Cyberangriff auf Bundestag: „Stärke aus Moskau“

USA-Präsidentschaftskandidat Donald Trump tönte im Wahlkampf, mit ihm als Präsident werde die Sicherheit wieder hergestellt werden. Glatt zu passe kam ihm da wohl die Nachricht von einer Sicherheitslücke. Hacker sollen E-Mails der Demokratischen Parteileitung von Hillary Clinton gestohlen haben, um dem Republikaner Trump zu helfen. Die Spur führt nach Moskau. Sie führt auch bei Cyberangriffen, die deutsche Computer lahm legten, immer wieder nach Moskau, wie die Autoren Joachim Bartz und Ulrich Stoll vom ZDF-Magazin Frontal21 aufdeckte.  Drei Wochen konnten Hacker 2015 alle E-Mails im Netz des Deutschen Bundestages lesen. Quellcodes, Files, Russische Spracheinstellungen und Zeitzonen deuten auf Moskau.

Die Stadt Iwano-Frankiwsk in der Westukraine. Hier wurde die Energieversorgung durch eine Cyberattacke unterbrochen. Erstmals weltweit. Ein Blackout per Mouseklick. Ein Verdacht kommt auf. Es war der 23. Dezember 2015, 16:26 Uhr. Damals Dienst im Lagezentrum hatte Igor Korolyschin, Operator bei Prikarpat-Obl-Energo. „Ich schaute auf meinen Computer und traute meinen Augen nicht. Es fing an, sich von alleine zu bewegen. Ich sah, jemand klickte auf die Schalter und machte sie aus. Es wurde chaotisch. Sofort gab es Anrufe aus anderen Leitstellen, dass auch dort die Stromverteiler ausgeschaltet wurden. Massenhaft.“ Volodymyr Fedyk, Technik-Chef von Prikarpat-Obl-Energo: „Lange vor dem Angriff am 23. Dezember hatten einige unserer Mitarbeiter eine E-Mail geöffnet. Absender war ein Kiewer Ministerium. Die Mail aber war gefälscht. Und mit ihr kam Schadsoftware in unser System. Die war so raffiniert, dass sie ein Teil ihrer Spuren nach der Attacke gleich wieder löschte.“ Experten gaben dem Angriff einen Namen: Operation Sandworm (Sandwurm). Westliche Nachrichtendienste werteten ihn akribisch aus. Denn eine Attacke auf die Stromversorgung ist gefährlich für jede Gesellschaft. Hinter den Angreifern vermuten westliche Geheimdienste Moskau. Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz mit Dienststellen in Köln (Merianstraße 100) und Berlin-Alt-Treptow (Am Treptower Park 5-8): „Bei der Kampagne Sandworm handelt es sich aus unserer Sicht um eine mutmaßliche russische Kampagne. Wir gehen sogar mit höherer Wahrscheinlichkeit von einer russischen Kampagne aus. Sandworm ist eine Kampagne, die eher auf Sabotage ausgerichtet ist. Ein hochausgearbeiteter Angriff, der mit Sicherheit etliche Monate Vorlauf gebraucht hatte, um am 23. Dezember durchgeführt zu werden.“

Die Operation Sandworm wird einer Hackertruppe zugeschrieben, die schon viele Namen bekam. Denn Virenforscher beobachten die Gruppe schon lange. Benennen sie unterschiedlich, meinen aber immer dieselben Akteure: Group74, TSAR Team, Strontium, TG4127, Pawn Storm, Sofacy, Fancy Bear, APT28. Alle sind sich einig: Diese Gruppe arbeitet im Auftrag des Kremls. Udo Schneider, Sicherheitsexperte bei der TREND MICRO Deutschland GmbH mit Sitz in Hallbergmoos in Bayern: „Wenn man sich die Schadsoftware anschaut, finden sich dort zum Beispiel russische Spracheinstellungen oder russische Ressort Files in diesen Programmen. Es finden sich Dinge wie Kombinierzeiten, das heißt, wann wurde die Schadsoftware erstellt? Wenn man sich das anschaut, ist die Häufung ganz klar in einer Zeitzone zu sehen, die man zum Beispiel Moskau oder Sankt Petersburg zuweisen kann. Das sind Indizien, die auf der Maleware basieren. Es gibt aber genauso gut Indizien, wenn man sich anschaut, wer sind denn die Opfer.“

