Welche Schadsoftware wurde nach derzeitigem Stand bei dem erst am 28. Februar 2018 bekanntgeworden Cybersicherheitsvorfall im Regierungsnetz IVBB genutzt, wozu das Bundesinnenministerium in der Antwort auf die Bundestagsdrucksache 19/1390 nur mitteilte, dass „diverse Werkzeuge bei diesem Angriff genutzt [wurden], die größtenteils speziell für diesen Angriff angefertigt worden sein dürften“ (bitte die Werkzeuge wie in Frage 5b erbeten benennen), und welches der beiden in Frage 12 genannten Netzwerke („APT 28“, „Snake“) hält die Bundesregierung für den mutmaßlichen Urheber des „Bundeshacks“, wozu es lediglich hieß, dass „Modus Operandi, technische Merkmale sowie deren Opferflächen […] nach bisherigen Erkenntnissen der zuständigen Bundesbehörden mit hoher Wahrscheinlichkeit für die in der Frage vermutete Urheberschaft [sprechen]“?
Antwort des Staatssekretärs Klaus Vitt vom 3. Mai 2018:
Modus operandi, technische Merkmale sowie deren Opferflächen sprechen nach bisherigen Erkenntnissen mit hoher Wahrscheinlichkeit für eine Urheberschaft der Angriffskampagne SNAKE.
Wie in der Antwort der Bundesregierung zu Frage 5b der Kleinen Anfrage der Fraktion DIE LINKE. auf Bundestagsdrucksache 19/1867 ausgeführt, wurden bei diesem Angriff diverse Werkzeuge genutzt, die größtenteils speziell für diesen Angriff angefertigt worden sein dürften. Zu diesen speziellen Anfertigungen liegen Produktbezeichnungen des Herstellers nicht vor.
Die anderen Werkzeuge können in offener Form nicht benannt werden. Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Beantwortung gestellter Fragen in der Öffentlichkeit angelegt. Die Bundesregierung ist allerdings nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine diesbezügliche Benennung nicht in offener Form erfolgen kann.
Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil die Kenntnisnahme der Antwort durch Unbefugte die Sicherheit der Bundesrepublik Deutschland gefährden und ihren Interessen schweren Schaden zufügen kann. Die Antwort würde potentiellen Angreifern Rückschlüsse auf die Fähigkeiten und das Vorgehen deutscher Behörden erlauben. Hierzu zählen Einzelheiten zu der Erkenntnislage der Behörden über das Vorgehen und die Fähigkeiten des Angreifers. Die Veröffentlichung dieser Erkenntnisse ließe Rückschlüsse auf die Aufklärungsmöglichkeiten zu und würde die zukünftige Aufgabenerfüllung der beteiligten Behörden und damit die Gewährleistung der IT-Sicherheit gefährden. Diese würde zukünftige Angriffe erleichtern. Der Schutz vor allem der technischen Fähigkeiten der Bundesbehörden stellt für die Aufgabenerfüllung der Bundesbehörden einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität der technischen Analysekompetenz und der nachrichtendienstlichen Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und damit dem Staatswohl.
Auch sind Erkenntnisse über Analysefähigkeiten von Sicherheitsvorfällen und Maßnahmen zur Sicherung von IT-Systemen betroffen. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten würde zu einer wesentlichen Schwächung der den Behörden zur Absicherung der IT-Systeme und zur Reaktion auf Angriffe zur Verfügung stehenden Möglichkeiten führen. Dies würde für ihre Auftragserfüllung erhebliche Nachteile zur Folge haben und für die Interessen der Bundesrepublik Deutschland schädlich sein. Die Schutzmaßnahmen dienen der Aufrechterhaltung der Sicherheit und Funktionsfähigkeit des IVBBs und damit dem Staatswohl.
Daher sind Teile der Antwort als Verschlusssache nach§ 4 Absatz 2 des Sicherheitsüberprüfungsgesetzes in Verbindung mit der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) mit dem Geheimhaltungsgrad „GEHEIM“ eingestuft und können bei der Geheimschutzstelle des Deutschen Bundestages eingesehen werden.*
Drucksache 19/1979