Berlin Der erfolgreiche Angriff auf die Netze der Bundesregierung war bereits seit Mitte Dezember bekannt, wie das Handelsblatt aus Sicherheitskreisen erfuhr. Die Beamtete Staatssekretärin im Bundesinnenministerium Evelyn Haber habe dann entschieden, ihn laufen zu lassen, um ihn zu beobachten und zu analysieren, woher er stammt. Ein Sprecher des Innenministeriums sagte am Freitag, Bundesinnenminister Thomas de Maizière habe darüber persönlich entschieden.
Wie lange der Angriff zu dem Zeitpunkt bereits gelaufen war, lasse sich nicht genau sagen, hieß es aus Sicherheitskreisen. Die Logdaten, die für die Analyse des Angriffs nötig sind, werden nur für drei Monate gespeichert, sodass nur bis September zurückgeblickt werden konnte.
Es gebe aber Hinweise darauf, dass die Angreifer bereits 2016 über Computer einer Hochschule des Bundes in das Netzwerk des Bundes eingedrungen sind. Beobachtet wurde der Angriff laut Informationen aus Sicherheitskreisen seit Mitte Januar bis vergangenen Mittwochabend. Als die Medienberichte über den Vorfall kamen, wurde die Beobachtung abgebrochen und das Mobile Incident Response Teams (MIRT) des Bundesamts für Sicherheit in der Informationstechnik (BSI) stoppte über Nacht den Angriff.
Allerdings gilt auch hier, wie bei so vielem was Hackerangriffe angeht: Sicher kann man sich nicht sein, ob die Schädlinge im System und alle Hintertüren, die sich die Angreifer gelegt haben, wirklich beseitigt wurden. Das musste auch das Bundesinnenministerium am Freitag zugeben.
Nach eigenen Angaben könne es nicht mit Gewissheit sagen, ob der Hackerangriff auf das Netzwerk der Regierung noch läuft oder nicht. Bei Fragen der IT-Sicherheit gebe es nie eine hundertprozentige Gewissheit, sagte ein Sprecher des Bundesinnenministeriums am Freitag vor Journalisten in Berlin
Von wem genau der Angriff stammte, und ob die Spur nach Russland führt, ist laut Angaben aus Sicherheitskreisen noch Teil der Ermittlungen. Nur eines sei auf Grundlage der Analyse der Methode und des Zugriffs sicher, hieß es: „APT28“, die Hackergruppe, der Verbindungen zum russischen Staat nachgesagt werden, wie die Nachrichtenagentur dpa berichtet hatte, war es nicht. Die Methode und der Zugriff der Angreifer unterscheide sich demnach von dem Muster von „APT28“.
Die russische Regierung in Moskau wehrte sich am Freitag in einem Statement dagegen, dass russischen Hacker den Angriff zu verantworten haben. „Wir nehmen mit Bedauern zur Kenntnis, dass alle Hackerangriffe in der Welt mit russischen Hackern in Verbindung gebracht werden“, sagte Kreml-Sprecher Dimitri Peskow am Freitag. Dafür gebe es aber „keine greifbaren Beweise“.
Laut Sicherheitskreisen war von dem erfolgreichen Angriff das Auswärtige Amt betroffen, das ohnehin die meisten Angriffe von allen Ministerien zu verzeichnen hat. Das Verteidigungsministerium war nur indirekt betroffen durch den Rechner eines Austauschbeamten, den er vom Verteidigungsministerium ins Auswärtige Amt mitgebracht hatte.
Zugang hatten sich die Hacker laut Sicherheitskreisen über die Hochschule des Bundes verschafft. Wo genau die Sicherheitslücke lag, ist aber noch nicht klar. Betroffen waren laut heutigem Wissensstand 17 sogenannte Clients, Programme, die auf dem Endgerät eines Netzwerks ausgeführt werden und mit einem Zentralrechner kommunizieren. Laut Sicherheitskreisen gibt es derzeit keine Hinweise darauf, dass weitere Rechner betroffen sind.
Erst am Freitag vergangener Woche hatten die Angreifer demnach überhaupt damit begonnen Daten abzuziehen, vorher verhielten sie sich ruhig. Das ist durchaus eine gängige Methode. Angreifer versuchen zunächst verdeckt möglichst viele Stellen zu infiltrieren und überall Hintertüren einzubauen. Erst später greifen sie dann tatsächlich auf die Daten zu. Im aktuellen Fall hatten es die Angreifer insbesondere auf das Russland-Referat im Auswärtigen Amt und Informationen zur Ukraine abgesehen. Die abgezogenen Daten bewegen sich laut Sicherheitskreisen noch im Bereich von Megabyte.
Ein Sprecher des Innenministeriums sagte am Freitag vor Journalisten, dass nun ermittelt werde, wer die Informationen am Mittwoch an die Öffentlichkeit gegeben habe und drohte auch damit, eine Strafanzeige zu stellen.
