Fast ein Jahr nach dem Hackerangriff auf die Computersysteme des Bundestages gibt es endlich neue Erkenntnisse zum Tathergang. Netzpolitik.org hat nun interne Dokumente der IuK-Kommission veröffentlicht, jenem Gremium, das beim Bundestag für die IT-Systeme zuständig ist. Danach wurde offenbar über eine ziemlich gewöhnliche Malware ein einzelner Abgeordneten-Rechner gekapert. Danach haben sich die Angreifer Admin-Rechte in der Domäne besorgt und konnten dann frei im internen Netz des Parlamentes schalten und walten. Die Frage, ob der Angriff durch einen Geheimdienst, etwa aus Russland, ausgeführt wurde, bleibt nach wie vor offen.

Gängiger Angriff: Mimikatz und Pass-the-Hash

Netzpolitik.org hat die Dokumente im Rahmen einer gemeinsamen Recherche mit dem Linux-Magazin veröffentlicht. Die Unterlagen der IuK-Kommission und des Bundesamtes für Sicherheit in der Informationstechnik (BSI), welches an der Aufklärung des Angriffs beteiligt war, bestätigen viel, was schon zuvor an die Öffentlichkeit gesickert war. Danach soll zuerst ein Abgeordneten-Rechner der Linkspartei befallen worden sein – entweder über eine Mail mit bösem Anhang oder über einen Drive-by-Download.

Dann haben sich die Angreifer mit dem Open-Source-Tool mimikatz Credentials von fünf der sechs Domänenadministratoren-Konten der Bundestagsverwaltung besorgt. Alles in allem sind die Hacker dabei ziemlich genau so vorgegangen, wie es der Artikel "Hash mich, ich bin der Admin" im Rahmen des Titel-Themas "Die Waffen der Hacker" der c't 18/2015 beschrieben hat. Alles in allem also ein recht gewöhnlicher Angriff, wie auch das BSI konstatiert: "Bei der Ausbreitung im internen Netz setzten die Angreifer auf gängige Methoden und öffentlich verfügbare Tools, wie sie auch von weniger professionellen Tätern verwendet werden."

Steck Russland hinter dem Bundestags-Hack?

Das Bundesamt für Verfassungsschutz scheint allerdings über andere Informationen zu verfügen. Laut Bundesanwaltschaft laufen seit dem 15. Januar Ermittlungen gegen Unbekannt, da der Verfassungsschutz Hinweise auf einen "geheimdienstlich gesteuerten Angriff" habe. Dass hinter dem Angriff die sogenannte APT28- oder Sofacy-Gruppe aus Russland steckt, steht im Raum seit Sicherheitsforscher Claudio "Nex" Guarnieri im Anschluss an den Angriff Server der Linkspartei untersucht hat. Im eigenen Abschlussbericht will sich das BSI allerdings nicht auf darauf einlassen, den Angriff zu verorten.

Monatelange Ermittlungen, wenig Transparenz

Eins wird aus den Dokumenten allerdings deutlich: Es verging fast ein Monat zwischen dem ersten Verdachtsmoment der Bundestags-Admins am 13. April 2015 und der Warnung des Verfassungsschutzes an das Parlament am 12. Mai. Der Inlandsgeheimdienst hatte, wie jetzt zum ersten Mal bekannt wurde, wohl einen Hinweis erhalten, der von einer englischen Firma ausging. Die Engländer hatten sich gewundert, warum auf ihren Servern deutsche Dokumente lagerten. Bei genauem Hinsehen entpuppten diese sich wohl als Daten aus dem Bundestagsnetz.

Am 20. August wurde dann schließlich das Abgeordneten-Netz des Parlamentes heruntergefahren. Am 24. August nahm das Netz dann nach Erneuerungen der Infrastruktur wieder seine Arbeit auf – fast fünf Monate nach ersten Hinweisen auf den Angriff. Laut den Protokollen der Sitzungen der IuK-Kommission fühlen sich viele Abgeordnete nach wie vor schlecht von den an der Aufklärung beteiligten Behörden informiert. Viele Informationen habe man erst aus der Presse erhalten. Ex-BSI-Präsident Hange hingegen beschwert sich in den Dokumenten, die Presse sei zu früh informiert worden und habe die Täter frühzeitig gewarnt. (fab)