Cyber-Angriff: Unter russischer Beobachtung

Mutmaßlich russische Hacker attackieren seit vergangenem Jahr das Außenministerium und weitere Bundesbehörden mit Spionagesoftware. Bemerkt wurde das erst nach einigen Monaten im vergangenen Dezember, öffentlich bekannt wurde es am Mittwochabend.

Was ist passiert, was wurde von wem gehackt und wie groß ist der Schaden?

Die Informationen aus dem Umfeld der Bundesregierung und aus Sicherheitskreisen waren zunächst widersprüchlich. Inzwischen wird der Angriff dem russischen Geheimdienst FSB und der ihm zuzuordnenden Hackerkampagne „Uroburos“ alias „Snake“ alias „Turla“ zugeschrieben. Zunächst war von Hackern die Rede, die sich „Sofacy Group“ oder „Fancy Bear“ nennen und die von Sicherheitsbehörden als APT28 bezeichnet werden – das steht für „Advanced Persistent Threat“ (Fortgeschrittene ständige Bedrohung). Diese Leute sind mit dem russischen Militärgeheimdienst GRU verbunden. Unstrittig ist offenbar, dass es sich bei den Angreifern um russische Hacker aus dem Dunstkreis russischer Geheimdienste handelt.

Die Cyberspione hätten zunächst die Hochschule des Bundes für öffentliche Verwaltung attackiert, sagten Sicherheitskreise. Von dort seien die Angreifer bis zum Auswärtigen Amt vorgedrungen.

Nach Recherchen des Tagesspiegels gibt es bei dem Angriff möglicherweise einen Zusammenhang zu einem weiteren Vorfall, bei dem APT28 eine Rolle spielte: 2017 versuchte die Gruppe, eine Website des in Bonn sitzenden Internationalen Paralympischen Komitees zu kopieren. „Wir haben die Domain dann geschlossen“, sagte am Donnerstag ein Sprecher des Komitees, der Angriffsversuch sei von „Fancy Bear“ gekommen.

Es sei beinahe zweitrangig, welche Bezeichnung die Hackergruppe habe, die in das Datennetz der Bundesverwaltung eindrang, sagen Sicherheitsexperten. Das Putin-Regime schicke Cyberspione los, weil es sich über die Sanktionen der EU ärgere, die gegen Russland wegen des Konflikts in der Ukraine verhängt wurden. Dass die Strafmaßnahmen anhalten, lastet Moskau vor allem Bundeskanzlerin Angela Merkel an. Die russische Botschaft in Berlin wies am Donnerstag jedoch den Vorwurf zurück, die Angriffe kämen aus Russland.

Die deutschen Sicherheitsbehörden wollen den Vorfall nicht dramatisieren: Es sei zwar unangenehm, dass russische Hacker zunächst einige Monate lang unbemerkt ins Netz der Bundesverwaltung eindringen konnten und erst im Dezember 2017 entdeckt wurden. Der Schaden halte sich aber in Grenzen, die Nachrichtendienste und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hätten die Attacke kontrolliert weiterlaufen lassen. „Um den Angreifer analysieren zu können, muss man das Spiel spielen“, hieß es. „Man lässt die Sache laufen, man guckt mit, man gibt mal ein Erfolgserlebnis, wenn der Angreifer Daten abfließen lassen will.“ Um zu verstehen, wie die Hacker agieren, „muss man sie unter Kontrolle halten und ihnen Reize geben“. Sobald die Gefahr bestand, dass qualitativ hochwertige Daten abhanden kommen, „wurde das unterbunden“.

Wie werden solche Angriffe ermittelt?

Die Zuordnung von Cyberangriffen zu einem bestimmten Angreifer, realen Personen, Gruppen oder Staaten ist schwierig. „Attribution“ nennen Spezialisten die aufwendige Spurensuche. Spezialisten in Sicherheitsbehörden und bei privaten Firmen wie „Kaspersky“ oder „Mandiant“ betonen, dass sie technisch bestimmte Angriffsmuster oder schon bekannte Schadsoftware identifizieren können – dass für eine Zuordnung zu Personen oder Staaten aber meistens zusätzliche Informationen, etwa aus Geheimdienstkreisen, benötigt werden. „Mandiant“ ordnete dennoch ein Angriffsmuster mit dem Namen APT1 im Jahr 2013 China zu und US-Geheimdienste erklärten , dass Russland hinter den Angriffen auf Server der Demokratischen Partei stehe.

