Von Georg Mascolo, Ronen Steinke und Hakan Tanriverdi

Eigentlich, so erschien es einer Gruppe hochrangiger Computerexperten und Spitzenbeamten der deutschen Spionageabwehr, lief alles wie im Lehrbuch: Der Angreifer war entdeckt, jeder seiner Schritte im Computernetzwerk des Auswärtigen Amtes wurde beobachtet. Stück für Stück, so die Hoffnung, würde man nun herausfinden können, was die Unbekannten über die deutsche Diplomatie in Erfahrung bringen wollten. Dann, es war Freitag, der 23. Februar, kam plötzlich Nervosität auf.

Bis dahin hatte sich der Angreifer darauf beschränkt, zweit- und drittklassige Dokumente abzugreifen. Nach Informationen von Süddeutscher Zeitung, NDR und WDR aus Sicherheitskreisen waren es ein paar Vorträge über Russland, die aber schon öffentlich gehalten worden waren. Ein Bericht zu einer Anfrage der Linken im Bundestag über die "deutsch-belarussische Zusammenarbeit und die Zivilgesellschaft" - bestimmt zur Veröffentlichung auf der Webseite des Bundestages. Ein Vermerk über "ostpolitische Konsultationen" - an denen auch andere Länder beteiligt waren; und ein Papier zu "Prioritäten für die Finanzierung verschiedener EU-Politiken", ausdrücklich unverbindlich. Ramsch für Agenten.

Der Plan, die Hacker zu beobachten, scheiterte

An diesem Freitag aber interessierte sich der Angreifer für das Aktenverzeichnis des Referats 205 im Auswärtigen Amt, zuständig für Russland, die GUS-Staaten und die EU-Beziehungen zu Osteuropa. Bis dahin hatte die geheime Taskforce still zugesehen, wie der Eindringling lautlos umherschlich, als beschatte man einen Einbrecher bei seinem Streifzug durchs Haus. Nun griff er zum ersten Mal auf Tafelsilber zu. Die geheime Taskforce entschied, den Rechner vom Netz zu nehmen und die Beobachtung zu beenden. Am 7. oder 8. März sollten elektronisch alle Zugänge für den digitalen Einbrecher versperrt werden. Bis dahin, so der Plan, wollte man ihn weiter beobachten.

Daraus wurde nichts. Eine Meldung der Nachrichtenagentur dpa machte die heimliche Beobachtung am 28. Februar öffentlich. Kanzleramt und Innenministerium waren empört, das Leak habe "zu einer erheblichen Beeinträchtigung der operativen Arbeit des Falls geführt", urteilt das Bundesamt für Sicherheit in der Informationstechnik (BSI). In aller Eile wurden die bereits vorbereiteten "Notfallpläne" aktiviert, um den Angreifer auszusperren.

Seither läuft die digitale und politische Aufarbeitung des Falls. Beamte in den Sicherheitsbehörden, aber auch externe Kontrolleure haben die Vorgänge in den vergangenen Tagen genau rekonstruiert. Zu den unangenehmen Erkenntnissen zählt, dass die deutschen Behörden den Eindringling nicht selbst entdeckten, sondern erst am 19. Dezember 2017 durch den Hinweis eines ausländischen Geheimdienstes darauf aufmerksam gemacht wurden. Den Hackern war es gelungen, ins gesicherte deutsche Regierungsnetz einzudringen, ohne einen Alarm auszulösen. So wirft der Fall die Frage auf, ob in der Vergangenheit genug getan worden ist, um das sensible Netz zu schützen - und warum die Alarmanlage derart versagt hat?

Der fremde Geheimdienst, der den Deutschen so freundlich half, hatte routinemäßig in großen Datenströmen nach Mustern gesucht, verdachtsunabhängig. Dabei hatte der Dienst eine russische Hackergruppe beobachtet, die im Sprachgebrauch der deutschen sowie anderer Regierungen "Uroburos" genannt wird. Wie das Fabelwesen aus der griechischen Mythologie, eine Schlange, die in ihren eigenen Schwanz beißt und einen geschlossenen Kreis bildet. Das Wort steht im Code dieser Hackergruppe. Andere Beobachter haben ihr den Spitznamen "Snake" (Schlange) verpasst. Sie steht im Verdacht für den russischen Staat zu arbeiten.