Die Hacker attackieren ausnahmslos Kreml-kritische Ziele. In Russland unter anderem Pussy Riot. Die NATO, genau während einer NATO-Übung. Die Türkei nach dem Abschuss eines russischen Jagdbombers Suchoi Su-24 an der türkisch-syrischen Grenze am 24. November 2015. Die USA, je stärker sie die Ukraine unterstützen. Die Ermittler, die den Abschuss der Boeing MH17 durch eine Boden-Luft-Rakete russischer Bauart im Juli 2014 über der Ostukraine aufklärten, bei der alle 298 Insassen ums Leben kamen. Als der ehemalige ukrainische Premierminister Arsenij Jazenjuk (27. Februar 2014 bis 14. April 2016) die deutsche Bundeskanzlerin Angela Merkel (CDU) am 23. Oktober 2015 besuchte, wurde prompt die Internetseite der Bundeskanzlerin gehackt. Zu diesem Angriff bekannte sich eine Gruppe namens Cyberberkyt. Verfassungsschutzpräsident Hans-Georg Maaßen: „Cyberberkyt ist aus unserer Wahrnehmung eine pro-russische Hackergruppe, die wir im Osten der Ukraine verorteten. Wir sehen Cyberberkyt in einem Zusammenhang auch mit nachrichtendienstlichen Angriffen aus Russland.“

Nach dem Angriff auf das Kanzleramt folgte ein Angriff auf den Bundestag.

Mutmaßlich wieder durch den russischen Geheimdienst, wie die technische Analyse des Verfassungsschutzes später ergab. Petra Pau (DIE LINKE): „Das ist gut ein Jahr her, dass die Bundestagsverwaltung, die dort Verantwortlichen für die Informations- und Kommunikationstechnik, merkten, dass das System offensichtlich ziemlich überlastet ist. Etwas Ähnliches bemerkten wir in der IT zum Beispiel der Linksfraktion. Und hat festgestellt, dass es nicht nur einen Angriff gab, sondern man hat tatsächlich versucht, ins System tief einzudringen.“ In der Linksfraktion wurde der 1. Computer infiziert. Durch eine E-Mail mit einem versteckten Schadprogramm. Jetzt waren die Angreifer drin im Datennetz des Bundestages. Haben ihren Brückenkopf errichtet. Und luden in aller Ruhe ihre Spionagesoftware nach.

Nachdem die Vorbereitungen abgeschlossen waren, begann die eigentliche Operation.

Am 5. Mai 2015 verschafften sich die Täter Zugang zu Passwörtern: Merkel123, Letmein, ABCDEFG, ADMIN, HELLOWORLD, !4M1337. Am 6. Mai 2015 konnten sie bereits auf andere Server zugreifen. Am 7. Mai 2015 begannen sie, Daten zu stehlen. Ab dem 9. und 10. Mai 2015 bewegten sie sich frei im Netz des Bundestages. Thomas Jarzombek (CDU), Sprecher der CDU/CSU-Bundestagsfraktion für Digitale Agenda: „Das, was wir wissen, ist, dass der ganze Vorgang wahrscheinlich drei Wochen gedauert hat. Und das etwa 16 Gigabyte an Daten abgeflossen sind. Aller Voraussicht nach oder was wir glauben, dass es halt viele E-Mails gewesen sein mögen von einzelnen Rechnern.“

Jetzt ermittelt die Bundesanwaltschaft wegen des Verdachts der geheimdienstlichen Agententätigkeit. Und noch etwas fällt den Nachrichtendiensten auf.

Russland legt bei seinen Cyberangriffen offenbar falsche Fährten.

