Hackerangriffe auf den Deutschen Bundestag

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Zu Hackerangriffen auf den Deutschen Bundestag kam es immer wieder. Der bisher folgenreichste Angriff erfolgte vermutlich ab Anfang 2015 und wurde im Mai 2015 entdeckt. Nach einer ausführlichen Recherche zu dieser Attacke äußerten Redakteure der Zeit im Mai 2017 die Befürchtung, dass kritische Inhalte aus den abgeflossenen Daten im Bundestagswahlkampf 2017 lanciert würden, um das Stimmungsbild in Deutschland zu verändern.[1]

Die Bundesregierung geht bei dem Großangriff 2015 von einer durch Russland gesteuerten Aktion aus. IT-Experten konnten Indizien dafür sammeln, dass eine Einheit des russischen Militärgeheimdienstes GRU, ein Sofacy Group (auch „Fancy Bear“ und „APT28“) genanntes Hackerkollektiv, den Angriff initiierte.[1][2]

Sicherung des Netzwerkes

[Bearbeiten | Quelltext bearbeiten]

Der Bundestag verfügt über eine eigene IT-Infrastruktur, über die das interne Bundestagsnetz „Parlakom“ betrieben wird. An ihm sind alle Abgeordneten, darunter auch die ehemalige Bundeskanzlerin Angela Merkel und weitere Regierungsmitglieder sowie deren Fraktionen, Verwaltung, Öffentlichkeitsarbeit und andere Institutionen des Parlaments angeschlossen. Die Rechner der Wahlkreisbüros der Abgeordneten außerhalb Berlins sind ebenfalls mit dem Bundestagsnetz verbunden.[3] Nach Spiegel-Angaben hat Parlakom rund 20.000 Bundestagsaccounts.[4] Das System hat Verknüpfungen mit dem freien Internet.

Nach dem Angriff 2015 gab es unter den Abgeordneten Unmut darüber, dass der Bundestag sich 2009, als die Entscheidung darüber anstand, nicht an das Netz der Bundesregierung angeschlossen hatte. Dieses Netz wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht.[5]

Angriff im Januar 2015

[Bearbeiten | Quelltext bearbeiten]

Der bisher größte Angriff auf das interne Netzwerk des Bundestags wurde im Mai 2015 bekannt. Die Infektion geschah durch eine E-Mail, die im April 2015 an verschiedene Abgeordnete versandt wurde.[1] Nach den derzeitigen öffentlich bekannten Informationen haben sie Stück für Stück einen Trojaner auf die einzelnen physischen Rechner über das interne Netzwerk platziert.[6] Dazu hatten sie nach einem Bericht von Spiegel Online zunächst die Computer der Linksfraktion mit dem Trojaner infiziert und sich so Zugang zu Administrator-Passwörtern verschafft. Laut Spiegel waren als erste Rechner auch Computer der CDU/CSU-Fraktion im Deutschen Bundestag betroffen.

Am 30. April 2015 erhielten mehrere Bundestagsabgeordnete eine gleichlautende E-Mail. Die Adresse des Absenders endet auf „@un.org“ und machte daher den Anschein, von den Vereinten Nationen zu stammen und wurde von einem Server versandt, den die Firewall des Bundestags nicht als problematisch einstufte. Die Mail war mit der Betreffzeile “Ukraine conflict with Russia leaves economy in ruins” versehen und enthielt einen Link zu einem vermeintlichen Bulletin der UN. Bei Aktivierung des Links (klicken) wurde auf eine Internetseite verlinkt, die wie eine Seite der UN anmutet, jedoch tatsächlich unbemerkt eine Schadsoftware auf dem Rechner des Mailempfängers installierte (Trojaner). Daraufhin hatten die Hacker unbemerkt Zugriff auf die IT-Systeme des Bundestages und konnten auf sensible Inhalte wie Passwörter und Administratoren-Accounts zugreifen, womit die Angreifer an weitere Daten gelangen konnten.[7]

Entdeckt wurde der Angriff erst Anfang Mai 2015, als die Schadsoftware im gesamten Netzwerk des Bundestags aktiv wurde. IT-Spezialisten des Parlaments und des Verfassungsschutzes meldeten etwa zur gleichen Zeit, dass Unbekannte das Datennetz des Bundestags attackiert haben. Es wurde die Möglichkeit in den Raum gestellt, dass alle IT-Geräte (Hardware) des Bundestages ausgetauscht werden müssten. Auch mehrere Wochen nach der Entdeckung des Cyberangriffs war die Spähsoftware noch auf den Rechnern aktiv. Zeitweise wurde das gesamte Netzwerk des Bundestages abgeschaltet.

