Verfassungsschutz: „Von einem anderen Land beauftragte Firma“ entdeckte durch „Zufallsfund“ Angriff auf IT-Netz des Bundestages
Das Sitzungsprotokoll der IuK-Kommission des Bundestages vom 21. Mai 2015 wirft viele Fragen über den „Hackerangriff“ auf das Parlament auf. Unter anderem die nach der Rolle des Inlandsgeheimdienstes, in diesem „Totalschaden der Demokratie“.
Es folgen Auszüge aus dem Sitzungs-Protokoll der „Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und -medien“ (IuK-Kommission) vom 21. Mai 2015, welches Radio Utopie vorliegt.
Einleitende Anmerkung: „RL IT 5“ steht für Leiter vom Referat IT 5 (Referat für IT-Sicherheit) der Bundestagsverwaltung.
Abschrift aus dem Sitzungs-Protokoll der IuK-Kommission des Deutschen Bundestages vom 21.05.2015:
„Herr Möhlmann (RL IT 5) teilt mit, dass sich am 12.5.2015 das Bundesamt für Verfassungsschutz (BfV) mit der Geheimschutzstelle (ZR4) der Bundestagsverwaltung in Verbindung gesetzt habe. Das Referat ZR 4 habe daraufhin das Referat für IT-Sicherheit (IT 5) kontaktiert. In einem anschließenden Telefonat sei durch einen Mitarbeiter des BfV mitgeteilt worden, dass zwei Rechner aus dem Bundestag Kontakt zu – als potentiell gefährlich geltenden – Serversystemen im Internet gehabt haben und das BSI darüber in Kenntnis gesetzt worden sei. Es sei weiterhin durch die BTV (Anm. d. Red.: die Bundestagsverwaltung) festgestellt worden, dass diese gemeldeten Rechner identisch gewesen seien mit zuvor im Haus auffällig gewordenen PCs. Ob der Dimension des vermuteten Angriffs sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) um Hilfe ersucht worden. Am 15.5.2015 seien zusammen mit dem BSI umfangreiche Analysetätigkeiten begonnen worden.“
Nachfolgend berichtet laut Protokoll Michael Hange, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI):
„Nach Beurteilung der Lage hätten ab Samstag, dem 16.05.2015 insgesamt drei Mitarbeiter des BSI und zwei Mitarbeiter einer externen Firma, mit der das BSI seit längerem zusammenarbeite, die Analysetätigkeit aufgenommen. Gerade die erste Phase einer Ermittlung sei wichtig, da der Täter meist noch nicht erahne, dass man ihm auf der Spur sei.“
Weitere Auszüge:
„Die Vorsitzende erteilt dem Abg. Dr. Brandl das Wort für Nachfragen.
Abg. Dr. Brandl zeigt Verständnis für die eingeschränkte Kommunikation in dieser Situation, um den Tätern keine Hinweise zu geben. Er bemängelt jedoch kommunikative Defizite am Freitag, dem 15.5.2015, an dem alle Rechner im Bundestag heruntergefahren worden seien. Der kurze und einzige Hinweis, dass der Rechner in einer Minute heruntergefahren werde, sei nicht ausreichend. Eine Vorwarnung in solchen Fällen, etwa von 5 Minuten, sei wünschenswert. Er bemängelt weiterhin eine nicht ausreichende Information der Mitglieder der IuK-Kommission. Er habe bis zur heutigen Sitzung alle Informationen nur der Presse entnommen.
(…)
Die Vorsitzende erteilt der Abg. Dr. Sitte (Anm.d.Red.: Petra Sitte, parlamentarische Geschäftsführerin der Linksfraktion) das Wort.
Abg. Dr. Sitte bestätigt, dass auch aus ihrer Sicht die Kommunikation schwierig gewesen sei. Sie regt an, sich in diesem Gremium über die erforderlichen und angemessenen Kommunikationsschritte zu einigen. Eine zeitnahe Information der Mitglieder des Deutschen Bundestages halte sie für dringend geboten, um der Gerüchteküche entgegentreten zu können. (…) Sie führt aus, dass einer der bisher betroffenen Rechner sich in einem Abgeordnetenbüro ihrer Fraktion befände. Es seien bereits vor dem dokumentierten Fund aus dem betreffenden Abgeordnetenbüro Auffälligkeiten vermeldet worden. Diese hätten allerdings nicht auf ein solches Ereignis hingedeutet. Den weiteren Verlauf der Ereignisse könne sie bestätigen.
