Nach der Enthüllung ist die Regierung in Erklärungsnot. Das Geheimdienst-Kontrollgremium des Bundestages kam am Donnerstag eilig zusammen und ließ sich von Regierung und Sicherheitsbehörden informieren. Bislang waren die Kontrolleure im Parlament ahnungslos. Sie sind empört, dass sie erst aus den Medien von dem Angriff erfahren. Nicht nur die Abgeordneten haben nun drängende Fragen.

Sind Daten abgeflossen? Und in welcher Größenordnung?

Ja, die Hacker haben nach Informationen aus Sicherheitskreisen Daten erbeutet. Die Experten gehen aber davon aus, dass nicht riesige Datenbestände heruntergeladen wurden, sondern gezielt nach Informationen gesucht wurde, ohne großen Datenverkehr zu erzeugen. Bei Datenmengen in der Größenordnung des Bundestag-Hacks aus dem Jahr 2015 (rund 16 Gigabyte) hätten auch die Schutzsysteme des Bundesnetzes Alarm geschlagen.

Welche Stellen und Ministerien sind betroffen?

So genau ist das nicht bekannt. Im Mittelpunkt des Interesses sollen Informationen aus dem Außenministerium gestanden haben. Auch das Verteidigungsressort war betroffen - aber wohl in geringerem Maße. Nach Informationen der dpa drangen die Angreifer zunächst über Computer einer Fachhochschule des Bundes für öffentliche Verwaltung in das Netzwerk des Bundes ein. Von dort hätten sich die Hacker sehr langsam und vorsichtig in andere Bereiche des Netzes vorgearbeitet.

Was genau wollten die Angreifer erreichen?

Die im Netz des Bundes ausgetauschten Daten sind sensibel und dürften ausländische Regierungen stark interessieren - etwa die Pläne der Regierung zum weiteren Vorgehen in der Ukraine-Krise. Offen ist aber, was die Hacker genau erbeuten konnten. Klar ist allerdings, dass die Angreifer „hoch professionell“ vorgingen und ihre Attacke „technisch anspruchsvoll und von langer Hand geplant“ war - so formuliert es der geschäftsführende Bundesinnenminister Thomas de Maizière (CDU).

Wie groß ist der Schaden?

Auch das ist noch unklar. Das Innenministerium versucht zu beruhigen. Die Attacke sei unter Kontrolle, das Regierungsnetz gehöre noch immer zu den sichersten der Welt. Bei den Kontrolleuren im Bundestag klingt das ganz anders. Die Attacke laufe noch, verkündete der Vorsitzende des Kontrollgremiums, Armin Schuster (CDU), nach der Unterrichtung durch die Regierung. Für eine Bewertung des Schadens sei es viel zu früh. „Der Geheimnisverrat an sich ist ein beträchtlicher Schaden.“ Die Bundesregierung „versuche“, den Vorgang unter Kontrolle zu halten. Der Linke-Abgeordnete in dem Gremium, André Hahn, beklagt, die Regierung wolle die Sache herunterspielen. „Ich befürchte, dass in den nächsten Wochen noch einiges ans Licht kommen wird.“

Wie lange lief die Attacke?

Mehr als ein halbes Jahr mindestens. Aber es ist durchaus möglich, dass die Spione schon wesentlich länger im Netzwerk des Bundes unterwegs waren. Nach Angaben aus Sicherheitskreisen wurden im Netz Spuren der Hacker entdeckt, die darauf hindeuten, dass sie schon seit Ende 2016 dort aktiv waren. Demnach wurde der Einbruch Mitte Dezember 2017 entdeckt. Seitdem dürften die Behörden versucht haben, den Angreifern möglichst nah auf die Spur zu kommen. Unklar ist, ob sie den Hackern auch gefälschte Informationen quasi als Köder untergejubelt haben.

Warum sind die Sicherheitsbehörden nicht eingeschritten?

De Maizière sagt, man habe die Angreifer beobachtet, um weitere Erkenntnisse über den Angriffsmodus und Zielsetzung zu bekommen und Sicherheitsvorkehrungen im Bundes-Netz einzuleiten. Gleichzeitig dürften die IT-Experten versucht haben, den Abfluss von besonders sensiblen Informationen zu unterbinden.

Steckt wirklich Russland hinter dem Angriff?

Es gibt eine Reihe von Indizien, die dafür sprechen, dass russische Hacker am Werk waren. Dazu gehört auch die technische Infrastruktur der Server, mit denen der Angriff koordiniert wurde. Erst wurde die russische Gruppe „APT28“ verdächtigt. Inzwischen deuten die Ermittlungen in eine andere Richtung: Nach dpa-Informationen soll eine russische Gruppe namens „Snake“ hinter der Attacke stecken.

Ist es möglich, dass der Angriff Russland nur untergeschoben wurde?

Ja, theoretisch ist das möglich. Es gehört inzwischen zum Arsenal ausgeklügelter Hacker-Attacken, die Herkunft zu verschleiern oder bewusst falsche Fährten zu legen. Denkbar ist zum Beispiel, dass Hacker außerhalb von Russland Programmcodes mit russischen Schriftzeichen einsetzen, um die Ermittler in die Irre zu führen.

Warum schlagen die deutschen Sicherheitsbehörden nicht zurück („Hack Back“), wenn sie einen solchen Angriff bemerken?

Bislang dürfen die deutschen Sicherheitsbehörden keine Gegenangriffe starten, weil sie sich nach geltendem Recht damit strafbar machen. Es gibt aber seit langem Diskussionen darüber, die rechtlichen und organisatorischen Grundlagen dafür zu schaffen. Die künftige Bundesregierung wird sich mit der Frage wohl beschäftigen. Etliche Experten warnen aber vor „Hack Backs“, weil diese nur zu einer Eskalation führen würden und Angriffe auf kritische Infrastruktur wie etwa Elektrizitäts- oder Wasserwerke nicht verhinderten.