Berlin – Hinter dem Hacker-Angriff auf den Fahrdienst von Bundeswehr und Bundestag steckt nach neuen Erkenntnissen ein Erpressungsversuch.
Das geht aus einem „Bericht zum aktuellen Sachstand“ der Untersuchung hervor, den die Geschäftsführung der betroffenen Bundeswehr-Tochterfirma BwFuhrparkService erstellt hat.
Vor einer Woche war bekannt geworden, dass Hacker einen Cyberangriff auf die Servicegesellschaft für den Fuhrpark der Bundeswehr verübt hatten. „In der vergangenen Woche gab es einen Angriff eines noch nicht identifizierten Externen auf das IT-Netz des Unternehmens“, teilte das Verteidigungsministerium am vorigen Wochenende mit. Der Vorfall sei dem Ministerium am 13. August gemeldet worden. Auch der Fahrdienst des Deutschen Bundestages war nach eigenen Angaben betroffen.
Die Gesellschaft BW Fuhrpark gehört zu 75,1 Prozent dem Verteidigungsministerium und zu 24,9 Prozent der Deutschen Bahn AG. Sie übernimmt neben anderem auch den Fahrdienst des Bundestags.
Bundestagsvizepräsidentin Petra Pau (Linke) sagte dem RND: „Ziel der Aktion war offenbar nicht, auf Informationen über die Abgeordneten zuzugreifen, sondern die Bundeswehr zu erpressen.“ Allerdings sei nicht ausgeschlossen, dass die Hacker Zugriff auf die Abgeordneten-Daten hatten, die der Fahrdienst zum Zeitpunkt des Angriffs gespeichert hatte, so Pau. „Insofern war der Bundestag ebenfalls betroffen.“
Laut dem Untersuchungsbericht wurde das Netzwerk des Fahrdienstes zunächst durch den Erpressungstrojaner „Emotet“ via E-Mail infiziert. In der Infektionskette folgten darauf der Erpressungstrojaner „QakBot“ und darauf die Schadsoftware „Cobalt Strike“, ein „Werkzeugkasten für manuelle Angriffe“, so das Papier mit Stand vom Freitagnachmittag. Mögliche Täter werden im Bericht nicht erwähnt.
Aktiv war die Schadsoftware demnach ausschließlich am 12. August, am Tag darauf war die Internet-Verbindung gekappt worden. Befallen war vor allem die Windows-Umgebung der Fuhrpark-Firma. „Hiervon sind auch Systeme betroffen, die im Zusammenhang mit dem Fahrdienst für den Deutschen Bundestag genutzt werden und auf welchen auch personenbezogene Daten gespeichert sind“, heißt es weiter. Zwar sei ein Abfluss von Daten derzeit nicht nachgewiesen. Allerdings „bestand bis zur zeitnahen, vollständigen Trennung der Netze vom Internet am 13.08.2020 durch die BwFPS die praktische Möglichkeit hierzu“.
Umfang und Muster des Angriffs ließen aber vermuten, dass kein gezielter Angriff auf Daten von Abgeordneten stattfand, heißt es weiter. „Es ist vielmehr von der Vorbereitung einer Erpressung der BwFPS auszugehen.“ Offenbar wollten die Täter das Netzwerk der Bundeswehr-Tochter lahmlegen und dann erst gegen Geld wieder freischalten.
Laut Petra Pau, die auch Vorsitzende der Bundestags-Kommission für Informations- und Kommunikationstechnik (IuK) ist, laufen die Untersuchungen weiter. „Auch der Fahrdienst ist gewährleistet“, sagte Pau. „Es geht jetzt darum, Wiederholungen zu verhindern.“
Die Geschäftsführung der BwFPS erklärt in den Bericht, mit der weiteren Aufklärung seien unter anderem IT-Spezialisten des „Cyber Emergency Response Teams“ (CERT) der Bundeswehr sowie das Bundeskriminalamt und von nun auch Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst. Das BSI soll einen möglichen Abfluss von Abgeordnetendaten prüfen.
(dts Nachrichtenagentur)
Diesen Artikel drucken