Wer steckt hinter der Hacker-Attacke auf den Deutschen Bundestag? Experten werten alle Spuren aus, die sie finden können, und stoßen immer wieder auf die russische Hackergruppe "Sofacy". Doch womöglich erfolgte der Angriff unter falscher Flagge.

Beim Cyber-Angriff auf den Bundestag führen konkrete Spuren zu einer unter dem Namen "Sofacy" bekannten russischen Hackergruppe. Das bestätigten mit der Untersuchung vertraute Experten. Zuvor hatte die Linksfraktion am Freitag den Untersuchungsbericht eines von ihr engagierten IT-Sicherheitsforschers zu einem Hacker-Angriff auf zwei separate Computerserver der Fraktion vom Frühjahr veröffentlicht. Auch darin ist von "Sofacy" die Rede.

Offenbar dauert die Attacke auf den Bundestag schon wesentlich länger als bisher bekannt - wahrscheinlich wurde sie vor etwa einem halben Jahr gestartet. Linke-Fraktionsgeschäftsführerin Petra Sitte sagte: "Wir können nicht mit Sicherheit sagen, ob es sich hier um den gleichen Angriff wie bei der Bundestags-IT handelt." Die Angriffe hätten aber im gleichen Zeitraum stattgefunden, zudem gebe es erhebliche Ähnlichkeiten. Mit den Ermittlungen zum Bundestagsnetzwerk "Parlacom" vertraute Experten sagten, auch dort seien Hinweise auf die Hacker-Gruppe "Sofacy" gefunden worden.

Nach Einschätzung des Computer-Experten Andy Müller-Maguhn sollte die Attacke auf den Bundestag allerdings nicht voreilig auf Angreifer aus Russland zurückgeführt werden. "Die Zuordnung eines solchen Trojaners zu einer spezifischen Tätergruppe ist in rechtssicherer Form unmöglich", sagte der langjährige Sprecher des Chaos Computer Clubs. Angriffe könnten auch "unter fremder Flagge" geführt werden.

E-Mail-Daten von Abgeordneten kopiert

Insider gehen davon aus, dass die Hacker den von ihnen eingesetzten Trojaner in mehreren Angriffswellen Stück für Stück nach Art eines Puzzles auf den betroffenen Computern des Bundestagsnetzes zusammengesetzt haben. Entdeckt wurde der Angriff erst, als die Schadsoftware Anfang Mai aktiv wurde und Daten abgeflossen waren. Experten schließen nicht aus, dass darunter auch Unterlagen des NSA-Untersuchungsausschusses waren.

Wie der "Spiegel" berichtet, wurden in jedem Fall auch E-Mail-Daten von Abgeordneten kopiert. Bundestagssprecher Ernst Hebeker sagte dem Blatt, "dass bei dem Angriff E-Mail-Daten von Abgeordneten abgeflossen sind". Über Art und Umfang der von den Angreifern erbeuteten Daten machte Hebeker keine Angaben und verwies auf die noch nicht abgeschlossenen Untersuchungen.

Nicht bestätigen wollte Hebeker indes einen Medienbericht, wonach auch ein Computer im Bundestagsbüro von Kanzlerin Angela Merkel mit dem Trojaner infiziert worden sei. Am Wochenende hatte "Bild am Sonntag" berichtet, der Merkel-Rechner sei "einer der der ersten" gewesen, "bei dem der Trojaner nachgewiesen werden konnte".