FAQ Was wissen wir über den #bundeshack?
Hackern ist es gelungen, in das hochgesicherte Datennetzwerk des Bundes einzudringen. Was ist bislang bekannt?
Von Jens Eberl, WDR
Was ist passiert?
Das IT-Netzwerk der Bundesregierung (IVBB) wurde gehackt. Und das offenbar schon vor langer Zeit: Der Angriff ist den Sicherheitsbehörden Mitte Dezember aufgefallen. Bis heute dauere die Cyberattake an, sagte der Chef des Parlamentarischen Kontrollgremiums. Am 28.02.2018 wurde öffentlich bekannt, dass Hacker es geschafft hätten, Daten abzugreifen.
Nach bisherigem Stand ist das Auswärtige Amt von dem Hacker-Angriff betroffen. Ob es den Angreifern auch gelungen ist, in weitere Ministerien einzudringen, ist derzeit unklar. Für den Schutz der Regierungsnetze vor Hackern ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn zuständig.
Sollte sich bestätigen, dass die Hacker möglicherweise schon monatelang in dem als sicher eingestuften IVBB-Netzwerk unentdeckt mitlesen konnten, dürfte der Schaden immens sein.
Was ist der Informationsverbund Berlin-Bonn?
Den Informationsverbund Berlin-Bonn, kurz IVBB, gibt es seit 1999. Der IVBB arbeitet als Netzwerk komplett getrennt vom öffentlichen Internet. Er soll vor allem den Datenverkehr zwischen der alten Hauptstadt Bonn und Berlin sichern. Am IVBB hängen Bundesrat, Kanzleramt und Bundesministerien, Bundesrechnungshof und Sicherheitsbehörden in Berlin und Bonn und in Teilen der Bundestag.
Das Netz wird von der Telekom betrieben und läuft auf Spezialhardware, die ausschließlich für den IVBB konstruiert worden ist. Die Hardware sorgt dafür, dass nicht-dienstrelevante Angebote schon bei Verdacht auf Gefährdung der IT geblockt werden.
Die IT der einzelnen Ministerien und des Kanzleramtes selbst ist laut BSI noch einmal extra gesichert, um besonders sensible Informationen zu schützen. Jedes Ministerium verfüge über eine eigene "IT-Sicherheitszone". Mitarbeiter, die auf Datenbestände zugreifen wollen, müssen sich demnach per Karte oder Stick authentifizieren.
Der IVBB spielte eine wichtige Rolle, nachdem 2015 der Hackerangriff auf den Bundestag bekannt geworden war. Während Fachleute das Parlamentsnetz Parlakom von der Software der Angreifer säuberten und es dafür zeitweise abschalteten, sprang die Bundesregierung ein. Der Datenverkehr von Abgeordneten und ihren Mitarbeitern wurde über den IVBB umgeleitet.
Was passiert gerade, um den Virus zu entfernen?
Experten des BSI sind momentan damit beschäftigt, den Internetverkehr zu durchforsten, der von den betroffenen Netzwerken ausging. Eine entscheidende Frage ist, ob es den Angreifern gelungen ist, technische Hintertüren in Netzwerken zu platzieren. Nur wenn diese entfernt werden, ist es möglich, die Hacker permanent aus den Netzen zu werfen. Ansonsten können sie über diese Hintertüren das Netzwerk erneut betreten.
Nach Angaben des Bundesinnenministeriums sei es mittlerweile gelungen, die Hacker "innerhalb der Bundesverwaltung" zu isolieren. Der Angriff sei deshalb nun unter Kontrolle. Die Hacker sind also weiterhin in den Netzen, können sich aber nicht mehr frei und unbeobachtet bewegen. Aufgabe der IT-Experten ist es nun, hinterlassene Trojaner und Viren zu entfernen.
Wer steckt dahinter?
Ganz klar ist das nicht. Zunächst wurde die als "APT28" bekannte Hackergruppe als Drahtzieher vermutet. Sie wird von westlichen Geheimdiensten mit dem russischen Staat in Verbindung gebracht und hat bereits Netzwerke innerhalb der NATO, von US-Rüstungsfirmen wie Boeing und Lockheed Martin sowie Regierungsnetzwerke in Osteuropa infiltriert. Auch die "New York Times" war von einem Angriff betroffen. Außerdem wird die Gruppe für den Spionageangriff auf das Netzwerk des Deutschen Bundestages im Jahr 2015 verantwortlich gemacht.
Doch nun rückt aber eine andere Gruppe in den Fokus: Laut RBB soll eine unter dem Name "Snake" bekannte russische Hackergruppe hinter dem Angriff auf das Datennetzwerk des Bundes stehen. Das hätten Ermittlungen ergeben. Sie ist schon seit dem Jahr 2005 aktiv. Nach einer Analyse des Antivirus-Spezialisten Kaspersky handelt es sich um eine der komplexesten laufenden Cyberspionage-Kampagnen.
Bei ihren Angriffen versuchen die Hacker ihre Opfer durch sogenannte Watering-Hole-Attacken zu infizieren. Dazu spähen die Spione zunächst Webseiten aus, die von den Opfern potenziell von Interesse sind. Mit gefälschten E-Mails werden dann die Opfer auf einen manipulierten Webserver umgeleitet, der dem Original zum Verwechseln ähnlich sieht. Auf diesem Weg werden dann beim Opfer die Rechner infiziert.