Anfang 2015 hackte ein „Cyber Caliphate“ Seiten der US-Streitkräfte. Die Hacker legten anfang April 2015 auch den französischen Sender TV5 Monde lahm. Alle dachten, nun habe der Islamische Staat IS auch die Cyberwelt erreicht. Ein Irrtum. Verfassungsschutzpräsident Hans-Georg Maaßen: „Wir haben festgestellt, dass mit hoher Wahrscheinlichkeit alles dafür spricht, dass auch ein russischer Dienst dahinter steht, nämlich genau derjenige, der auch verantwortlich war auf den Deutschen Bundestag. Dies war aus unserer Sicht ein Zeichen der Stärke, das gesandt worden ist aus Moskau.“

Der bayerische IT-Experte Udo Schneider für den japanischen Konzern Trend Micro und dessen deutscher Tochter zeigt, was Antivirenforscher fanden. Einen Teil eines Quellcodes von Schadsoftware. Der wurde in Varianten bei Cyber Caliphate, bei Cyberberkyt und bei dem Angriff auf den Bundestag gefunden. „Die Tatsache, dass dieser Quellcode in vielen verschiedenen Gruppierungen auftaucht, lässt zumindest den Schluss zu, dass sie ein und dieselbe Gruppierung sind oder aber zusammenarbeiten. Dass sie Ressourcen austauschen. Dass sie Werkzeuge austauschen.“ Jährlich gibt es rund 1,8 Millionen Cyberangriffe auf das deutsche Regierungsnetz. Der Bundesinnenminister Thomas de Maizière (CDU) hat reagiert. Schnelle Eingreiftruppen sollen die Rechner des Bundes besser schützen.

Auch die Bundeswehr wird massiv von Hackern bedroht. 71 Millionen Cyberangriffe waren 2015 gegen das IT-Netz der Streitkräfte gerichtet, davon 8,5 Millionen Angriffe der Gefahrenstufe „HOCH“. Dagegen will die Bundeswehr aufrüsten. In Zukunft sollen 13.700 IT-Experten das Bundeswehrnetz offenbar nicht nur verteidigen, sondern auch Cyberangriffe starten, fordert die CDU. Bundestagsfraktions-Sprecher Thomas Jarzombek: „Natürlich wird durch all dieses eben klar, dass man auch Gegenmaßnahmen braucht. Und das bedeutet eben auch, dass man auch Truppen braucht, eigene Spezialkräfte braucht, die im Zweifelsfall in der Lage sind, halt eben auch das Gleiche auf der anderen Seite zu machen.“

Petra Pau (DIE LINKE): „Ich halte das aber für schlichten Unsinn, selbst jetzt hier aktiv zu werden. Die Bundeswehr ist nach meinem Verständnis nach wie vor keine Angriffsarmee. Und das sollte man dann bitte auch unterlassen.“ Dabei sollte die Bundeswehr erst einmal eigene Schwachstellen beseitigen. In einem vertraulichen Bericht des Bundesrechnungshofes nach § 88 Absatz 2 der Bundeshaushaltsordnung BHO an den Haushaltsausschuss des Deutschen Bundestages über das Kooperationsprojekt HERKULES und Entscheidung über die HERKULES-Nachfolge, das Frontal21 vorliegt, kritisiert der Bundesrechnungshof die Bundeswehr: „So hat sie zum Beispiel die Einhaltung der Vorgaben zur IT-Sicherheit in zentralen Zahlungs- oder einsatzrelevanten IT-Systemen wie den Standard-Anwendungs-Software-Produkt-Familien (SASPF) und den darunter liegenden Datenbanken, Betriebssystemen und Netzwerken nicht überprüft.“ Und sie kontrolliert die Mitarbeiter nicht ausreichend, heißt es in dem Papier nur für den Dienstgebrauch weiter: „Dabei weiß sie nicht, welche Beschäftigten des BWI IT welche Berechtigungen zum Zugriff und zur Veränderung von Daten der Bundeswehr haben und wie diese ihre Berechtigungen nutzen. Zugriffe auf zahlungsrelevante Daten kontrollierte die Bundeswehr nicht. Dennoch erklärte der zuständige Beauftragte für den Haushalt, das IT-System entspreche den haushaltsrechtlichen Vorgaben.“ Fehlende Datensicherheit, mit der sich der Bundesrechnungshof am 3. Juni 2016 in seiner Sitzung beschäftigte. Massive Cyberangriffe. Deutschland hat spät begriffen, wie bedrohlich der Krieg im Netz geworden ist.