In einer Sondersitzung haben Experten des Innenministeriums und des Bundesamtes für Sicherheit in der Informationstechnik am Freitag den Digitalausschuss über Einzelheiten des Hacker-Angriffs auf die Datennetzwerke der Bundesregierung informiert. Anschließend hat Hansjörg Durz (CSU), der Vorsitzende des Ausschusses „Digitale Agenda“ des Bundestags, mit dieser Redaktion gesprochen.
Aus seinem Bericht ergibt sich die Chronik eines „sehr professionellen, vorsichtigen und langfristig angelegten Angriffs“ – und der Reaktion darauf. Demnach gelang es den Daten-Spionen 2016 zunächst, die Netzwerke einer Verwaltungshochschule des Bundes zu infizieren. Eine Zeit lang blieb der digitale Einbruch auf die Bildungseinrichtung beschränkt – doch die war freilich nicht das eigentliche Ziel.
Zu einem nicht näher benannten Zeitpunkt im Jahr 2017 dann erhielt ein Mitarbeiter des Auswärtigen Amtes eine E-Mail von einer Adresse der unverdächtigen Verwaltungshochschule. Und durch das Öffnen der Mail oder einer angehängten Datei konnte sich die hoch entwickelte Schadsoftware auch im System des Außenministeriums einnisten.
Auch dort blieb der Angriff monatelang unbemerkt. Betroffen war den Angaben zufolge nicht das gesamte Datennetz der Bundesregierung, des „Informationsverbundes Bonn Berlin“ (IVBB), sondern nur ein Teilbereich – der des Außenministeriums. Von anderen betroffenen Ministerien oder Behörden sei im Ausschuss nicht die Rede gewesen, sagt Durz.
Allerdings laufen gerade im Außenministerium besonders sensible Daten ein – etwa die Nachrichten aus den mehr als 200 deutschen Auslandsvertretungen in aller Welt – Material, das für fremde Geheimdienste besonders interessant ist, weil es etwa auch um Aktivitäten von Regimegegnern oder gar Spionage gehen kann.
Deshalb gelten gerade im Auswärtigen Amt, das seinen Sitz im Gebäude der früheren Reichsbank am Werderschen Markt in Berlin hat, besonders hohe Sicherheitsvorkehrungen. Der Umgang mit Daten erfolgt nach verschiedenen Sicherheitsstufen. Informationen, bei denen „die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein kann“, wie es in den Bestimmungen heißt, gelten als „Verschlusssache – Nur für den Dienstgebrauch“. Wirklich sensible Dokumente werden in die höheren Stufen „Verschlusssache – Vertraulich“ oder „Geheim“ eingestuft – oder fallen gar in die Kategorie „Streng Geheim“.
Nach Darstellung der Ermittler im Digitalausschuss sei es den Hackern auch gelungen, Daten zu erbeuten, allerdings seien diese höchstens als „nur für den Dienstgebrauch“ eingestuft gewesen. Durz: „Die Angreifer haben zum Glück nur den äußersten von mehreren, immer strengen Sicherheitsringen überwunden.“ Und dabei sind sie dann am 19. Dezember 2017 von den Sicherheitsdiensten entdeckt worden. Statt sofort Alarm zu schlagen und damit die Hacker zu warnen, hätten sich die Spezialisten des Bundesamtes für Sicherheit in der Informationstechnik entschieden, die Angreifer zu beobachten.
Durz sagt: „Nach allem was wir wissen, war die Bedrohung sehr ernsthaft. Durch den Fall aber haben wir auch viel gelernt, um in Zukunft besser auf solche Angriffe vorbereitet zu sein. Und wir haben auch gesehen, welch große Expertise unsere Behörden auf diesem Feld bereits haben.“
Wer steckt dahinter?
Die Frage, wer hinter der Cyber-Attacke steckt, hätten die Experten im Ausschuss nicht beantwortet. So bleibt weiter unklar, ob der in Sicherheitskreisen geäußerte, dringende Verdacht zutrifft, es handle sich um das Werk einer unter dem Namen „Snake“ bekannten russischen Hackertruppe, mutmaßlich im Kreml-Auftrag.
Laut Hansjörg Durz hätten die Ermittler gern noch mehr Zeit gehabt, um die Cyber-Eindringlinge zu observieren. Wie und warum der Fall öffentlich wurde, sei deshalb noch zu klären. Die Ermittlungen laufen weiter, sagt der Digital-Experte – „doch die akute Gefahr ist vorbei“.
