Update: Der Hackerangriff auf das Datennetzwerk des Bundes könnte Teil eines noch weitaus größeren organisierten Spionageangriffs auf EU-Staaten sein. Das berichtete die „Welt“ (Donnerstag) unter Berufung auf den Sicherheitsexperten Benjamin Read von der US-Sicherheitsfirma FireEye. „Wir beobachten seit einigen Monaten, dass (die russische Gruppe) APT28 gezielt Außen- und Verteidigungsministerien in der Europäischen Union angreift und versucht, sich Zugang zu geschützten Systemen zu verschaffen“, erklärte Read. „Diese Erkenntnis haben wir aus sogenannten Spearphishing-Mails gewonnen, die unsere Sicherheitssysteme in den vergangenen Monaten bei diversen EU-Regierungen entdeckt haben.“ Cyber-Attacke durch APT28: „Die Beteiligung russischer Behörden gilt uns als sicher“ Der angeblich erfolgreiche Hackerangriff auf das deutsche Außen- und Verteidigungsministerium durch eine russische Gruppierung scheint Teil eines größeren Plans innerhalb Europas zu sein.
Read sagte, „APT28“ sei eindeutig keine gewöhnliche Gruppe krimineller Hacker, die auf finanzielle Gewinne aus sei. „Die Auswahl der Ziele, die verwendeten Methoden, das jahrelange Durchhaltevermögen – allesamt klare Indizien für das Mitwirken staatlicher Behörden sowie die Finanzierung durch einen Staat. Welcher Geheimdienst genau hinter APT28 steckt, ist noch nicht aufgeklärt – doch die Beteiligung russischer Behörden gilt uns als sicher“, sagte er.
Parlamentarisches Kontrollgremium wird in Sitzung zusammen kommen
Die Geheimdienstkontrolleure des Bundestages treffen sich nach Informationen der Deutschen Presse-Agentur wegen des Hacker-Angriffs auf das Datennetzwerk des Bundes am Donnerstagmittag zu einer Sondersitzung. Die Zusammenkunft ist für 12.30 Uhr geplant. Gegen 14.00 Uhr wird es vermutlich Stellungnahmen der Mitglieder des Parlamentarischen Kontrollgremiums (PKGr) geben. Am Donnerstag wollte sich auch der Bundestagsausschuss Digitale Agenda mit dem Fall befassen.
Linke empört über mangelnden Informationsfluss
Die Linken-Netzexpertin Anke Domscheit-Berg hat unterdessen eine ausgebliebene Unterrichtung des Bundestages angeprangert. Sie habe von der Attacke aus der Presse erfahren, dies sei eigentlich schon der erste Skandal, sagte die Obfrau der Linken-Fraktion im Ausschuss Digitale Agenda des Bundestages am Donnerstag im ZDF-„Morgenmagazin“. Dass man dies selbst als fachlich zuständige Abgeordnete aus der Presse lesen müsse, „das ist schon wirklich skandalös“. Angesprochen auf eine mögliche Urheberschaft einer russischen Gruppe sagte Domscheit-Berg: „Es gibt Indizien, die darauf hinzeigen, aber wir wissen es wirklich nicht.“
Hacker-Angriff auf Außen- und Verteidigungsministerium
Am Mittwoch wurde bekannt, dass ausländische Hacker nach Informationen der Deutschen Presse-Agentur in das als bislang sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden eingedrungen sind. Cyberspione der russischen Gruppe „APT28“ hätten erfolgreich das deutsche Außen- und das Verteidigungsministerium angegriffen, hieß es aus Sicherheitskreisen. Es sei Schadsoftware eingeschleust worden, die Angreifer hätten auch Daten erbeutet. Die Attacke sei von deutschen Sicherheitsbehörden im Dezember erkannt worden. Der Angriff sei da schon über eine längere Zeit gelaufen, womöglich ein ganzes Jahr.
Auf das Konto von „APT28“ geht nach Erkenntnissen von Ermittlern auch der Angriff auf den Bundestag im Jahr 2015. Mit dem Hackeragriff sei das Datennetz der Bundesverwaltung – der Informationsverbund Berlin-Bonn (IVBB) – infiltriert worden, heißt es. Seit Dezember bemühen sich die Behörden herauszufinden, wie tief die Hacker in das Regierungsnetz eingedrungen sind. Sollte das gesamte Datennetz des Bundes betroffen sein, käme dies einem „Super-Gau“ gleich, dem „größten anzunehmenden Unfall“, sagte ein Sicherheitsexperte.
Attraktive Ziele für russische Geheimdienstler
Die Ermittlungen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem für Spionageabwehr zuständigen Bundesamt für Verfassungsschutz (BfV) geführt. Auch der Bundesnachrichtendienst (BND) ist als Auslandsgeheimdienst eingebunden. Der IVBB ist die besonders gegen Cyber-Angriffe geschützte Kommunikationsplattform der Bundesverwaltung.
Nutzer sind Bundeskanzleramt und Bundesministerien, Bundesrechnungshof sowie Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten, aber auch Bundestag und Bundesrat. Durch den von öffentlichen Netzen getrennten Aufbau des IVBB sollte ein hohes Maß an Sicherheit gewährleistet werden.
Handfeste Beweise, dass es sich bei „APT28“ um eine vom russischen Staat gelenkte Hacker-Gruppe handelt, sind wie fast immer in solchen Fällen schwierig. Es gibt aber Indizien dafür. Dies sind vor allem die angegriffenen Ziele und die verwendeten Server, von denen aus die Angriffe geführt werden. So waren frühere Attacken von „APT28“ gegen die Nato sowie Regierungsstellen und Journalisten in Osteuropa und im Kaukasus gerichtet – attraktive Ziele für russische Geheimdienstler. Die Abkürzung APT steht für Advanced Persistent Threat (etwa: fortgeschrittene andauernde Bedrohung).
Hochspezialisierte Hacker-Angriffe
Beim Angriff auf den Bundestag waren im Mai 2015 verdächtige Aktivitäten im Computernetz des Parlaments aufgefallen. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, dass die Bundestags-IT ausgetauscht werden musste. Als Angreifer wurde damals auch „APT28“ vermutet. Vor der Bundestagswahl hatten Politiker und der Verfassungsschutz befürchtet, dass vertrauliche Daten aus dem Bundestags-Hack im Wahlkampf auf Enthüllungsplattformen wie Wikileaks auftauchen könnten. Eine Veröffentlichungswelle zur Manipulation der Wahl war aber ausgeblieben.
Das Datennetzwerk des Bundes ist viel umfassender gegen Angriffe von Hackern geschützt als das Netzwerk im Parlament. Das liegt unter anderem daran, dass Bundestagsabgeordnete und ihre Mitarbeiter Smartphones und Tablet-Computer verwenden, die nicht zentral verwaltet werden und gegen potenzielle Angriffe abgeschirmt sind. Die Bundesregierung registriert nach eigenen Angaben pro Tag etwa 20 hochspezialisierte Hacker-Angriffe auf ihre Computer.
———-
Mehr Informationen zu Hacker-Angriffen:
- Potentielle Cyber-Attacke bei Olympia-Eröffnung
- Niederlande: Geheimdienst soll Hackergruppe Cozy Bear überwacht haben
- USA: Mögliche Beweise für WannaCry-Angriff durch Nordkorea
———-
Einer pro Woche habe einen nachrichtendienstlichen Hintergrund, erklärte die Regierung in einer Antwort der Bundesregierung auf eine Anfrage der Linksfraktion. Zudem gebe es immer wieder Hinweise, dass russische Spione Mitarbeiter von Bundestagsabgeordneten anwerben wollten.