Von Georg Mascolo und Ronen Steinke, Berlin

Noch immer sind die Einbrecher unterwegs im Computernetzwerk der Bundesregierung. Noch immer bewegen sie sich auf eigene Faust, zwar angeblich unter ständiger Aufsicht, aber durchaus schwer berechenbar. Immerhin, die Hacker seien "eingegrenzt, isoliert und kontrolliert". So heißt es in einer E-Mail, die am Donnerstag an die Mitarbeiter des Auswärtigen Amts verschickt wurde. Klingt das beruhigend? "Vor diesem Hintergrund kann es in den nächsten Tagen an einigen Kommunikationsverbindungen zu Einschränkungen kommen. Wir bitten hierfür um Ihr Verständnis."

Es ist noch nicht lange her, da herrschte im politischen Berlin Erleichterung. Die Bundestagswahl war gerade vorbei, Parteien und Sicherheitsbehörden kamen zu dem Schluss, dass der befürchtete Cyber-Angriff ausgeblieben war. Das Nationale Cyber-Abwehrzentrum gab in einem "Sonderbericht" Entwarnung.

Nur kurz darauf aber, im Dezember des vergangenen Jahres, wies ein ausländischer Nachrichtendienst die Deutschen auf einen Vorgang hin. Es gebe Hinweise, dass Hacker in das hochgesicherte Netz der Bundesbehörden eingedrungen seien, den sogenannten Informationsverbund Berlin-Bonn (siehe "Einbruch per E-Mail"). Es war eine große Nachricht, ein Einbruch in dieses Netz ist viel schwieriger als in das Netz des Bundestages. Womöglich ist er auch gefährlicher, hier lagern Geheimnisse, wenn auch nicht die brisantesten.

An den Informationsverbund Berlin-Bonn sind Ministerien und einige Sicherheitsbehörden angeschlossen. Das Netz galt eigentlich als gut gesichert, anders als etwa früher der Bundestag. Ein- und Ausgänge werden überwacht, permanent wird der Datenstrom auf Viren gescannt. Innenminister Thomas de Maizière pries die Hightech einmal als "Schutzschild, den die Bundesregierung und die Bundesverwaltung um sich gezogen haben". Dass dieser Schild gebrochen worden ist - und womöglich bereits lange vor Dezember -, hielt die Bundesregierung daraufhin geheim.

Mehr noch: Anstatt die Attacke sofort zu beenden, entschieden sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Spionageabwehr des Bundesamtes für Verfassungsschutz (BfV) zu einer List. In Abstimmung mit Innenministerium und Kanzleramt wurde beschlossen, dem Angreifer erst einmal zuzusehen. Was hat er vor? Was sind seine Tricks? Was interessiert ihn besonders, und vor allem, wohin schickt er die erbeuteten Daten? Es begann ein Spiel, wie man es aus der klassischen Spionage kennt: Es ist gut, einen gegnerischen Agenten aus dem Verkehr zu ziehen. Es kann besser sein, ihn erst einmal weitermachen zu lassen, ihn heimlich zu beobachten - um nicht nur ihn, sondern auch seine Zuträger, Hintermänner und politischen Ziele zu entlarven. Es ist aber auch riskant.

Ein mit den Vorgängen vertrauter Beamter vergleicht die geheime Operation mit einer verdeckten Ermittlung der Polizei. Er behauptet: Die Gefahr, dass ernster Schaden entstehen könnte, habe man unter Kontrolle gehabt. Man habe "immer eine Hand am Stecker gehabt", also jederzeit dazwischengehen können, falls die Hackergruppe kurz davor gestanden wäre, eine besonders brisante Information zu finden. Wie unter Laborbedingungen. Am Mittwochabend dann brachte die Deutsche Presse-Agentur das Geheimnis ans Licht, und jedenfalls das Auswärtige Amt hat seither auch bestätigt, betroffen zu sein. Die Regierung reagierte erbost über die Veröffentlichung.

Nun seien alle weiteren Ermittlungen erschwert oder sogar unmöglich. In Sicherheitskreisen heißt es, dass nur eine geringe Menge an Daten tatsächlich gestohlen worden sei, man wisse auch, welche. Nichts Dramatisches sei darunter, auch wenn die Hacker sehr professionell vorgegangenen seien. Mit dem Bundestags-Hack, bei dem vor drei Jahren 16 Gigabyte erbeutet wurden, könne man den Schaden nicht vergleichen. Ob dies auch für die Zeit vor Dezember gilt, als die Bundesregierung noch ahnungslos war, gehört nun zu den offenen Fragen.

Manchmal gibt es gute Gründe, ganz öffentlich zu sagen, dass man angegriffen worden ist. Man gesteht damit zwar ein, dass man einen verwundbaren Punkt hat. Aber immerhin macht der Angegriffene klar, dass er weiß, was gespielt wird. Der Präsident des Bundesamts für Verfassungsschutz, Hans-Georg Maaßen, hat deshalb stets gedrängt, dass Bundestagsabgeordnete sich zu Wort melden, falls sie erpresst werden. Sein Kollege beim Bundesnachrichtendienst, Bruno Kahl, hatte in der Süddeutschen Zeitung die Hoffnung geäußert, "dass die zunehmende Transparenz dieser Vorgänge zu einem Umdenken führt" - weil die Auftraggeber, die womöglich im Kreml sitzen, dann politisch einen Preis bezahlen.

Das Parlamentarische Kontrollgremium war bewusst nicht eingeweiht worden

Bloß scheint es den digitalen Einbrechern diesmal gelungen zu sein, ihre Spuren besser zu verwischen als 2015 beim Bundestags-Hack. Noch wissen die Sicherheitsbehörden offenbar nicht ganz genau, mit wem sie es überhaupt zu tun haben, wer für den digitalen Einbruch verantwortlich ist. Es sei aber "zweifelhaft", hieß es am Donnerstag, dass hinter der Attacke wieder die angeblich Kreml-nahe Hacker-Gruppe APT 28 stecke, wie die Deutsche Presse-Agentur zunächst unter Berufung auf Sicherheitskreise vermeldet hatte. Zwar scheinen die Sicherheitsbehörden davon auszugehen, dass es sich tatsächlich um russische Hacker handeln könnte. Allerdings soll es eine andere Gruppe sein, die bei Geheimdiensten unter dem Namen "Snake" bekannt ist.

Man hätte gern noch länger weitergemacht mit der verdeckten Ermittlung. Und deshalb habe man bewusst möglichst wenige Menschen eingeweiht, nicht einmal den kleinen Kreis der Bundestagsabgeordneten, die im Parlamentarischen Kontrollgremium (PKGr) sitzen und nach dem Gesetz eigentlich unterrichtet werden müssten, wenn in der Welt der deutschen Geheimdienste etwas Wichtiges passiert. Mit Empörung reagierten viele Abgeordnete darauf, dass sie von der Aktion erst am Mittwoch aus der Presse erfuhren. Andere äußerten, durchaus auch im PKGr, Verständnis.