Hack: Bundestagsnetz wird abgeschaltet und IT-System neu aufgesetzt

Wegen des Hackerangriffs auf den Bundestag muss das IT-System des Parlaments für mehrere Tage abgeschaltet werden. Ein Sprecher des Bundestags bestätigte gegenüber der Nachrichtenagentur dpa Informationen von Spiegel Online, wonach die Neuaufsetzung des IT-Systems in der parlamentarischen Sommerpause beginne. In einer E-Mail schrieb Bundestagspräsident Norbert Lammert (CDU) am Donnerstag an die Abgeordneten: "Dies wird in einer bestimmten, zeitlich heute noch nicht genauer eingrenzbaren Phase dazu führen, dass das gesamte IT-System am Sitz des Bundestages für voraussichtlich 4-5 Tage nicht zur Verfügung stehen wird." Seit drei Wochen habe man aber keinen ungewöhlichen Datentransfer mehr endeckt.

Zudem solle die Bundestagsverwaltung "eigene Sicherheitssysteme" erhalten und selbstständig betreiben, zitiert Spiegel Online den Bundestagspräsidenten Lammert. Gegenwärtig werde das besser gesicherte Netz der Bundesregierung IVBB (Informationsverbund Berlin-Bonn) genutzt. Im IVBB-Netz sind aus Sicherheitsgründen etwa 100.000 Webseiten gesperrt. Es handele sich aber um eine Übergangslösung, sagte Lammert.

Vieles ist weiterhin unklar

Der Angriff auf die IT-Systeme des Bundestags wurde laut Protokoll der IuK-Kommission am 8. Mai 2015 entdeckt. Zunächst wurde eine ungewöhnlich große Datenmenge auf einem Server festgestellt. Vier Tage später meldete das Bundesamt für Verfassungsschutz der sogenannten Geheimschutzstelle der Bundestagsverwaltung eine Verbindung zu einer verdächtigen IP-Adresse aus dem Netz eines Providers, der für kriminelle Handlungen bekannt ist.

Zur Analyse des Falls wurde vom Bundestag neben dem BSI die Firma BFK EDV-Consulting aus Karlsruhe hinzugezogen. Laut der Firma wurde auf den Bundestagsrechnern eine Malware namens Sofacy gefunden. Das IT-Sicherheitsunternehmen Fireeye hatte Sofacy einer Gruppe APT28 zugeordnet, bei der es sich um eine russische kriminelle Organisation handeln soll. Zu dem Schluss kommt auch die Bundestagsfraktion der Grünen, die selbst eine Analyse vorgenommen hatte.

Die gesamte Hardware muss nicht ausgetauscht werden

"Hieraus Schlüsse zu ziehen, ist jedoch voreilig", sagte ein BFK-Firmensprecher Golem.de. Denn die Sofacy-Malware sei im Netz frei verfügbar, praktisch jeder könnte sie somit für Angriffe nutzen. Er betonte auch, dass es für Angreifer ein Leichtes sei, einen Angriff so aussehen zu lassen, als komme er aus einem bestimmten Land, etwa indem bestimmte Zeichenketten in einer Malware vorkommen, oder indem man die Zeit, in der man aktiv sei, gezielt an eine bestimmte Zeitzone anpasse, um den Verdacht auf andere zu lenken.

Auch Meldungen, wonach die gesamte Hardware des Bundestags ausgetauscht werden müsste, sind übertrieben. In dem Protokoll der IuK-Kommission ist davon keine Rede, und auch der Sprecher der BFK EDV-Consulting bestätigte Golem.de, seine Firma habe keinerlei Hinweise auf eine Infektion durch Bios-Malware gefunden.