Hackerangriff auf Bundestagsfahrdienst: Bundeswehr sollte erpresst werden
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/ZET4BZJVTVCMNA2ZE7CRX5SZMI.jpg)
Der Deutsche Bundestag
© Quelle: imago images/Metodi Popow
:format(webp)/s3.amazonaws.com/arc-authors/madsack/068eda73-f920-4aa7-8805-eadae0d6b3c8.png)
Berlin. Hinter dem Hackerangriff auf den Fahrdienst von Bundeswehr und Bundestag hat nach neuen Erkenntnissen ein Erpressungsversuch gesteckt. Das geht aus einem “Bericht zum aktuellen Sachstand” der Untersuchung hervor, den die Geschäftsführung der betroffenen Bundeswehrtochterfirma BwFuhrparkService erstellt hat und der dem RedaktionsNetzwerk Deutschland (RND) vorliegt.
Bundestagsvizepräsidentin Petra Pau (Linke) sagte dem RND: “Ziel der Aktion war offenbar nicht, auf Informationen über die Abgeordneten zuzugreifen, sondern die Bundeswehr zu erpressen.” Allerdings sei nicht ausgeschlossen, dass die Hacker Zugriff auf die Abgeordnetendaten hatten, die der Fahrdienst zum Zeitpunkt des Angriffs gespeichert hatte, so Pau. “Insofern war der Bundestag ebenfalls betroffen.”
Mehrere Erpressungstrojaner entdeckt
Laut dem Untersuchungsbericht wurde das Netzwerk des Fahrdienstes zunächst durch den Erpressungstrojaner “Emotet” via E-Mail infiziert. In der Infektionskette folgten darauf der Erpressungstrojaner “QakBot” und darauf die Schadsoftware “Cobalt Strike”, ein “Werkzeugkasten für manuelle Angriffe”, so das Papier mit Stand vom Freitagnachmittag. Mögliche Täter werden im Bericht nicht erwähnt. Aktiv war die Schadsoftware demnach ausschließlich am 12. August, am Tag darauf war die Internetverbindung gekappt worden.
Befallen war vor allem die Windows-Umgebung der Fuhrparkfirma. “Hiervon sind auch Systeme betroffen, die im Zusammenhang mit dem Fahrdienst für den Deutschen Bundestag genutzt werden und auf welchen auch personenbezogene Daten gespeichert sind”, heißt es weiter. Zwar sei ein Abfluss von Daten derzeit nicht nachgewiesen. Allerdings “bestand bis zur zeitnahen, vollständigen Trennung der Netze vom Internet am 13.08.2020 durch die BwFPS die praktische Möglichkeit hierzu”.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/RKVGBBVU2KHVGYYFFUL3EQY4OM.jpg)
Petra Pau (Die Linke), Vizepräsidentin des Deutschen Bundestages und Vorsitzende von dessen IuK-Kommission
© Quelle: Guido Kirchner/dpa
Umfang und Muster des Angriffs ließen aber vermuten, dass kein gezielter Angriff auf Daten von Abgeordneten stattfand, so der Bericht. “Es ist vielmehr von der Vorbereitung einer Erpressung der BwFPS auszugehen.” Offenbar wollten die Täter das Netzwerk der Bundeswehrtochter lahmlegen und dann erst gegen Geld wieder freischalten.
Laut Petra Pau, die auch Vorsitzende der Bundestagskommission für Informations- und Kommunikationstechnik (IuK) ist, laufen die Untersuchungen weiter. “Auch der Fahrdienst ist gewährleistet”, sagte sie dem RND. “Es geht jetzt darum, Wiederholungen zu verhindern.”
BSI soll nun nach Datenabfluss suchen
Die Geschäftsführung der BwFPS erklärt in dem Bericht, mit der weiteren Aufklärung seien unter anderem IT-Spezialisten des “Cyber Emergency Response Teams” (CERT) der Bundeswehr, das Bundeskriminalamt sowie nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst. Das BSI soll einen möglichen Datenabfluss untersuchen.
Vor einer Woche war bekanntgeworden, dass Hacker einen Cyberangriff auf die Servicegesellschaft für den Fuhrpark der Bundeswehr verübt hatten. “In der vergangenen Woche gab es einen Angriff eines noch nicht identifizierten Externen auf das IT-Netz des Unternehmens”, teilte das Verteidigungsministerium am vorigen Wochenende mit. Der Vorfall sei dem Ministerium am 13. August gemeldet worden.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/ZET4BZJVTVCMNA2ZE7CRX5SZMI.jpg)
Auch der Fahrdienst des Deutschen Bundestages war nach eigenen Angaben betroffen, wie eine E-Mail der Polizeileitstelle des Parlaments belegt, die dem RND vorliegt: “Der Vertragspartner für die Fahrdienstleistungen des Deutschen Bundestages, Bw Fuhrpark, hat mitgeteilt, Opfer eines Hackerangriffs geworden zu sein”, heißt es in der Mail, die am vorigen Samstag um 16.12 Uhr an die Abgeordneten verschickt wurde. “Ziel, Art und Umfang des Angriffs sind noch unbekannt, ebenso, ob Daten manipuliert worden oder abgeflossen sind.”
Die Gesellschaft Bw Fuhrpark gehört zu 75,1 Prozent dem Verteidigungsministerium und zu 24,9 Prozent der Deutschen Bahn AG. Sie übernimmt neben anderem auch den Fahrdienst des Bundestages.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/23DUCA5TJJBS5CBVQ2MB66EOQE.jpg)
Laut Bundestagspräsidium sei offenbar der Dienstleister gehackt worden, nicht aber der Bundestag selbst. Alle notwendigen Fahrdienstleistungen hatten den Abgeordneten weiter zur Verfügung gestanden.
Laut Verteidigungsministerium waren alle Netzverbindungen der Bw Fuhrpark nach außen und in Richtung der Kunden “unmittelbar gekappt” worden.
Der Fahrdienst des Bundestages ist ein Service, der allen 709 Abgeordneten prinzipiell zur Verfügung steht und den sie innerhalb Berlins und bis zum Flughafen Schönefeld, der in Brandenburg liegt, nutzen können.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/L2RA5DVSRZBGDANM7PFO7CZ6FE.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/QMZCW5QGHVBYVEMZ5ZSJYCXMOQ.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/3W2UBW4GYBBKRBDWKAFZBBUOMA.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/VHF5GQI6SBF4TJHSUSXJB5IMZU.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/ZDN3252EUND7JJAPH7H42VWJPY.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/NXJ7JZFYFRDKHDPVHAEVI7KX7E.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/5D65JJ55TFCT7PP32KTUL4P3FY.png)