Von Jannis Brühl und Hakan Tanriverdi

Hacker sind in das bisher als sicher geltende Datennetzwerk des Bundes eingedrungen. Nach SZ-Informationen gab es im Auswärtigen Amt einen entsprechenden Vorfall. Ob auch das Verteidigungsminsterium betroffen ist, wie von der Nachrichtenagentur dpa berichtet, ist noch nicht bestätigt. Die dpa hatte zuerst über den Hack berichtet. Offiziell wurde nicht bestätigt, ob bestimmte Ämter besonders betroffen sind.

Das Bundesinnenministerium erklärte: "Wir können bestätigen, dass derzeit durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Nachrichtendienste ein IT-Sicherheitsvorfall untersucht wird, der die Informationstechnik und Netze des Bundes betrifft." Innerhalb der Bundesverwaltung sei der Angriff isoliert und unter Kontrolle gebracht worden. Es werde "mit hoher Priorität und erheblichen Ressourcen" an dem Fall gearbeitet.

Mit dem Hackerangriff sei das Datennetz der Bundesverwaltung - der Informationsverbund Berlin-Bonn (IVBB) - infiltriert worden, heißt es der dpa zufolge in Sicherheitskreisen. Es sei Schadsoftware eingeschleust worden, die Angreifer hätten Daten erbeutet. Die Attacke sei von deutschen Sicherheitsbehörden im Dezember erkannt worden. Damals sei der Angriff schon über eine längere Zeit gelaufen, womöglich ein ganzes Jahr. Seitdem bemühen sich die Behörden herauszufinden, wie tief die Hacker in das Regierungsnetz eingedrungen sind.

Kurz nachdem der Angriff erkannt worden war, schickte das BSI SZ-Informationen zufolge eine technische Spezialeinheit zum Auswärtigen Amt, um den Vorfall zu analysieren. Diese so genannten Mobile Incident Response Teams (MIRT) wurden 2016 eingeführt, um betroffene Stellen vor Ort schnell zu unterstützen.

Hacker sollen der Gruppe "APT28" angehören

Die Angreifer sollen Sicherheitskreisen zufolge der Gruppe "APT28" angehören, die viele Fachleute russischen Regierungsstellen zurechnen. Das berichtet die dpa. Bestätigt ist diese Verbindung beim aktuellen Angriff jedoch nicht. Der Angriff auf den Bundestag im Jahr 2015 geht Ermittlern zufolge auf das Konto dieser Gruppe. Das US-Sicherheitsunternehmen FireEye nennt "APT28" eine "kriminelle russische Organisation" und geht einem Bericht der Welt zufolge davon aus, dass die Attacke auf Deutschland Teil eines größeren Angriffs auf mehrere Einrichtungen in Europa war.

Über den russischen Ursprung der Gruppe gibt es keine einhellig vertretene Meinung: Einige Experten sehen nicht genügend schlüssige Beweise für einen russischen Ursprung der Attacke auf den Bundestag, weil Teile der von "APT28" eingesetzten Software im Internet verfügbar seien. "APT28" ist auch unter den Namen "Sofacy Group" und "Fancy Bear" bekannt.

Die Grünen forderten rasche Aufklärung. Es müsse unter anderem geklärt werden, "welche Daten konkret abgeflossen sind und ob im Zuge des Angriffs eine Sicherheitslücke verwendet wurde, die deutschen Behörden bekannt war", sagte Fraktionsvize Konstantin von Notz. "Wenn nach den bisherigen, verheerenden Angriffen auf den Bundestag und andere nun auch das sehr viel besser geschützte Regierungsnetz und Ministerien betroffen sind, zeigt das, wie schlecht es um die IT-Sicherheit in unserem Land insgesamt steht."

Der Digitalausschuss des Bundestages wird sich am Donnerstag in einer Sondersitzung mit dem Hacker-Angriff beschäftigen. Dies sei am Mittwochabend einstimmig beschlossen worden, teilten Vertreter von FDP und Grünen mit. "Der erfolgreiche Hackerangriff macht deutlich, dass das Datennetz des Bundes nicht ausreichend geschützt ist. Angesichts der sensiblen Informationen ist das ein untragbarer Zustand", erklärte der digitalpolitische Sprecher der FDP-Fraktion, Manuel Höferlin. Es sei ein Unding, dass die Abgeordneten über die Vorkommnisse aus den Medien erfahren müssten."Wir erwarten, dass die Vertreter des Bundesinnenministeriums, des Auswärtiges Amtes, des Verteidigungsministeriums und des Bundesamtes für Sicherheit in der Informationstechnik Rede und Antwort stehen. Oberste Priorität hat jetzt die Aufklärung und die Schaffung von Transparenz", betonte Höferlin.

Linken-Fraktionsvize André Hahn forderte eine Sondersitzung des Parlamentarischen Kontrollgremiums des Bundestages (PKGr). "Die Bundesregierung ist per Gesetz verpflichtet, dem Geheimdienstkontrollgremium Auskunft in solchen Fällen zu geben", sagte er der Berliner Zeitung.

Das Datennetzwerk des Bundes ist deutlich umfassender gegen Angriffe geschützt als das Netzwerk im Bundestag. Das liegt unter anderem daran, dass Bundestagsabgeordnete und ihre Mitarbeiter Smartphones und Tablet-Computer verwenden, die nicht zentral verwaltet und gegen potenzielle Angriffe abgeschirmt sind.