Spionage Bundes-Datennetz: Russische "Snake"-Hacker stehen hinter Angriff auf Bundesnetz

Hinter dem Hackerangriff auf das Datennetz des Bundes steckt nach Informationen der Deutschen Presse-Agentur eine unter dem Name „Snake“ bekannte russische Hackergruppe. Ermittlungen hätten ergeben, dass es sich bei den Cyber-Spionen vermutlich nicht um die zunächst verdächtigte Gruppe „APT28“ handele, hieß es in Berlin. Die „Snake“-Cyberspione sind auch unter dem Namen „Turla“ oder „Uruburos“ bekannt.
Im aktuellen Verfassungsschutzbericht für 2016 heißt es, dass die Kampagne seit dem Jahr 2005 mit einer „sehr komplexen und qualitativ hochwertigen Schadsoftware“ aktiv sei. Die Software sei „darauf ausgelegt, in großen Netzwerken von Behörden, Firmen und Forschungseinrichtungen zu agieren“.
Nach Informationen der Deutschen Presse-Agentur aus Sicherheitskreisen drang die „Snake“-Gruppe nach den Erkenntnissen der Ermittler zunächst über Computer einer Fachhochschule des Bundes für öffentliche Verwaltung in das Netzwerk des Bundes ein. Von dort hätten sich die Hacker sehr langsam und vorsichtig in andere Bereiche des Netzes vorgearbeitet. Demnach wurden im Netz Spuren der Hacker entdeckt, die darauf hindeuten, dass die Spione bereits seit Ende 2016 in dem Netz aktiv waren.

De Maizière: "Angriff war von langer Hand geplant"

Bundesinnenminister Thomas de Maizière (CDU) hält den Hackerangriff auf die Kommunikationsnetze des Bundes für einen „ernstzunehmenden Vorgang“. Es handele sich um einen „technisch anspruchsvollen und von langer Hand geplanten Angriff“, sagte de Maizière am Donnerstag.

Der Cyber-Angriff dauert offenbar noch immer an. Es handele sich um "einen veritablen Cyberangriff auf Teile des Regierungsnetzes", sagte der Vorsitzende des Parlamentarischen Kontrollgremiums des Bundestages (PKGr), Armin Schuster (CDU), nach einer Sitzung des Gremiums am Donnerstag in Berlin. Es gehe um einen "noch laufenden Angriff", sagte Schuster im Namen des gesamten PKGr weiter.

Zuvor hieß es, der Hacker-Angriff habe bis mindestens bis Mittwoch angedauert. Er sei zudem nach Angaben des Bundesinnenministeriums durchgehend unter Kontrolle. Das Innenministerium bestätigte Informationen der Deutschen Presse-Agentur, wonach die Informationstechnik und Netze des Bundes angegriffen wurden. „Innerhalb der Bundesverwaltung wurde der Angriff isoliert und unter Kontrolle gebracht“, erklärte das Ministerium.

© John MacDougall/AFP

Mitglieder des Geheimdienst-Kontrollgremiums im Bundestag kritisierten allerdings scharf, dass sie nicht vorab über den Hackerangriff auf das Datennetzwerk des Bundes informiert wurden. Dass eine solche Nachricht erst über die Deutsche Presse-Agentur an die Öffentlichkeit komme, bevor die zuständigen Gremien unterrichtet würden, sei „maximal schlecht und ärgerlich“, sagte der stellvertretende Vorsitzende des Parlamentarischen Kontrollgremiums, Konstantin von Notz (Grüne), am Donnerstag in Berlin. Der Vorgang sei „sehr irritierend“. Die Runde kam wegen der Hackerattacke zu einer Sondersitzung zusammen.

Auch der Linke-Politiker André Hahn zeigte sich empört darüber, dass das Kontrollgremium erst über die Medien von der Attacke gehört habe. „Wenn die Kontrolleure von wichtigen Vorgängen überhaupt nichts erfahren, sondern wieder einmal aus den Medien, dann ist das ein völlig unbefriedigender Zustand.“ Wenn die Bundesregierung seit längerem davon gewusst habe, dann wäre es „ein klarer Gesetzesverstoß“, die zuständigen Gremien nicht zu unterrichten. Es gehe nun auch um die Frage, wer die Verantwortung dafür trage. „Für mich liegt die Verantwortung eindeutig im Kanzleramt. Dort liegt die Aufsicht für die Geheimdienste, dort ist der Geheimdienstkoordinator.“

Mitschuld der Bundesregierung

Die Linken-Netzexpertin Anke Domscheit-Berg prangerte eine ausgebliebene Unterrichtung des Bundestages ebenfalls an. Sie habe von der Attacke aus der Presse erfahren, dies sei eigentlich schon der erste Skandal, sagte die Obfrau der Linken-Fraktion im Ausschuss Digitale Agenda des Bundestages am Donnerstag im ZDF-„Morgenmagazin“. Dass man dies selbst als fachlich zuständige Abgeordnete aus der Presse lesen müsse, „das ist schon wirklich skandalös“. Angesprochen auf eine mögliche Urheberschaft einer russischen Gruppe sagte Domscheit-Berg: „Es gibt Indizien, die darauf hinzeigen, aber wir wissen es wirklich nicht.“

Grünen-Fraktionsvorsitzende Katrin Göring-Eckardt sieht eine Mitschuld bei der Bundesregierung. Wer Sicherheitslücken in Programmen staatlicherseits ankaufe und sie bewusst offen lasse, müsse sich nicht wundern, selbst Opfer von Hackerangriffen zu werden, sagte Göring-Eckardt der Deutschen Presse-Agentur. „Die Bundesregierung ist Opfer und Mitverantwortliche des Angriffs zugleich.“ Wer wie sie beim Schutz digitaler Infrastrukturen weitgehend untätig bleibe und das „digitalpolitische Kompetenzwirrwarr“ in den Ministerien nicht auflöse, sei Teil des Problems, nicht der Lösung.