„Man kann davon ausgehen, dass mehrere Computer inzwischen ferngesteuert werden, deswegen sind manche Bereiche komplett abgeschaltet worden, damit man überhaupt noch die Sicherheit dieser Daten gewährleisten kann“, erklärte der IT-Experte Götz Schartner im DRadio.[4]

Viele Abgeordnete waren laut FAS verärgert darüber, dass Bundestagspräsident Norbert Lammert (CDU) sie zu spät über das Ausmaß des Hackerangriffs informiert habe. Die Nachrichtenagentur Reuters zitierte den CDU-Innenpolitiker Armin Schuster mit den Worten: „Das Haus brennt.“ Der SPD-Netzpolitiker Lars Klingbeil sagte der Mitteldeutschen Zeitung, man habe das Thema im Ausschuss Digitale Agenda zwei Mal auf die Tagesordnung gesetzt, es sei aber niemand von der Verwaltung gekommen und habe Bericht erstattet.[8]

Ziele und abgeflossene Daten

[Bearbeiten | Quelltext bearbeiten]

Die Angreifer griffen u. a. das Abgeordnetenbüro von Bundeskanzlerin Angela Merkel und des Bundestagsvizepräsidenten Johannes Singhammer (CSU) an, des Weiteren die Rechner von Martin Rabanus (SPD) und Bettina Hagedorn (SPD), die beide im Vertrauensgremium zur Budgetkontrolle der Nachrichtendienste des Bundes sitzen.[1]

Insgesamt flossen mehr als 16 Gigabyte Daten, darunter E-Mails von Abgeordneten, mutmaßlich auf ausländische Server ab.[2]

Ermittlungen von Claudio Guarnieri

[Bearbeiten | Quelltext bearbeiten]

Vor dem Bekanntwerden der globalen Attacke auf den ganzen Bundestag waren Server der Linksfraktion im Bundestag von außen mit Schadsoftware infiziert worden. Diese stammt offenbar von einer staatlich geförderten Gruppe aus Russland. Zu diesem Ergebnis kam eine investigative technische Analyse des IT-Sicherheitsforschers Claudio Guarnieri. Sein ausführlicher Bericht analysiert Technologie, Auswirkungen, mögliche Herkunft und eine Signatur, um den Trojaner zu erkennen. Der Bericht wurde ursprünglich für die Linksfraktion im Bundestag erstellt und später auf dem Portal netzpolitik.org veröffentlicht.

Guarnieri schreibt, dass die Zuordnung von Malware-Angriffen niemals leicht sei, aber er im Laufe der Untersuchung Hinweise darauf gefunden habe, dass der Angreifer mit einer staatlich unterstützten Gruppe namens Sofacy Group (APT28) zusammenhängt (auch bekannt als APT28 oder Operation Pawn Storm). Frühere Analysen der Sicherheitsforscher von FireEye legten nahe, dass die Gruppe russischer Herkunft sein könnte. Es gebe jedoch keine Beweise, die es ermöglichen, die Angriffe bestimmten Regierungen oder Staaten zuzuordnen.[9]

Die Bundesanwaltschaft nahm Ermittlungen wegen des Verdachts auf Spionage auf. Am 5. Mai 2020 berichteten NDR, WDR und Süddeutsche Zeitung, dass der Generalbundesanwalt gegen einen russischen Hacker einen internationalen Haftbefehl erlassen habe. Der Hacker soll für den russischen Militärgeheimdienst GRU arbeiten und eine entscheidende Rolle beim Bundestags-Hack gespielt haben. Das amerikanische FBI hatte bereits seit zwei Jahren nach dem Hacker gefahndet, da dieser auch für die Hackerangriffe auf die Demokratische Partei der USA und die Welt-Anti-Doping-Agentur verantwortlich sein soll.[7] Es handelt sich bei dem Verdächtigen um den Russen Dmitri Badin.

Reaktionen und politische Konsequenzen

[Bearbeiten | Quelltext bearbeiten]

Der damalige Verfassungsschutzpräsident Hans-Georg Maaßen äußerte nach Bekanntwerden des Hackerangriffs die Vermutung, ein ausländischer Nachrichtendienst stecke hinter der Attacke. Die Recherche nach Urhebern wurde auch dadurch erschwert, dass viele zur Ermittlung hilfreiche Dateien durch Löschroutinen vernichtet wurden.[10] Laut Bundestagsverwaltung wird möglicherweise ein Neuaufbau der Technik nötig. Die Verwaltung des Bundestages verschickte am 22. Juni 2015 eine Mail an alle Abgeordneten und Mitarbeiter, in der sie auf Standards zur IT-Sicherheit hinwies.

Politiker forderten nach dem Angriff, dass in dem neuen IT-Sicherheitsgesetz nicht nur Unternehmen, sondern auch Bundesbehörden bestimmte Mindestanforderungen an ihre Computersysteme erfüllen sollten. Diese sollen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt werden.

