Verfassungsschutz: „Von einem anderen Land beauftragte Firma“ entdeckte durch „Zufallsfund“ Angriff auf IT-Netz des Bundestages
Das Sitzungsprotokoll der IuK-Kommission des Bundestages vom 21. Mai 2015 wirft viele Fragen ĂŒber den „Hackerangriff“ auf das Parlament auf. Unter anderem die nach der Rolle des Inlandsgeheimdienstes, in diesem „Totalschaden der Demokratie“.
Es folgen AuszĂŒge aus dem Sitzungs-Protokoll der „Kommission des Ăltestenrates fĂŒr den Einsatz neuer Informations- und Kommunikationstechniken und -medien“ (IuK-Kommission) vom 21. Mai 2015, welches Radio Utopie vorliegt.
Einleitende Anmerkung: „RL IT 5“ steht fĂŒr Leiter vom Referat IT 5 (Referat fĂŒr IT-Sicherheit) der Bundestagsverwaltung.
Abschrift aus dem Sitzungs-Protokoll der IuK-Kommission des Deutschen Bundestages vom 21.05.2015:
„Herr Möhlmann (RL IT 5) teilt mit, dass sich am 12.5.2015 das Bundesamt fĂŒr Verfassungsschutz (BfV) mit der Geheimschutzstelle (ZR4) der Bundestagsverwaltung in Verbindung gesetzt habe. Das Referat ZR 4 habe daraufhin das Referat fĂŒr IT-Sicherheit (IT 5) kontaktiert. In einem anschlieĂenden Telefonat sei durch einen Mitarbeiter des BfV mitgeteilt worden, dass zwei Rechner aus dem Bundestag Kontakt zu – als potentiell gefĂ€hrlich geltenden – Serversystemen im Internet gehabt haben und das BSI darĂŒber in Kenntnis gesetzt worden sei. Es sei weiterhin durch die BTV (Anm. d. Red.: die Bundestagsverwaltung) festgestellt worden, dass diese gemeldeten Rechner identisch gewesen seien mit zuvor im Haus auffĂ€llig gewordenen PCs. Ob der Dimension des vermuteten Angriffs sei das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) um Hilfe ersucht worden. Am 15.5.2015 seien zusammen mit dem BSI umfangreiche AnalysetĂ€tigkeiten begonnen worden.“
Nachfolgend berichtet laut Protokoll Michael Hange, PrĂ€sident des Bundesamts fĂŒr Sicherheit in der Informationstechnik (BSI):
„Nach Beurteilung der Lage hĂ€tten ab Samstag, dem 16.05.2015 insgesamt drei Mitarbeiter des BSI und zwei Mitarbeiter einer externen Firma, mit der das BSI seit lĂ€ngerem zusammenarbeite, die AnalysetĂ€tigkeit aufgenommen. Gerade die erste Phase einer Ermittlung sei wichtig, da der TĂ€ter meist noch nicht erahne, dass man ihm auf der Spur sei.“
Weitere AuszĂŒge:
„Die Vorsitzende erteilt dem Abg. Dr. Brandl das Wort fĂŒr Nachfragen.
Abg. Dr. Brandl zeigt VerstĂ€ndnis fĂŒr die eingeschrĂ€nkte Kommunikation in dieser Situation, um den TĂ€tern keine Hinweise zu geben. Er bemĂ€ngelt jedoch kommunikative Defizite am Freitag, dem 15.5.2015, an dem alle Rechner im Bundestag heruntergefahren worden seien. Der kurze und einzige Hinweis, dass der Rechner in einer Minute heruntergefahren werde, sei nicht ausreichend. Eine Vorwarnung in solchen FĂ€llen, etwa von 5 Minuten, sei wĂŒnschenswert. Er bemĂ€ngelt weiterhin eine nicht ausreichende Information der Mitglieder der IuK-Kommission. Er habe bis zur heutigen Sitzung alle Informationen nur der Presse entnommen.
(…)
Die Vorsitzende erteilt der Abg. Dr. Sitte (Anm.d.Red.: Petra Sitte, parlamentarische GeschĂ€ftsfĂŒhrerin der Linksfraktion) das Wort.