(…)
Abg. Lemke (Anm.d.Red.: Steffi Lemke, Bündnis 90/Die Grünen) bestätigt die Einschätzung, dass dieser Angriff als sehr ernst einzustufen sei. Sie lobe ausdrücklich die Kommunikation vonseiten der Bundestagsverwaltung. Sie werde sich nicht an den naheliegenden Spekulationen zu den Quellen der in den Medien kursierenden Gerüchten beteiligen. Allerdings seien in einem Artikel sogenannte Sicherheitskreise zitiert worden. Da diese weder die Bundestagsverwaltung noch der Bundestag sein könne, stelle sich die Frage, inwieweit Herr Hange (BSI) das Kommunikationsverhalten seiner Mitarbeiter und der beteiligten Firma im Griff habe. Sie regt daher an, die Informationen zuerst an die Mitglieder des Deutschen Bundestages zu geben, bevor die Presse informiert werde. Eine andere Vorgehensweise halte sie nicht für akzeptabel. Sie sei zudem sehr daran interessiert. dass das in diesem Vorgang vorhandene Leck aufgedeckt werde. Sie bittet um eine Erläuterung, wie und in welcher Form der Verfassungsschutz am 12.5.2015 bemerkt habe, dass Rechner des Bundestages auffällig geworden seien. Des Weiteren interessiere sie sich dafür, wie die Zusammenarbeit zwischen Bundestagsverwaltung und BSI organisiert sei und für Art, Umfang und Rolle der Unterstützung des BSI durch eine externe Firma.
(…)
Auf die Frage der Abg. Dr. Sitte nach dem Zusammenhang mit einem Rechner einer Abgeordneten und einem Server ihrer Fraktion teilt Herr Möhlmann (RL IT 5) mit, dass die Bundestagsverwaltung dazu keine Auskunft geben könne und dies mit der betreffenden Fraktion diskutiert worden sei. Abg. Dr. Sitte wirft korrigierend ein, dass sie klären wolle, warum die IT nicht bereits tätig geworden sei, als das Abgeordnetenbüro sich wegen Auffälligkeiten schon zuvor an die IT gewandt habe. Herr Möhlmann (RL IT 5) stellt klar, dass er hiervon keine Kenntnis bekommen habe und der Angriff genauso aufgefallen sei, wie er es dargestellt habe.
(…)
Abg. Klingbeil möchte wissen, seit wann der Angriff bekannt sei.
Hr. Möhlmann (RL IT 5) informiert, dass am 08.5.2015 die Mitarbeiter der Unterabteilung IT Unregelmäßigkeiten festgestellt haben, die zu diesem Zeitpunkt noch nicht als Angriff gewertet worden seien, sondern als alltäglicher Fall im Zusammenhang mit Viren und Trojanern. Erst das Gespräch mit dem BfV (Anm.d.Red.: dem Bundesamt für Verfassungsschutz) am 12.5.2015 habe verdeutlicht, dass es sich um einen Angriff handele. Das BfV hätte deutlich gemacht, dass der Zugriff von zwei Rechnern aus dem Bundestag festgestellt worden sei. Diese Rechner seien namentlich benannt worden und hätten somit als Bundestagsrechner identifiziert werden können. In diesem Gespräch sei auch mitgeteilt worden, dass das BSI seitens des Verfassungsschutzes informiert werde, speziell das Cyberabwehrzentrum.
Abg. Lemke erkundigt sich, was genau der Verfassungsschutz festgestellt habe.
Herr Möhlmann (RL IT 5) führt aus, dass ihm telefonisch mitgeteilt worden sei, dass von zwei Rechnern aus dem Bundestagsnetz auf kompromittierte Seiten, die überwacht worden seien, ein Zugriff stattgefunden habe. Er erklärt, dass kompromittierte Seiten z. B. sog. Command-and-Control-Server seien, die im Internet existierten, um Malware zu verteilen und auch „Angriffssoftware“ enthielten.
