Der Bundestagshack – Eine Chronologie der Ereignisse

IT im Bundestag. Noch zu retten? Quelle: anonym

Die Informationen zum Bundestagshack erschienen nur tröpfchenweise in den Medien. Teilweise widersprachen sich Berichte und wurden zu späteren Zeitpunkten wieder revidiert. Mit Hilfe der von uns veröffentlichten Protokolle der IuK-Kommission und weiterer Dokumente haben wir hier die Ereignisse sortiert und chronologisch aufbereitet.

Zum Hauptartikel mit den Originaldokumenten geht es hier entlang.

Für die Detailansicht zu den verschiedenen Datumspunkten einfach auf die Überschriften klicken.

  • 13. April 2015

    CC BY 2.0 via flickr/oneilsh
    Das Bundesamt für Verfassungsschutz sperrt einen verdächtigen Server im IVBB, dem Informationsverbund des Bundes zur Vernetzung der Obersten Bundesbehörden – genau jenen Server, der später auch im Zusammenhang mit dem Cyberangriff auf den Bundestag auffallen wird.

  • 30. April

    Das BSI schätzt, dass etwa am 30. April der erste Rechner im Bundestag mit der Schadsoftware infiziert wurde

  • 5. Mai

    Die Angreifer melden sich auf dem Domänencontroller und einer Admin-Workstation an, sie benutzen „mimikatz“, um an Admin-Passwörter zu gelangen. Das Tool ist als Open Source auf GitHub verfügbar.

    mimikatz is a tool I’ve made to learn C and make somes experiments with Windows security.

    Kurz darauf können sich die Angreifer frei im Netz bewegen.

  • 6. Mai

    „Mit Hilfe extrahierter Passwörter und diverser Remote Desktop Programme“ sind die Angreifer auf andere Server gelangt.

  • 7. Mai

    CC BY-SA 3.0 via wikimedia/RRZEIcons
    Die Angreifer versuchen, erste Daten aus dem Bundestagsnetz zu übertragen. Die Übertragung scheiterte an der Größe der Datei.

  • 8. Mai

    „Im Rahmen der normalen Betriebsüberwachung“ sind unübliche Kommunikationsverbindungen zwischen Bundestagsverwaltung und einem Abgeordnetenbüro festgestellt worden. Die Rechner wurden ausgetauscht. Es habe sich „zunächst um Untersuchungen im Rahmen des Alltäglichen“ gehandelt. Später wurde festgestellt, dass die betroffenen Rechner auch Verbindung zu einem Server einer Fraktion hatten. Auf diesem Server wurde auch ein unüblicher Zugriff eines fraktionseigenen Rechners festgestellt. Es wurden dafür Accounts von Administratoren benutzt, ohne deren Wissen.

  • 12. Mai

    Das Bundesamt für Verfassungsschutz setzt sich mit der Geheimschutzstelle des Bundestags in Verbindung. Es hat Infos aus dem Ausland bekommen – von Bundestagsrechnern sollen auffällige Mails geschickt worden seien. Die Geheimschutzstelle informiert das Bundestagsreferat für IT-Sicherheit. Erst jetzt wird der Angriff richtig ernst genommen. Zwei Rechner aus dem Bundestag hatten Kontakt zu einem potentiell gefährlichem Server im Ausland. Auch BSI und Cyberabwehrzentrum wurden vom BfV in Kenntnis gesetzt.

  • 15. Mai

    CC BY 2.0 via flickr/Eric
    Mitarbeiter des BSI sprechen mit dem Bundestag über erste Schritte, BSI und Bundestags-IT beginnen mit den Analysen. Alle Rechner im Bundestag werden mit einer Minute Vorwarnzeit heruntergefahren.

  • 16. Mai

    Drei Mitarbeiter des BSI und zwei externe Mitarbeiter der Firma BFK nehmen die Arbeit auf. Laut eigenen Angaben verfügt das BSI über 15 Personen mit der nötigen Kompetenz, diese sind jedoch gleichzeitig mit dem Schutz der Regierungsnetze beschäftigt.

    Später werden insgesamt zehn Mitarbeiter des BSI, die IT-Sicherheitsfirma BFK und ein „Spezialist der T-Systems für das Active Directory“ im Einsatz sein.

  • 18. Mai

    Das BSI beginnt den Einsatz seines Schadprogramm-Präventionssystems (SPS). Ex-BSI-Präsident Michael Hange in der Sitzung der IuK-Kommission am 11. Juni:

    Durch Presseveröffentlichungen […] musste am 18. Mai die erste Phase „Analyse“ direkt in die zweite Phase „Übergangsbetrieb“ übergehen, da davon auszugehen war, dass der Angreifer über die Entdeckung des Angriffs in Kenntnis gesetzt worden sei.

  • 20. Mai

    Die Obleute der IuK-Kommission werden über eine Verlängerung der Speicherfrist von Verbindungsdaten im Bundestag von sieben Tagen auf maximal drei Monate informiert.

