Wenn sich die Journalisten im Untergeschoß des Berliner Jakob-Kaiser-Hauses neben dem Reichstag drängen, ist die Sicherheit Deutschlands in Gefahr. Denn hier tagt in einem abhörsicheren Raum hinter einer besonders gesicherten Tür das Parlamentarische Kontrollgremium des Bundestages zur Kontrolle der Geheimdienste. Hier laufen die geheimen Informationen aller deutschen Sicherheitsbehörden zusammen, damit die Parlamentarier, die diesem Gremium angehören, sich ein Bild von der Lage machen können.
In der vergangenen Woche gab es eine Menge Gesprächsbedarf: Anlaß waren Medienberichte über den Hacker-Angriff auf das Computernetzwerk der Bundesregierung. Empört verlangten die Bundestagsabgeordneten sofortige Aufklärung – und die Journalisten hofften auf Informationsfetzen, obwohl sie wissen, daß die Mitglieder des Kontrollgremiums zur Geheimhaltung verpflichtet sind. Doch ein bißchen sickert immer durch.
Nach allem, was bislang aus den Sicherheitsbehörden an Informationen nach außen gedrungen ist – oder bewußt gestreut wurde –, stand offenbar das Auswärtige Amt im Zentrum des Angriffes. Demnach hatten die Hacker es nach Informationen der Bild am Sonntag vor allem auf die Referate des Ministeriums für Rußland und Osteuropa abgesehen. Es sei den Angreifern gelungen, dort eine einstellige Zahl von Dokumenten zu kapern. Es handele sich um geringe Datenmengen. Über die Bedeutung der erbeuteten Dokumente wurden indes keine Angaben gemacht.
Der Angriff auf das deutsche Regierungsnetz war offenbar Teil einer größeren weltweiten Hacker-Attacke. Nach Angaben des Rechercheverbunds von NDR, WDR und Süddeutscher Zeitung waren weitere Länder in Skandinavien, Südamerika sowie Staaten der ehemaligen Sowjetunion ebenfalls über das Internet angegriffen worden. In Deutschland waren demnach 17 Computer von dem Trojaner-Angriff betroffen. Einer davon gehörte offenbar einem Mitarbeiter des Verteidigungsministeriums, der damals Dienst im Auswärtigen Amt tat. Daher hieß es zunächst, neben dem Außenamt sei auch das Verteidigungsministerium von dem Hack betroffen gewesen. Das ist nach Informationen des Rechercheverbundes jedoch offenbar nicht der Fall.
Attacke geht offenbar immer noch weiter
Auch wenn sich für Außenstehende der Umfang des materiellen Schadens bislang nicht einschätzen läßt, scheint mittlerweile klar, auf welchem Weg sich die Hacker Zugang in das besonders gesicherte Behördennetzwerk verschafft haben. Demnach manipulierten die Angreifer offenbar bereits vor rund zwei Jahren eine Lernplattform auf der Internetseite der Bundesakademie für öffentliche Verwaltung in Brühl mit Spionagesoftware.
Die elektronischen Unterlagen eines Fernkurses für Mitarbeiter des Auswärtigen Amtes seien dabei gezielt mit Spionagesoftware manipuliert worden, berichtet die Bild am Sonntag. Entdeckt wurde die Spionagesoftware demzufolge kurz vor Weihnachten nach einem Hinweis befreundeter Nachrichtendienste an den Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz.
Laut Medienberichten sei der eingeschleuste Trojaner bis zum 15. Januar inaktiv gewesen und habe keine Informationen an die Angreifer übermittelt. Erst an jenem Tag bekam das Programm offenbar von außen den Steuerbefehl und begann zunächst, das Netzwerk zu analysieren und dann Daten abzusenden. Aus Regierungskreisen wurde in diesem Zusammenhang immer wieder darauf hingewiesen, daß der Angriff isoliert und beobachtet worden sei, um dadurch Rückschlüsse auf die Angreifer zu erhalten. Offenbar hält die Attacke, die von den Ermittlern mittlerweile der russischen Hackergruppe „Snake“ zugeschrieben wird, und die Verbindungen zu russischen Geheimdiensten haben soll, immer noch an.
Der Hacker-Angriff wirft erneut grundsätzliche Fragen nach der Sicherheit wichtiger staatlicher Datennetze in Deutschland auf und stellt der Cyber-Kompetenz der deutschen Behörden ein denkbar schlechtes Zeugnis aus. Zur Erinnerung: Bereits 2015 war es mutmaßlich russischen Angreifern gelungen, in das Computernetzwerk des Bundestages einzudringen und dabei erhebliche Datenmengen zu erbeuten. Sie richteten durch ihre Schadsoftware dabei einen so großen Schaden an, daß das Netzwerk komplett neu aufgebaut und das „Parlakom“ genannte Betriebssystem auf den Rechnern der Abgeordneten und ihrer Mitarbeiter neu aufgespielt werden mußte.
Nach wie vor ist es in Deutschland umstritten, ob die Behörden zur Gefahrenabwehr im Internet auch zum Angriff übergehen dürfen. „Wenn Daten abfließen, dürfen wir sie dann auf dem angreifenden Server löschen? Darf im Notfall sogar der fremde Server zerstört werden? Dafür brauchen wir eine klare gesetzliche Grundlage. Die SPD ist gesprächsbereit, um das Grundgesetz zu ändern“, skizzierte der innenpolitische Sprecher der SPD-Fraktion, Burkhard Lischka, in der Frankfurter Allgemeinen Sonntagszeitung die deutsche Problemlage. „Ich befürchte, die meisten Länder sind bei der Abwehr komplexer Cyberattacken überfordert“, gab er sich pessimistisch.