Erbeuteten Hacker geheime Dokumente im deutschen Aussenministerium?

Der Cyber-Angriff auf die deutsche Bundesregierung war Medienberichten zufolge eine gezielte Attacke auf das Referat für Russland und Osteuropa im Auswärtigen Amt, dem deutschen Aussenministerium. Das berichtet 'Bild am Sonntag'.
 
Den Angreifern sei es gelungen, dort eine einstellige Zahl von Dokumenten zu kapern, berichtet das Blatt unter Berufung auf anonyme Sicherheitskreise. Es handle sich um geringe Datenmengen, weshalb die Firewall nicht Alarm geschlagen habe. Auch nach einem Bericht der 'Frankfurter Allgemeinen Sonntagszeitung' ('FAZaS') handelte es sich um einen gezielten Angriff auf das Auswärtige Amt. Welche Geheimhaltungsstufe die genannten Dokumente haben, ist unklar.
 
Nach Lektüre all der Gerüchte, Meinungen und Informationen anonymer Quellen weiss man wenig sehr klar. Was Informatiker in einschlägigen Foren vermuten: Ein interner Webserver war von aussen erreichbar, wurde infiltriert und dann wurden PCs attackiert, die auf geheime Dateien zugreifen konnten. Und die Beute ging auf demselben Weg nach draussen. Eine physische Trennung des Webservers dürfte laut den Kommentatoren also nicht vorhanden gewesen. Aber das sind Vermutungen.
 
Eindringen via E-Learning-Plattform?
Nach Informationen der 'FAZaS' manipulierten die Angreifer bereits vor rund zwei Jahren Dokumente (PDF?) auf einer E-Learning-Plattform der Bundesakademie für öffentliche Verwaltung mit Spionagesoftware. Diese Akademie richtet sich an Verwaltungsmitarbeiter.
 
Die elektronischen Unterlagen eines Fernkurses für Mitarbeiter des Auswärtigen Amtes seien dabei gezielt mit Spionagesoftware manipuliert worden. Das könnte darauf hindeuten, dass Malware in der Folge über einen als vertrauenswürdig wahrgenommenen Server verteilt wurde.
 
Ob und warum eine E-Learning-Plattform im gleichen Netz wie geheime Dokumente verfügbar ist, bleibt unklar. Ebenso unklar ist, ob die Verantwortlichen die Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI), der nationalen Cyber-Sicherheitsbehörde, eingehalten haben.
 
Entdeckt wurde die Spionagesoftware jedenfalls erst nach einem Hinweis "befreundeter Nachrichtendienste". Nach Recherchen der Sender 'NDR' und 'WDR' sowie der 'Süddeutschen Zeitung' soll der Angriff Teil einer internationalen Hacker-Attacke sein, von der auch Staaten in Skandinavien, Südamerika, die Ukraine und ehemalige Sowjet-Staaten betroffen sein sollen. Wer was entdeckte und wem weiter meldete, wurde nicht bekanntgegeben.
 
Russische Gruppe mit Verbindung zum Kreml?
Laut der Nachrichtenagentur 'DPA' soll hinter der Attacke eine unter dem Namen "Snake" (alias "Turla") bekannte Hackergruppe stecken und nicht, wie eingangs geschrieben, APT 28.
 
Westliche Kreise sagen der seit langem agierenden Gruppe Verbindungen zu russischen Geheimdiensten mit Verbindung in den Kreml nach. Beweise fehlen komplett und Russland hat bislang alle Verdächtigungen zurückgewiesen.
 
Klar ist: Die deutsche Bundesanwaltschaft leitete Vorermittlungen wegen geheimdienstlicher Agententätigkeit "gegen Unbekannt" ein. Das deutsche Innenministerium sucht zudem nach der möglichen undichten Stelle in den eigenen Reihen, welche die Medien informierte. (mag / sda)