Der CDU-Digitalexperte Thomas Jarzombek bezeichnet Meldungen, wonach das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Bundestagsverwaltung empfohlen haben, das von einem Hacker-Angriff beschädigte Netzwerk komplett aufzugeben, als „Unsinn“. Die IT-Website Golem zitiert Jarzombek mit der Aussage, dass es seit zwei Wochen laut BSI trotz „intensivster Analyse“ keine Datenabflüsse aus dem Bundestag-Netzwerk mehr gab: Denkbar sei allerdings, „dass die Angreifer Hintertüren im IT-System installiert haben, die sie noch nicht genutzt haben.“ Daher sei weiterhin Vorsicht geboten. Der Wochenzeitung Die Zeit sagte Jarzombek: „Von einem Totalschaden kann keine Rede sein." Es wurde „lediglich eine Handvoll Bundestagsrechner, 15 an der Zahl, angegriffen, doch die schädlichen IP-Adressen wurden gesperrt“. Der CDU-Mandatar ist Mitglied der Kommission Internet und Kommunikation (IuK) im Ältestenrat des Bundestags.
Während also noch keine Klarheit über das Ausmaß des Schadens besteht, machen bereits erste Spekulationen die Runde. Der Spiegel meldet: „Unterdessen verdichten sich Hinweise, dass die Spur der Cyberattacke in östliche Geheimdienstkreise führt. Experten liegen Anhaltspunkte dafür vor, dass der russische Auslandsnachrichtendienst SWR hinter der Spähaktion steckt.“ Der Spiegel schreibt nicht, wer die „Experten“, welche „Anhaltspunkte“ diesen vorliegen und wie sich die „Hinweise“ auf eine russische Täterschaft „verdichten“.
Die dpa kann zwar auch keine konkreten Aussagen zitieren, meldet jedoch, dass sie „Informationen“ habe, wonach „noch keine Gewissheit, aus welchem Land und von wem der vor vier Wochen entdeckte Cyberangriff ausgeführt wird“ (sic). Allerdings grenzt die dpa trotz mangelnder „Gewissheit“ den Täterkreis schon einmal vorsorglich im russischen Umfeld ein. Die Agentur schreibt: „Unter anderem ist noch unklar, ob es sich um einen russischen Geheimdienst oder eine andere russische Organisation handelt. In Russland gibt es enge Verbindungen zwischen den Geheimdiensten und der organisierten Kriminalität.“
Die dpa schreibt: „Hinter der bisher größten Cyber-Attacke auf den Deutschen Bundestag steckt möglicherweise Moskau. Hinweise, die auf Russland als Ursprungsland des Angriffes deuteten, hätten sich verstärkt, erfuhr die Deutsche Presse-Agentur am Donnerstag in Berlin aus mehreren Quellen.“ Als einzige Quelle nennt die dpa dann den Verfassungsschutzpräsidenten Hans-Georg Maaßen: Dieser sagte der dpa, er habe die Sorge, „dass es sich um einen Cyberangriff eines ausländischen Nachrichtendienstes handelt“.
Die Nachrichtenagentur Reuters erwähnt die Russen im Zusammenhang mit dem Bundestag noch nicht und schreibt: „Die Cyberattacke war Mitte Mai bekanntgeworden. Nach Angaben aus Parlamentskreisen verdichtet sich der Verdacht auf ausländische Geheimdienste.“
Die deutschen Geheimdienste und Bundeskanzlerin Angela Merkel waren in den vergangenen Wochen unter massiven Druck geraten, weil sie fortgesetzt Daten von deutschen Staatsbürgern und Unternehmen an die US-Dienste weiterreichen. Ein „russischer“ Angriff könnte den deutschen und den US-Diensten etwas Entlastung in der öffentlichen Debatte verschaffen. BND-Chef Schindler hatte erst kürzlich gesagt, dass die deutschen Dienste ohne die US-Dienste ziemlich in der Bredouille säßen. Möglicherweise könnte Deutschland die US-Kollegen nun bitten, sie im Kampf gegen die „russische“ Cyber-Kriminalität zu unterstützen.
US-Präsident Barack Obama hat vor wenigen Wochen einen Erlass publiziert, der Cyber-Attacken als Terrorismus qualifiziert, weshalb die US-Regierung auch gegen Staaten militärisch vorgehen könne, die nach dem Urteil Washingtons Hacker-Angriffe durchführen. Ob im Fall eines Hacker-Angriffs auf ein Nato-Land automatisch der Bündnisfall eintritt, ist nicht eindeutig geklärt.
Allerdings hat sich die Nato schon einmal sicherheitshalber zu Wort gemeldet: «Ein Cyberangriff in einer bestimmten Größenordnung ist gleichzusetzen mit einem bewaffneten Angriff», sagte der stellvertretende Nato-Generalsekretär Jamie Shea am Donnerstag in Potsdam, wie die dpa berichtet. „Der Nato-Verteidigungsmechanismus Artikel 5 gilt für einen Cyberangriff“, sagte Shea auf der Sicherheitskonferenz des Hasso-Plattner-Instituts.
Allerdings beschrieb Shea nicht genau, wie schwerwiegend ein digitaler Angriff sein müsse, um das Militärbündnis auf den Plan zu rufen. „Wir haben keine genaue Schwelle“, sagte er. Die Angriffe müssten ein großes Maß an Zerstörung oder wirtschaftlichen Schaden auslösen.
Der Nordatlantikpakt regelt mit Artikel 5, dass ein Angriff auf einzelne Mitglieder den kollektiven Verteidigungsfall auslöst, auch mit Waffengewalt. Shea sagte, dass auf digitale Angriffe nicht nur auf digitalem Wege reagiert werden müsse. Bisher gab es den Nato-Bündnisfall erst einmal: nach den Anschlägen vom 11. September. Er gilt immer noch, weil der Krieg gegen den Terror ad infinitum verlängert wurde.
Das Thema könnte auch Frankreich interessieren. Die Franzosen haben nämlich ihrerseits die Russen als mögliche Urheber des Hacker-Angriffs auf einen TV-Sender ausgemacht. Reuters berichtet:
Nach dem Hackerangriff auf den französischen Fernsehsender TV5Monde überprüfen Ermittler Justizkreisen zufolge eine Verbindung zu russischen Hackern. Man gehe vor allem dieser Spur nach, sagte ein Insider und bestätigte einen Bericht der Zeitschrift "L'Express". Demnach halten es die Ermittler für weniger wahrscheinlich, dass die Tat auf Islamisten zurückgeht.
Wegen des Hackerangriffes fielen im April vorübergehend elf Kanäle des Senders aus. Auf sozialen Medien von TV5 wurde außerdem gegen die französische Beteiligung an der Militäraktion gegen die Extremistenmiliz Islamischer Staat (IS) im Irak protestiert. Informationen über den Angriff wurden auf eine Webseite gestellt, die als Teil eines "Cyberkalifates" bezeichnet wurde. Dies war eine Anspielung auf den IS.
Die US-Sicherheitsfirma FireEye erklärte aber nun, sie gehe von einem Angriff einer russischen Gruppe aus, die vermutlich Verbindungen zur Regierung in Moskau habe. So hätten die Hacker für die "Cyberkalifat"-Webseite den selben Block von IP-Adressen verwendet wie diese Gruppe. Der Software-Code für den Angriff sei auf einer kyrillischen Tastatur geschrieben worden. Die Uhrzeiten entsprächen den normalen Geschäftszeiten in St. Petersburg oder Moskau.