Berlin. Das Computernetz der Bundesverwaltung ist Opfer eines schweren Hackerangriffs geworden. Wir beantworten die wichtigsten Fragen.

Wurden Informationen entwendet? Ja. Experten gehen aber davon aus, dass nicht riesige Datenbestände heruntergeladen wurden, sondern gezielt nach Informationen gesucht wurde, ohne großen Datenverkehr zu erzeugen. Wahrscheinlich deswegen ist der Angriff auch erst so spät aufgefallen. Als er im Dezember festgestellt wurde, könnte er bereits seit einem Jahr gelaufen sein. Bei Datenmengen in der Größenordnung des Bundestag-Hacks von 2015 (rund 16 Gigabyte) hätten die Schutzsysteme des Bundesnetzes Alarm geschlagen. Streng geheimes Material wird in der Regel aber auf Rechnern gespeichert, die nicht mit dem Internet verbunden sind, sagt IT-Experte Stefan Heumann von der Stiftung Neue Verantwortung (SNV).

Welche Behörden sind betroffen? Das Datennetz der obersten Bundesverwaltung „Informationsverbund Berlin-Bonn“ (IVBB) wurde infiltriert. Dabei handelt es sich um ein speziell gesichertes Regierungsnetz. Nach bisherigem Stand sind darüber vor allem das Auswärtige Amt, vermutlich aber auch in geringerem Ausmaß das Verteidigungsministerium Ziel des Angriffs gewesen.

Ist der Angriff vorbei? Nein, er laufe noch, sei aber isoliert und unter Kontrolle, teilte das Parlamentarische Kontrollgremium (PKGr) nach einer Unterrichtung durch Sicherheitsbehörden mit. Die technischen Details der Attacke sind noch nicht bekannt, in der Vergangenheit lag eine häufige Fehlerquelle aber im Verhalten von Behördenmitarbeitern, die „auf E-Mails antworten und Anhänge öffnen“, die Schadsoftware enthalten, sagt IT-Experte Sandro Gaycken von der European School of Management and Technology (ESMT). Sogenanntes Spear-Phishing richtet sich gezielt gegen Wissensträger in Ministerien oder Parteien. Sie erhalten eine glaubwürdig wirkende E-Mail und geben den Hackern unwissentlich Zugriff auf interne Daten, wenn sie auf einen Link in der Mail klicken oder ein angehängtes Dokument öffnen.

Wer steckt hinter der Attacke? Eine unter dem Name „Snake“ bekannte russische Hackergruppe steckt laut dpa-Informationen dahinter. Die Ermittlungen hätten ergeben, dass es sich bei den Cyber-Spionen vermutlich nicht um die zunächst verdächtigte Gruppe APT-28 handle, die wahrscheinlich 2015 den Bundestag infiltrierte. ATP-28 (zu deutsch: „fortgeschrittene, andauernde Bedrohung“) nahm in den vergangenen Jahren immer wieder politische Einrichtungen in westlichen Ländern ins Visier.

Warum wurde das PKGr nicht früher informiert? Mitglieder des Geheimdienst-Kontrollgremiums im Bundestag prangerten an, dass sie nicht vorab in Kenntnis gesetzt wurden. Das hat allerdings Gründe. „Man will dem Angreifer eine Falle stellen“, erklärt SNV-Experte Heumann. Indem man Angreifern selbst Dokumente mit Schadsoftware unterjubelt, könne man herausfinden, wer hinter den Hackern steckt. Deswegen halten die Politiker sich auch weiterhin bedeckt: „Öffentliche Diskussionen über Details wären schlicht eine Warnung an die Angreifer“, sagte der PKGr-Vorsitzende Armin Schuster (CDU).

Ist es sehr schlecht bestellt um die IT-Sicherheit in Deutschland? Kurz nach dem Angriff auf den Bundestag 2015 empfahl Bundesinnenminister Thomas de Maizière (CDU) dem Parlament, unter den Schutz des IVBB zu schlüpfen. „Der Schutzschild, den die Bundesregierung und Bundesverwaltung um sich gezogen haben, funktioniert, und er funktioniert ziemlich gut“, sagte er. Die Frage, die sich nun stellt, ist, was „ziemlich“ bedeutet. Schuster hält sich mit einer Bewertung des Schadens noch zurück. Er betonte aber: „Der Geheimnisverrat an sich ist ein beträchtlicher Schaden.“ Heumann kritisiert, dass „es so lange gedauert hat, bis der Angriff entdeckt wurde“.

Wo liegt das Problem? Das BSI verfügt über zu wenig IT-Fachkräfte und konkurriert um diese auch noch mit der Wirtschaft und anderen Behörden, sagt Heumann. Das stellt auch SNV-Cybersicherheits-Expertin Julia Schuetze in einem Bericht über den IT-Fachkräftemangel fest: „Da der Staat zunehmend Aufgaben wie die Unterstützung des Schutzes kritischer Infrastrukturen übernimmt und bei der polizeilichen Aufklärung und der Verteidigung vermehrt technische Mittel eingesetzt werden, manifestiert sich der Fachkräftemangel besonders in der IT-Sicherheit.“