Hackerangriffe auf den Deutschen Bundestag Zu Hackerangriffen auf den Deutschen Bundestag kam es immer wieder Der bisher

Der Bundestag verfügt über eine eigene IT-Infrastruktur, über die das interne Bundestagsnetz „Parlakom“ betrieben wird. An ihm sind alle Abgeordneten, darunter auch die ehemalige Bundeskanzlerin Angela Merkel und weitere Regierungsmitglieder sowie deren Fraktionen, Verwaltung, Öffentlichkeitsarbeit und andere Institutionen des Parlaments angeschlossen. Die Rechner der Wahlkreisbüros der Abgeordneten außerhalb Berlins sind ebenfalls mit dem Bundestagsnetz verbunden. Nach Spiegel-Angaben hat Parlakom rund 20.000 Bundestagsaccounts. Das System hat Verknüpfungen mit dem freien Internet.

Nach dem Angriff 2015 gab es unter den Abgeordneten Unmut darüber, dass der Bundestag sich 2009, als die Entscheidung darüber anstand, nicht an das Netz der Bundesregierung angeschlossen hatte. Dieses Netz wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht.

Der bisher größte Angriff auf das interne Netzwerk des Bundestags wurde im Mai 2015 bekannt. Nach Informationen der Deutschen Presse-Agentur starteten die mutmaßlich für den russischen Geheimdienst arbeitenden Angreifer ihre Aktion im Dezember 2014 oder Januar 2015. Nach den derzeitigen öffentlich bekannten Informationen haben sie Stück für Stück einen Trojaner auf die einzelnen physischen Rechner über das interne Netzwerk platziert. Dazu hatten sie nach einem Bericht von Spiegel Online zunächst die Computer der Linksfraktion mit dem Trojaner infiziert und sich so Zugang zu Administrator-Passwörtern verschafft. Laut Spiegel waren als erste Rechner auch Computer der CDU/CSU-Fraktion im Deutschen Bundestag betroffen.

Am 30. April 2015 erhielten mehrere Bundestagsabgeordnete eine gleichlautende E-Mail. Die Adresse des Absenders endet auf „@un.org“ und machte daher den Anschein, von den Vereinten Nationen zu stammen und wurde von einem Server versandt, den die Firewall des Bundestags nicht als problematisch einstufte. Die Mail war mit der Betreffzeile “Ukraine conflict with Russia leaves economy in ruins” versehen und enthielt einen Link zu einem vermeintlichen Bulletin der UN. Bei Aktivierung des Links (klicken) wurde auf eine Internetseite verlinkt, die wie eine Seite der UN anmutet, jedoch tatsächlich unbemerkt eine Schadsoftware auf dem Rechner des Mailempfängers installierte (Trojaner). Daraufhin hatten die Hacker unbemerkt Zugriff auf die IT-Systeme des Bundestages und konnten auf sensible Inhalte wie Passwörter und Administratoren-Accounts zugreifen, womit die Angreifer an weitere Daten gelangen konnten.

Entdeckt wurde der Angriff erst Anfang Mai 2015, als die Schadsoftware im gesamten Netzwerk des Bundestags aktiv wurde. IT-Spezialisten des Parlaments und des Verfassungsschutzes meldeten etwa zur gleichen Zeit, dass Unbekannte das Datennetz des Bundestags attackiert haben. Es wurde die Möglichkeit in den Raum gestellt, dass alle IT-Geräte (Hardware) des Bundestages ausgetauscht werden müssten. Auch mehrere Wochen nach der Entdeckung des Cyberangriffs war die Spähsoftware noch auf den Rechnern aktiv. Zeitweise wurde das gesamte Netzwerk des Bundestages abgeschaltet.

„Man kann davon ausgehen, dass mehrere Computer inzwischen ferngesteuert werden, deswegen sind manche Bereiche komplett abgeschaltet worden, damit man überhaupt noch die Sicherheit dieser Daten gewährleisten kann“, erklärte der IT-Experte Götz Schartner im DRadio.

Viele Abgeordnete waren laut FAS verärgert darüber, dass Bundestagspräsident Norbert Lammert (CDU) sie zu spät über das Ausmaß des Hackerangriffs informiert habe. Die Nachrichtenagentur Reuters zitierte den CDU-Innenpolitiker Armin Schuster mit den Worten: „Das Haus brennt.“ Der SPD-Netzpolitiker Lars Klingbeil sagte der Mitteldeutschen Zeitung, man habe das Thema im Ausschuss Digitale Agenda zwei Mal auf die Tagesordnung gesetzt, es sei aber niemand von der Verwaltung gekommen und habe Bericht erstattet.

