Hacker greifen Organisationen an: Denkfabriken im Visier des russischen Geheimdienstes

Plötzlich blieb das E-Mail-Postfach leer. Bei dem Russland-Experten Stefan Meister, der für die Deutsche Gesellschaft für Auswärtige Politik arbeitete, kamen von einem Tag auf den anderen keine Nachrichten mehr an. „Das Ganze war sehr offensichtlich, jemand hat wohl mein Email-Konto gehackt und die Mails umgeleitet“, sagt Meister. Außerdem seien von seinem Account Mails mit schadhaftem Inhalt an andere Personen verschickt worden.

Die Aktion war, wie sich erst später herausstellen sollte, offenbar Teil einer größeren Attacke, die sich gegen Think Tanks in Europa richtete. Betroffen waren neben der DGAP auch das in Berlin ansässige Aspen Institute Germany sowie der German Marshall Fund. Nach Angaben des US-Konzerns Microsoft, der den Cyber-Angriff im Februar öffentlich machte, wurden von September bis Dezember vergangenen Jahres insgesamt 104 Konten attackiert, die Mitarbeitern von Think Tanks in Deutschland, Frankreich, Polen, Belgien, Rumänien und Serbien gehörten. Es handelte sich überwiegend um so genannte Spear-Phishing-Attacken, bei denen die Angreifer mit täuschend echt aussehenden Mails und Webseiten arbeiten, um die Empfänger auf Seiten mit Schadsoftware zu leiten oder Anmeldedaten zu erhalten.

Die Spur führt zum russischen Militärgeheimdienst

Eine Mehrheit dieser Attacken ging nach Auffassung von Microsoft von einer Hacker-Gruppe aus, die von dem Unternehmen intern „Strontium“ genannt wird, aber allgemein besser bekannt ist unter dem Kürzel APT28 oder dem Namen "Fancy Bear". Westliche Sicherheitsbehörden gehen davon aus, dass hinter dieser Gruppe der russische Militärgeheimdienst GRU steht.

Dieser Gruppe wurden in den vergangenen Jahren mehrere groß angelegte Hackerangriffe auf Institutionen, Parteien und Organisationen in westlichen Ländern zur Last gelegt, darunter der Angriff auf den Bundestag im Jahr 2015, auf die Anti-Doping-Agentur WADA sowie die US-Demokraten 2016. Der US-Sonderermittler Robert Mueller kam in seinem kürzlich vorlegten Bericht zu dem Schluss, dass Russland auf diesem Weg und auch mit einer Desinformationskampagne in sozialen Medien versucht hat, die Präsidentenwahlen in den USA zu beeinflussen. Mueller erhob im Juli vergangenen Jahres sogar Anklage gegen zwölf namentlich bekannte russische GRU-Offiziere. Sie sollen durch einen Hackerangriff auf Rechner der Demokraten Dokumente gestohlen und diese später mit Hilfe von Wikileaks veröffentlicht haben.

Doch obwohl damit die Tätigkeit der Geheimdienstler plötzlich im Licht der Öffentlichkeit stand, macht die Gruppe APT28 offenbar weiter wie zuvor, wie auch der Angriff auf die Think Tanks zeigt. „Trotz der öffentlichen Aufmerksamkeit, der Anschuldigungen und Sanktionen bleiben die russischen Geheimdienste regelmäßig in der Cyberspionage aktiv“, heißt es in einer Analyse des estnischen Auslandsnachrichtendienstes.

"Kontinuierliche Weiterführung des Tagesgeschäfts"

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) spricht in diesem Zusammenhang von einer „kontinuierlichen Weiterführung des Tagesgeschäfts“. Aus Gründen der Vertraulichkeit wollte sich das BSI auf Nachfrage nicht zu einzelnen von Cyber-Angriffen betroffenen Organisationen äußern, betonte allerdings, dass „Organisationen aus dem politischen Bereich wie Stiftungen, NGOs oder Parteien“ auch in Deutschland in den vergangenen Jahren Ziel von Angriffen durch „staatlich gesteuerte Cyber-Angreifertruppen wie APT28“ gewesen seien. „APT28 sammelt seit Jahren strategisch und taktisch verwertbare Informationen auch aus dem politischen Bereich.“

Die DGAP bestätigte, „während einer begrenzten Zeit im vergangenen Jahr das Ziel von Cyber-Angriffen“ gewesen zu sein. Das ebenfalls betroffene Aspen Institute sprach von „versuchten, aber erfolglosen Angriffen“. Für die Organisation kam die jüngste Attacke durch „staatlich unterstützte Akteure“ nicht überraschend: „Wir sind seit Jahren Angriffen mit Phishing-Emails und schädlicher Software ausgesetzt.“

"Weckruf" vor der Europawahl

Dennoch sieht das Aspen Institute in dem jüngsten Vorfall einen „Weckruf“: Parteien, Think Tanks und politische Stiftungen seien der Kern starker Demokratien. Mit Blick auf die Europawahlen müssten alle verantwortlichen Akteure „äußerst wachsam bleiben“, heißt es in einer Erklärung des Instituts. Estlands Geheimdienst warnte kürzlich, der Kreml werde sehr wahrscheinlich versuchen, auf die EU-Wahlen Einfluss zu nehmen.

Mit dem Aspen Institute und dem German Marshall Fund waren Organisationen von dem Cyber-Angriff betroffen, die sich besonders dem transatlantischen Verhältnis widmen. Stefan Meister wiederum, der seit Anfang April für die Heinrich-Böll-Stiftung tätig ist, gilt als einer der profiliertesten Russland-Experten in Deutschland. Wer sich exponiere und sich kritisch über die Politik des Kremls äußere, gerate ins Visier der Angreifer, vermutet Meister. „Außerdem geht es offenbar darum, die Betroffenen zu verunsichern und zu diskreditieren.“