Trojaner via Link

Bundestag-Hack: System muss neu aufgesetzt werden

(Bild: APA/EPA/MAURIZIO¦GAMBARINI)

Nach der Cyberattacke auf das Computernetzwerk des Deutschen Bundestags muss dieses umfangreich erneuert werden. Neben der laufenden Systembereinigung müsse rasch "mindestens in Teilen mit einer Neuaufsetzung des IT-Systems" begonnen werden, heißt es in einem Schreiben von Parlamentspräsident Norbert Lammert am Donnerstag. Unterdessen werden immer weitere Details über den Vorfall bekannt.

Demnach soll das Netzwerk mithilfe von E-Mails angegriffen und mit Schadsoftware infiziert worden sein. Wie die "Welt" am Freitag unter Berufung auf Ermittler berichtete, gebe es konkrete Hinweise, wonach ein Link per E-Mail an mindestens zwei Computer im Bundestag verschickt worden sei. Der Link führte demnach zu einer Website, die mit Schadsoftware präpariert worden war.

Nach bisherigen Erkenntnissen des Bundesamtes für die Sicherheit in der Informationstechnik handle es sich bei der Schadsoftware um einen Trojaner, der in ähnlicher Form bereits seit Monaten bei Hackerattacken in mehreren Ländern zum Einsatz kam. So soll die Schadsoftware unter anderem bereits beim Cyberangriff auf den französischen TV-Sender TV5 Monde im April eingesetzt worden sein.

Damals hatten sich radikale Islamisten im Namen des "CyberKalifats" zu der Attacke bekannt. Sicherheitsexperten gehen jedoch davon aus, dass der Cyberangriff auf den Bundestag von Russland aus geführt wurde. Medienberichten zufolge soll es Indizien dafür geben, dass ein Nachrichtendienst aus Osteuropa dahintersteckt, etwa der russische Auslandsnachrichtendienst SWR.

"Administrationsrechte für die gesamte Infrastruktur"
Wie aus einem Sitzungsprotokoll der Bundestagskommission für Informations- und Kommunikationstechniken hervorgeht, das der "Berliner Zeitung" vorliegt, soll es den Angreifern gelungen sein, "Administrationsrechte für die gesamte Infrastruktur zu erhalten". Daher sei "von einer breiten Kompromittierung der Netzinfrastruktur mit höchstmöglichen Rechten auszugehen", hieß es dem Bericht zufolge weiter. Schutzmaßnahmen griffen "nur noch eingeschränkt".

Die Untersuchungen hätten zudem erbracht, "dass insbesondere der zentrale Verzeichnisdienst übernommen worden" sei, zitierte die Zeitung aus dem Protokoll. Somit habe der Angreifer prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen, Abgeordneten und Bundestagsmitarbeiter, die von diesem Verzeichnisdienst erfasst seien. Habe sich der Angreifer im Netz schließlich festgesetzt, könne er sich offen bewegen, "weil er dann weiß, dass er höchstwahrscheinlich nicht entdeckt werden kann".