Ziele und abgeflossene Daten Bearbeiten

Die Angreifer griffen u. a. das Abgeordnetenbüro von Bundeskanzlerin Angela Merkel und des Bundestagsvizepräsidenten Johannes Singhammer (CSU) an, des Weiteren die Rechner von Martin Rabanus (SPD) und Bettina Hagedorn (SPD), die beide im Vertrauensgremium zur Budgetkontrolle der Nachrichtendienste des Bundes sitzen.

Insgesamt flossen mehr als 16 Gigabyte Daten, darunter E-Mails von Abgeordneten, mutmaßlich auf ausländische Server ab.

Ermittlungen von Claudio Guarnieri Bearbeiten

Vor dem Bekanntwerden der globalen Attacke auf den ganzen Bundestag waren Server der Linksfraktion im Bundestag von außen mit Schadsoftware infiziert worden. Diese stammt offenbar von einer staatlich geförderten Gruppe aus Russland. Zu diesem Ergebnis kam eine investigative technische Analyse des IT-Sicherheitsforschers Claudio Guarnieri. Sein ausführlicher Bericht analysiert Technologie, Auswirkungen, mögliche Herkunft und eine Signatur, um den Trojaner zu erkennen. Der Bericht wurde ursprünglich für die Linksfraktion im Bundestag erstellt und später auf dem Portal netzpolitik.org veröffentlicht.

Guarnieri schreibt, dass die Zuordnung von Malware-Angriffen niemals leicht sei, aber er im Laufe der Untersuchung Hinweise darauf gefunden habe, dass der Angreifer mit einer staatlich unterstützten Gruppe namens Sofacy Group (APT28) zusammenhängt (auch bekannt als APT28 oder Operation Pawn Storm). Frühere Analysen der Sicherheitsforscher von FireEye legten nahe, dass die Gruppe russischer Herkunft sein könnte. Es gebe jedoch keine Beweise, die es ermöglichen, die Angriffe bestimmten Regierungen oder Staaten zuzuordnen.

Ermittlungen Bearbeiten

Die Bundesanwaltschaft nahm Ermittlungen wegen des Verdachts auf Spionage auf. Am 5. Mai 2020 berichteten NDR, WDR und Süddeutsche Zeitung, dass der Generalbundesanwalt des Bundesgerichtshofes gegen einen russischen Hacker einen internationalen Haftbefehl erlassen habe. Der Hacker soll für den russischen Militärgeheimdienst GRU arbeiten und eine entscheidende Rolle beim Bundestags-Hack gespielt haben. Das amerikanische FBI fahndet nach dem Hacker bereits seit zwei Jahren, da dieser auch für die Hackerangriffe auf die Demokratische Partei der USA und die Welt-Anti-Doping-Agentur verantwortlich sein soll. Es handelt sich beim Verdächtigen um den Russen Dmitri Badin.

Reaktionen und Politische Konsequenzen Bearbeiten

Der damalige Verfassungsschutzpräsident Hans-Georg Maaßen äußerte nach Bekanntwerden des Hackerangriffs die Vermutung, ein ausländischer Nachrichtendienst stecke hinter der Attacke. Die Recherche nach Urhebern wurde auch dadurch erschwert, dass viele zur Ermittlung hilfreiche Dateien durch Löschroutinen vernichtet wurden. Laut Bundestagsverwaltung wird möglicherweise ein Neuaufbau der Technik nötig. Die Verwaltung des Bundestages verschickte am 22. Juni 2015 eine Mail an alle Abgeordneten und Mitarbeiter, in der sie auf Standards zur IT-Sicherheit hinwies.

Politiker forderten nach dem Angriff, dass in dem neuen IT-Sicherheitsgesetz nicht nur Unternehmen, sondern auch Bundesbehörden bestimmte Mindestanforderungen an ihre Computersysteme erfüllen sollten. Diese sollen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt werden.

Bundesinnenminister Thomas de Maizière (CDU) sah hinter dem Cyberangriff einen ausländischen Nachrichtendienst. Er empfahl dem Bundestag, ein speziell abgeschirmtes Netzwerk nach dem Vorbild der Bundesregierung aufzubauen.

Die innenpolitische Sprecherin der Linken Ulla Jelpke verlangte Gegenmaßnahmen. Sie schlug vor, mehr Sicherheit durch ein Betriebssystem und Software auf Open-Source-Basis (Linux-Applikationen) zu schaffen. Zudem solle eine Verschlüsselung von E-Mails und Dateien auf allen Computern möglich sein. Dies ist bisher im Bundestag nicht gegeben.

