Das Auswärtige Amt ist von dem Vorfall betroffen. Innenminister de Maizière zufolge handelt es sich um einen anspruchsvollen und von langer Hand geplanten Angriff.

Von Jannis Brühl und Hakan Tanriverdi

Die Bundesregierung wurde gehackt. Seit Dezember untersucht sie den Angriff auf das Regierungsnetzwerk. Der Nachrichtenagentur dpa zufolge sollen Daten abgeflossen sein. Was bislang bekannt ist:

Wer wurde angegriffen?

Nach bisherigem Stand ist das Auswärtige Amt von dem Hacker-Angriff betroffen. Ob es den Angreifern gelungen ist, in weitere Ministerien einzudringen, ist derzeit unklar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist dafür zuständig, Regierungsnetze vor Hackerangriffen zu schützen.

Informationen der SZ zufolge entsandte das Amt eine technische Spezialeinheit. Sie heißt Mobile Incident Response Team (MIRT) und kümmert sich um Vor-Ort-Analysen. Dazu gehört es, den Internetverkehr zu durchforsten, der von den betroffenen Netzwerken ausging. Ebenfalls untersucht wird, ob es den Angreifern gelungen ist, technische Hintertüren in Netzwerken zu platzieren. Nur wenn diese entfernt werden, ist es möglich, die Hacker permanent aus den Netzen zu werfen. Ansonsten können sie über diese Hintertüren das Netzwerk erneut betreten.

Innenminister Thomas de Maizière zufolge handelt es sich um eine anspruchsvolle und von langer Hand geplante Aktion. "Der hoch professionelle Angreifer wurde dabei - kontrolliert von den Sicherheitsbehörden - beobachtet, um weitere Erkenntnisse über den Angriffsmodus und Zielsetzung des Angreifers zu erhalten", sagte er am Donnerstag in Berlin. Die Maßnahmen seien noch nicht abgeschlossen.

Der Angriff lief am Donnerstag noch. Das teilte das Geheimdienst-Kontrollgremium des Bundestages nach einer Unterrichtung durch Sicherheitsbehörden und Regierungsvertreter mit. Der Abgeordnete Armin Schuster (CDU) sagte nach einer etwa zweistündigen Sondersitzung der Runde: "Deswegen wären öffentliche Diskussionen über Details schlicht eine Warnung an die Angreifer, die wir nicht geben wollen." Für eine Bewertung des Schadens sei es noch zu früh, sagte Schuster.

Wie kamen die Hacker in das Netzwerk?

Zu diesem Zeitpunkt ist das unklar. Nach Angaben der Nachrichtenagentur dpa soll das Datennetz der obersten Bundesverwaltung - der Informationsverbund Berlin-Bonn (IVBB) - infiltriert worden sein.

Was ist das IVBB?

Kurz nachdem der Bundestag 2015 gehackt worden war, empfahl Thomas de Maizière dem Parlament, es doch zu machen wie die Regierung. Am 12. Juni 2015 sagte der Bundesinnenminister im Plenum: "Der Schutzschild, den die Bundesregierung und die Bundesverwaltung um sich gezogen haben, funktioniert, und er funktioniert ziemlich gut." Er sprach vom IVBB, dem speziell gesicherten Netzwerk der Exekutive. An diesem Mittwoch hat sich gezeigt: Auch der IVBB ist nicht sicher vor einem Hacker-Angriff.

Das Netz für Kommunikation per E-Mail und Telefon besteht seit 1999 und sollte vor allem den Datenverkehr zwischen der alten Hauptstadt Bonn, wo anfangs noch mehr Behörden saßen, und Berlin sichern. Am IVBB hängen Bundesrat, Kanzleramt und Bundesministerien, Bundesrechnungshof und Sicherheitsbehörden in Berlin und Bonn und in Teilen der Bundestag.

Das Netz wird von der Telekom betrieben und läuft auf Spezialhardware, die ausschließlich für den IVBB konstruiert worden ist. Das geht aus Protokollen der für IT zuständigen IuK-Kommission des Bundestages hervor, die netzpolitik.org 2016 veröffentlicht hat. Die Sicherheitsmaßnahmen gingen mit Einschränkungen für die Nutzer in den Behörden einher, erklärte Dirk Häger vom BSI damals: "Schon beim Verdacht auf eine IT-Sicherheitsgefährdung werden nichtdienstrelevante Angebote geblockt."

Die IT der Ministerien und des Kanzleramtes selbst ist noch einmal extra gesichert, um besonders sensible Informationen zu schützen. Jedes Ministerium verfügt dem BSI zufolge über eine eigene "IT-Sicherheitszone", wo Software auf Schadprogramme geprüft werde. Wer auf Datenbestände zugreifen will, muss sich demnach per Karte oder Stick authentifizieren. Die Verbindungen zwischen IVBB und den Hausnetzen der einzelnen Behörden und Ministerien ist dem BSI zufolge mit einem so genannten Virtual Private Network geschützt, auch Anrufe innerhalb des Behördenapparates können verschlüsselt werden.

