Was wurde angegriffen?
Das Regierungsnetz IVBB, über das die Bundesbehörden miteinander kommunizieren – also eine Art interne Daten-Autobahn. Patrick Sensburg, der für die CDU im Parlamentarischen Kontrollgremium sitzt, vergleicht das System mit einer Zwiebel.
Auf der ersten äußersten Ebene findet die ganz alltägliche Kommunikation statt. Je sensibler jedoch die Daten werden, desto mehr Hürden muss man überwinden. Alles, was als streng geheim eingestuft wird, liegt Sensburg zufolge nur noch auf so genannten „Stand-alone-Rechnern“, die keinen Zugang nach draußen haben.
Um hier weiterzukommen, bräuchten Hacker Hilfe von einem „Innentäter“, also etwa einem Mitarbeiter der angegriffenen Behörde. Noch ist nicht bekannt, wie tief die Hacker in das System eingedrungen sind. Dem Bundesinnenministerium zufolge hat man den Angriff isoliert und unter Kontrolle. Das bedeutet, dass sich die Hacker nicht mehr unbeobachtet im Regierungsnetz bewegen können.
Wie schützt sich die Bundesregierung?
Für den Schutz der Netze ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) zuständig. Diese nationale Cyber-Sicherheitsbehörde hat zum Beispiel für die Übergänge des internen Netzes ins Internet eigens entwickelte Firewalls installiert.
Bisher ging das BSI davon aus, dass es ein „richtungsweisendes“ Maß an Sicherheit erreicht hat. Das BSI stellt angesichts der zunehmenden Anforderungen immer mehr Fachleute ein, allein im vergangenen Jahr waren 180 neue Stellen zu besetzen. Auch die Bundeswehr rüstet den Bereich Cyber auf. Der Öffentliche Dienst ist allerdings für viele IT-Experten weniger attraktiv als ein Job in der freien Wirtschaft. Die Stiftung Neue Verantwortung führt das auf mehrere Gründe zurück: Geringere Bezahlung, unflexible Hierarchien, wenig Chancen für Seiteneinsteiger ohne formale Studienabschlüsse.
Wie viele Angriffe muss das System abwehren?
Pro Tag bekommt es das System mit geschätzt tausend Angriffen zu tun. Dabei gibt es eine große Bandbreite von einer einfachen E-Mail mit einem Link bis hin zu einer so genannten „Targeted Attack“, bei der ganz gezielt Passwörter ausgespäht werden oder nach Dokumenten gefahndet wird. Nach Einschätzung des CDU-Politikers Patrick Sensburg findet das aber sehr selten statt, weil es technisch aufwendig und teuer sei. Im nun bekannt gewordenen Fall scheint es sich um eine solche komplexe Attacke zu handeln.
Wer ist für den Hackerangriff verantwortlich?
Als die Attacke bekannt wurde, hieß es sehr schnell, dass ein russisches Hackerkollektiv im Verdacht stehe. Bei Cyber-Crime gibt es jedoch in den seltensten Fällen eindeutige Beweise dafür, wer für den Angriff verantwortlich ist. Dafür bräuchte man einen Zeugen, zum Beispiel einen Innentäter, der aussagt. Oder man kann eindeutig nachweisen, wohin die Daten abgeflossen sind. Bei komplexen Attacken wie im aktuellen Fall sind Digitalforensiker auf Indizien angewiesen.
Man kann die Programmierart analysieren, IP-Adressen, Spracheinstellungen, die eingesetzten Server. Man kann nachvollziehen, zu welchen Zeiten die Hacker arbeiten und daraus Rückschlüsse auf die Zeitzone ziehen, in der sie leben. Auch die Angriffsziele sind ein Hinweis, also stellt man sich die Frage: Wer hätte ein Interesse an diesem oder jenen Dokument?
Dem CDU-Politiker Patrick Sensburg zufolge kommt man am Ende zu einer „Plausibilität“. Allerdings seien in diesem Bereich viele staatliche sowie kriminelle Akteure unterwegs, die täuschen wollen. Sprich: Die gezielt falsche Fährten legen, damit die Schuld für die Attacke bei anderen gesucht wird.
Wie kann die Regierung reagieren?
Zunächst einmal müssen die Fachleute die Zugangswege der Hacker analysieren und diese Lücken in der Software schließen. Es geht auch um die Frage, welche Daten abgesaugt wurden. Schwierig wird es auf der politischen Ebene. Ein Hacker-Angriff aus dem Ausland ist eine Verletzung der Souveränität Deutschlands. Ließe sich der Angriff eindeutig einem Land zuordnen, könnte man sich wehren: Etwa indem man Diplomaten dieses Landes ausweist.
Das hatte der damalige US-Präsident Barack Obama getan - nach dem den Russen zugeordneten Angriff auf die Demokraten. Auch Wirtschaftssanktionen sind möglich, oder die Strategie „name and shame“ – so geschehen nach dem Angriff auf den Bundestag im Jahr 2015, als der Chef des Verfassungsschutzes, Hans-Georg Maaßen, Russland verantwortlich gemacht hatte.