Viel Wind um einen erfolglosen Phishing-Angriff auf den Bundestag

Ende August erreichten den Bundestag Phishing-Mails, der Angriff blieb erfolglos. Phishing-Angriffe sind alltäglich, doch bei diesem war die Medienaufmerksamkeit auffällig groß. Das Bundesamt für Sicherheit in der Informationstechnik lud Parteien und Fraktionen zu einem kurzfristigen Treffen ein, von dem die meisten aber nicht rechtzeitig erfuhren.

Einer von vielen erfolglosen Phishing-Angriffen auf den Bundestag – doch dieser wurde medial hochgespielt. CC BY 2.0 via flickr/MiGowa

Nach dem Bundestagshack im letzten Mai verursachte ein neuerliches Ereignis Schlagzeilen: Mitte August erreichen neue, gezielte Phishing-Mails den Bundestag. Doch nicht nur den: Auch weitere Mitglieder der Parteien werden angegriffen.

Die Phishing-Mails täuschten vor, von der NATO zu stammen. In ihnen befand sich ein Link. Der Text suggerierte, dass sich hinter dem Link wichtige Informationen befänden. Zum Erdbeben in Italien oder dem Putsch in der Türkei. Folgte man dem Link, hätte der eigene Rechner mit Schadsoftware infiziert werden können.

Angriff blieb erfolglos

Diesmal konnte die Mail dem Bundestag nicht schaden, denn die Server, zu denen der Link führte, standen bereits auf einer Sperrliste. Der Internetverkehr des Bundestages wird gefiltert. Seiten, die als gefährlich eingestuft beziehungsweise bekannt sind, werden blockiert. Ein Teil des Bundestages wird seit dem Hack im letzten Jahr immer noch über den Informationsverbund Berlin-Bonn, kurz IVBB, geleitet – das Netz der Obersten Bundesbehörden, wie etwa Ministerien. Manchmal kommt es dabei zu Nebeneffekten, auch eigentlich seriöse Inhalte sind zum Teil nicht erreichbar.

Nach Informationen, die netzpolitik.org vorliegen, gab es unter 100 Phishing-Mails, die in etwa gleichen Anteilen an Mitglieder des Bundestags oder die Bundestagsverwaltung gingen. Das konkrete Vorkommnis wurde zwar erst Anfang September, drei Wochen nach der ersten Schad-Mail, bekannt, konnte aber nachvollzogen werden.

Infolge des erfolgreichen Hackingangriffs im letzten Jahr werden die Protokolldaten im Bundestag wieder für drei Monate gespeichert. Dabei ist diese Maßnahme durchaus umstritten. In einer Sitzung der Kommission für Kommunikationstechniken und -medien (IuK-Kommission) im November 2015 stimmten die Abgeordneten der Opposition gegen diese Maßnahmen, Unionsfraktionen und SPD stimmten der Fortsetzung der hauseigenen Vorratsdatenspeicherung zu.

Der Bundesverfassungsschutz schaltet sich ein

Wirkliche Aufregung erzeugte die erfolglose Phishing-Mail erst, als sich am 7. September das Bundesamt für Verfassungsschutz einschaltete. Der Inlandsgeheimdienst teilte mit, dass er von der NATO den Hinweis bekommen habe, dass Mails unter ihrem Namen verschickt wurden. Schon beim letzten bekanntgewordenen Hackingvorfall im Bundestag gab der Verfassungsschutz dem Bundestag Hinweise auf den Angriff.

BSI lädt zu Informationsveranstaltung zu aktuellen „Cyber-Angriff“ ein

Dann ging alles plötzlich sehr schnell. Ein wenig zu schnell sogar. Am Abend des 8. Septembers versandte Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), eine Mail mit dem Betreff:

EILT! Kurzfristige Informationsveranstaltung zu aktuellen Cyber-Angriffen auf politische Parteien in Deutschland

Sie enthielt eine Einladung für den nächsten Tag. In den Räumen des Bundestags wolle der BSI-Präsident alle Parteien im Bundestag über die „aktuelle Angriffswelle“ informieren, sie sei „breit angelegt“. Die Mail erweckte – vor dem Hintergrund der Hacking-Angriffe auf die Demokraten in den USA – unschöne Erwartungen.

Pikant: Die Mail erreichte nur einen Bruchteil derer, die benachrichtigt werden sollten. Die Auswahl des Empfängerkreises wirkt wirr und konzeptlos. Protokollgerecht wäre es gewesen, neben den Parteispitzen den Präsidenten des Bundestags, Norbert Lammert, zu benachrichtigen, sowie den Ältestenrat und dessen IuK-Kommission. Das jedoch blieb aus. Stattdessen stehen in der Empfängerliste teils generische Adressen, wie die der CSU-Landesgruppe oder info@gruene-bundestag.de.

