Cyberangriff

Sie sind dem militärischen Geheimdienst GRU angeschlossen. Es ist unbestreitbar, dass die Täter Russen aus dem Bereich der sowjetischen Sicherheitsdienste sind. Der Cyber-Spion griff zuerst die Bundesakademie für Öffentliche Verwaltungen an, sagte Sicherheitszirkel. Die Täter waren von dort ins Auswärtige Amt vorgestoßen.

"Dann haben wir die Domäne geschlossen", sagte am Dienstag ein Vorstandssprecher, der Anschlagsversuch sei von "Fancy Bear" kommen. Die Putin-Regierung sendet Cyberspion aus, weil sie über die EU-Sanktionen gegen Russland wegen des Konfliktes in der Ukraine verärgert ist. Allerdings lehnte die sowjetische Vertretung in Berlin am Dienstag den Verdacht ab, dass die Anschläge aus Russland kamen.

Unerfreulich, dass die russischen Häcker zunächst mehrere Wochen lang unauffällig in das Netzwerk der föderalen Verwaltung eindrangen und erst im Dez. 2017 gefunden wurden. "Man muss das Spielgeschehen mitspielen, um den Täter zu analysieren", sagten sie. "Du läßt die Dinge los, du schaust zu, du gibst ein Gefühl von Erfolg, wenn der Täter will, daß Informationen ablaufen.

"Um das Verhalten von Hackern zu begreifen, muss man sie unter Kontrolle behalten und ihnen Impulse geben." Kaum war das Risiko des Verlustes hochwertiger Informationen gegeben, "wurde dies verhindert". Cyber-Angriffe einem speziellen Täter, einer echten Person, einer Gruppe oder einem Staat zuzuordnen ist schwer. "Namensnennung " nennt man die zeitraubende Suche nach Hinweisen.

"Trotzdem wies "Mandiant" China 2013 ein Anschlagsmuster namens APT1 zu und der US-Geheimdienst erklärte "dass Russland hinter den Anschlägen auf die Servers der Demokraten steckt". Namensnennung fängt mit der Absicherung von Malware an - Fachleute sprechen von Artefakten, die sie einsammeln und auswerten.

Möglicherweise hat der Täter hier jedoch die falschen Wege eingeschlagen: Ein Timestamp im Kode kann leicht manipuliert werden. Von besonderem Interesse sind hierbei Objekte, die das Senden von Informationen durch den befallenen Datenserver ermöglichen - denn sie beinhalten die Adressen eines Ziel-Servers, die einen Rückschluss darauf erlauben, wer an den Informationen teilnimmt. Kein Bundesstaat ist jedoch so blöd, die Informationen unmittelbar an ein Geheimdienstzentrum weiterzuleiten.

So wurden die gesammelten Informationen laut "Zeit"-Forschung zunächst auf eine Serverbetrieb in Paris übertragen, wo sie von einem pakistanischen Unternehmen untervermietet wurden. Aber auch Hackern passieren Fehler: Der gleiche Mailserver wurde auch benutzt, um die US-Demokraten anzugreifen. Früher meldeten IT-Spezialisten von "Zeit", dass bereits unverschlüsselte weitergeleitete Datenflüsse zufällig entdeckt wurden, die über einen Rechner des sowjetischen Geheimdiensts GRU laufen und der berühmten sowjetischen Hackergruppierung "Fancy Bear" entsprechen.

"Auch die Hackergruppe Fancy Bear" hinter APT28 wird für den Anschlag auf das Bundestagsnetz 2015 beschuldigt - damals flossen große Datenmengen ab und IT-Experten mussten einen Teil des Bundestagsnetzwerkes von Grund auf umbauen. Nach einem Jahr griff die Truppe US-Democratic Servers an und APT29 war dort vorübergehend gleichzeitig tätig; dieses Anschlagsmuster ist mit dem sowjetischen FSB verbunden.

Die US-Behörden haben die russischen Behörden dafür außergewöhnlich eindeutig zur Verantwortung gezogen. Die APT28 ist seit mehr als einem Jahrzent tätig - die Zielsetzungen zeigen, dass sie von russischen Regierungsstellen unterstützt wird: Vor allem im Kaukasus und in Georgien haben Häcker großes interesse bekundet. Doch die Tatsache, dass es Hackern gelungen ist, diese zu durchdringen, heißt nicht, dass sie Zugang zu all ihren Informationen haben: "Jedes Bundesministerium ist wieder mit zwei eigenen Schutzwänden gesichert", sagt Martin Schallbruch, ehemaliger IT-Verantwortlicher im Bundesministerium des Innern und jetzt Leiter an der European School for Management and Technology.

Die IVBB soll aber längst abgelöst werden - auch wegen der zunehmenden Anschläge sieht der Bundesbeauftragte für Informationstechnologie dies als "unverzichtbar" an. Welche Hilfe gegen Attacken und wie ist die Cyber-Abwehr aufgebaut? Die meisten der 20 hoch spezialisierten Hackerangriffe auf Rechner der Regierung, die von der Regierung im Jahr 2017 auf Antrag der linken Fraktion gemeldet wurden, sind mißlungen.

Dies wird auch durch das 2011 in Bonn gegründete Cyber Defence Center am BSI sichergestellt. "Die bundesweite Cyberverteidigungszentrale ist gescheitert", bemängelt Dieter Janecek, Vorsitzender der Grünen Fraktion im Digitalausschuss des Bundestages. Allerdings mahnt er vor dem Eintritt in den Cyber-Krieg mit einer bewaffneten "IT-Bundeswehr" und unterstreicht, dass "man auch mit der Erkenntnis lebt, dass es in der vernetzten Welt keine 100%ige Absicherung gibt.

Wieso wurde der Anschlag so verspätet bekannt? Die Bundestagsabgeordneten haben erst am vergangenen Donnerstag von dem neuen Anschlag erfahren. Weil der Anschlag noch nicht abgeschlossen war, wollte die deutsche Regierung anscheinend weitere Untersuchungen durch die Sicherheitsfachleute abpassen. Gleichzeitig verwies er darauf, dass der Anschlag noch nicht abgeschlossen sei.

Die öffentliche Diskussion über Einzelheiten wäre daher "eine Mahnung an die Täter, die wir nicht aussprechen wollen". Die Vizepräsidentin des Ausschusses, Dr. von Notz (Grüne), habe zwar dafür Verständnis gezeigt, dass die Regierung "die Information über den Zwischenfall sehr knapp gehalten" habe, aber kritisiert, dass auch der Kontrollausschuss des Parlaments nicht unterrichtet worden sei.

Von dem Anschlag hatten seine Angehörigen erst durch die Medienberichterstattung erfuhr.