Falscher LinkAngriff auf Bundestag kam per Mail
Hacker haben das Netzwerk des Deutschen Bundestages angegriffen. Ihre Schadsoftware gelangte durch eine E-Mail ins System.
Cyberattacke: An mindestens zwei Computer soll das E-Mail mit dem Trojaner gegangen sein.
Beim Cyberangriff auf das Computernetzwerk des deutschen Bundestags sind sich die Ermittler laut einem Medienbericht sicher, dass die Schadsoftware durch E-Mails in das Netzwerk des Parlaments gelangte. An mindestens zwei Computer soll das E-Mail gegangen sein. Der Link im E-Mail führte demnach zu einer Website, die mit Schadsoftware präpariert worden sei, berichtete die «Welt» in ihrer Freitagsausgabe unter Berufung auf Sicherheitsbehörden. Dieses Programm solle sich daraufhin unbemerkt installiert haben.
Nach bisherigen Erkenntnissen des zuständigen Bundesamtes handelt es sich bei der Schadsoftware um einen Trojaner, der in ähnlicher Form bereits seit Monaten bei Hackerattacken in mehreren Ländern zum Einsatz kam. Wie die «Welt» weiter schreibt, soll es sich um ein Programm handeln, das mutmasslich russische Hackern entwickelt haben.
Der Trojaner soll bereits beim Cyberangriff auf den französischen TV-Sender TV5 Monde im April eingesetzt worden sein. Damals hatten sich radikale Islamisten im Namen des «CyberKalifats» zur Attacke bekannt. Aus französischen Justizkreisen verlautete allerdings Anfang der Woche, dass sich die Ermittler im Zusammenhang mit dem Angriff auf Hacker aus Russland konzentrierten.
Bundesamt wusste Bescheid
Die zuständige Bundestagskommission ist laut einem weiteren Zeitungsbericht bereits seit Wochen über das Ausmass des Hackerangriffs auf das Computernetz des Parlaments informiert worden. Dies ergebe sich aus dem Protokoll einer Sitzung der Bundestags-Kommission für Informations- und Kommunikationstechniken (IuK-Kommission) vom 21. Mai 2015, berichtete die «Berliner Zeitung». Darin werde der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Michael Hange, mit den Worten zitiert, «die Auswertungen hätten bislang ergeben, dass es dem Angreifer gelungen sei, Administrationsrechte für die gesamte Infrastruktur zu erhalten.» Daher sei «von einer breiten Kompromittierung der Netzinfrastruktur mit höchstmöglichen Rechten auszugehen», hiess es dem Bericht zufolge weiter. Schutzmassnahmen griffen «nur noch eingeschränkt».
Die Untersuchungen hätten zudem erbracht, «dass insbesondere der zentrale Verzeichnisdienst übernommen worden» sei, zitierte die Zeitung aus dem Protokoll. Somit habe der Angreifer prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen, Abgeordneten und Bundestagsmitarbeiter, die von diesem Verzeichnisdienst erfasst seien. Habe sich der Angreifer im Netz schliesslich festgesetzt, könne er sich offen bewegen, weil er dann wisse, dass er höchstwahrscheinlich nicht entdeckt werden könne.«
BSI wollte Angreifer nicht warnen
Schon damals zog Hange laut »Berliner Zeitung« einen Totalschaden in Betracht. So habe er laut Protokoll ausgeführt, »es seien weitere Analysen notwendig, um zu entscheiden, ob durch Neuinstallation einzelner betroffener Systeme, von Teilen der Infrastruktur oder des Gesamtnetzes eine wirksame Bereinigung des Gesamtsystems erreicht werden könne«.
Dem BSI-Präsidenten zufolge seien Mitarbeiter des Bundestages am 8. Mai auf Unregelmässigkeiten gestossen, schrieb die Zeitung. Das Bundesamt für Verfassungsschutz habe dann am 12. Mai darauf aufmerksam gemacht, dass es sich um einen weitreichenden Angriff handele. Hange habe laut Protokoll deutlich gemacht, dass das BSI selbst nie die Öffentlichkeit informiere, auch weil dadurch »der Angreifer gewarnt werde«, sondern dies den jeweils Betroffenen überlasse.
«Keine Datenabflüsse»
Bundestagspräsident Norbert Lammert (CDU) hatte am Donnerstag zu dem Cyberangriff auf den Bundestag erklärt, in den vergangenen zwei Wochen habe es keine »Datenabflüsse« mehr gegeben. Dies bedeute aber nicht, dass der Angriff »endgültig abgewehrt und beendet« sei. Lammert erläuterte, bisherige Auswertungsergebnisse legten nahe, dass das IT-System des Bundestags »mindestens in Teilen« erneuert werden müsse.
Die Urheber der hochprofessionellen Attacke sind unbekannt. Medienberichten zufolge soll es Indizien dafür geben, dass ein Nachrichtendienst aus Osteuropa dahinter steckt, etwas der russische Auslandsnachrichtendienst SWR. Abgeordnete verschiedener Parteien kritisierten in der Angelegenheit eine mangelhafte Information durch die Bundestagsverwaltung. (hae/sda)