Abg. Dr. Sitte bestĂ€tigt, dass auch aus ihrer Sicht die Kommunikation schwierig gewesen sei. Sie regt an, sich in diesem Gremium ĂŒber die erforderlichen und angemessenen Kommunikationsschritte zu einigen. Eine zeitnahe Information der Mitglieder des Deutschen Bundestages halte sie fĂŒr dringend geboten, um der GerĂŒchtekĂŒche entgegentreten zu können. (…) Sie fĂŒhrt aus, dass einer der bisher betroffenen Rechner sich in einem AbgeordnetenbĂŒro ihrer Fraktion befĂ€nde. Es seien bereits vor dem dokumentierten Fund aus dem betreffenden AbgeordnetenbĂŒro AuffĂ€lligkeiten vermeldet worden. Diese hĂ€tten allerdings nicht auf ein solches Ereignis hingedeutet. Den weiteren Verlauf der Ereignisse könne sie bestĂ€tigen.
(…)
Abg. Lemke (Anm.d.Red.: Steffi Lemke, BĂŒndnis 90/Die GrĂŒnen) bestĂ€tigt die EinschĂ€tzung, dass dieser Angriff als sehr ernst einzustufen sei. Sie lobe ausdrĂŒcklich die Kommunikation vonseiten der Bundestagsverwaltung. Sie werde sich nicht an den naheliegenden Spekulationen zu den Quellen der in den Medien kursierenden GerĂŒchten beteiligen. Allerdings seien in einem Artikel sogenannte Sicherheitskreise zitiert worden. Da diese weder die Bundestagsverwaltung noch der Bundestag sein könne, stelle sich die Frage, inwieweit Herr Hange (BSI) das Kommunikationsverhalten seiner Mitarbeiter und der beteiligten Firma im Griff habe. Sie regt daher an, die Informationen zuerst an die Mitglieder des Deutschen Bundestages zu geben, bevor die Presse informiert werde. Eine andere Vorgehensweise halte sie nicht fĂŒr akzeptabel. Sie sei zudem sehr daran interessiert. dass das in diesem Vorgang vorhandene Leck aufgedeckt werde. Sie bittet um eine ErlĂ€uterung, wie und in welcher Form der Verfassungsschutz am 12.5.2015 bemerkt habe, dass Rechner des Bundestages auffĂ€llig geworden seien. Des Weiteren interessiere sie sich dafĂŒr, wie die Zusammenarbeit zwischen Bundestagsverwaltung und BSI organisiert sei und fĂŒr Art, Umfang und Rolle der UnterstĂŒtzung des BSI durch eine externe Firma.
(…)
Auf die Frage der Abg. Dr. Sitte nach dem Zusammenhang mit einem Rechner einer Abgeordneten und einem Server ihrer Fraktion teilt Herr Möhlmann (RL IT 5) mit, dass die Bundestagsverwaltung dazu keine Auskunft geben könne und dies mit der betreffenden Fraktion diskutiert worden sei. Abg. Dr. Sitte wirft korrigierend ein, dass sie klĂ€ren wolle, warum die IT nicht bereits tĂ€tig geworden sei, als das AbgeordnetenbĂŒro sich wegen AuffĂ€lligkeiten schon zuvor an die IT gewandt habe. Herr Möhlmann (RL IT 5) stellt klar, dass er hiervon keine Kenntnis bekommen habe und der Angriff genauso aufgefallen sei, wie er es dargestellt habe.
(…)
Abg. Klingbeil möchte wissen, seit wann der Angriff bekannt sei.
Hr. Möhlmann (RL IT 5) informiert, dass am 08.5.2015 die Mitarbeiter der Unterabteilung IT UnregelmĂ€Ăigkeiten festgestellt haben, die zu diesem Zeitpunkt noch nicht als Angriff gewertet worden seien, sondern als alltĂ€glicher Fall im Zusammenhang mit Viren und Trojanern. Erst das GesprĂ€ch mit dem BfV (Anm.d.Red.: dem Bundesamt fĂŒr Verfassungsschutz) am 12.5.2015 habe verdeutlicht, dass es sich um einen Angriff handele. Das BfV hĂ€tte deutlich gemacht, dass der Zugriff von zwei Rechnern aus dem Bundestag festgestellt worden sei. Diese Rechner seien namentlich benannt worden und hĂ€tten somit als Bundestagsrechner identifiziert werden können. In diesem GesprĂ€ch sei auch mitgeteilt worden, dass das BSI seitens des Verfassungsschutzes informiert werde, speziell das Cyberabwehrzentrum.
Abg. Lemke erkundigt sich, was genau der Verfassungsschutz festgestellt habe.
Herr Möhlmann (RL IT 5) fĂŒhrt aus, dass ihm telefonisch mitgeteilt worden sei, dass von zwei Rechnern aus dem Bundestagsnetz auf kompromittierte Seiten, die ĂŒberwacht worden seien, ein Zugriff stattgefunden habe. Er erklĂ€rt, dass kompromittierte Seiten z. B. sog. Command-and-Control-Server seien, die im Internet existierten, um Malware zu verteilen und auch „Angriffssoftware“ enthielten.
