Hacker erbeuteten E-Mails: Russen attackierten 2015 auch Bundestagsbüro von Angela Merkel

Im Jahr 2015 wurde das Computersystem des Deutschen Bundestages Ziel einer bis dahin beispiellosen Cyberattacke. Mutmaßlich Hacker des russischen Militärgeheimdienstes GRU erbeuteten riesige Datenmenge von Abgeordneten. Wie der „Spiegel“ nun berichtet, war offenbar auch das Bundestagsbüro von Kanzlerin Angela Merkel (CDU) Ziel des Angriffs.

Dem Bericht zufolge wurde dabei aus zwei E-Mail-Fächern im großen Stil Korrespondenz von 2012 bis 2015 erbeutet. Das Abgeordnetenbüro ist nicht zu verwechseln mit dem Kanzleramt. Hier geht es um die Arbeit in den Wahlkreisen und der Partei.

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere runderneuerte App, die Sie hier für Apple-Geräte herunterladen können und hier für Android-Geräte.]

Experten des Bundeskriminalamts (BKA), des Bundesamts für Sicherheit in der Informationstechnik und privater Unternehmen konnten dem Bericht zufolge den Angriff der russischen Hacker inzwischen teilweise rekonstruieren. Demnach gelang es den Hackern offenbar, beide Postfächer komplett auf einen anderen Rechner zu kopieren. In welchem Umfang die kopierten Mails in den Besitz des GRU gelangten, ist offenbar noch unklar.

Hacker hatten tagelang Zugriff zu Rechnern des Bundestags

Nach Angaben aus Sicherheitskreisen sollen Analysen eines Privatunternehmens einen Abfluss im größeren Stil nahelegen. Vom Bundeskanzleramt war dazu zunächst keine Stellungnahme zu erhalten.

Beim Angriff auf den deutschen Bundestag im April 2015 erhielten Bundestags-Abgeordneten-Büros eine Mail, die vermeintlich von den Vereinten Nationen (UN) kam. Thema: Der Konflikt zwischen Russland und Ukraine. Wurde auf einen Link zu einem angeblichen UN-Bericht geklickt, landete man auf einer Seite mit Schadsoftware. Ermittlern zufolge erhielten die Hacker so tagelang Zugang zu den Rechnern des Bundestages.

In dieser Woche erließ der Bundesgerichtshof auf Antrag des Generalbundesanwalts einen Haftbefehl gegen einen der mutmaßlich beteiligten Hacker namens Dimitri Badin, wie zunächst unter anderem die „Süddeutsche Zeitung“ (SZ) berichtete. Der 29-Jährige wird demnach wegen seiner Beteiligung an anderen Angriffen der Hackergruppe „Fancy Bear“ alias APT28 weltweit von der US-amerikanischen Bundespolizei FBI gesucht.

Mitglied der Gruppe „Fancy Bear“ soll Drahtzieher sein

Zu den Angriffszielen von „Fancy Bear“ gehörten unter anderem die amerikanischen Demokraten im US-Wahlkampf 2016 und die Organisation für das Verbot von Chemiewaffen OPCW.

[Behalten Sie den Überblick: Jeden Morgen ab 6 Uhr berichten Chefredakteur Lorenz Maroldt und sein Team im Tagesspiegel-Newsletter Checkpoint über die aktuellsten Entwicklungen. Jetzt kostenlos anmelden: checkpoint.tagesspiegel.de]

Wie die SZ berichtete, ist die Bundesanwaltschaft überzeugt, Badin nachweisen zu können, dass er nicht nur persönlich am Bundestagshack beteiligt gewesen war, sondern auch wann und wie. So soll Badin am 7. Mai 2015 um 13.29 Uhr eine Schadsoftware namens „VSC.exe“ zunächst erstellt, und dann um 13.31 Uhr eingesetzt und gesteuert haben. Mit dem Programm sollen Zugangsdaten abgegriffen worden sein. Erst am 11. Mai 2015, fast zwei Wochen nach Beginn des Angriffs, meldete sich ein IT-Sicherheitsunternehmen beim Bundesamt für Verfassungsschutz (BfV) mit einer deutlichen Warnung.

Die deutschen Behörden kamen Badin auf die Spur, indem sie einen Server überwachten, den die GRU-Hacker auch für private Zwecke nutzten. Unter den Augen des Bundesamts für Verfassungsschutz und des BKA schauten Moskaus Elitehacker während der Dienstzeit Fußballspiele an, suchten nach Ersatzteilen für ihre Autos und schrieben persönliche Mails. Der Agent, den die Ermittler als „Scaramouche“ ausgemacht hatten, weil er ein entsprechendes Foto im Netz gesucht hatte, griff immer wieder auf ein Gmail-Konto zu: Dort fanden sich Verträge, private Fotos, persönliche Korrespondenz und Studienunterlagen von Badin, dessen Tarnname „Scaramouche“ war. (lem)