Von Reiko Pinkert und Hakan Tanriverdi, Berlin

Der Hackerangriff auf die Netzwerke des Bundesregierung ist Teil einer internationalen Spähaktion. Betroffen sind nach Informationen von NDR, WDR und SZ Staaten in Südamerika, im Baltikum, in Skandinavien und der ehemaligen Sowjetunion. Um welche Länder es sich konkret handelt, ist derzeit unklar, mit einer Ausnahme: Die Ukraine soll ebenfalls betroffen sein.

Den Hackern soll es gelungen sein, insgesamt 17 Rechner in Deutschland zu infizieren. Eine geringe Anzahl an Dokumenten sei kopiert worden, einige davon mit Bezug zu Russland. Einer der Rechner gehörte einem Mitarbeiter des Verteidigungsministeriums, der zu dieser Zeit im Auswärtigen Amt tätig war. Ursprünglich hieß es, dass auch das Verteidigungsministerium von dem Angriff betroffen war. Das ist anscheinend doch nicht der Fall.

Bundesnachrichtendienst (BND) und Bundesamt für Verfassungsschutz (BfV) bekamen demnach am 19. Dezember einen ersten Anfangsverdacht von einem ausländischen Nachrichtendienst mitgeteilt, der an das Cyberabwehrzentrum weitergeleitet wurde. Das Bundeskriminalamt (BKA) wurde offenbar nicht informiert.

Trojaner inaktiv bis Mitte Januar

Der Angriff auf das deutsche Regierungsnetz begann bereits Ende 2016 über die Infrastruktur der Hochschule des Bundes. Die Hacker schleusten dort einen Trojaner ein. Dieser blieb bis zum 15. Januar inaktiv*. Erst dann gelang es den Hackern, auch in das Netz des Auswärtigen Amtes einzudringen, im März 2017. Ausgangspunkt war offenbar das Referat für Liegenschaften des Amtes.

Wohin die Daten abflossen, sei den Behörden bekannt. Bundesamt für Sicherheit in der Informationstechnik (BSI) ließ die Angreifer zunächst gewähren, um zu verstehen, welche Ziele die Hackergruppe verfolgte.

Hinter dem Angriff soll, so heißt es aus Sicherheitskreisen, eine Gruppe stecken, die "Turla" genannt wird. Dabei handelt es sich nach Ansicht von IT-Sicherheitsexperten um eine der technisch versiertesten Hackergruppen, die im Auftrag der russischen Regierung agieren.

*Artikel wurde aktualisiert, um das Datum zu korrigieren, an dem der Trojaner aktiv wurde und um klarzustellen, dass es sich um 17 betroffene Rechner in Deutschland handelt.