Herr HĂ€ger (BSI) fĂŒhrt ergĂ€nzend aus, dass das BfV diese speziellen Informationen von einer Firma bekommen habe, welche von einem anderen Land beauftragt worden und an die Verschwiegenheit gebunden sei. Dieses Land habe jedoch zugestimmt, dass der von der beauftragten Firma ermittelte Hinweis weitergegeben werden durfte.
Herr Hange (BSI) stellt klar, dass das BSI nur fĂŒr die technische Analyse zustĂ€ndig sei und in diesem Zusammenhang auch Server im Internet feststelle, die Schadprogramme verteilen oder fĂŒr Informationsabfluss genutzt werden. FĂŒr das Regierungsnetz seien viele solcher kritischen Server gelistet und so auch der Server, mit dem der Bundestagsrechner in Kontakt stand. Er betont dass es keine ĂberwachungsmaĂnahme des Bundestages gewesen sei, sondern es sich um einen Zufallsfund gehandelt habe.
(…)
AnschlieĂend beantwortet Herr Hange (BSI) die Frage von Abg. Klingbeil und teilt mit, dass nach momentanem Stand der Untersuchungen noch nicht festgestellt werden könne, wann der Ersteinbruch erfolgt sei. Aufgrund der Art der Angriffe könne gesagt werden, dass es sich um einen sogenannten APT-Angriff (advanced persistent threat) handele. Dieser verlaufe mehrstufig. Das BSI gehe davon aus, dass solche Angriffe bis zu 70 Tage in Anspruch nehmen, um ein Netz komplett zu durchdringen und damit schrittweise komplett zu ĂŒbernehmen.
(…)
Herr Hange (BSI) teilt mit, dass dies nicht der erste Fall sei, der gemeinsam mit der genannten Firma bearbeitet werde. Erkennbar seien bereits gewisse Angriffsstrukturen und es sei daher zielfĂŒhrend, versierte FachkrĂ€fte – d. h. IT-Forensiker – damit zu betrauen. (…) Er weist nochmals daraufhin, dass er auch den Schutz des Regierungsnetzes nicht völlig vernachlĂ€ssigen könne. Er stellt klar, dass in Absprache mit dem Deutschen Bundestag alles getan werde, um seitens des BSI die Personen mit dem gröĂtmöglichen Erfahrungsschatz in diesem Umfeld mit der Aufgabe zu betrauen. Er informiert, dass der externe Partner in diesem Falle die Firma BFK sei und dass bei Bedarf auch Mitarbeiter der Firma Telekom, die ebenfalls ĂŒber ein Team mit Ă€hnlichen Kenntnissen verfĂŒgten, hinzugezogen werden könnten. Im Augenblick sehe er jedoch keine Notwendigkeit dafĂŒr.“
BSI-PrÀsident Michael Hange bereits zu Anfang der Sitzung der IuK-Kommission, Auszug Protokoll:
„In Zusammenarbeit mit der IT des Bundestages seien nun folgende MaĂnahmen ergriffen worden: ZunĂ€chst wĂŒrden möglichst viele Internetzugriffe ĂŒber den IVBB geleitet (…) Im Einsatz seien vonseiten des BSI nun auch Experten, welche auch den IVBB schĂŒtzten.„
Laut Bundesministerium des Innern wird die „Netzdienstleistung“ fĂŒr den „Informationsverbund Berlin-Bonn“ (IVBB) durch die Telekom bereit gestellt. D.h. entweder handelt es sich hierbei um Experten der Telekom, dann hĂ€tte BSI-PrĂ€sident Michael Hange am 21.Mai in der IuK-Kommission nicht die Wahrheit gesagt, oder die Regierungsinfrastruktur IVBB wird durch weitere, noch genauer zu verifzierende Experten „geschĂŒtzt“.
Die Firma BFK edv-consulting GmbH kooperiert nach eigenen Angaben sowohl mit dem CERT-Verbund des Bundesamts fĂŒr Sicherheit in der Informationstechnik, als auch mit KRvW Associates, die u.a. fĂŒr das U.S. ReprĂ€sentantenhaus tĂ€tig war.
Um wen es sich bei der „von einem anderen Land beauftragten“ Firma handelt ist unklar. Ebenso, ob und wie weit die Angaben des Inlandsgeheimdienstes der Wahrheit entsprechen.
Hinweis: in diesem Artikel wurden AbkĂŒrzungen wie âBfVâ oder âBSIâ nicht als solche durch Punkte gekennzeichnet.