APT28: Behörden untersuchen Angriff auf Regierungsnetzwerk

Deutsche Behörden untersuchen einen Angriff auf das besonders geschützte Netzwerk des Bundes, den sogenannten Informationsverbund Berlin-Bonn, mit dem Bundesministerien unabhängig vom Internet vernetzt werden. Ein Sprecher des Innenministerium sagte Golem.de: "Wir können bestätigen, dass derzeit durch das BSI und die Nachrichtendienste ein IT-Sicherheitsvorfall untersucht wird, der die Informationstechnik und Netze des Bundes betrifft."

Der Angriff soll bereits vor seiner Entdeckung im Dezember längere Zeit gelaufen sein. Sicherheitskreise vermuten dahinter nach Angaben der Deutschen Presse-Agentur (dpa) die Gruppe APT28, die gemeinhin dem russischen Militärgeheimdienst GRU zugerechnet wird. Wie genau der Angriff vonstatten ging, ist derzeit noch unbekannt.

Besonders betroffen sind nach derzeitiger Kenntnislage das Auswärtige Amt und das Bundesministerium der Verteidigung. Traditionell setzt APT28 stark auf sogenannte Spear-Phishing-E-Mails, um Malware oder Trojaner zu verbreiten. Auch Watering-Hole-Angriffe, bei denen Webseiten mit Malware infiziert werden, um ein bestimmtes Ziel zu infizieren, sind im Repertoire der Gruppe.

Wie weit kamen die Angreifer?

Untersucht wird nach Angaben der Behörden zurzeit vor allem, wie weit die Angreifer in das Regierungsnetzwerk eindringen konnten. Im Jahr 2015 hatte es bereits einen erfolgreichen Angriff auf das Netzwerk des Deutschen Bundestages gegeben, auch dieser Angriff wurde von Sicherheitsexperten APT28 zugeschrieben.

Die aktuellen Ermittlungen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem für Spionageabwehr zuständigen Bundesamt für Verfassungsschutz (BfV) geführt. Auch der Bundesnachrichtendienst ist als Auslandsgeheimdienst eingebunden.

Nachtrag vom 28. Februar 2018, 19:05 Uhr

Nach Angaben des Innenministeriums sind im Zusammenhang mit dem Vorfall derzeit keine betroffenen Stellen bekannt, die außerhalb der Bundesverwaltung liegen. Innerhalb der Bundesverwaltung sei der Angriff isoliert und unter Kontrolle gebracht worden. "An dem Vorfall wird mit hoher Priorität und erheblichen Ressourcen gearbeitet. Dabei verläuft die Zusammenarbeit zwischen allen beteiligten Sicherheitsbehörden und den betroffenen Behörden exzellent", hieß es weiter. Nähere Details könnten zu diesem Zeitpunkt wegen der noch laufenden Analysen und Sicherungsmaßnahmen nicht öffentlich bekannt gemacht werden.

Die Opposition warf nach Bekanntwerden des Vorfalls der Regierung vor, nicht genug für die IT-Sicherheit zu unternehmen. "Wenn nach den bisherigen, verheerenden Angriffen auf den Bundestag und andere nun auch das sehr viel besser geschützte Regierungsnetz und Ministerien betroffen sind, zeigt das, wie schlecht es um die IT-Sicherheit in unserem Land insgesamt steht", sagte der Vizevorsitzende der Grünen-Fraktion, Konstantin von Notz. Seit Jahren werde die Bundesregierung aufgefordert, "endlich die nötigen Schritte für einen effektiven Schutz unserer digitalen Infrastrukturen zu übernehmen", sagte der Grünen-Netzpolitiker und fügte hinzu: "Es wird deutlich, wie massiv die Versäumnisse und widersprüchlich die Strategien sind."

Sondersitzung am Donnerstag

Der Bundestagsausschuss zur Digitalen Agenda will sich in einer Sondersitzung am Donnerstag mit dem Vorfall beschäftigen. "Es wird um Auskunft aus erster Hand über den Hack auf die Netze des Bundes gehen", twitterte der FDP-Bundestagsabgeordnete Manuel Höferlin.