    Der letzte festgestellte Datenabfluss findet statt.

  • 21. Mai

    Die IuK-Kommission tagt zum Thema Bundestagshack.

    Die IP-Adresse, an die Daten abgeflossen sind, wird gesperrt.

  • 27. Mai

    CC BY 2.0 via flickr/chingster23
    Die letzte erkannte Aktion des Angreifers ist die Installation eines Schadprogramms. In der 7. Sitzung der IuK-Kommission warnt ein BSI-Mitarbeiter, dass der Angriff dennoch nicht vorbei ist, sondern Maßnahmen zur „Erneuerung und Härtung der IT-Systeme“ nötig sind, „da sonst die Kompromittierung des Gesamtsystems weiter bestehen bleibe.“

  • 5. Juni

    Bundesamt für Verfassungsschutz
    Der Präsident des BfV, Hans-Georg Maaßen, bietet die Mithilfe seiner Behörde an. Er bittet darum, dass das BfV Informationen vom BSI erhalten darf.

  • 10. Juni

    Die Mitglieder der Kommission erhalten einen Aktenvermerk zu einem Gespräch mit BfV-Präsident Hans-Georg Maaßen.

  • 11. Juni

    Der GBA hat dem Bundestag mitgeteilt, dass er prüft, ob er ein Ermittlungsverfahren einleiten wird und schickt dem Bundestag einen Fragenkatalog. Das BSI informiert die Mitglieder der Kommission, …

    […] dass zwischenzeitlich das BSI gemäß seines gesetzlichen Auftrages das BfV über den Angriff auf den Bundestag in einer als geheim eingestuften Unterlage informiert habe.

  • 19. Juni

    IT im Bundestag. Noch zu retten? Quelle: anonym
    Auf netzpolitik.org veröffentlichen wir eine Analyse von Claudio Guarnieri, der Rechner der Linksfraktion untersuchte und verdächtige Artefakte fand. „Eines ist ein Open-Source-Tool, mit dem man per Fernzugriff von einem Linux-Rechner aus Befehle auf einem Windows-Recher ausführen kann. Das andere ist ein spezielles Tool, das trotz seiner großen Dateigröße nur sehr begrenzte Funktionalitäten hat.“

  • 2. Juli

    Es findet eine Diskussion über die geplante Neuaufsetzung der Systeme und die Beschaffung eigener Sicherheitssysteme für den Bundestag statt.

  • 30. Juli

    Bundestagspräsident Norbert Lammert informiert die Abgeordneten, dass die IT-Systeme des Bundestags voraussichtlich am 13. August abgeschaltet werden sollen, mit einer Einschränkung:

    Sollte sich aufgrund der weiteren Entwicklung im Zusammenhang mit den Verhandlungen über ein drittes Rettungsprogramm für Griechenland abzeichnen, […] werde ich Sie über einen neuen Termin informieren.

  • 20. August

    Vorbereitung für die Neuaufsetzung der Systeme: Die PCs im Bundestag werden heruntergefahren, die Nutzerkonten gesperrt und die Domänencontroller isoliert.

  • 21. August

    Um 23:00 Uhr wird der Ablaufplan für die Neuaufsetzung umgestellt, weitere Hardware wird aufgebaut.

  • 23. August

    Erste „einfache Funktionstests“ deuten darauf hin, dass die Neuaufsetzung der Systeme erfolgreich war.

  • 24. August

    Es erfolgen letzte Tests, die Internetverbindung wird wieder zugeschaltet. Um 11:30 Uhr wird durch eine Lautsprecheransage mitgeteilt, dass wieder eine Internetverbindung besteht.

  • 10. September

    Die Neuaufsetzung der Server war nur der Anfang. Die Kommission wird über weitere Maßnahmen informiert. Zusammen mit T-Systems wird ein Plan zur Erneuerung und Absicherung der IT entwickelt.

    In den vergangenen zwei Monaten hätten nicht alle Maßnahmen abschließend durchgeführt werden können. Es seien die Maßnahmen, die eine Betriebsunterbrechung erforderlich machten, umgesetzt worden.

  • 5. November

    Zu dieser Sitzung liegt noch kein Protokoll vor. Laut Tagesordnung stellt das BSI seinen Abschlussbericht vor.

  • 17. Dezember

    Kein Protokoll vorhanden.

  • 15. Januar 2016

    Im Januar 2016 teilte das Bundesamt für Verfassungsschutz Erkenntnisse mit, aufgrund derer davon auszugehen ist, dass es sich um einen geheimdienstlich gesteuerten Angriff gehandelt haben könnte. Daraufhin hat die Bundesanwaltschaft am 15. Januar 2016 förmliche Ermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit gegen unbekannt aufgenommen.

7 Ergänzungen

  1. Die längeren Aufklapp-Texte werden auf mobilen Browsern wie Firefox und Chrome unter Android leider nicht vollständig dargestellt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.