Die Bundesregierung hatte vor rund dreieinhalb Jahren die Zusammenarbeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit einer Firma bestätigt, die auf den Verkauf von Software-Sicherheitslücken an Regierungen spezialisiert ist.

Ministerium: Angriff jederzeit unter Kontrolle

Der Angreifer sei "jederzeit voll kontrolliert von den Sicherheitsbehörden beobachtet worden, um weitere Erkenntnisse über den Angriffsmodus zu erhalten und Sicherheitsmaßnahmen im (Bundesnetz) IVBB einzuleiten", sagte der Parlamentarische Staatssekretär im Bundesinnenministerium, Ole Schröder, am Donnerstag dem Redaktionsnetzwerk Deutschland. Die Sicherungsmaßnahmen seien noch nicht abgeschlossen, fügte der CDU-Politiker hinzu, ohne Details zu nennen. Um die Aufklärung des Falles nicht zu gefährden, solle es keine weiteren öffentlichen Informationen geben.

"Es handelt sich um eine äußerst erfolgreiche Operation der Sicherheitsbehörden des Bundes: Es ist in exzellenter Zusammenarbeit gelungen, einen Hackerangriff auf das Netz des Bundes zu isolieren und unter Kontrolle zu bringen", sagte Schröder.

Ausländische Hacker waren nach Informationen der Deutschen Presse-Agentur in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden eingedrungen. Cyberspione der russischen Gruppe „APT28“ hätten erfolgreich das deutsche Außen- und das Verteidigungsministerium angegriffen, hieß es in Sicherheitskreisen. Es sei Schadsoftware eingeschleust worden, die Angreifer hätten auch Daten erbeutet.

Die Attacke sei von deutschen Sicherheitsbehörden im Dezember erkannt worden. Der Angriff sei da schon über eine längere Zeit gelaufen, womöglich ein ganzes Jahr.

Russische Regierungsstellen involviert?

Der Hackerangriff könnte Teil eines noch weitaus größeren organisierten Spionageangriffs auf EU-Staaten sein. Das berichtete die „Welt“ unter Berufung auf den Sicherheitsexperten Benjamin Read von der US-Sicherheitsfirma FireEye. „Wir beobachten seit einigen Monaten, dass (die russische Gruppe) APT28 gezielt Außen- und Verteidigungsministerien in der Europäischen Union angreift und versucht, sich Zugang zu geschützten Systemen zu verschaffen“, erklärte Read. „Diese Erkenntnis haben wir aus sogenannten Spearphishing-Mails gewonnen, die unsere Sicherheitssysteme in den vergangenen Monaten bei diversen EU-Regierungen entdeckt haben.“

Hinter der „APT28“ vermuten zahlreiche Computerfachleute russische Regierungsstellen. Der Angriff auf den Bundestag im Jahr 2015 geht nach Erkenntnissen von Ermittlern ebenfalls auf das Konto dieser Gruppe. Damals waren verdächtige Aktivitäten im Computernetz des Parlaments aufgefallen. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, dass die Bundestags-IT ausgetauscht werden musste.

Nach Angaben des Innenministeriums untersuchen derzeit das Bundesamt für Sicherheit in der Informationstechnik und die Nachrichtendienste den neuen Angriff. Die Verantwortlichen in den betroffenen Behörden seien informiert sowie Maßnahmen zur Aufklärung und zum Schutz getroffen worden. „An dem Vorfall wird mit hoher Priorität und erheblichen Ressourcen gearbeitet“, versicherte Ministeriumssprecher Johannes Dimroth. Angriffe auf Stellen außerhalb der Bundesverwaltung seien derzeit nicht bekannt.

Abgeordnete verlangen Aufklärung

Mit dem Hackerangriff sei das Datennetz der Bundesverwaltung - der Informationsverbund Berlin-Bonn (IVBB) - infiltriert worden, heißt es in Sicherheitskreisen. Seit Dezember bemühen sich die Behörden herauszufinden, wie tief die Hacker in das Regierungsnetz eingedrungen sind. Sollte das gesamte Datennetz des Bundes betroffen sein, käme dies einem „Super-Gau“ gleich, dem „größten anzunehmenden Unfall“, sagte ein Sicherheitsexperte.

Der Ausschuss Digitale Agenda des Bundestages beschloss einstimmig, für diesen Donnerstag eine Sondersitzung einzuberufen. Es sei ein Unding, dass die Abgeordneten über die Vorkommnisse aus den Medien erfahren müssten, erklärte der FDP-Abgeordnete Manuel Höferlin. „Wir erwarten, dass die Vertreter des Bundesinnenministeriums, des Auswärtiges Amtes, des Verteidigungsministeriums und des Bundesamtes für Sicherheit in der Informationstechnik Rede und Antwort stehen.“ (dpa, AFP,Reuters)

Der Tagesspiegel kooperiert mit dem Umfrageinstitut Civey. Wenn Sie sich registrieren, tragen Sie zu besseren Ergebnissen bei. Mehr Informationen hier.