Herr Häger (BSI) führt ergänzend aus, dass das BfV diese speziellen Informationen von einer Firma bekommen habe, welche von einem anderen Land beauftragt worden und an die Verschwiegenheit gebunden sei. Dieses Land habe jedoch zugestimmt, dass der von der beauftragten Firma ermittelte Hinweis weitergegeben werden durfte.
Herr Hange (BSI) stellt klar, dass das BSI nur für die technische Analyse zuständig sei und in diesem Zusammenhang auch Server im Internet feststelle, die Schadprogramme verteilen oder für Informationsabfluss genutzt werden. Für das Regierungsnetz seien viele solcher kritischen Server gelistet und so auch der Server, mit dem der Bundestagsrechner in Kontakt stand. Er betont dass es keine Überwachungsmaßnahme des Bundestages gewesen sei, sondern es sich um einen Zufallsfund gehandelt habe.
(…)
Anschließend beantwortet Herr Hange (BSI) die Frage von Abg. Klingbeil und teilt mit, dass nach momentanem Stand der Untersuchungen noch nicht festgestellt werden könne, wann der Ersteinbruch erfolgt sei. Aufgrund der Art der Angriffe könne gesagt werden, dass es sich um einen sogenannten APT-Angriff (advanced persistent threat) handele. Dieser verlaufe mehrstufig. Das BSI gehe davon aus, dass solche Angriffe bis zu 70 Tage in Anspruch nehmen, um ein Netz komplett zu durchdringen und damit schrittweise komplett zu übernehmen.
(…)
Herr Hange (BSI) teilt mit, dass dies nicht der erste Fall sei, der gemeinsam mit der genannten Firma bearbeitet werde. Erkennbar seien bereits gewisse Angriffsstrukturen und es sei daher zielführend, versierte Fachkräfte – d. h. IT-Forensiker – damit zu betrauen. (…) Er weist nochmals daraufhin, dass er auch den Schutz des Regierungsnetzes nicht völlig vernachlässigen könne. Er stellt klar, dass in Absprache mit dem Deutschen Bundestag alles getan werde, um seitens des BSI die Personen mit dem größtmöglichen Erfahrungsschatz in diesem Umfeld mit der Aufgabe zu betrauen. Er informiert, dass der externe Partner in diesem Falle die Firma BFK sei und dass bei Bedarf auch Mitarbeiter der Firma Telekom, die ebenfalls über ein Team mit ähnlichen Kenntnissen verfügten, hinzugezogen werden könnten. Im Augenblick sehe er jedoch keine Notwendigkeit dafür.“
BSI-Präsident Michael Hange bereits zu Anfang der Sitzung der IuK-Kommission, Auszug Protokoll:
„In Zusammenarbeit mit der IT des Bundestages seien nun folgende Maßnahmen ergriffen worden: Zunächst würden möglichst viele Internetzugriffe über den IVBB geleitet (…) Im Einsatz seien vonseiten des BSI nun auch Experten, welche auch den IVBB schützten.„
Laut Bundesministerium des Innern wird die „Netzdienstleistung“ für den „Informationsverbund Berlin-Bonn“ (IVBB) durch die Telekom bereit gestellt. D.h. entweder handelt es sich hierbei um Experten der Telekom, dann hätte BSI-Präsident Michael Hange am 21.Mai in der IuK-Kommission nicht die Wahrheit gesagt, oder die Regierungsinfrastruktur IVBB wird durch weitere, noch genauer zu verifzierende Experten „geschützt“.
Die Firma BFK edv-consulting GmbH kooperiert nach eigenen Angaben sowohl mit dem CERT-Verbund des Bundesamts für Sicherheit in der Informationstechnik, als auch mit KRvW Associates, die u.a. für das U.S. Repräsentantenhaus tätig war.
Um wen es sich bei der „von einem anderen Land beauftragten“ Firma handelt ist unklar. Ebenso, ob und wie weit die Angaben des Inlandsgeheimdienstes der Wahrheit entsprechen.
Hinweis: in diesem Artikel wurden Abkürzungen wie “BfV” oder “BSI” nicht als solche durch Punkte gekennzeichnet.