Das Linux-Magazin und Netzpolitik.org decken Hintergründe zum Bundestagshack im vergangenen Jahr auf. Die deuten nicht unbedingt auf hochkarätige Angreifer, sondern vielmehr auf schwere Versäumnisse hin.

Vor knapp einem Jahr wurde der Bundestag Opfer eines Hackerangriffs. Doch wurden nur wenige Details dazu bekannt, was damals wirklich vorfiel. Die beteiligten Behörden hüllten sich in Schweigen, und die Medien spekulierten. Dem Linux-Magazin und Netzpolitik.org ist nun ein Coup gelungen: Sie erhielten Einblick in zahlreiche interne Protokolle und Dokumente. Zum ersten Mal gelangt damit nun teilweise an die Öffentlichkeit, was im vergangenen Jahr im Bundestagsnetz wirklich passiert ist.
Der Einstieg ins Netz gelang der Malware wohl über die Rechner von Abgeordneten. Bestätigt ist hierbei, dass auf PCs der Linksfraktion eine entsprechende Malware gefunden wurde. Dazu hatte die Linksfraktion selbst im vergangenen Jahr bereits einige Informationen veröffentlicht.

Wie genau die Malware auf die Rechner der Abgeordneten kam, ist offenbar selbst den beteiligten Behörden nicht bekannt. Laut den Protokollen sagte das BSI der sogenannten IuK-Kommission dazu, dass hierzu keine Erkenntnisse vorliegen, man vermute aber, dass ein Link in einer E-Mail oder ein Besuch auf einer Webseite diese Schadsoftware installiert hat.

Auch wenn unklar ist, wie die Malware auf die Systeme kam, eine Vermutung erscheint plausibel: Als Reaktion auf die Angriffe will die Bundestags-IT künftig die Installation veralteter Software auf den Rechnern nicht mehr zulassen. Sprich: Bislang war es offenbar nicht ungewöhnlich, dass Software mit bekannten Sicherheitslücken auf den PCs vorhanden ist. Damit erscheint es wahrscheinlich, dass hierüber der Angriff erfolgte.
Zu viele Admin-Accounts im Active-Directory-System

Anschließend nutzten die Angreifer offenbar das Tool Mimikatz, um sich Zugangsdaten zu Accounts für das Active-Directory-System des Bundestages zu verschaffen. Und hier dürfte wohl eines der größten Probleme bestanden haben. Laut dem Linux-Magazin besaß eine unüberschaubare Zahl von Personen Administratorrechte für die Active-Directory-Server. Damit hatten sie Vollzugriff auf das Netzwerk.

Sollte diese Darstellung stimmen, dann ist vor allem eines klar: Die Angreifer mussten nicht über außergewöhnliche Fähigkeiten verfügen. Sicherheitslücken in veralteter Software und der Einsatz eines für jeden öffentlich verfügbaren Tools wie Mimikatz widersprechen vielen früheren Darstellungen, in denen die Angreifer als extrem professionell bezeichnet wurden und die einen Geheimdiensthintergrund fast für sicher hielten. Vielmehr scheint das Bundestagsnetz schlicht extrem schlecht geschützt gewesen zu sein.

Die Täter sind weiterhin unbekannt

Nicht beantwortet wird durch die Recherchen die Frage, wer eigentlich für den Angriff verantwortlich ist. In den Protokollen findet sich, wie schon früher bekannt, ein Hinweis auf die russische Gruppe APT 28, doch Beweise dafür gibt es scheinbar keine.

Die Einschätzung, dass das Vorgehen der Täter nicht unbedingt auf einen professionellen Hintergrund hindeutet, teilt offenbar auch das BSI. In einem Abschlussbericht heißt es: "Bei der Ausbreitung im internen Netz setzten die Angreifer auf gängige Methoden und öffentlich verfügbare Tools, wie sie auch von weniger professionellen Tätern verwendet werden."
Trotz dieser Darstellung geht die Bundesanwaltschaft offenbar von einem Geheimdiensthintergrund aus. Der Generalbundesanwalt bestätigte Netzpolitik.org, dass in diese Richtung Ermittlungen laufen. Die Gründe dafür seien Erkenntnisse des Bundesamtes für Verfassungsschutz. Wie der Verfassungsschutz zu dieser Einschätzung kommt, das bleibt nach wie vor unklar.

Zumindest angesichts der öffentlich bekannten Informationen erscheint eine möglicherweise ausgesprochen triviale Erklärung denkbar: Handelte es sich vielleicht überhaupt nicht um einen gezielten Angriff auf das Parlament, sondern lediglich um gewöhnliche Kriminelle, deren Malware eher zufällig den Rechner eines Abgeordneten befiel?
Linux-Magazin beklagt Schwierigkeiten bei Recherche

Neben den nun aufgedeckten Details stellt sich die Frage, warum sämtliche Verantwortlichen mit dem Vorfall derart intransparent umgehen. Das Linux-Magazin berichtet, es sei mit einem "Schweigekartell" konfrontiert gewesen. Der Autor des Textes Markus Feilner sei indirekt sogar gewarnt worden, dass er selbst das Ziel von Ermittlungen werden könne.

Laut dem Linux-Magazin geht die Intransparenz sogar so weit, dass ein streng geheimer, detaillierter Bericht über den Vorfall existiert, zu dem aber nur Geheimdienste Zugriff hatten. Dieser Bericht sei aber zwischenzeitlich wieder gelöscht worden. Für diese gewagte Behauptung werden allerdings nur anonyme Quellen herangeführt.

Selbst die Abgeordneten der IuK-Kommission, das wird aus den Dokumenten deutlich, fühlten sich oft schlecht informiert. Zu Beginn begründete das BSI dies damit, dass es den Tätern keine Hinweise geben wollte. Das war zu dem Zeitpunkt, als die Angriffe noch liefen, möglicherweise nachvollziehbar, doch dass die entsprechenden Behörden bis heute praktisch nichts preisgeben, erscheint schwer verständlich.

Zwar sind einige Fragen beantwortet worden, von einer vollständigen Aufklärung ist der Fall jedoch weit entfernt. Sicher scheint im Moment nur, dass die beteiligten Behörden zumindest an einer öffentlichen Aufklärung kein Interesse haben.

Das Linux-Magazin wird seine Recherchen in der Ausgabe 4/2016 veröffentlichen, die am 10. März erscheint.