Die Einbeziehung von Bundesbehörden in das IT-Sicherheitsgesetz geht auf einen Änderungsantrag der Koalitionsfraktionen CDU und SPD zurück. Das eingebrachte Gesetz sollte zunächst nur Unternehmen wie Banken, Versicherer oder Energieversorger zu einem besseren Schutz vor Angriffen auf ihre Computersysteme verpflichten. Wichtige Unternehmen müssen schwere Angriffe auf ihre Systeme melden. Petra Pau (Linke) sagte dagegen: „Ein Wettlauf der Geheimdienste schafft nicht mehr Sicherheit.“ Sie sieht dadurch nur die Geheimdienste gestärkt und in ihrer Existenz bestätigt.

Vier Jahre später, machte im Mai 2020 Bundeskanzlerin Angela Merkel russische Geheimdienste für den Hackerangriff auf den Bundestag verantwortlich. Ihre Aussagen wurden als sehr deutlich wahrgenommen; sie schloss Konsequenzen nicht aus.

Im Oktober 2020 erließ der Rat der Europäischen Union mit Durchführungsverordnung (EU) 2020/1536 und Beschluss (GASP) 2020/1537 Einreiseverbote und Kontensperrungen gegen den Direktor des russischen Militärgeheimdienstes GRU, Igor Kostjukow und den Hacker und Offizier Dmitri Badin. Zudem wurde eine für Cyberangriffe zuständige Stelle des Militärgeheimdienstes GRU auf die EU-Sanktionsliste gesetzt.

Als Reaktion darauf verhängte Russland im Dezember 2020 Sanktionen gegen deutsche Regierungsvertreter, „denen es verboten ist, russisches Staatsgebiet zu betreten“, teilte das Außenministerium in Moskau mit, ohne konkrete Namen zu nennen.

Der Spiegel berichtete im Dezember 2015, dass die gleichen Urheber wie im Januar wieder aktiv geworden seien. Diesmal seien militärische Einrichtungen ins Visier genommen worden. Die russische IT-Sicherheitsfirma Kaspersky Lab meldete, sie habe eine seit August 2015 laufende neue Angriffswelle entdeckt. Bei den Angriffen stünden vor allem militärische Einrichtungen im Visier. Laut Spiegel gab es Angriffe auf mehrere NATO-Staaten sowie Rüstungsunternehmen insbesondere aus der Luft- und Raumfahrtbranche. Es handelte sich wieder um die Hacker-Gruppe „Sofacy“ oder „APT28“.

Ende 2016 drangen russische Hacker in das Datennetzwerk des Bundes ein, indem sie zunächst einen der angeschlossenen Rechner mit Schadsoftware infizierten. Das angegriffene Netzwerk Informationsverbund Berlin-Bonn (IVBB) ist größtenteils vom Internet abgekoppelt und galt als sicher. Es dient der Kommunikation zwischen Kanzleramt, Ministerien und anderen Sicherheitsbehörden. Über das IVBB läuft die Kommunikation zwischen den Behörden in Form von E-Mail, Telefonie und Internet. Von Rechnern des Auswärtigen Amtes erbeuteten die Hacker Dokumente zu den Brexit-Verhandlungen und zur Ukraine. Erst im Dezember 2017 entdeckte das Bundesamt für Sicherheit in der Informationstechnik den Angriff, ließ die Angreifer aber zunächst gewähren, um mehr Informationen über sie zu sammeln. Im Februar 2018 wurde der Hackerangriff erstmals publik. Hinter dem Angriff steht nach Angaben deutscher Sicherheitsbehörden die russische Hackergruppe Turla, die auch unter den Namen Snake und Uroburos bekannt und seit 2007 aktiv ist. Das parlamentarische Kontrollgremium teilte in einer Sondersitzung mit, dass der Hackerangriff im März 2018 noch andauerte.

Im März 2021 erhielten sieben Bundestags­abgeordnete und mehr als 70 Landtags­abgeordnete Phishing-Mails, hinter denen deutsche Sicherheitsbehörden eine Gruppe von Crackern namens Ghostwriter vermuten.

• Liste von Datendiebstählen

• Patrick Beuth, Kai Biermann, Martin Klingst, Holger Stark: Merkel und der schicke Bär. Bundestags-Hack. In: Die Zeit. 10. Mai 2017, abgerufen am 11. Mai 2017 (Ausführlicher Bericht zu den Vorfällen).