Wenn die Spur zu den eigenen Kollegen führt: Die Computerviren von "Snake" machten sich im deutschen Regierungsnetzwerk zu schaffen.

Von Ronen Steinke und Hakan Tanriverdi, Berlin

Es war eine geheime Operation der deutschen Spionageabwehr, auch wenn am Ende etwa hundert Beamte zu den Eingeweihten zählten. Monatelang hatten sie geräuschlos einem Eindringling bei der Arbeit zugesehen - einer mutmaßlich russischen Hackergruppe namens Uroburos, auch bekannt unter dem Namen "Snake", die sich mithilfe von Computerviren im deutschen Regierungsnetzwerk zu schaffen machte.

Die spannende Frage aber, wie Snake überhaupt hineingelangen konnte in dieses Netz, das auch Sicherheitsbehörden miteinander verbindet, blieb bislang offen. Sie hat die Experten in den vergangenen Wochen beschäftigt. Und hat sie schließlich zu ihren eigenen Kollegen geführt: zu den Mitarbeitern der Bundesregierung. Das Vokabular der Sicherheitsexperten dafür stammt aus der Epidemiologie. Es geht darum, den patient zero zu finden - also den ersten Infizierten, mit dem alles begann.

Inzwischen, so viel scheint klar zu sein, hat man ihn gefunden. Es ist ein Mitarbeiter des Auswärtigen Amtes. Und nicht nur sein Name ist den Sicherheitsexperten bekannt, sondern auch der Name seiner Freundin. Denn mit ihr hat der ungewöhnliche Trick zu tun, den die Eindringlinge anscheinend nutzten, um möglichst wenig Verdacht zu erregen. Das Bundesinnenministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wollten sich nicht äußern. Nach Gesprächen mit drei Experten, die sich an verschiedenen Stellen mit dem Vorgehen der Angreifer befasst haben, lässt sich der Weg des Virus jedoch rekonstruieren.

Die schwächste Stelle im Regierungsnetz, so viel war bereits bekannt, liegt bei zwei Bildungseinrichtungen, der Hochschule des Bundes für öffentliche Verwaltung und der Bundesakademie für öffentliche Verwaltung. Deren Intranet können Studenten aus der Ferne nutzen. Die Snake-Leute griffen hier an - und zwar gezielt solche Nutzer, die an Fortbildungskursen für Mitarbeiter des Auswärtigen Amts teilnahmen. In 17 Fällen konnten sie ihnen ein spezielles Virus unterjubeln.

Dann aber kam die größere Schwierigkeit für sie. Um spionieren zu können, mussten die Snake-Leute diese Viren aus der Ferne auch steuern. Normalerweise wird ein Virus hierzu selbst aktiv. Es nimmt zum Beispiel heimlich Kontakt zu einer Webseite auf, wo seine Hintermänner bereits warten und ihm aus der Ferne Kommandos erteilen. Etwa: Beginne deine Attacke auf den Wirt, indem du uns erst einmal mitteilst, wie alle Fotodateien heißen, die auf seinem Rechner gespeichert sind. Diese Vorgehensweise ist aber riskant. Eine solche Kommunikation zwischen dem Virus und den Hintermännern kann auffallen. In einem Netz, das durch IT-Sicherheitsexperten des BSI aufmerksam geschützt wird, gibt es nicht viele Wege für Regierungscomputer, um unbeobachtet mit zwielichtigen Webseiten zu kommunizieren.

Warum dürfen über das deutsche Regierungsnetz private E-Mails geschrieben werden?

Stattdessen entschieden die Snake-Hacker, dass das Virus zunächst passiv bleiben sollte. Es sollte schlummern und abwarten, bis die Hintermänner es selbst per E-Mail kontaktieren. Das Virus hatte nur eine Aufgabe: alle Nachrichten mitzulesen, die in Outlook ankamen, dem Mail-Postfach von Microsoft. In modernen Bürorechnern gehört Outlook zu den Programmen, die beinahe ununterbrochen geöffnet sind. Das Virus prüfte also Absender um Absender - bis der Name der Lebensgefährtin des Außenamts-Mitarbeiters auftauchte. Dann wachte es auf.

Nach Recherchen der Süddeutschen Zeitung hatten sich die Hacker ein E-Mail-Konto unter genau diesem Namen angelegt. Sie nutzten die Daten der Lebensgefährtin des Außenamts-Mitarbeiters, natürlich ungefragt. Offenbar hatten sie zuvor dessen Privatleben ausspioniert. Vermutlich erhofften sich die Hacker davon, noch einen Tick unauffälliger zu sein, schließlich schreibt sich, zumindest oberflächlich betrachtet, ein Liebespaar. In dieser E-Mail steckten Kommandos. Kurz nach dem Empfang löschte das Virus die Mail wieder, auch das war ihm befohlen worden. Im Postfach selbst blitzte die Botschaft höchstens für einen kurzen Moment auf.

Nun, da patient zero gefunden ist, geht es in Sicherheitsbehörden um die Frage, wie man sich künftig besser schützt gegen solche Tricks. Ein IT-Sicherheitsexperte äußerte im Gespräch Verwunderung darüber, dass über das deutsche Regierungsnetz überhaupt private E-Mails ausgetauscht werden dürften. Ein anderer Insider fasste zusammen, warum das besorgniserregend sei: Man könne nicht ausschließen, dass noch weitere Einheiten der Snake-Gruppe unentdeckt im 50 000 bis 60 000 Rechner umspannenden Regierungsnetz zurückgeblieben seien, schlummernd. Vielleicht warten auch sie auf spezielle E-Mails, die sie aufwecken.