Die Attribution beginnt mit der Sicherung von Spuren von Schadsoftware – die Spezialisten nennen sie Artefakte, die sie sammeln und vergleichen. Beim „Reverse engineering“ wird die Software quasi wieder „in Betrieb“ genommen und man schaut sich an, wie sie arbeitet. Die Software kann auch daraufhin untersucht werden, ob sie etwa für Reparaturen Namen oder Adresse eines Entwicklers enthält, und man kann unter Umständen sehen, in welcher Zeitzone sie entwickelt oder verwendet wurde. Hier können allerdings vom Angreifer auch falsche Spuren gelegt worden sein: Ein Zeitstempel im Code lässt sich leicht manipulieren.

Zum Vergleichen mit bereits bekannter Schadsoftware greifen Experten aus dem Privatsektor, aus Universitäten und Behörden häufig auf dieselben öffentlichen Datenbanken zu, die sie selbst auch pflegen. Eine große Datenbank ist etwa „VirusTotal“ von Google. Mit Analysetools wird nach Funktionsmustern gesucht, denn gleiche Muster können auf den gleichen Urheber hinweisen. Besonders interessant sind Artefakte, die Daten vom angegriffenen Server versenden lassen – denn sie enthalten die Adresse eines Zielservers, die Rückschlüsse zulassen kann, wer sich für die Daten interessiert.

So dumm, die Daten direkt in eine Geheimdienstzentrale auszuleiten, ist allerdings kein Staat. Die Zielserver werden häufig gewechselt und getarnt, um Zusammenhänge zu verschleiern. Beim Bundestagshack 2015 etwa wurden die Daten laut Recherchen der „Zeit“ erst auf eine Serverfarm in Paris geleitet, Untermieter dort war eine pakistanische Firma. Doch auch Hacker machen Fehler: Derselbe Pariser Server wurde auch für den Angriff auf die US-Demokraten genutzt. In der Vergangenheit, berichteten IT-Spezialisten der „Zeit“, habe man auch schon versehentlich unverschlüsselt umgeleitete Datenströme erkannt, die über einen Server des russischen Geheimdienstes GRU liefen und zur berüchtigten russischen Hackergruppe „Fancy Bear“ passten.

Was ist über die Aktivitäten solcher Gruppen bekannt, welches Ziel haben sie?

„Fancy Bear“, die Hacker-Gruppe hinter APT28, wird auch für den Angriff auf das Bundestags-Netzwerk von 2015 verantwortlich gemacht – damals waren riesige Mengen an internen Daten abgeflossen und IT-Experten mussten Teile des Bundestagsnetzes ganz neu installieren. Ein Jahr später attackierte die Gruppe Server der US-Demokraten, zeitweise war dort parallel noch APT29 aktiv; dieses Angriffsmuster wird mit dem russischen Geheimdienst FSB in Verbindung gebracht. Anders als bei früheren Aktionen ging es den Angreifern offenbar nicht um das Ausspähen von Informationen, sondern um die Suche nach „Kompromat“, wie es auf Russisch heißt: kompromittierendes Material über bestimmte Personen.

So wurden Mails der Demokraten auf der Plattform Wikileaks veröffentlicht – ein Skandal mitten im Wahlkampf. US-Regierungsbehörden machten ungewöhnlich deutlich russische Regierungsbehörden dafür verantwortlich. APT28 ist bereits seit mehr als einem Jahrzehnt aktiv – die Ziele deuten darauf hin, dass dahinter russische staatliche Stellen stehen: So haben die Hacker ein hohes Interesse am Kaukasus und insbesondere an Georgien gezeigt. Außerdem zählten Ministerien in osteuropäischen Ländern und internationale Organisationen wie die Nato und die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) zu den anvisierten Zielen. Russland hat 2008 in Georgien Krieg geführt und steht der Osterweiterung der Nato ablehnend gegenüber.

Ist das deutsche Regierungsnetz unsicher?