Bundesinnenminister Thomas de Maizière (CDU) sah hinter dem Cyberangriff einen ausländischen Nachrichtendienst. Er empfahl dem Bundestag, ein speziell abgeschirmtes Netzwerk nach dem Vorbild der Bundesregierung aufzubauen.[11]

Die innenpolitische Sprecherin der Linken Ulla Jelpke verlangte Gegenmaßnahmen. Sie schlug vor, mehr Sicherheit durch ein Betriebssystem und Software auf Open-Source-Basis (Linux-Applikationen) zu schaffen. Zudem solle eine Verschlüsselung von E-Mails und Dateien auf allen Computern möglich sein. Dies ist bisher im Bundestag nicht gegeben.

Die Einbeziehung von Bundesbehörden in das IT-Sicherheitsgesetz geht auf einen Änderungsantrag der Koalitionsfraktionen CDU und SPD zurück. Das eingebrachte Gesetz sollte zunächst nur Unternehmen wie Banken, Versicherer oder Energieversorger zu einem besseren Schutz vor Angriffen auf ihre Computersysteme verpflichten. Wichtige Unternehmen müssen schwere Angriffe auf ihre Systeme melden. Petra Pau (Linke) sagte dagegen: „Ein Wettlauf der Geheimdienste schafft nicht mehr Sicherheit.“ Sie sieht dadurch nur die Geheimdienste gestärkt und in ihrer Existenz bestätigt.[12]

Vier Jahre später, im Mai 2020, machte Bundeskanzlerin Angela Merkel russische Geheimdienste für den Hackerangriff auf den Bundestag verantwortlich.[13] Ihre Aussagen wurden als sehr deutlich wahrgenommen; sie schloss Konsequenzen nicht aus.[14]

Im Oktober 2020 erließ der Rat der Europäischen Union mit Durchführungsverordnung (EU) 2020/1536[15] und Beschluss (GASP) 2020/1537[16] Einreiseverbote und Kontensperrungen gegen den Direktor des russischen Militärgeheimdienstes GRU, Igor Kostjukow und den Hacker und Offizier Dmitri Badin. Zudem wurde eine für Cyberangriffe zuständige Stelle des Militärgeheimdienstes GRU auf die EU-Sanktionsliste gesetzt.[17]

Als Reaktion darauf verhängte Russland im Dezember 2020 Sanktionen gegen deutsche Regierungsvertreter, „denen es verboten ist, russisches Staatsgebiet zu betreten“, teilte das Außenministerium in Moskau mit, ohne konkrete Namen zu nennen.[13]

Angriff im August 2015 auf Militäreinrichtungen

[Bearbeiten | Quelltext bearbeiten]

Der Spiegel berichtete im Dezember 2015, dass die gleichen Urheber wie im Januar wieder aktiv geworden seien. Diesmal seien militärische Einrichtungen ins Visier genommen worden. Die russische IT-Sicherheitsfirma Kaspersky Lab meldete, sie habe eine seit August 2015 laufende neue Angriffswelle entdeckt. Bei den Angriffen stünden vor allem militärische Einrichtungen im Visier. Laut Spiegel gab es Angriffe auf mehrere NATO-Staaten sowie Rüstungsunternehmen insbesondere aus der Luft- und Raumfahrtbranche. Es handelte sich wieder um die Hacker-Gruppe „Sofacy“ oder „APT28“.[18]

Angriff ab Ende 2016

[Bearbeiten | Quelltext bearbeiten]

Ende 2016 drangen russische Hacker in das Datennetzwerk des Bundes ein, indem sie zunächst einen der angeschlossenen Rechner mit Schadsoftware infizierten. Das angegriffene Netzwerk Informationsverbund Berlin-Bonn (IVBB) ist größtenteils vom Internet abgekoppelt und galt als sicher. Es dient der Kommunikation zwischen Kanzleramt, Ministerien und anderen Sicherheitsbehörden. Über das IVBB läuft die Kommunikation zwischen den Behörden in Form von E-Mail, Telefonie und Internet. Von Rechnern des Auswärtigen Amtes erbeuteten die Hacker Dokumente zu den Brexit-Verhandlungen und zur Ukraine. Erst im Dezember 2017 entdeckte das Bundesamt für Sicherheit in der Informationstechnik den Angriff, ließ die Angreifer aber zunächst gewähren, um mehr Informationen über sie zu sammeln. Im Februar 2018 wurde der Hackerangriff erstmals publik.[19] Hinter dem Angriff steht nach Angaben deutscher Sicherheitsbehörden die russische Hackergruppe Turla, die auch unter den Namen Snake und Uroburos bekannt und seit 2007 aktiv ist. Das parlamentarische Kontrollgremium teilte in einer Sondersitzung mit, dass der Hackerangriff im März 2018 noch andauerte.[20]

Angriff im Jahr 2021

[Bearbeiten | Quelltext bearbeiten]