Viele erst durch Medienberichte vom Treffen mit dem BSI informiert

In der Folge wurden viele der zuständigen Politiker nicht informiert, dass BSI-Präsident Schönbohm am 9. September kurzfristig ein Informationstreffen durchführte. Nicht einmal der Bundestagspräsident hatte von der Nutzung des eigenen Hauses durch das BSI erfahren, geschweigedenn wurde er um Erlaubnis gefragt. Ein höchst ungewöhnliches Vorgehen. Das Treffen selbst wurde einem Großteil der im Bundestag Beschäftigten erst durch Medienberichte bekannt.

Aufgrund des fragwürdigen Vorgehens stellen sich mehrere Fragen: Warum erreichte die Mail des BSI zur Information einen solch unausgegorenen Empfängerkreis? Warum erfuhren viele der Zuständigen erst durch Presseberichte von dem Termin mit Schönbohm? Warum bestand plötzlich solche Eile? Immerhin lag der Vorfall mit den Phishing-Mails bereits zwei Wochen zurück und blieb folgenlos.

Warum all die Panik?

Die vielleicht wichtigste Frage lautet aber: Warum wurde die Sache überhaupt derartig hochgekocht? Nüchtern betrachtet ist diese Art von Angriff auf den Bundestag nicht ungewöhnlich: Im BSI-Bericht zur Lage der IT-Sicherheit in Deutschland wurde ausgeführt, dass 2015 pro Tag etwa 15 Angriffe auf Regierungsnetze detektiert wurden. Alle zwei Tage wurde ein Angriff beobachtet, der einen nachrichtendienstlichen Hintergrund nahelegt. Für das Bundestagsnetz dürfte das ähnlich aussehen und doch lesen wir nicht ständig Meldungen darüber, gerade, wenn ein Angriff nicht erfolgreich war. Noch dazu wurden die Mitarbeiter im Bundestag bereits vor der Information des BSI über ein erhöhtes Phishing-Mail-Aufkommen informiert und zur Umsicht beim Öffnen von Mails gewarnt.

Es gibt für die Informationsveranstaltung des BSI wenig gute Gründe. Auch dass Schönbohm SZ, NDR und WDR gegenüber äußerte, man habe dies „vor dem Hintergrund der amerikanischen Ereignisse“ getan – dem Veröffentlichen Tausender Mails aus der Demokratischen Partei – erscheint nur bedingt plausibel.

Aufarbeitung des Hackingangriffs 2015 lange nicht abgeschlossen

Eine Besonderheit hat der Angriff dennoch: Sein Ursprung wird bei der der sogenannten Sofacy Group vermutet, die auch den Bundestagshack aus dem Jahr 2015 durchführte, damals mit Erfolg. Und auch wenn es schon eine Weile her ist: Die Aufarbeitung des Bundestagshack ist noch lange nicht vorbei. Ende letzten Jahres beschloss die IuK-Kommission, neben akuten Verbesserungen der Sicherheitsvorkehrungen, eine ausführliche Sicherheitsanalyse des Bundestagsnetzes durchführen zu lassen. Derzeit befindet sich die Analyse noch in ihrer Entstehung. Es werden unter anderem Geschäftsprozesse und diesbezügliche IT-Sicherheitsmaßnahmen analysiert. Mit Ergebnissen wird Anfang 2017 gerechnet.


Einladung des BSI zu einer Informationsveranstaltung

An die

CDU/CSU Bundestagsfraktion
Fraktionsvorsitz
Herr Volker Kauder
Platz der Republik 1
11011 Berlin
per E-Mail:fraktion@cducsu.de

CDU-Bundesgeschäftsstelle
Bundesgeschäftsführer
Herr Dr.Klaus Schüler
Klingelhöferstraße 8
10785 Berlin
per E-Mail: klaus.schueler@cdu.de

CSU Landesgruppe im Deutschen Bundestag
Vorsitz
Frau Gerda Hasselfeldt
Platz der Republik 1
11011 Berlin
per E-Mail:csu-landesgruppe@cducsu.de

SPD Bundestagsfraktion
Fraktionsvorsitz
Thomas Oppermann
Platz der Republik 1
11011 Berlin
per E-Mail:fraktionsbuero@spdfraktion.de

SPD Parteivorstand
Bundesgeschäftsführerin
Juliane Seifert
Wilhelmstraße 141
10963 Berlin
per E-Mail:juliane.seifert@spd.de

Fraktion DIE LINKE. im Bundestag
Frau Dr. Sahra Wagenknecht
Herrn Dr. Dietmar Bartsch
Platz der Republik 1
11011 Berlin
per E-Mail an:
sahra.wagenknecht@bundestag.de
dietmar.bartsch@bundestag.de

Bundesgeschäftsstelle der Partei DIE LINKE
Leiterin der Bundesgeschäftsstelle
Frau Claudia Gohde
Karl-Liebknecht-Haus
Kleine Alexanderstraße 28
10178 Berlin
per E-Mail an:claudia.gohde@die-linke.de

