Russische Hacker haben im deutschen Regierungsnetzwerk spioniert, Sicherheitsexperten haben sie beobachtet. Wie funktionieren solche Angriffe und was ist ihr Ziel?
Mutmaßlich russische Hacker attackieren seit vergangenem Jahr das Außenministerium und weitere Bundesbehörden mit Spionagesoftware. Bemerkt wurde das erst nach einigen Monaten im vergangenen Dezember, öffentlich bekannt wurde es am Mittwochabend.
Was ist passiert, was wurde von wem gehackt und wie groß ist der Schaden?
Die Informationen aus dem Umfeld der Bundesregierung und aus Sicherheitskreisen waren zunächst widersprüchlich. Inzwischen wird der Angriff dem russischen Geheimdienst FSB und der ihm zuzuordnenden Hackerkampagne „Uroburos“ alias „Snake“ alias „Turla“ zugeschrieben. Zunächst war von Hackern die Rede, die sich „Sofacy Group“ oder „Fancy Bear“ nennen und die von Sicherheitsbehörden als APT28 bezeichnet werden – das steht für „Advanced Persistent Threat“ (Fortgeschrittene ständige Bedrohung). Diese Leute sind mit dem russischen Militärgeheimdienst GRU verbunden. Unstrittig ist offenbar, dass es sich bei den Angreifern um russische Hacker aus dem Dunstkreis russischer Geheimdienste handelt.
Die Cyberspione hätten zunächst die Hochschule des Bundes für öffentliche Verwaltung attackiert, sagten Sicherheitskreise. Von dort seien die Angreifer bis zum Auswärtigen Amt vorgedrungen.
Nach Recherchen des Tagesspiegels gibt es bei dem Angriff möglicherweise einen Zusammenhang zu einem weiteren Vorfall, bei dem APT28 eine Rolle spielte: 2017 versuchte die Gruppe, eine Website des in Bonn sitzenden Internationalen Paralympischen Komitees zu kopieren. „Wir haben die Domain dann geschlossen“, sagte am Donnerstag ein Sprecher des Komitees, der Angriffsversuch sei von „Fancy Bear“ gekommen.
Es sei beinahe zweitrangig, welche Bezeichnung die Hackergruppe habe, die in das Datennetz der Bundesverwaltung eindrang, sagen Sicherheitsexperten. Das Putin-Regime schicke Cyberspione los, weil es sich über die Sanktionen der EU ärgere, die gegen Russland wegen des Konflikts in der Ukraine verhängt wurden. Dass die Strafmaßnahmen anhalten, lastet Moskau vor allem Bundeskanzlerin Angela Merkel an. Die russische Botschaft in Berlin wies am Donnerstag jedoch den Vorwurf zurück, die Angriffe kämen aus Russland.
Die deutschen Sicherheitsbehörden wollen den Vorfall nicht dramatisieren: Es sei zwar unangenehm, dass russische Hacker zunächst einige Monate lang unbemerkt ins Netz der Bundesverwaltung eindringen konnten und erst im Dezember 2017 entdeckt wurden. Der Schaden halte sich aber in Grenzen, die Nachrichtendienste und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hätten die Attacke kontrolliert weiterlaufen lassen. „Um den Angreifer analysieren zu können, muss man das Spiel spielen“, hieß es. „Man lässt die Sache laufen, man guckt mit, man gibt mal ein Erfolgserlebnis, wenn der Angreifer Daten abfließen lassen will.“ Um zu verstehen, wie die Hacker agieren, „muss man sie unter Kontrolle halten und ihnen Reize geben“. Sobald die Gefahr bestand, dass qualitativ hochwertige Daten abhanden kommen, „wurde das unterbunden“.
Wie werden solche Angriffe ermittelt?
Die Zuordnung von Cyberangriffen zu einem bestimmten Angreifer, realen Personen, Gruppen oder Staaten ist schwierig. „Attribution“ nennen Spezialisten die aufwendige Spurensuche. Spezialisten in Sicherheitsbehörden und bei privaten Firmen wie „Kaspersky“ oder „Mandiant“ betonen, dass sie technisch bestimmte Angriffsmuster oder schon bekannte Schadsoftware identifizieren können – dass für eine Zuordnung zu Personen oder Staaten aber meistens zusätzliche Informationen, etwa aus Geheimdienstkreisen, benötigt werden. „Mandiant“ ordnete dennoch ein Angriffsmuster mit dem Namen APT1 im Jahr 2013 China zu und US-Geheimdienste erklärten, dass Russland hinter den Angriffen auf Server der Demokratischen Partei stehe.
Die Attribution beginnt mit der Sicherung von Spuren von Schadsoftware – die Spezialisten nennen sie Artefakte, die sie sammeln und vergleichen.
