Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Interne Dokumente verraten, wie einfach der Bundestag gehackt werden konnte

von Benedikt Plass-Fleßenkämper
Im Mai 2015 kam ans Licht, dass der deutsche Bundestag Ziel eines großflächigen Cyberangriffs geworden war. Bislang waren nur wenige Details zur Vorgehensweise der Täter bekannt. Nun geben neu aufgetauchte interne Dokumente Aufschluss über die Methoden der Hacker – und offenbaren schwere Sicherheitslücken und eine überforderte IT-Abteilung im Parlament. Wer hinter den Attacken steckt, bleibt allerdings weiterhin unklar.

Das Linux-Magazin und Netzpolitik.org haben neue Erkenntnisse zum Bundestagshack im vergangenen Jahr veröffentlicht. Sie erhielten Einblick in interne Dokumente, die teilweise offenlegen, was im vergangenen Jahr im Bundestag wirklich passiert ist. Die Informationen stammen von der IuK-Kommission, die im Bundestag für den „Einsatz neuer Informations- und Kommunikationstechniken und -medien“ zuständig ist.

Laut den geleakten Protokollen wurden die Abgeordneten-Rechner offenbar mithilfe gängiger Malware und Open-Source-Tools geknackt. Der Computer eines Linkspartei-Politikers soll zuerst mit Schadsoftware infiziert worden sein – vermutlich durch das Folgen eines E-Mail-Links mit anschließendem Drive-by-Download oder direkt durch einen Mail-Anhang. Anschließend hätten sich die Hacker mit dem Open-Source-Tool mimikatz Zugangsdaten zu Accounts des Active-Directory-Systems des Bundestags verschafft. Besonders problematisch hierbei war dem Linux-Magazin zufolge, dass eine unüberschaubare Zahl von Personen über Administratorrechte für die Active-Directory-Server verfügt habe. Somit konnten sich die Angreifer problemlos den Vollzugriff auf das Netzwerk sichern.

Die neuen Enthüllungen offenbaren, wie unzureichend das interne Netzwerk des Bundestags geschützt war und wie lange es dauerte, bis die Verantwortlichen das Ausmaß des Hacks erkannten. Die Dokumente würden zeigen, dass „die IT-Abteilung des Bundestags mit dem Angriff überfordert war, wie problematische Entscheidungen zur Einbeziehung Dritter über die Köpfe von Abgeordneten hinweg getroffen wurden und wie Informationen an die IuK-Kommission (...) und den Rest der Abgeordneten und Mitarbeiter nur unzureichend kommuniziert wurden“, heißt es im Netzpolitik-Bericht.

Prekär sei insbesondere, dass fast ein Monat zwischen dem ersten Verdacht der Bundestags-Admins am 13. April 2015 und der Warnung des Verfassungsschutzes an das Parlament am 12. Mai 2015 verging. „Nach dem darauffolgenden Wochenende seien die Täter bereits in der Lage gewesen, sich frei im Netz zu bewegen. Insgesamt sei es den Angreifern gelungen, 5 der 6 Accounts der Domänenadministratoren der Bundestagsverwaltung zu kompromittieren und zu nutzen“, heißt es in einem Bericht, den ein Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik erst am 2. Juli 2015 der IuK-Kommission übermittelte.

Wer für die Angriffe auf den Bundestag verantwortlich ist, bleibt indes weiter unklar. Zwar gibt es in den geleakten Protokollen scheinbar erneut Hinweise auf das russische Hackerkollektiv APT28, stichhaltige Beweise dafür existieren aber nicht. Seit Januar ermittelt der Generalbundesanwalt gegen unbekannt.

Im WIRED-Gastbeitrag erklärt IT-Sicherheitsexperte Sandro Gaycken den Trojaner-Angriff auf den Bundestag. 

GQ Empfiehlt
Beim WADA-Hack geht es nicht um Sport

Beim WADA-Hack geht es nicht um Sport

von Joely Ketterer