Vieles wurde gesagt über den Angriff auf die IT des Bundestags. Das meiste davon ist widersprüchlich, einiges ist falsch. Daran ändert auch eine neue Analyse nichts.
Besucher in der Glaskuppel des Bundestags in Berlin | © Rainer Jensen/dpa
Bis zu 20.000 verseuchte Computer sind die Folge des Angriffs auf die IT des Bundestags! Oder doch nur 15? Die Hardware im Bundestag muss ausgetauscht werden! Nein, muss sie nicht. Die Attacke hat vor einem halben Jahr begonnen! Eher vor ein paar Wochen, Ende April. Die Russen stecken dahinter! Das kann kein Mensch beweisen.
Es geht vieles durcheinander in der Aufklärung und Berichterstattung über den Vorfall. Das liegt an mangelnden oder widersprüchlichen Informationen derjenigen, die ihn untersuchen. Es liegt an der komplexen Struktur der Netzwerke im Bundestag, an der Komplexität des Angriffs selbst. Es liegt sicherlich auch daran, dass Politiker mit wenig technischem Hintergrundwissen mit ebensolchen Journalisten darüber reden, die dann falsch, ungenau, widersprüchlich oder irreführend berichten, und an Medien (ZEIT ONLINE kann sich da nicht freisprechen), die falsche, ungenaue, widersprüchliche oder irreführende Berichte übernehmen.
Leider spricht einiges dafür, dass sich an dem Informationschaos in nächster Zeit nichts ändern wird. An der Aufklärung beteiligt sind die Bundestagsverwaltung, das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesamt für Verfassungsschutz und die Karlsruher Firma BFK. Und den Fraktionen steht es natürlich frei, weitere Experten einzuschalten. Viel Gelegenheit für Missverständnisse also.
Die Bundestagsfraktion der Linken zum Beispiel hat den IT-Sicherheitsforscher Claudio Guarnieri beauftragt, zwei ihrer Server zu untersuchen, um mehr über das Ausmaß und den Hintergrund der Attacke zu erfahren.
Guarnieri lebt in Berlin und hat sich gewissermaßen einen Namen als Fachmann für Staatstrojaner gemacht. So hat er zum Beispiel für das kanadische Citizen Lab der Universität von Toronto mehrere Schnüffelprogramme und ihre Einsätze in repressiven Staaten analysiert. Und er hat ein System mitentwickelt, das derartige Schadsoftware erkennen soll.
Sein Bericht bezieht sich auf das Netz der Linken-Fraktion, das an das Netz des Bundestags angeschlossen ist. Das bedeutet: Die Spuren der Schadsoftware, die er gefunden hat, sagen wenig darüber aus, ob das Bundestagsnetz davon genauso betroffen ist. Die Netze sind nicht gleich aufgebaut. Was in dem einen funktioniert, wird im anderen möglicherweise durch Firewalls verhindert. Es ist theoretisch sogar denkbar, dass Guarnieri Spuren eines völlig anderen Angriffs entdeckt hat. Seine Analyse ist also nicht die endgültige Antwort auf alle Fragen, die sich zu der Attacke stellen.
Bemerkenswert an dem Bericht ist jedoch, wie vergleichsweise selbstbewusst er die mutmaßlichen Angreifer beim Namen nennt. Guarnieri schreibt, seine Untersuchungen legten nahe, „dass der Angriff von einer staatlich unterstützen Gruppe namens Sofacy (oder APT28) stammt. Frühere Analysen der Sicherheitsforscher von FireEye aus dem Oktober 2014 legen nahe, dass die Gruppe russischer Herkunft sein könnte. Es gibt jedoch keine Beweise, die es ermöglichen, die Angriffe bestimmten Regierungen oder Staaten zuzuordnen.“ Laut FireEye ist APT28 eine Gruppe, die von einer Regierung unterstützt wird, wahrscheinlich der russischen.
Dünne Beweisführung
Bisher gab es nur anonyme oder indirekte Äußerungen, die russische Täter hinter dem Angriff auf den Bundestag nahelegten. So berichtet die dpa auch am heutigen Freitag, „konkrete Spuren“ würden zu Sofacy / APT 28 führen, unter Berufung auf „mit der Untersuchung vertraute Experten“. Die wollten also nicht namentlich genannt werden.
Guarnieri lehnt sich also vergleichsweise weit aus dem Fenster. Sein Versuch einer Beweisführung ist allerdings nicht ganz überzeugend. Sie steht und fällt letztlich mit der Vermutung, dass APT28 bereits im Februar 2015 jenen Server nutzte, der auch im Mai als sogenannter Command-and-Control-Server für den Angriff auf den Bundestag herhielt. (Genauer wird es bei golem.de erklärt.)