Trojaner-Angriff auf Bundestag: "Merkel-Mail" leicht erkennbarer Fake
Eine angeblich von der Bundeskanzlerin verschickte Mail verleitete Bundestagsabgeordnete dazu, auf einen Link zu klicken und ihren Rechner zu infizieren. Dabei war die Fälschung leicht zu durchschauen.
- Detlef Borchers
Ab dem 4. Mai 2015 zirkulierte eine merkwürdige E-Mail im Netz des deutschen Bundestages, in der Bundeskanzlerin Angela Merkel unter Verweis auf ein früheres Schreiben eine Telefonkonferenz ankündigte. Es gebe Diskussionsbedarf zum Thema "Paritätische Doppelresidenz" (PDR), ließ die angebliche Kanzlerin die Parlamentarier wissen: "Im Anhang findet Ihr außerdem aktuelle PDR-Informationen." Wer auf diesen Anhang klickte, gelangte auf verschiedene Server und infizierte damit sein Windows-System mit einem Trojaner, der alle nach dem 1. Mai 2015 angelegten Word-Dokumente an einen Control Server schickte. Dabei war die Fälschung leicht als solche zu erkennen.
Unterschiedliche Einschätzungen
Über die Folgen dieser Infektion der parlamentarischen IT kursieren sehr unterschiedliche Einschätzungen, was nicht nur Parlamentarier verärgert. Unterdessen laufen die Ermittlungen weiter. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), ein "noch zu beauftragender externer Dienstleister" und der Verfassungsschutz als "begleitende Behörde" sind mit der Untersuchung des Angriffs beschäftigt. Parallel dazu müsse "rasch auch mindestens in Teilen mit einer Neuaufsetzung des IT-Systems des Deutschen Bundestages beginnen", erklärt Bundestagspräsident Norbert Lammert in einem Rundschreiben an die Parlamentarier. "Nach derzeitigem Kenntnisstand ist das nicht mit einem Austausch von Hardware verbunden."
Am Montag kamen in Berlin mehrere Spezialisten der Computer Emergency Response Teams zur FIRST-Konferenz zusammen. Die Experten halten die die Mail für einen leicht erkennbaren Fake. Auch Laien hätte eine "Angela Merkel" mit der E-Mail-Adresse einer Gärtnerei unweit des G7-Gipfelschlosses Elmau auffallen müssen. Schwieriger sei schon der Download-Link mit der Adresse
http://eudoxap01.bundestag.btg:8080/eudox/20150608-PDRInformationen.pdf
zu enttarnen, der zu 12 verschiedenen infizierten Servern in Deutschland, Tschechien und der Schweiz führte. Schulungen und ständige Warnungen, nicht ohne Prüfung auf Links zu klicken, sowie Link-Verkürzer generell zu meiden, haben im Parlament offenbar wenig gefruchtet.
Getrolle oder Geheimdienste?
Die Fachleute in Berlin tippen auf einen Angreifer, der einmal zeigen wollte, wie fahrlässig mit Rechnern im Bundestag gearbeitet wird. Die Interpretation von Netzpolitik, dass US-Geheimdienste auf wenig subtile Weise zeigen wollte, wo der Hammer hängt, wird abgelehnt. Auch die Variante, das es sich um einem möglichen russischen Angriff handelt, wird von Experten skeptisch gesehen. Warum sollten Geheimdienste auf solch einer Ebene "trollen" und den Angriffsvektor "verbrennen", fragte ein BSI-Experte. (anw)