BÜNDNIS 90/DIE GRÜNEN Bundestagsfraktion
Fraktionsvorsitz
Frau Katrin Göring-Eckardt
Herrn Dr.Anton Hofreiter
Platz der Republik 1
11011 Berlin
per E-Mail an:info@gruene-bundestag.de

Bundesgeschäftsstelle BÜNDNIS 90/DIE GRÜNEN
Bundesgeschäftsführer
Herr Michael Kellner
Platz vor dem Neuen Tor 1
10115 Berlin
per E-Mail an: buero.kellner@gruene.de

Betreff: Kurzfristige Informationsveranstaltung zu aktuellen Cyber-Angriffen auf politische Parteien in Deutschland

Datum: 8. September 2016

Sehr geehrte Damen und Herren,

aus aktuellem Anlass lade ich Sie hiermit kurzfristig zu einer Informationsveranstaltung am 9.September 2016, 13.00 – 14.00 Uhr, im Deutschen Bundestag, Paul-Löbe-Haus, Raum 2501, ein, bei der wir Sie über eine aktuelle Welle von Cyber-Angriffen auf die politischen Parteien in Deutschland informieren möchten. Sofern Sie nach bisherigem Kenntnisstand unmittelbar betroffen sind, wurden Sie bereits durch das Bundesamt für Verfassungsschutz informiert.

Da die aktuelle Angriffswelle breit angelegt ist, möchten wir im Sinne einer umfassenden Prävention alle im Bundestag vertretenen politischen Parteien informieren.

Im Rahmen der Veranstaltung werden wir Ihnen Informationen zur Verfügung stellen, wie Sie das Risiko einer Infektion grundsätzlich minimieren können sowie Ihnen für die Bewältigung des aktuellen Falls unsere technische Unterstützung anbieten.

Es wäre gewinnbringend, wenn Sie sich bei der Veranstaltung durch ein Mitglied Ihres IT-(Sicherheits-)Teams begleiten lassen könnten.

Für Rückfragen können Sie sich gerne an XXXX wenden.

Mit freundlichen Grüßen,

Arne Schönbohm

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

13 Ergänzungen

  1. „Die Auswahl des Empfängerkreises wirkt wirr und konzeptlos“

    -> Parteivorsitzende und Geschäftsführung?

  2. Es wäre mal für die berliner Politiker eine Informationsveranstaltung zur sicheren Internetnutzung angebracht. Evtl. kann der CCC ein Angebot unterbreiten? ;)

    1. Diese Leute (Politiker) verlassen sich zu sehr darauf, das die IT „Wunderwaffen“ einsetzt … die sie vor allem und jedem schützen … diesen Politikern zu vermitteln, das sie auch hin und wieder mal die Mails anzweifeln … eine Bizarre Vorstellung!
      Diese Leute setzen sich in die Veranstaltung und stellen nicht die Fragen, die sie stellen möchten, aus Angst, das ein Herr Öttinger mit in der Veranstaltung sitzt und dieser über die Frage des „Mitpolitikers“ mit all seinem Charme her ziehen würde!
      Klar ist das nur ein Beispiel … aber der Druck der da hinter steht … mit seinen Fragen den „Anderen“ seine „Unzulänglichkeit“ Preis zu geben … Politiker sind da eigen … wer dei Wahrheit nicht sehen will, leugnet diese auch, wenn sie eineindeutig nachgewiesen wird!

  3. Als Betreiber einer Infrastruktur muss man regelmäßig seine Nutzer auf Gefahren aufmerksam machen. Dazu sind aktuelle Events das bevorzugte Lehrmaterial.

    Warum gerade jetzt? Nun, die Sommerpause ist vorbei und viele Abgeordnete stecken bereits tief in ihrem Alltagsgeschäft. Daher ist der Weckruf jetzt genau richtig getimed, um sicherheitsbewusstes Userverhalten einzufordern.

    Warum der Medienhype? Gute Frage! Dies liegt in der Verantwortung medialer Aufarbeitung. auch netzpolitik.org hätte auf das Thema verzichten können, tat es aber nicht.

    1. … unser Admin schickt auch hin und wieder Informationsmails über Phishing, Trojaner und und und rum … auch wenn sie nicht in unserem „Postkasten“ landen, der heimische ist genau so gefährdet, das weiß der auch und viele Viren und Trojaner nisten sich zuerst auf der heimischen Büchse ein und landen dann auch aus Unachtsamkeit z.B. via USB Stick auf den Firmenbüchsen …

    2. Vielleicht gibt es ja interessierte Kreise, die ein Bedrohungsszenario aufrechterhalten wollen? Wie wäre es mit dem Verfassungsschutz, der auf jeden Fall weiterhin über den Informationsverbund Berlin-Bonn im Bundestag mithören möchte? Würde mich ja nicht wundern, wenn die Panikmache von dieser Seite kommt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.