu verschaffen", erklärte Read. "Diese Erkenntnis haben wir aus sogenannten Spearphishing-Mails gewonnen, die unsere Sicherheitssysteme in den vergangenen Monaten bei diversen EU-Regierungen entdeckt haben."



Steckt der russische Geheimdienst hinter den Angriffen?


Read sagte, "APT28" sei eindeutig keine gewöhnliche Gruppe krimineller Hacker, die auf finanzielle Gewinne aus sei. "Die Auswahl der Ziele, die verwendeten Methoden, das jahrelange Durchhaltevermögen - allesamt klare Indizien für das Mitwirken staatlicher Behörden sowie die Finanzierung durch einen Staat. Welcher Geheimdienst genau hinter APT28 steckt, ist noch nicht aufgeklärt - doch die Beteiligung russischer Behörden gilt uns als sicher", sagte er.

Derweil haben die deutschen Sicherheitsbehörden den Hackerangriff auf das Datennetzwerk des Bundes nach Darstellung der Bundesregierung inzwischen unter Kontrolle. Das Innenministerium bestätigte Informationen der Deutschen Presse-Agentur, wonach die Informationstechnik und Netze des Bundes angegriffen wurden. "Innerhalb der Bundesverwaltung wurde der Angriff isoliert und unter Kontrolle gebracht", erklärte das Ministerium. Am Donnerstag befasst sich der Bundestag mit dem Fall, der Digitalausschuss kommt zu einer Sondersitzung zusammen.

Ausländische Hacker waren nach Informationen der Deutschen Presse-Agentur in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden eingedrungen. Cyberspione der russischen Gruppe "APT28" hätten erfolgreich das deutsche Außen- und das Verteidigungsministerium angegriffen, hieß es in Sicherheitskreisen. Es sei Schadsoftware eingeschleust worden, die Angreifer hätten auch Daten erbeutet.
Die Attacke sei von deutschen Sicherheitsbehörden im Dezember erkannt worden. Der Angriff sei da schon über eine längere Zeit gelaufen, womöglich ein ganzes Jahr.


Bereits früher gab es Angriffe


Hinter der "APT28" vermuten zahlreiche Computerfachleute russische Regierungsstellen. Der Angriff auf den Bundestag im Jahr 2015 geht nach Erkenntnissen von Ermittlern ebenfalls auf das Konto dieser Gruppe. Damals waren verdächtige Aktivitäten im Computernetz des Parlaments aufgefallen. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, dass die Bundestags-IT ausgetauscht werden musste.

Eisige Temperaturen zum Frühlingsanfang und Hoffnung auf Tief "Ulrike" - Glatteisgefahr steigt

Nach Angaben des Innenministeriums untersuchen derzeit das Bundesamt für Sicherheit in der Informationstechnik und die Nachrichtendienste den neuen Angriff. Die Verantwortlichen in den betroffenen Behörden seien informiert sowie Maßnahmen zur Aufklärung und zum Schutz getroffen worden. "An dem Vorfall wird mit hoher Priorität und erheblichen Ressourcen gearbeitet", versicherte Ministeriumssprecher Johannes Dimroth. Angriffe auf Stellen außerhalb der Bundesverwaltung seien derzeit nicht bekannt.


Droht der "Super-Gau"?


Mit dem Hackerangriff sei das Datennetz der Bundesverwaltung - der Informationsverbund Berlin-Bonn (IVBB) - infiltriert worden, heißt es in Sicherheitskreisen. Seit Dezember bemühen sich die Behörden herauszufinden, wie tief die Hacker in das Regierungsnetz eingedrungen sind. Sollte das gesamte Datennetz des Bundes betroffen sein, käme dies einem "Super-Gau" gleich, dem "größten anzunehmenden Unfall", sagte ein Sicherheitsexperte.

Der Ausschuss Digitale Agenda des Bundestages beschloss einstimmig, für diesen Donnerstag eine Sondersitzung einzuberufen. Es sei ein Unding, dass die Abgeordneten über die Vorkommnisse aus den Medien erfahren müssten, erklärte der FDP-Abgeordnete Manuel Höferlin. "Wir erwarten, dass die Vertreter des Bundesinnenministeriums, des Auswärtiges Amtes, des Verteidigungsministeriums und des Bundesamtes für Sicherheit in der Informationstechnik Rede und Antwort stehen." rowa/dpa