Original-URL des Artikels: https://www.golem.de/news/iuk-kommission-das-protokoll-des-bundestags-hacks-1506-114635.html    Veröffentlicht: 12.06.2015 14:32    Kurz-URL: https://glm.io/114635

IuK-Kommission

Das Protokoll des Bundestags-Hacks

Im Bundestag muss keine Hardware ausgetauscht werden und die Spur nach Russland ist mehr als mager. Die an der Analyse beteiligten Spezialisten der Firma BFK halten viele Medienberichte über den Hackerangriff für "absurd übertrieben". Ein Protokoll aus dem IuK-Ausschuss des Bundestages gibt Aufschluss.

Die Bild-Zeitung hat gestern ein Protokoll aus der sogenannten IuK-Kommission des Bundestages vom 21. Mai. veröffentlicht. Es gibt Aufschluss über viele Details des Angriffs, der das Parlament seit einigen Wochen beschäftigt. Viel von dem, was in jüngster Zeit in den Medien berichtet wurde, stellt sich demnach als falsch heraus. Der Firma BFK EDV-Consulting aus Karlsruhe dürfte der Vorfall zu ungeahnter Prominenz verhelfen, denn sie wurde vom Bundestag mit der Analyse des Vorfalls beauftragt. Golem.de hat mit der an der Analyse beteiligten Firma BFK gesprochen.

Laut dem Protokoll wurde der Angriff am 8. Mai bemerkt. Auf einem Serversystem wurde demnach eine ungewöhnliche Menge an Daten festgestellt. Von diesem Server wiederum bestand eine Verbindung zum PC eines Abgeordneten.

Viren und Trojaner im Bundestag häufiger zu finden

Zunächst sei man jedoch noch nicht davon ausgegangen, dass es sich um einen gezielten Angriff handle. Der Fund von Malware im Bundestags-Netz kommt laut dem Protokoll wohl häufiger vor. Im Protokoll wird ein Mitarbeiter der Bundestagsverwaltung zitiert, der erläuterte, "dass es sich zunächst um Untersuchungen im Rahmen des Alltäglichen gehandelt habe, da im Haus häufiger Trojaner und Viren gefunden und dann nach festgelegten Regeln beseitigt würden."

Vier Tage später, am 12. Mai, setzte sich das Bundesamt für Verfassungsschutz mit der sogenannten Geheimschutzstelle der Bundestagsverwaltung in Verbindung. Der Verfassungsschutz hatte eine Verbindung vom Bundestagsnetz zu einer verdächtigen IP festgestellt. Dabei handelte es sich wohl um eine bekannte IP-Adresse aus dem Netz eines Providers, der für kriminelle Handlungen bekannt ist.

Zur Analyse des Falls wurde vom Bundestag neben dem BSI die Firma BFK EDV-Consulting aus Karlsruhe hinzugezogen. Nach eigenen Angaben wurde diese Firma 1989 gegründet und ging aus einem Forschungszentrum zu Computerviren der Universität Karlsruhe hervor. Ein Firmensprecher bestätigte auf Anfrage von Golem.de, dass sein Unternehmen in dem Fall mit der Analyse beauftragt wurde.

Kein DDoS-Angriff und keine Bios-Malware

Mehrere Meldungen aus der Presse stellen sich laut Protokoll als Falschmeldungen heraus. So schrieb Spiegel Online noch am Tag der Sitzung, das BSI habe die Kommission darüber informiert, dass es erforderlich sein könne, die Hardware des Bundestages auszutauschen. Im Protokoll ist davon nicht die Rede und es klingt auch reichlich unplausibel.

Ein Austausch der Hardware wäre nur dann notwendig, wenn der Verdacht bestünde, dass sich in den Bundestags-PCs im Bios oder in der Firmware von Hardwarekomponenten Malware befindet. Eine Infektion mit Bios-Malware wäre eine Sensation, denn bislang gibt es nur wenige Berichte darüber, dass derartige Malware in echten Angriffen zum Einsatz kam. Der Firmensprecher bestätigte auf unsere Anfrage, dass sein Unternehmen keinerlei Hinweise auf Bios-Malware gefunden habe.

Ebenfalls dementiert werden im Protokoll Presseberichte, dass es sich bei dem Vorfall lediglich um einen DDoS-Angriff gehandelt habe. Das hatte Heise am 16. Mai berichtet.

Die Belege für einen russischen Ursprung sind dünn

Laut dem Firmensprecher sollte man auch vorsichtig sein, den Angriff voreilig russischen Akteuren in die Schuhe zu schieben. Der Ursprung der Meldung, dass es sich möglicherweise um einen Angriff aus Russland handle, ist demnach eine Malware namens Sofacy, die auf den Bundestagsrechnern gefunden wurde. Über Sofacy und die dahinterstehende Gruppe APT28 gibt es einen ausführlichen Bericht der Firma Fireeye. Fireeye vermutet, dass es sich bei APT28 um eine russische kriminelle Organisation handelt.

"Hieraus Schlüsse zu ziehen ist jedoch voreilig", sagte der Firmensprecher Golem.de. Laut dem Sprecher ist die Sofacy-Malware im Netz frei verfügbar, praktisch jeder könnte sie somit für Angriffe nutzen. Er betont auch, dass es für Angreifer ein Leichtes ist, einen Angriff so aussehen zu lassen, als komme er aus einem bestimmten Land, etwa indem bestimmte Zeichenketten in einer Malware vorkommen oder indem man die Zeit, in der man aktiv ist, gezielt an eine bestimmte Zeitzone anpasst, um den Verdacht auf andere zu lenken.

BSI und Bundestagsverwaltung schweigen

Die Firma ist verärgert über die Medienberichterstattung und erklärt, dass vieles "völlig absurd übertrieben" sei. Dass so viele Gerüchte und offenbar falsche Medienberichte die Runde machen, liegt auch an den offiziellen Stellen. Diese geben sich in der gesamten Angelegenheit äußerst verschwiegen. Das BSI wollte auf Anfrage von Golem.de überhaupt nichts zu den Vorfällen sagen. Die Bundestagsverwaltung antwortete auf eine Reihe von detaillierten Fragen von uns lediglich mit einem sehr oberflächlichen Standardschreiben, Rückfragen blieben unbeantwortet.

Die Arbeit der IuK-Kommission scheint generell nicht besonders transparent abzulaufen. Dieses Gremium mit dem sperrigen Namen Kommission für den Einsatz neuer Informations- und Kommunikationstechniken und -medien ist Teil des Ältestenrates des Bundestages und beschäftigt sich mit der IT-Infrastruktur der Abgeordneten. Auf der Webseite des Bundestages findet man nur indirekte und spärliche Angaben zur Arbeit dieser Kommission, nicht einmal eine Liste der Mitglieder ist öffentlich zugänglich.  (hab)


Verwandte Artikel:
Bundeshack: Ausländischer Geheimdienst soll Regierung gewarnt haben   
(02.03.2018, https://glm.io/133112 )
Emmanuel Macron: Hackerangriff auf französischen Präsidentschaftskandidaten   
(06.05.2017, https://glm.io/127667 )
BMBF: Fachkräftemangel wird zum Innovationshemmnis   
(08.03.2001, https://glm.io/12797 )
Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias   
(08.03.2018, https://glm.io/133227 )
Wahlbeeinflussung: Russischer Präsident Putin will Verdächtige nicht ausliefern   
(05.03.2018, https://glm.io/133147 )

© 1997–2019 Golem.de, https://www.golem.de/