Angriff im Januar 2015

Der bisher größte Angriff auf das interne Netzwerk des Bundestags wurde im Mai 2015 bekannt. Nach Informationen der Deutschen Presse-Agentur starteten die mutmaßlich für den russischen Geheimdienst arbeitenden Angreifer ihre Aktion im Dezember 2014 oder Januar 2015. Nach den derzeitigen öffentlich bekannten Informationen haben sie Stück für Stück einen Trojaner auf die einzelnen physischen Rechner über das interne Netzwerk platziert. Dazu hatten sie nach einem Bericht von Spiegel Online zunächst die Computer der Linksfraktion mit dem Trojaner infiziert und sich so Zugang zu Administrator-Passwörtern verschafft. Laut Spiegel waren als erste Rechner auch Computer der CDU/CSU-Fraktion im Bundestag betroffen.
Am 30. April 2015 erhielten mehrere Bundestagsabgeordnete eine gleichlautende E-Mail. Die Adresse des Absenders endet auf „@un.org“ und machte daher den Anschein, von den Vereinten Nationen zu stammen und wurde von einem Server versandt, den die Firewall des Bundestags nicht als problematisch einstufte. Die Mail war mit der Betreffzeile „Ukraine conflict with Russia leaves economy in ruins“ versehen und enthielt einen Link zu einem vermeintlichen Bulletin der UN. Bei Aktivierung des Links (klicken) wurde auf eine Internetseite verlinkt, die wie eine Seite der UN anmutet, jedoch tatsächlich unbemerkt eine Schadsoftware auf dem Rechner des Mailempfängers installierte (Trojaner). Daraufhin hatten die Hacker unbemerkt Zugriff auf die IT-Systeme des Bundestages und konnten auf sensible Inhalte wie Passwörter und Administratoren-Accounts zugreifen, womit die Angreifer an weitere Daten gelangen konnten.
Entdeckt wurde der Angriff erst Anfang Mai 2015, als die Schadsoftware im gesamten Netzwerk des Bundestags aktiv wurde. IT-Spezialisten des Parlaments und des Verfassungsschutzes meldeten etwa zur gleichen Zeit, dass Unbekannte das Datennetz des Bundestags attackiert haben. Es wurde die Möglichkeit in den Raum gestellt, dass alle IT-Geräte (Hardware) des Bundestages ausgetauscht werden müssten. Auch mehrere Wochen nach der Entdeckung des Cyberangriffs war die Spähsoftware noch auf den Rechnern aktiv. Zeitweise wurde das gesamte Netzwerk des Bundestages abgeschaltet.
„Man kann davon ausgehen, dass mehrere Computer inzwischen ferngesteuert werden, deswegen sind manche Bereiche komplett abgeschaltet worden, damit man überhaupt noch die Sicherheit dieser Daten gewährleisten kann“, erklärte der IT-Experte Götz Schartner im DRadio.
Viele Abgeordnete waren laut FAS verärgert darüber, dass Bundestagspräsident Norbert Lammert (CDU) sie zu spät über das Ausmaß des Hackerangriffs informiert habe. Die Nachrichtenagentur Reuters zitierte den CDU-Innenpolitiker Armin Schuster mit den Worten: „Das Haus brennt.“ Der SPD-Netzpolitiker Lars Klingbeil sagte der Mitteldeutschen Zeitung, man habe das Thema im Ausschuss Digitale Agenda zwei Mal auf die Tagesordnung gesetzt, es sei aber niemand von der Verwaltung gekommen und habe Bericht erstattet.