Bundes-Hack: Die wichtigsten Fragen zum Cyberangriff

Über ein halbes Jahr lang haben Hacker das besonders gesicherte Netzwerk des Bundes ausspioniert. Jetzt scheint klar, wer hinter den Angriffen steckt. Die wichtigsten Fragen zum Bundes-Hack.

Wer steckt hinter dem Angriff?

Eine unter dem Name "Snake" bekannte russische Hackergruppe soll nach Informationen der Deutschen Presse-Agentur hinter dem Angriff auf das Datennetzwerk des Bundes stehen. Die Ermittlungen hätten ergeben, dass es sich bei den Cyber-Spionen vermutlich nicht um die zunächst verdächtigte russische Gruppe "APT28" handele.

"Wenn es irgendwas mit der Regierung zu tun hätte, dann würde es natürlich Probleme nach sich ziehen", sagte Wirtschaftsministerin Brigitte Zypries. "Aber davon kann ja im Moment gar keine Rede sein."

Auch der CDU-Geheimdienstexperte Patrick Sensburg warnte vor vorschnellen Schlüssen und sprach von einem Krieg im Netz. "Im Internet wird sehr viel verschleiert, wird sehr viel getäuscht", sagte das Mitglied des Kontrollgremiums im ZDF.

Ist es möglich, dass jemand anderes für den Hack verantwortlich ist?

Ja, zumindest theoretisch. Es gehört inzwischen zum Arsenal ausgeklügelter Hacker-Attacken, die Herkunft zu verschleiern oder bewusst falsche Fährten zu legen. So könnten Hacker aus China zu den in Moskau oder St. Petersburg üblichen Arbeitszeiten aktiv werden. Denkbar ist auch, dass Hacker außerhalb von Russland Programmcodes mit russischen Schriftzeichen einsetzen, um die Ermittler in die Irre zu führen.

Auf was hatten es die Hacker abgesehen? Wurden überhaupt Daten erbeutet?

Ja, die Hacker haben nach Informationen aus Sicherheitskreisen Daten erbeutet. Die Experten gehen aber davon aus, dass nicht riesige Datenbestände heruntergeladen wurden, sondern gezielt nach Informationen gesucht wurde, ohne großen Datenverkehr zu erzeugen. Bei Datenmengen in der Größenordnung des Bundestag-Hacks aus dem Jahr 2015 (rund 16 Gigabyte) hätten auch die Schutzsysteme des Bundesnetzes Alarm geschlagen.

Es handele sich um eine "technisch anspruchsvollen und von langer Hand geplanten Angriff", sagte Bundesinnenminister Thomas de Maizière (CDU) am Donnerstag in Berlin. "Er belegt, was wir seit langem wissen und sagen: Verschiedenste Akteure gefährden die Cybersicherheit aus unterschiedlichsten Interessen heraus."

Wer ist von den Angriffen betroffen?

So genau ist das noch nicht bekannt. Im Mittelpunkt des Interesses sollen aber Informationen aus dem Außenministerium gestanden haben. Auch das Verteidigungsministerium war betroffen - aber wohl nur in geringerem Maße.

Was genau wollten die Angreifer erreichen – wie groß ist der Schaden?

Die im Informationsverbund Berlin-Bonn ausgetauschten Daten sind sensibel und dürften ausländische Regierung stark interessieren, etwa die Pläne der Bundesregierung zum weiteren Vorgehen in der Ukraine-Krise. Offen ist aber, was die Hacker genau erbeuten konnten. Unklar ist zudem, ob neue Sicherheitsmaßnahmen nötig werden, um solche Angriffe künftig zu erschweren. Dies wäre mit weiteren Kosten verbunden.

Wie lange lief die Attacke?

Mindestens länger als ein halbes Jahr – aber es ist durchaus möglich, dass die Internet-Spione schon wesentlich länger im Netzwerk des Bundes unterwegs waren. Nach Angaben aus Sicherheitskreisen wurde der Einbruch Mitte Dezember entdeckt. Seitdem dürften die Behörden versucht haben, den Angreifer möglichst nah auf die Spur zu kommen. Unklar ist, ob sie den Hackern auch gefälschte Informationen quasi als Köder untergejubelt haben.

Gleichzeitig dürften die IT-Experten versucht haben, den Abfluss von besonders sensiblen Informationen zu unterbinden. Nach Angaben des Parlamentarischen Staatssekretärs im Innenministerium, Ole Schröder (CDU), lief der Hacker-Angriff unter voller Kontrolle der deutschen Behörden ab. Es sei "gelungen, einen Hackerangriff auf das Netz des Bundes zu isolieren und unter Kontrolle zu bringen", sagte er dem RedaktionsNetzwerk Deutschland.

Warum machten die Behörden den Angriff nicht öffentlich?

Der Hackerangriff auf Bundesnetzwerk laufe aktuell noch, sagte Armin Schuster, Versitzender des Geheimdienst-Kontrollgremiums. Er rechtfertige damit auch, warum der Angriff zunächst nicht öffentlich gemacht wurde. Eine öffentliche Diskussionen über Details wäre "schlicht eine Warnung an die Angreifer, die wir nicht geben wollen."

Für eine Bewertung des Schadens sei es noch zu früh, sagte Schuster. Er betonte aber bereits: "Der Geheimnisverrat an sich ist ein beträchtlicher Schaden." Die Bundesregierung versuche, den Vorgang unter Kontrolle zu halten. Das Parlamentsgremium werde sich in der kommenden Woche erneut mit dem Thema befassen.

Der stellvertretende Vorsitzende der Runde, Konstantin von Notz (Grüne), sagte, es möge gute Gründe geben, warum der Bund bestimmte Informationen über den Vorgang in den vergangenen Wochen "sehr eng gehalten" habe. Es sei aber inakzeptabel, dass das Kontrollgremium erst über die Medien von alldem erfahre. Das sei ein "handfestes Problem" und müsse ebenfalls aufgeklärt werden.

Warum schlagen die deutschen Sicherheitsbehörden nicht zurück, wenn sie einen solchen Angriff bemerken?

Bislang dürfen die deutschen Sicherheitsbehörden keine Gegenangriffe starten, weil sie sich nach geltendem Recht damit strafbar machen. Die Bundesregierung startete aber bereits vor einem Jahr eine Initiative, um eine Grundlage zu schaffen, bei Angriffen im Internet aktiv zurückschlagen zu können. Etliche Experten warnen aber vor "Hack Backs", weil diese nur zu einer Eskalation führen würden und Angriffe auf kritische Infrastruktur wie etwa Elektrizitäts- oder Wasserwerke nicht verhinderten.