Hochprofessionelle Hacker: Das Datennetz der deutschen Regierung galt bisher als sicher. Seit den Enthüllungen vom Mittwoch weiss man indes, dass sich hochprofessionelle Hacker Zugang zum Netz geschaffen haben. Es heisst, dass die Angriffe rund ein Jahr lang gedauert haben. Im letzten Dezember sind Sicherheitsspezialisten gemäss Angaben Nachrichtenagentur dpa den Angreifern auf die Schliche gekommen. «Sie liessen die Hacker aber bis Mittwoch gewähren», sagt SRF-Digitalredaktor Peter Buchmann. Dadurch sollten Informationen über Herkunft und Ziele der Angreifer in Erfahrung gebracht werden.
Peter Buchmann
SRF-Digitalredaktor
Handschrift von «Snake»: Anfänglich wurde die russische Hackergruppe «APT 28» hinter dem Angriff vermutet – eine Organisation, die mit russischen Regierungsstellen in Verbindung stehen soll. Gemäss dpa-Informationen soll allerdings eine unter dem Namen «Snake» (deutsch: Schlange) bekannte russische Gruppe hinter der Attacke stecken. Diesen Cyber-Spionen werden von Computerexperten auch Verbindungen zu russischen Geheimdiensten nachgesagt. Die Gruppe – auch unter dem Namen «Turla» oder «Uruburos» operierend – zielt gemäss einer Analyse der Antivirus-Spezialisten Kaspersky weltweit auf Regierungsstellen sowie Ziele in Wirtschaft und Forschung. Im deutschen Verfassungsschutzbericht für 2016 heisst es, dass «Snake» seit 2005 mit einer «sehr komplexen und qualitativ hochwertigen Schadsoftware» aktiv sei.
Angriff (fast) ohne Spuren: Unweigerlich stellt sich die Frage, wie es möglich ist, dass der Angriff so lange unentdeckt geblieben ist. «Die Angreifer hinterlassen praktisch keine Spuren», erklärt Buchmann. Die Spionagesoftware liege im Arbeitsspeicher, und nicht auf der Festplatte. Dies erschwere es, den Angriff zu entdecken. «Zudem stehlen sie nur wenige Daten auf einmal, dafür über einen sehr langen Zeitraum.» So fallen die Hacker nicht auf.
Unbekannte Beute: Die Angreifer sollen es aufs deutsche Aussen- und Verteidigungsministerium abgesehen und dort gezielt nach Informationen gesucht haben. Welche Daten sie gestohlen haben, ist indes nicht bekannt. «Das ist typisch für diese Art von Angriffen, weil sie eben wenig Spuren hinterlassen», sagt Buchmann. Offenbar häufen sich solche Angriffe, Deutschland ist möglicherweise kein Einzelfall.