Der „Informationsverbund Berlin-Bonn“ (IVBB) ist das technische Rückgrat für die Kommunikation von Regierung und Bundesbehörden. Er wurde 1999 zum Umzugs nach Berlin eingerichtet und von T-Systems betrieben. Über das Netz laufen Mails, Telefonate und das Intranet von Bundestag, Bundesrat, Bundeskanzleramt und Bundesministerien. Dass Hacker dort eindringen konnten, bedeutet aber nicht, dass sie Zugriff auf all ihre Daten haben: „Jedes Ministerium ist nochmal mit zwei eigenen Schutzmauern gesichert“, sagt Martin Schallbruch, Ex-IT-Beauftragter im Bundesinnenministerium und nun Direktor an der European School for Management and Technology.

Allerdings soll das IVBB schon lange ersetzt werden – auch wegen zunehmender Angriffe hält der Beauftragte der Bundesregierung für Informationstechnik das für „unerlässlich“. Dass das seit 2007 geplante Projekt „Netze des Bundes“ noch nicht realisiert ist, monierte mehrfach auch der Bundesrechnungshof. Schon 2011 wurden schrankgroße Router und andere Technik für 27 Millionen Euro angeschafft – und nie eingesetzt. 2013 waren die Kosten bereits von 114 auf 426 Millionen Euro gestiegen. Eigentlich sollte das neue Netz 2010 stehen, nun sind für die Konsolidierung von IT und Netzen bis 2022 noch einmal allein 230 Millionen Euro für externe Berater geplant – an denen der Rechnungshof kritisiert, dass sie unzureichend geplant, gesteuert und kontrolliert werden.

Was hilft gegen Angriffe und wie ist die Cyberabwehr aufgestellt?

Von täglich etwa 20 hochspezialisierten Hacker-Angriffen auf Computer der Bundesregierung, über die die Bundesregierung 2017 auf Anfrage der Linksfraktion berichtete, sind die allermeisten erfolglos. Dafür sorgt auch das nationale Cyber-Abwehrzentrum, das 2011 mit Sitz in Bonn gegründet wurde und beim BSI angesiedelt ist. Auch das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gehören zu den Trägern. Sie stellen die insgesamt zehn Mitarbeiter des Abwehrzentrums.

„Das nationale Cyber-Abwehrzentrum hat versagt“, kritisiert Dieter Janecek, Obmann der Grünen-Fraktion im Bundestags-Digitalausschuss. Erfolgreiche Angriffe zeigten schließlich, „dass Deutschland nicht ausreichend gesichert ist“. Er warnt aber davor, mit einer aufgerüsteten „IT-Bundeswehr in den Cyberkrieg zu ziehen“ und betont, man müsse „auch mit der Wahrheit leben, dass es keine hundertprozentige Sicherheit in der vernetzten Welt geben wird“.

Das sehen auch die professionellen Ermittler so: Bei aufgespürten und analysierten Spuren steht am Ende oft nur eine gewisse Wahrscheinlichkeit für ein bestimmtes Angriffsmuster.

Warum wurde der Angriff so spät bekannt?

Abgeordnete des Bundestages erfuhren von dem jüngsten Angriff erst am Mittwoch aus den Medien. Erst am Donnerstag wurde das geheim tagende Parlamentarische Kontrollgremium informiert. Da der Angriff noch andauerte, hatte die Bundesregierung vor einer Veröffentlichung offenbar zunächst weitere Ermittlungen der Sicherheitsexperten abwarten wollen.

„Der Geheimnisverrat an sich ist ein beträchtlicher Schaden“, sagte der Vorsitzende des Kontrollgremiums, Armin Schuster (CDU). Zugleich wies er darauf hin, dass der Angriff noch laufe. Öffentliche Diskussionen über Details wären daher „eine Warnung an die Angreifer, die wir nicht geben wollen“. Der stellvertretende Vorsitzende des Gremiums, Konstantin von Notz (Grüne) zeigte zwar Verständnis dafür, dass die Bundesregierung Informationen über den Vorfall „sehr eng gehalten“ habe, kritisierte aber, dass selbst das Parlamentarische Kontrollgremium nicht informiert worden sei. Auch dessen Mitglieder hatten von dem Angriff erst durch die Medienberichte erfahren. In der kommenden Woche werden sich die Abgeordneten, die die Arbeit der Geheimdienste kontrollieren sollen, erneut mit dem Hackerangriff befassen.