Das IVBB spielte eine wichtige Rolle, nachdem 2015 der Bundestags-Hack bekannt geworden war. Während Fachleute das Parlamentsnetz Parlakom von der Software der Angreifer säuberten und es dafür zeitweise abschalteten, sprang die Bundesregierung ein. Der Datenverkehr von Abgeordneten und ihren Mitarbeitern wurde über IVBB umgeleitet. Der Vorteil ist unter anderem, dass auf ihm 100 000 Seiten gesperrt waren, die seine Benutzer gefährlicher Software aussetzen könnten. In Parlakom waren es nur 5000.

Angeschlossen an das IVBB ist IVBV, ein Netzwerk speziell für die Verwaltung der Bundesbehörden. Dieses wurde bis zum NSA-Skandal vom US-Anbieter Verizon betrieben. Dann kündigte die Bundesregierung den Vertrag und übertrug auch das IVBV der Telekom.

Wer steckt hinter dem Angriff?

Das ist unklar. Genannt wird eine Gruppe, die nach Ansicht von westlichen Geheimdiensten und einem großen Teil der IT-Sicherheitsforscher mit dem russischen Staat in Verbindung gebracht wird. Diese Gruppe wird wahlweise APT28, Fancy Bear, Sofacy oder Tsar Team genannt. Die Verursacher eines Hacker-Angriffs konkret zu benennen, gilt als schwierig. Es handelt sich außerdem nicht um gerichtsfeste Beweise, sondern um eine Ansammlung von Indizien.

Meist werden technische Parameter - zum Beispiel die Schadsoftware und die Infrastruktur, über die der Angriff lief - durch nachrichtendienstliche Mittel ergänzt. Sowohl BSI als auch Bundesamt für Verfassungsschutz (BfV) und Bundesnachrichtendienst (BND) sind an der Aufklärung des Vorfalls beteiligt. (Mehr zur Attribution von Hacker-Angriffen lesen Sie in diesem Interview.)

Wie reagieren Politiker?

Der CDU-Bundestagsabgeordnete Patrick Sensburg, der den NSA-Untersuchungsausschuss leitete, sprach von einem "markanten Vorfall". Aufgrund des aktuellen Angriffs auf Netze des Bundes müsse überprüft werden, ob der Hackerangriff wirklich von APT28 kam.

Auch die Grünen fordern, dass der Vorgang schnell aufgeklärt werden müsse. Konstantin von Notz, Vizechef der Fraktion, sagte im Gespräch mit der "Tagesschau", dass geklärt werden müsse, "welche Daten konkret abgeflossen sind und ob im Zuge des Angriffs eine Sicherheitslücke verwendet wurde, die deutschen Behörden bekannt war."

Andrej Hunko von der Linken erklärte: "Wenn es den Angriff auf AA und BMVg gab, dann wäre das Netz erbärmlich schwach gesichert." Er mahnte zur Vorsicht, was die Zuordnung des Angriffes zu einer bestimmten Gruppe anging. Hunko hat sich immer wieder skeptisch über die angebliche russische Verantwortung für den Bundestags-Hack 2015 geäußert.

Mehrere Abgeordnete äußerten ihren Ärger, dass sie aus den Medien von dem Angriff erfahren hatten statt über offizielle Kanäle. Manuel Höferlin (FDP), Mitglied im Ausschuss Digitale Agenda, nannte das eine "Unverschämtheit": "Wir erwarten, dass die Vertreter des Bundesinnenministeriums, des Auswärtiges Amtes, des Verteidigungsministeriums und des Bundesamtes für Sicherheit in der Informationstechnik Rede und Antwort stehen." Auch Anke Domscheit-Berg, netzpolitische Sprecherin der Linken und ebenfalls im Ausschuss Digitale Agenda, kritisierte die Informationspolitik der Regierung: Dass man von dem Angriff selbst als fachlich zuständige Abgeordnete in der Presse lesen müsse, "das ist schon wirklich skandalös", sagte sie im ZDF-"Morgenmagazin".

Was passiert jetzt?

An diesem Donnerstag wird sich das Parlament in zwei Sitzungen mit dem Vorfall befassen. Einmal wird das Parlamentarische Kontrollgremium unterrichtet, wie es aus Parlamentskreisen heißt, und auch der Ausschuss Digitale Agenda wird sich zu einer Sondersitzung treffen. BSI-Chef Arne Schönbohm wird Bericht erstatten. Im Anschluss daran wird man wohl zwei Fragen beantworten können: Erstens, welche Ministerien konkret betroffen waren. Zweitens, ob es den Angreifern gelungen ist, Daten aus den Netzen zu schleusen, und falls ja, welche.