Bundeshack: Ausländischer Geheimdienst soll Regierung gewarnt haben

Die Bundesregierung hat den Hack des eigenen Netzwerkes offenbar nicht selbst entdeckt, sondern soll von einem anderen Geheimdienst gewarnt worden sein. Nach Informationen des Rundfunks Berlin-Brandenburg (RBB) wurde die Regierung am 19. Dezember 2017 erstmals darüber informiert.

Nach der ersten Meldung soll das Bundesamt für Sicherheit in der Informationstechnik die Ermittlungen aufgenommen haben und konnte einen ersten Infektionsvektor in der Hochschule des Bundes für öffentliche Verwaltung ausmachen. Von dort sollen die Angreifer sich weiter im Netzwerk ausgebreitet haben, bis sie schließlich im Auswärtigen Amt landeten. Nach Angaben des RBB wurde dort zuerst die Liegenschaftsverwaltung infiziert, später "ein Referat mit Russlandbezug". Von dort sollen die Angreifer sechs Dokumente heruntergeladen haben, die zum Teil Bezug zu Russland, der Ukraine und Belarus haben sollen.

Bundesregierung will alles unter Kontrolle haben

Die Angaben widersprechen der Darstellung der Bundesregierung und des geschäftsführenden Innenministers Thomas de Mazière (CDU), wonach die Regierung den Angriff entdeckt, isoliert und unter Kontrolle gehabt habe. Weiter unklar bleibt vor allem, wie umfangreich und erfolgreich der Angriff letztlich war.

Das Parlamentarische Kontrollgremium für die Nachrichtendienste sprach nach einer ersten Bestandaufnahme am Donnerstag von einem "veritablen Cyberangriff" gesprochen, ohne Details zu nennen. Außerdem hieß es, dass ein "erheblicher Geheimnisverrat" stattgefunden habe. Nach der Sitzung zog der Linken-Abgeordnete André Hahn, Mitglied des Gremiums, einen Vergleich zu einem früheren Spionage-Fall: "Mich erinnert das Ganze in fataler Weise an den Fall Markus R., den CIA-Spion im BND."

Snake statt APT28

Stellenmarkt

1. Landesamt für Steuern Niedersachsen, Hannover
2. Gesellschaft für Dienste im Alter mbH (GDA), Hannover

Der Spiegel schreibt unter Verweis auf Sicherheitsbehörden, dass hinter dem Angriff die Russland zugeordnete Gruppe Snake stecke. Zunächst hatte die dpa gemeldet, dass es sich um die Gruppe APT28 handeln solle, die ebenfalls mit Russland in Verbindung gebracht wird. Bislang gibt es keine öffentlich bekannten Indizien, die für die Beteiligung einer der Gruppen eindeutige Hinweise liefern. Im vergangenen Jahr hatte Kaspersky Forschungsergebnisse vorgestellt, die zeigen, dass immer wieder auch gezielt falsche Fährten gelegt werden, um eine korrekte Attribution zu erschweren.

Die Snake-Gruppe, von einigen Sicherheitsfirmen wie Eset auch Turla genannt, ist seit Jahren aktiv und verwendet ausgefeiltere Methoden als Fancy Bear. Die Gruppe infiltriert systematisch wichtige Unternehmen wie die schweizerische RUAG. Turla ist insbesondere dafür bekannt, Daten unbemerkt aus Netzwerken herausschmuggeln zu können. In einigen Fällen soll sie infizierte Rechner als Brückenkopf in Intranets einer Firma genutzt haben. So könnte auch ein Angriff auf das Netz der Verwaltung abgelaufen sein.