In einem Laptop wird ein Password eingegeben | Bildquelle: dpa

Neue Details über Hackerattacke Spähangriff auf die Ostpolitik

Stand: 22.03.2018 18:00 Uhr

Die Hacker, die Ende vergangenen Jahres das deutsche Regierungsnetz infiltrierten, hatten offenbar ein konkretes Ziel. Nach Informationen von NDR, WDR und "SZ" ging es um die deutsche Ostpolitik.

Von Georg Mascolo und Benedikt Strunz, NDR

Monatelang versuchten Hacker aus dem besonders gesicherten Netzwerk der Bundesregierung Daten zu gewinnen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtete den Angriff zunächst, um herauszufinden, wer dahinter steckt. Offenbar griffen die Hacker anfangs keine besonders brisanten Informationen ab.

Doch Ende Februar wuchs die Sorge vor gravierenden Konsequenzen - das BSI stoppte den Angriff, allerdings etwas früher als geplant. Eigentlich wollte das BSI erst am 7. oder 8. März alle elektronischen Zugänge für die Hacker versperren. Doch der Zeitplan scheiterte, weil der Angriff öffentlich wurde, das BSI musste sofort handeln.

Das Auswärtige Amt | Bildquelle: AFP
galerie

Von besonderem Hacker-Interesse: die deutsche Außenpolitik

Deutsche Ostpolitik im Fokus der Angreifer

Wie lange die Hacker zu diesem Zeitpunkt bereits Zugriff auf das Regierungsnetz hatten, ist nach wie vor unklar. Ein befreundeter Nachrichtendienst hatte der Bundesregierung am 19. Dezember vergangenen Jahres erste Hinweise auf den Angriff geliefert. Er hatte Datenströme analysiert, dabei verdachtsunabhängig nach bestimmten Mustern gesucht und bemerkt, dass eine Hackergruppe mit E-Mail-Adressen von Regierungsmitarbeitern hantierte.

Kurz darauf konnte das BSI den Angreifer tatsächlich im Regierungsnetz, dem sogenannten Informationsverbund Berlin-Bonn (IVBB) verorten. Offenbar lief die Attacke zu der Zeit allerdings schon einige Monate lang.

Das nationale IT-Lagezentrum des BSI | Bildquelle: dpa
galerie

Das BSI musste den Hackerangriff früher als geplant stoppen.

Schrittweises Vorgehen

Die Hacker versuchten zunächst, eher weniger brisante Informationen abzugreifen, darunter ein Bericht zu einer Anfrage der Linken im Bundestag über die "deutsch-belarussische Zusammenarbeit und die Zivilgesellschaft", ein Vermerk über "ostpolitische Konsultationen" und ein Regierungspapier zu "Prioritäten für die Finanzierung verschiedener EU-Politiken".

Doch am 23. Februar nahmen die Hacker nach Informationen von NDR, WDR und "Süddeutscher Zeitung" das Aktenverzeichnis des Referats 205 im Auswärtigen Amts ins Visier, das auch für die die Beziehungen zu Russland, den GUS-Staaten und für die europäische Beziehungen zu Osteuropa zuständig ist. Da der Aktenplan konkrete Hinweise enthält, wo sich politisch brisante Informationen verbergen könnten, entschied sich das BSI dazu, den betroffenen Rechner umgehend vom Netz zu nehmen.

Auch wenn die Dokumente, die die Hacker tatsächlich abgegriffen haben, wenig sensibel sein sollen, bereitet der Angriff den deutschen Sicherheitsbehörden Sorge. Denn nach Überzeugung des BSI war es das Ziel der Angreifer, Administratorenrechte im IVBB zu erlangen, um sich anschließend freier bewegen zu können. Die anfängliche Zurückhaltung der Hacker sei insofern eher ein Zeichen der Stärke.

Aufklärung des Angriffs läuft

Sicherheitsexperten meinen, dass der Angriff von einer Hackergruppe durchgeführt wurde, die unter dem Namen "Uroboros" oder auch "Snake" bekannt ist. Hinter ihr wird von manchen der russische Geheimdienst FSB vermutet.

Die Bundesregierung ist mittlerweile überzeugt, dass hinter der Attacke tatsächlich Russland steht. Offenbar wird nun in der Regierung überlegt, ob man den mutmaßlichen Drahtzieher in Moskau auch öffentlich für die Attacke verantwortlich machen sollte.

Wie sicher ist das Regierungsnetz?

Auch einen Monat nach Bekanntwerden der Attacke sind zahlreiche Details allerdings weiter unklar. So stellt sich etwa die Frage, weshalb der Bundesnachrichtendienst nicht selbst "Uroboros" entdeckt hat. Zudem gilt das Regierungsnetz als besonders stark gesichert.

Dass sich Angreifer über mehrere Monate hinweg im IVBB unbemerkt bewegen konnten, wirft insofern den Verdacht auf, dass die digitale Abwehr im Regierungsnetz verbesserungsbedürftig ist.

Über dieses Thema berichteten die tagesthemen am 28. Februar 2018 um 22:15 Uhr.

Korrespondent

Georg Mascolo, NDR | Bildquelle: picture alliance / dpa Logo NDR/WDR

Georg Mascolo, NDR/WDR

Korrespondent

Benedikt Strunz Logo NDR

Benedikt Strunz, NDR

Darstellung: