Der Hackerangriff auf die Netze des Bundes läuft noch. Das teilte das Geheimdienst-Kontrollgremium des Bundestages nach einer Unterrichtung durch Sicherheitsbehörden und Regierungsvertreter mit. Es handele sich um einen noch laufenden Angriff, sagte der Vorsitzende des Gremiums, Armin Schuster (CDU), am Donnerstag nach einer etwa zweistündigen Sondersitzung der Runde. "Deswegen wären öffentliche Diskussionen über Details schlicht eine Warnung an die Angreifer, die wir nicht geben wollen." Für eine Bewertung des Schadens sei es noch zu früh, sagte Schuster. Er betonte aber bereits: "Der Geheimnisverrat an sich ist ein beträchtlicher Schaden." Die Bundesregierung versuche, den Vorgang unter Kontrolle zu halten. Das Parlamentsgremium werde sich in der kommenden Woche erneut mit dem Thema befassen. Nach der Enthüllung des Angriffs stellen aber nicht nur die zuständigen Bundestagsabgeordneten drängende Fragen.
Sind Daten abgeflossen? In welcher Größenordnung muss man sich das vorstellen?
Ja, die Hacker haben nach Informationen aus Sicherheitskreisen Daten erbeutet. Die Experten gehen aber davon aus, dass nicht riesige Datenbestände heruntergeladen wurden, sondern gezielt nach Informationen gesucht wurde, ohne großen Datenverkehr zu erzeugen. Bei Datenmengen in der Größenordnung des Bundestag-Hacks aus dem Jahr 2015 (rund 16 Gigabyte) hätten auch die Schutzsysteme des Bundesnetzes Alarm geschlagen.
Welche Stellen und Ministerien sind betroffen?
So genau ist das nicht bekannt. Im Mittelpunkt des Interesses sollen aber Informationen aus dem Außenministerium gestanden haben. Auch das Verteidigungsministerium war betroffen - aber wohl nur in geringerem Maße.
Was genau wollten die Angreifer erreichen - wie groß ist der Schaden?
Die im Informationsverbund Berlin-Bonn ausgetauschten Daten sind sensibel und dürften ausländische Regierung stark interessieren, etwa die Pläne der Bundesregierung zum weiteren Vorgehen in der Ukraine-Krise. Offen ist aber, was die Hacker genau erbeuten konnten. Unklar ist zudem, ob neue Sicherheitsmaßnahmen nötig werden, um solche Angriffe künftig zu erschweren. Dies wäre mit weiteren Kosten verbunden.
Wie lange lief die Attacke - und warum sind die Sicherheitsbehörden nicht eingeschritten?
Mindestens länger als ein halbes Jahr - aber es ist durchaus möglich, dass die Internet-Spione schon wesentlich länger im Netzwerk des Bundes unterwegs waren. Nach Angaben aus Sicherheitskreisen wurde der Einbruch Mitte Dezember entdeckt. Seitdem dürften die Behörden versucht haben, den Angreifer möglichst nah auf die Spur zu kommen. Unklar ist, ob sie den Hackern auch gefälschte Informationen quasi als Köder untergejubelt haben.
Gleichzeitig dürften die IT-Experten versucht haben, den Abfluss von besonders sensiblen Informationen zu unterbinden. Nach Angaben des Parlamentarischen Staatssekretärs im Innenministerium, Ole Schröder (CDU), lief der Hacker-Angriff unter voller Kontrolle der deutschen Behörden ab. Es sei "gelungen, einen Hackerangriff auf das Netz des Bundes zu isolieren und unter Kontrolle zu bringen", sagte er dem RedaktionsNetzwerk Deutschland.
Steckt wirklich Russland hinter dem Angriff?
Es gibt keinen hundertprozentigen Beweis, aber nach Einschätzung der Behörden gibt es eine Reihe von Indizien, die dafür sprechen, dass russische Hacker am Werk waren. Dazu gehört auch die technische Infrastruktur der Server, mit denen der Angriff koordiniert wurde. Erst wurde die russische Gruppe "APT28" verdächtigt. Inzwischen deuten die Ermittlungen in eine andere Richtung: Nach dpa-Informationen soll eine russische Gruppe namens "Snake" hinter der Attacke stecken.
Ist es möglich, dass der Angriff Russland nur untergeschoben wurde?
Ja, zumindest theoretisch ist das möglich. Es gehört inzwischen zum Arsenal ausgeklügelter Hacker-Attacken, die Herkunft zu verschleiern oder bewusst falsche Fährten zu legen. So könnten Hacker aus China zu den in Moskau oder St. Petersburg üblichen Arbeitszeiten aktiv werden. Denkbar ist auch, dass Hacker außerhalb von Russland Programmcodes mit russischen Schriftzeichen einsetzen, um die Ermittler in die Irre zu führen.
Warum schlagen die deutschen Sicherheitsbehörden nicht zurück ("Hack Back"), wenn sie einen solchen Angriff bemerken?
Bislang dürfen die deutschen Sicherheitsbehörden keine Gegenangriffe starten, weil sie sich nach geltendem Recht damit strafbar machen. Die Bundesregierung startete aber bereits vor einem Jahr eine Initiative, um eine Grundlage zu schaffen, bei Angriffen im Internet aktiv zurückschlagen zu können. Etliche Experten warnen aber vor "Hack Backs", weil diese nur zu einer Eskalation führen würden und Angriffe auf kritische Infrastruktur wie etwa Elektrizitäts- oder Wasserwerke nicht verhinderten.
