Die interne Rundmail mit dem Betreff "Angriff auf das Datennetz" erreichte die Bundestagsabgeordneten am Donnerstagnachmittag. Knapp sechs Wochen nach Entdeckung des bislang schwersten Hackerangriffs auf das deutsche Parlament versorgte Bundestagsdirektor Horst Risse die 631 Volksvertreter mit Ratschlägen zum sicheren Umgang mit ihren Dienstcomputern. Unter anderem bat Risse darum, "Anhänge von E-Mails, deren Ursprung unklar ist" nicht zu öffnen, "unbekannten Links in E-Mails" nicht zu folgen und "keine USB-Geräte unbekannter Herkunft" zu verwenden.

Die Verhaltensregeln, die für jeden halbwegs kundigen Internetnutzer eigentlich eine Selbstverständlichkeit sein sollten, kamen reichlich spät: Experten vermuten, dass die Hacker bereits vor einiger Zeit erfolgreich in das Bundestagsnetz "Parlakom" eingedrungen waren, offenbar mithilfe in E-Mails versteckter Schadsoftware.

Nach bisherigen Erkenntnissen sind Rechner in mindestens 15 Abgeordnetenbüros betroffen. Bei der Cyberattacke kopierten die Spione offenbar auch gigabyteweise E-Mails von Parlamentariern, die in digitalen Archiv-Dateien des Mail-Programms "Outlook" gespeichert waren.

Inzwischen bestätigte Bundestagssprecher Ernst Hebeker SPIEGEL ONLINE, "dass bei dem Angriff E-Mail-Daten von Abgeordneten abgeflossen sind". Über Art und Umfang der von den Hackern erbeuteten Daten machte Hebeker keine Angaben und verwies auf die "noch nicht abgeschlossenen Untersuchungen".

Ausdrücklich nicht bestätigen wollte Hebeker einen Medienbericht, wonach auch ein Computer im Bundestagsbüro von Kanzlerin Angela Merkel mit dem Trojaner infiziert worden sei. Am Wochenende hatte die "Bild am Sonntag" berichtet, der Merkel-Rechner sei einer der der ersten gewesen, "bei dem der Trojaner nachgewiesen werden konnte".

Unterdessen verdichten sich Hinweise, dass die Spur der Bundestags-Spione nach Russland führt. Am Freitag veröffentlichte die Fraktion der Linken  einen eigenen Untersuchungsbericht zum Cyberangriff auf ihre Server.

Nach Recherchen des IT-Forensikers Claudio Guarnieri, den die Fraktion mit der Analyse der Attacke beauftragt hatte, steckt womöglich die Hacker-Gruppe "APT28" dahinter, auch bekannt als "Sofacy Group" oder "Operation Pawn Down". Guarnieri betont aber auch, dass es bei solchen Angriffen stets möglich sei, dass die Herkunft bewusst verschleiert oder gezielt falsche Fährten gelegt würden.