Das Bundesamt für Verfassungsschutz, zuständig für Spionageabwehr, darf das Internet nicht in dieser Weise verdachtsunabhängig nach Mustern scannen. Der Hinweis aus dem Ausland, ein "indicator of compromise", wie es in der Fachsprache heißt, war anfangs recht unspezifisch: Der fremde Nachrichtendienst teilte den Deutschen mit, dass Uroburos mit IP-Adressen aus dem deutschen Regierungsnetz hantierte, man solle sich gewisse E-Mail-Adressen anschauen, dort tue sich etwas. Die ersten Mailadressen waren zwar falsch, der Hinweis aber richtig. So dauerte es, bis die Deutschen dahinterkamen, auf welchem Weg sich die Eindringlinge ins Auswärtige Amt mit seinen sensiblen Daten vorgearbeitet hatten.

Die Hacker nutzten das Intranet für ihren Angriff

Dieses Regierungsnetz, das Bundesministerien und Behörden auf hohem Sicherheitsniveau verbindet, hat seine schwächste Stelle an zwei Bildungseinrichtungen, der Hochschule des Bundes für öffentliche Verwaltung und der Bundesakademie für öffentliche Verwaltung. Deren Intranet können Studenten aus der Ferne nutzen, Uroburos griff dort an - und zwar gezielt solche Nutzer, die an Fortbildungskursen für Mitarbeiter des Auswärtigen Amts teilnahmen. Nach Kursende schlich Uroburos ihnen ins Ministerium hinterher.

Der Schaden, zumindest solange der Eindringling beobachtet wurde, gilt dort als sehr überschaubar. Gleich am 20. Dezember, also am Tag nach dem Hinweis auf den Uroburos-Hack, sei zum Schutz des Auswärtigen Amts eine Spezialeinheit des BSI entsandt worden, zeitweilig waren dort 20 Experten im Einsatz. Aber erst Mitte Januar hätten sie erste Aktivitäten der Hacker im Ministerium beobachten können, heißt es aus Sicherheitskreisen. Da versuchten die Angreifer offenbar, weitere Rechner zu infizieren.

Das Auswärtige Amt hat die abgegriffenen Dokumente als "wenig sensibel" bezeichnet. Allerdings: Die Angreifer hätten es offenbar noch gar nicht auf einen Diebstahl abgesehen, heißt es. Zur üblichen Vorgehensweise von Uroburos gehöre es vielmehr, nach dem Eindringen in ein System erst einmal ruhig zu bleiben, anders als die hitzköpfigere Gruppe mit dem Spitznamen "Fancy Bear", die für den Bundestagshack 2015 verantwortlich gemacht wird und dort rasch mit 16 Gigabyte Beute davonzog.

Den Uroburos-Hackern gehe es vielmehr stets darum, sich tief in der Infrastruktur eines Netzes einzunisten. Die Gruppe geht dieses Ziel strategisch an, sie weiß, dass sich Warten lohnt. Sie versucht, an Administratorenrechte zu kommen, durch die sie deutlich mehr Privilegien im Netz bekommen und sich freier bewegen könnte. Kleine Diebstähle lenken da nur ab, sie erhöhen das Risiko, entdeckt zu werden, während man sich langsam vortastet.

Ihr Ziel hatten die Hacker offenbar noch nicht erreicht. Die Hacker hätten den Zaun schon überwunden, so fasst es ein Insider bildhaft zusammen - aber noch nicht die Kontrolle über den Zaun übernommen. Man könne jedoch nicht ausschließen, dass weitere Einheiten von Uroburos im Regierungsnetz zurückgeblieben seien, lautlos schlummernd, abwartend.