Ausmaß noch unklar Bundesanwaltschaft schaltet sich wegen Hackerangriffs ein

Berlin (dpa) - Die Bundesanwaltschaft hat wegen des Hackerangriffs auf das Datennetz des Bundes Vorermittlungen wegen geheimdienstlicher Agententätigkeit gegen unbekannt eingeleitet.

Foto: dpa

Vor einem förmlichen Ermittlungsverfahren brauche man aber mehr Informationen, sagte ein Sprecher der obersten Anklagebehörde an diesem Freitag in Karlsruhe. Zuvor hatte der „Spiegel“ darüber berichtet. Das Bundesinnenministerium kann nicht mit Gewissheit sagen, ob die Cyberattacke noch läuft oder nicht. Unionsfraktionschef Volker Kauder (CDU) vermutet hinter dem Angriff russisches Machtstreben.

Nach Informationen der Deutschen Presse-Agentur soll hinter der Attacke eine unter dem Namen „Snake“ (deutsch: Schlange) bekannte russische Hackergruppe stecken. Computerexperten sagen den Cyber-Spionen Verbindungen zu russischen Geheimdiensten nach.

Die russische Regierung ist nach eigenen Angaben aus Deutschland noch nicht über den Hackerangriff informiert worden. „Mir ist nicht bekannt, dass diese Frage offiziell oder auf Expertenebene besprochen worden wäre“, sagte Kremlsprecher Dmitri Peskow in Moskau. „Jeder Hackerangriff auf der Welt wird gleich mit russischen Hackern in Verbindung gebracht“, sagte er der Agentur Tass zufolge. Aber es würden nie Beweise vorgelegt.

Nach Recherchen von NDR, WDR und „Süddeutscher Zeitung“ war der Angriff offenbar Teil einer weltweiten Hacker-Attacke, von der auch Staaten in Skandinavien, Südamerika, die Ukraine und ehemalige Sowjet-Staaten betroffen sein sollen. Zudem meldet der Rechercheverbund, der Trojaner im deutschen Regierungsnetz sei auf insgesamt 17 Rechnern aktiv gewesen.

Zur Frage, ob der Hackerangriff noch läuft, sagte der Sprecher des Innenministeriums, Johannes Dimroth, bei der IT-Sicherheit gebe es nie hundertprozentige Gewissheit. „Insofern kann ich Ihnen auf eine Frage „Geschieht gerade etwas oder geschieht gerade nichts?“ nie eine hundertprozentige Antwort mit Ja oder Nein geben.“ Ähnlich äußerte er sich zur Frage, ob das Ausmaß der Attacke komplett erkannt sei.

Der „Tagesspiegel“ (Samstag) berichtete unter Berufung auf Sicherheitskreise, die Geheimdienste und das Bundesamt für Sicherheit in der Informationstechnik hätten nach dem Bekanntwerden die bereits vorbereiteten Programme gestartet, um die Attacke zu beenden. Der geschäftsführende Minister Thomas de Maizière (CDU) habe die Entscheidung, den Angriff unter Beobachtung weiterlaufen zu lassen, selbst getroffen, sagte Dimroth.

Die Bundesregierung denkt als Konsequenz aus dem Angriff über eine Verlängerung der Speicherfristen innerhalb des Informationsverbundes Berlin Bonn (IVBB) nach. Mit Rücksicht auf Datenschutzanforderungen sei die Speicherfrist auf maximal drei Monate begrenzt worden, sagte Dimroth. Im Lichte der aktuellen Ereignisse müsse dies überdacht werden. Computerexperten, die Hackerangriffe auswerten, sind bei ihrer Spurensuche auf sogenannte Logfiles angewiesen, in denen auch Netzaktivitäten und Dateizugriffe protokolliert werden.

Zum Zeitpunkt des ersten Hinweises auf einen möglichen Hackerangriff lagen demnach nur die ausführlichen Protokolle bis zum September 2017 vor. Es gibt allerdings Hinweise darauf, dass die Angreifer bereits im Dezember 2016 über Computer einer Fachhochschule des Bundes für öffentliche Verwaltung in das Netzwerk des Bundes eingedrungen sind. Damit stünden für rund neun Monate der Hacker-Kampagne keine detaillierten Logdateien für eine Analyse zur Verfügung.

Das Innenministerium sucht nach dem Bekanntwerden des Angriffs nach der möglichen undichten Stelle in den eigenen Reihen. Intern werde geprüft, welche Maßnahmen ergriffen werden könnten, um herauszufinden, wo möglicherweise die Stelle in der Bundesregierung oder bei den Behörden liege, über die diese Information nach außen gedrungen sei, sagte Dimroth. Geprüft werde auch eine Strafanzeige. Unter anderem sei abzuwägen, ob niedrigschwelligere Maßnahmen wie das Instrument der dienstlichen Erklärung sinnvoller seien. Damit könne man jene, die Zugang zu den Informationen gehabt hätten, zu der Erklärung auffordern, dass sie nichts weitergegeben hätten.

Unions-Fraktionschef Kauder sagte der „Augsburger Allgemeinen“ (Samstag): „Offenbar mehren sich die Anzeichen, dass russische Hacker hinter der Attacke stehen. Dies wäre nur ein weiterer Versuch aus Russland, Unruhe in Deutschland zu stiften und letztlich das politische System zu destabilisieren“. Russland sei daran gelegen, die Machtposition der Sowjetunion wiederzuerlangen - „in Europa und der Welt“, sagte er.

Dem „Spiegel“ zufolge könnte auch die Berliner Stiftung Wissenschaft und Politik (SWP) Opfer eines Hacker-Angriffs gewesen sein. Wie das Nachrichtenmagazin unter Berufung auf Sicherheitsbehörden berichtet, begann die Attacke im Dezember 2016. Die Stiftung gehört zu den einflussreichsten deutschen Forschungseinrichtungen für außen- und sicherheitspolitische Fragen und berät Bundestag wie Bundesregierung. Die Stiftung erklärte, sie sei nicht erfolgreich gehackt worden. Im Dezember 2016 sei lediglich versucht worden, die SWP mithilfe von Phishing-Mails auszuspionieren.