Im März 2021 erhielten sieben Bundestags­abgeordnete und mehr als 70 Landtags­abgeordnete Phishing-Mails, hinter denen deutsche Sicherheitsbehörden eine Gruppe von Crackern namens Ghostwriter vermuten.[21][22]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. a b c d Patrick Beuth, Kai Biermann, Martin Klingst, Holger Stark: Merkel und der schicke Bär. In: Die Zeit. 11. Mai 2017, abgerufen am 15. Mai 2017.
  2. a b Cyberangriff auf Bundestag: Haftbefehl gegen russischen Hacker. In: tagesschau.de. 5. Mai 2020, abgerufen am 5. Mai 2020.
  3. Axel Kannenberg: Geheimdienst hinter Angriff auf Bundestag vermutet. In: heise online, 20. Mai 2015.
  4. a b Christiane Habermalz: Fraktionsrechner mit Trojanern infiziert. In: Deutschlandfunk Kultur, 30. Mai 2015.
  5. Gesamtes IT-Netz des Bundestages muss ausgetauscht werden. In: Süddeutsche Zeitung. 14. Juni 2015, abgerufen am 10. August 2018.
  6. Bundestag war angeblich schon länger über Cyberattacke informiert. 19. Juni 2015, archiviert vom Original; abgerufen am 7. Juni 2024.
  7. a b Cyberangriff auf Bundestag: Haftbefehl gegen Hacker. In: tagesschau.de. 5. Mai 2020, abgerufen am 5. Mai 2020.
  8. Dem Bundestag droht der digitale Totalschaden. In: Deutschlandfunk, 10. Juni 2015.
  9. Digitaler Angriff auf den Bundestag: Investigativer Bericht zum Hack der IT-Infrastruktur der Linksfraktion. 19. Juni 2015, abgerufen am 7. Juni 2024.
  10. Dietmar Riemer, NDR, ARD Berlin: Hackerangriff auf Bundestag offenbar vor Monaten begonnen. In: tagesschau.de. 19. Juni 2015, archiviert vom Original am 4. März 2016; abgerufen am 12. April 2018.
  11. Gehackt: Trojaner auch auf Merkels Rechner. In: Rheinische Post. 14. Juni 2015, abgerufen am 7. Juni 2024.
  12. Cyber-Angriff auf Bundestag zieht Konsequenzen nach sich. In: Freie Presse. 12. Juni 2015, abgerufen am 7. Mai 2020.
  13. a b Russland verhängt weitere Einreiseverbote gegen Deutsche. 29. Dezember 2020, abgerufen am 29. Dezember 2020.
  14. Bundeskanzlerin Angela Merkel droht Russland mit Konsequenzen. In: Deutsche Welle (www.dw.com). 13. Mai 2020, abgerufen am 29. Dezember 2020 (deutsch).
  15. Durchführungsverordnung (EU) 2020/1536 des Rates vom 22. Oktober 2020 zur Durchführung der Verordnung (EU) 2019/796 über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen. In: Amtsblatt der Europäischen Union. L, Nr. 352, 22. Oktober 2020, S. 1–4.
  16. Beschluss (GASP) 2020/1537 des Rates vom 22. Oktober 2020 zur Änderung des Beschlusses (GASP) 2019/797 über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen. In: Amtsblatt der Europäischen Union. L, Nr. 352, 22. Oktober 2020, S. 5–7.
  17. EU verhängt neue Sanktionen gegen Russland. In: DER SPIEGEL – Politik. Abgerufen am 22. Oktober 2020.
  18. Bundestags-Hacker offenbar wieder aktiv. In: tagesschau.de. 4. Dezember 2015, archiviert vom Original am 2. Juli 2017; abgerufen am 12. April 2018.
  19. Hackerangriff auf Bundesregierung: Maaßen spricht von Attacke russischen Ursprungs. In: Zeit Online, 11. April 2018.
  20. Kai Biermann, Ferdinand Otto: Russische Hackergruppe Snake soll für Angriff verantwortlich sein. In: Die Zeit, 1. März 2018.
  21. Wolf Wiedmann-Schmidt, Jonas Schaible, Marcel Rosenbach, Johanna Röhr, Marcel Pauly, Ann-Katrin Müller, Max Hoppenstedt, Roman Höfner, Alexander Epp, Maik Baumgärtner: Wie russische Hacker und Rechtsextreme die Bundestagswahl manipulieren. In: DER SPIEGEL. Abgerufen am 12. April 2021.
  22. Russische Hacker attackieren offenbar Bundestag. Eine Gruppe namens Ghostwriter soll laut Medienberichten Rechner von Bundestagsabgeordneten angegriffen haben. Experten vermuten dahinter einen russischen Geheimdienst. In: Zeit Online. Zeit Online GmbH, 26. März 2021, abgerufen am 28. März 2021.