Noch immer sind die Einbrecher unterwegs im Computernetzwerk der deutschen Regierung. Noch immer bewegen sie sich auf eigene Faust, zwar angeblich unter ständiger Aufsicht, aber durchaus auch schwer berechenbar. Immerhin, die Hacker seien «eingegrenzt, isoliert und kontrolliert». So heisst es in einer E-Mail, die am Donnerstag an die Mitarbeiter des Auswärtigen Amts verschickt wurde. Klingt das beruhigend? «Vor diesem Hintergrund kann es in den nächsten Tagen an einigen Kommunikationsverbindungen zu Einschränkungen kommen. Wir bitten hierfür um Ihr Verständnis.»

Es ist noch nicht lange her, da herrschte im politischen Berlin Erleichterung. Die Bundestagswahl war gerade vorbei, Parteien und Sicherheitsbehörden kamen zu dem Schluss, dass der befürchtete Cyber-Angriff ausgeblieben war. Das Nationale Cyber-Abwehrzentrum gab in einem «Sonderbericht» Entwarnung.

Nur kurz darauf, im Dezember des vergangenen Jahres, aber wies ein ausländischer Nachrichtendienst die Deutschen auf einen Vorgang hin. Es gebe Hinweise, dass Hacker in das hochgesicherte Netz der Bundesbehörden eingedrungen seien, den sogenannten Informationsverbund Berlin-Bonn. Es war eine grosse Nachricht, ein Einbruch in dieses Netz ist viel schwieriger als ein Hack in das Netz des Bundestages. Womöglich ist er auch gefährlicher und gravierender, hier lagern Geheimnisse, wenn auch nicht die brisantesten. An das Netz Berlin-Bonn sind Ministerien und einige Sicherheitsbehörden angeschlossen.

Die Sicherheitsbehörden griffen zu einer List

Das Netz galt eigentlich als vergleichsweise gut gesichert, anders als etwa früher der Bundestag. Ein- und Ausgänge werden überwacht, permanent wird der Datenstrom auf Viren gescannt. Ein Hightech-Schutzschild, sozusagen.

Dass dieser Schild offenbar spätestens im Dezember gebrochen worden war, hielt die Bundesregierung daraufhin geheim. Mehr noch: Anstatt die Attacke sofort zu beenden, entschieden sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Spionageabwehr des Bundesamtes für Verfassungsschutz (BfV) offenbar zu einer List.

In Abstimmung mit Innenministerium und Kanzleramt wurde beschlossen, dem Angreifer erst einmal zuzusehen. Was hat er vor? Was sind seine technischen Tricks? Was interessiert ihn besonders, und vor allem, wohin schickt er die erbeuteten Daten? Es begann ein Spiel, wie man es aus der klassischen Spionage kennt: Es ist gut, einen gegnerischen Spion aus dem Verkehr zu ziehen. Es ist besser, ihn erst einmal im Spiel zu lassen, ihn heimlich bei seiner Arbeit zu beobachten – um nicht nur ihn, sondern auch seine Zuträger und politischen Ziele zu entlarven.

«Immer eine Hand am Stecker gehabt»

Ein mit den Vorgängen vertrauter Beamter vergleicht die geheime Operation, die nun begann, mit einer verdeckten Ermittlung der Polizei. Er beruhigt: Die Gefahr, dass bei dieser heimlichen Aktion ernster Schaden entstehen könnte, habe man unter Kontrolle gehabt. Man habe «immer eine Hand am Stecker gehabt», also jederzeit dazwischengehen können, falls die Hackergruppe kurz davor gestanden hätte, eine besonders brisante Information zu bekommen. Wie unter Laborbedingungen also, angeblich.

Am Mittwochabend hatte die Deutsche Presseagentur das Geheimnis ans Licht gebracht, und jedenfalls das Auswärtige Amt hat seither auch bestätigt, betroffen zu sein. Die Regierung reagierte erbost. Nun seien alle weiteren Ermittlungen erschwert oder sogar unmöglich. In Sicherheitskreisen heisst es, dass nur eine geringe Menge an Daten tatsächlich gestohlen worden sei, man wisse auch, worum es sich handele.

Nichts Dramatisches sei darunter, auch wenn die anonymen Hacker sehr professionell vorgegangenen seien. Mit dem Bundestags-Hack, bei dem vor drei Jahren 16 Gigabyte erbeutet worden waren, könne man das nicht vergleichen. Ob dies allerdings auch für die Zeit vor Dezember gilt, als die Regierung noch ahnungslos war, gehört nun zu den offenen Fragen.

Manchmal gibt es gute Gründe, ganz öffentlich zu sagen, dass man angegriffen worden ist. Es ist zwar unangenehm. Man gesteht ein, dass man einen verwundbaren Punkt hat. Aber immerhin macht der Angegriffene auf diese Weise klar, dass er weiss, was gespielt wird.

Der Präsident des Bundesamts für Verfassungsschutz, Hans-Georg Maassen, hat deshalb stets gedrängt, dass Bundestagsabgeordnete sich zu Wort melden, falls sie erpresst werden. Die zunehmende Transparenz soll zu einem Umdenken führen – weil die Auftraggeber, die zum Beispiel im Kreml sitzen, dann politisch einen Preis bezahlen.

Das Kontrollgremium war bewusst nicht eingeweiht worden

Bloss scheint es den digitalen Einbrechern diesmal gelungen zu sein, ihre Spuren besser zu verwischen als noch 2015 beim Bundestags-Hack. Noch wissen die Sicherheitsbehörden offenbar nicht, mit wem sie es überhaupt zu tun haben, wer für den digitalen Einbruch verantwortlich ist. Auch die monatelange Beobachtung hat da anscheinend zu wenig erbracht.

Es sei «zweifelhaft», dass hinter der neuen Attacke wieder die angeblich Kreml-nahe Hacker-Gruppe APT 28 stecke, wie die Deutsche Presseagentur zunächst unter Berufung auf Sicherheitskreise vermeldet hatte – so hiess es am Donnerstag bei Fachleuten der Bundesregierung. Die Täter könnten durchaus «aus derselben Himmelsrichtung» kommen – sofern man das überhaupt sagen könne, denn das Geschäft von Hackergruppen ist es, falsche Fährten zu legen.

Deshalb hätte man gern noch länger weitergemacht mit der verdeckten Ermittlung. Und deshalb habe man bewusst möglichst wenige Menschen eingeweiht, nicht einmal den kleinen Kreis der Bundestagsabgeordneten, die im Parlamentarischen Kontrollgremium (PKGr) sitzen und nach dem Gesetz eigentlich in geheimer Sitzung unterrichtet werden müssten, wenn in der Welt der deutschen Geheimdienste etwas Wichtiges passiert. Mit Empörung reagierten viele Abgeordnete darauf, dass sie von der Aktion erst am Mittwoch aus der Presse erfuhren. Andere äusserten, leiser, Verständnis; durchaus auch im PKGr.