Seit Monaten läuft eine Hackerattacke gegen Ministerien und Bundestag. Wien gibt Entwarnung.
Knapp zwei Stunden dauerte die Krisensitzung des Geheimdienstausschusses des Deutschen Bundestages. Dann, am Donnerstagnachmittag, trat der Vorsitzende des Parlamentarischen Kontrollgremiums an die Öffentlichkeit: „Teile des deutschen Regierungsnetzes“ seien einem „veritablen Cyberangriff“ ausgesetzt, sagte Armin Schuster. „Es ist ein noch laufender Angriff.“ Einzelheiten wolle er zunächst nicht preisgeben. „Öffentliche Diskussionen über Details wären schlicht eine Warnung an den Angreifer, die wir nicht geben wollen“, sagte er. Für eine komplette Schadensbeurteilung sei es noch zu früh. Doch der Geheimnisverrat an sich sei „ein beträchtlicher Schaden“.
Am Abend wandte sich dann auch der deutsche Innenminister Thomas de Maizière an die Medien. Die Hackerattacke sei ein „ernstzunehmender Vorgang“. Es handle sich um einen „technisch anspruchsvollen und von langer Hand geplanten Angriff“, sagte der Minister am Donnerstag in Berlin.
Bereits Mittwochabend gab es erste Meldungen von einer Hackerattacke auf das interne Datennetz des Bundes. Am Donnerstag lieferten deutsche Medien dann immer mehr Details nach: Demnach dauert der Cyberangriff möglicherweise schon ein halbes Jahr. Von der Attacke sei unter anderem das deutsche Außenamt betroffen, nicht jedoch das Verteidigungsministerium und die Bundeswehr. Die deutschen Behörden sollen den Angriff bereits im Dezember 2017 bemerkt haben. Die Abgeordneten des Bundestages wurden darüber aber zunächst nicht informiert. Das sorgte am Donnerstag vor allem bei den Grünen und der Linkspartei für Empörung.
Angriff der russischen „Snake“-Gruppe?
Offenbar haben die deutschen Behörden die Cyberangreifer zunächst gewähren lassen, um die Attacke zu analysieren und so auch Rückschlüsse auf die Urheber ziehen zu können. „Der Angreifer wurde jederzeit voll kontrolliert von den Sicherheitsbehörden beobachtet, um weitere Erkenntnisse über den Angriffsmodus zu erhalten“, gab der parlamentarische Staatssekretär im Innenministerium, Ole Schröder, dem Redaktionsnetzwerk Deutschland bekannt.
Über die Hintermänner der Cyberattacke gab es vorerst nur Spekulationen. Zunächst hieß es in deutschen Medien, dass die russische Hackergruppe APT 28, auch bekannt unter dem Namen Fancy Bear, dahinterstecken könnte. Sie soll vom Kreml und dem russischen Militärgeheimdienst GRU gesteuert werden und wird für zahlreiche Cyberangriffe in den vergangenen Jahren verantwortlich gemacht, so für den Angriff auf die Wahlkampagne von Emmanuel Macron in Frankreich und für jenen auf die Demokratische Partei in den USA.
Die Deutsche Presse-Agentur meldete dann aber mit Verweis auf Informationen aus Sicherheitskreisen, hinter der Attacke solle eine unter dem Namen „Snake“ (deutsch: Schlange) bekannte russische Hackergruppe stecken, nicht die APT 28. Die „Snake“-Cyberspione sind auch unter dem Namen „Turla“ oder „Uruburos“ bekannt. Laut Verfassungsschutzbericht sind sie seit dem Jahr 2005 mit einer „sehr komplexen und qualitativ hochwertigen Schadsoftware“ aktiv. Die Software sei „darauf ausgelegt, in großen Netzwerken von Behörden, Firmen und Forschungseinrichtungen zu agieren“.
Laut Ermittlerkreisen drang die „Snake“-Gruppe zunächst über Computer einer Fachhochschule des Bundes für öffentliche Verwaltung in das Netzwerk des Bundes ein. Von dort hätten sich die Hacker sehr langsam und vorsichtig in andere Bereiche des Netzes vorgearbeitet. Demnach wurden im Netz Spuren der Hacker entdeckt, die darauf hindeuten, dass die Spione bereits seit Ende 2016 in dem Netz aktiv waren.
2014 Außenamt in Wien „abgesaugt“
Österreich dürfte nach ersten Erkenntnissen von der Cyberattacke verschont geblieben sein. Alexander Makarovits, Sprecher des Innenministeriums in Wien, gab Entwarnung. Es seien aktuell keine Hackerangriffe auf Regierungsstellen registriert worden, sagte er zur „Presse“. Ganz so einfach ist das gar nicht festzustellen. Denn in Österreich ist jedes Ministerium selbst für seine Cyberverteidigung verantwortlich. Erst wenn Angreifer die virtuellen Feuermauern eines Amts überwunden haben, treten das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung sowie das Heeresnachrichtenamt auf den Plan. Für die Abwehr betrügerischer Operation ist das sogenannte C4 (Cyber Crime Competence Center) zuständig.
Auch das Außenamt blieb diesmal verschont, wie Sprecher Thomas Schnöll versicherte. Daten abgesaugt wurden am Minoritenplatz zuletzt 2014 in größerem Stil. Damals drangen Internetagenten über Österreichs Vertretung in Kiew ins Computernetzwerk ein, um an Informationen führender Diplomaten zu gelangen. (w. s./cu/Reuters)
("Die Presse", Print-Ausgabe, 02.03.2018)
