AUS DEM SPIEGEL
Ausgabe 10/2018

Spionage Wie russische Hacker Deutschland angriffen

Monatelang konnten die Hacker das besonders gesicherte Netz des Bundes durchkämmen, dabei warnen Experten schon lange vor Snake. Eine Strategie gegen solche Angriffe hat die Regierung nicht.

Eingang zum Parlamentarischen Kontrollgremium
DPA

Eingang zum Parlamentarischen Kontrollgremium


Von Maik Baumgärtner, Patrick Beuth, Jörg Diehl, Christian Esch, Matthias Gebauer, Konstantin von Hammerstein, Martin Knobbe, Sven Röbel, Marcel Rosenbach, Raniah Salloum, Fidelius Schmid und Wolf Wiedmann-Schmidt

Sie gilt als Elitegruppe unter den russischen Hackern, etwas klüger als die anderen, etwas vorsichtiger, geduldiger, aber hochgefährlich, wie eine Schlange. Wann sich die Snake-Gruppe in das Informationssystem der Bundesakademie für öffentliche Verwaltung im rheinischen Brühl eingeschlichen hat, können die Sicherheitsbehörden noch nicht sagen. Spätestens Ende 2016 muss es gewesen sein, so weit konnten sie die Spuren des digitalen Einbruchs zurückverfolgen.

Titelbild
Dieser Artikel ist aus dem SPIEGEL
Heft 10/2018
Die Wut der Autofahrer - und wie der Verkehr der Zukunft aussehen könnte

Unklar ist auch, wie die Hacker, die dem Umfeld des russischen Inlandsgeheimdiensts FSB zugeschrieben werden, in das System eingedrungen sind. Ob über den Link in einer verführerischen E-Mail, den ein unbedarfter Nutzer anklickte, oder über gefälschte Internetseiten, bei deren Aufruf die Schadsoftware zuschlug.

Fest steht, dass die Hacker nach ihrem ersten Eindringen in Brühl monatelang das interne Netz der Verfassungsorgane und oberen Bundesbehörden, den Informationsverbund Berlin-Bonn (IVBB), durchkämmen konnten. Schließlich erreichten sie ihr Ziel: die Abteilung 2 des Auswärtigen Amtes. Sie ist für die deutsche Außenpolitik innerhalb der Europäischen Union sowie gegenüber den Staaten Europas, Nordamerikas und Zentralasiens zuständig. Und damit auch für Russland.

Der Schaden des jüngsten Hacks gegen die Bundesregierung scheint überschaubar zu sein. Insgesamt waren im Auswärtigen Amt zwar 17 Rechner betroffen, Schätzungen gehen aber von einem Abfluss von lediglich drei Dokumenten mit einem Datenvolumen von 240 Kilobyte aus. Doch das ist nur ein erster Eindruck.

Die Bundesregierung und die Geheimdienstaufseher im Parlamentarischen Kontrollgremium sind alarmiert. Nicht nur, weil die Hacker mit der Akademie eine Institution als Einfallstor benutzten, die ausgerechnet von einem ehemaligen Verfassungsschutzpräsidenten aus Hessen geleitet wird. Sondern auch, weil sie mit dem IVBB ein Netz infiltrierten, das in Deutschland als besonders sicher gilt.

Der IVBB ist wie ein lebensnotwendiges Kreislaufsystem der Bundesrepublik. Es verbindet unter anderem das Kanzleramt, Ministerien, Bundestag, Bundesrat, die deutschen Vertretungen im Ausland und alle Sicherheitsbehörden des Bundes miteinander. E-Mails, Telefon- und Videoanrufe laufen über den Informationsverbund, ebenso Dokumente bis zur Geheimhaltungsstufe "Verschlusssache - nur für den Dienstgebrauch". Nur noch geheimere Unterlagen werden über andere Kanäle verschickt.

Nach dem Bundestags-Hack von 2015, bei dem mutmaßlich russische Hacker der Gruppe APT28 Daten im Umfang von 16 Gigabyte stahlen, hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anfälligkeit des Parlamentssystems kritisiert. Selbstbewusst pries das BSI den vermeintlich sicheren IVBB.

Nun müssen sich das Bundesamt und andere Sicherheitsbehörden Fragen gefallen lassen, warum sie nicht in der Lage sind, die Kommunikationsnetze des Bundes zu schützen. Wenn ein Land in solch einem sensiblen Bereich verwundbar ist, wird das ganze System instabil.

Die Täter sollen weltweit in Regierungen und Geheimdienste eingedrungen sein.

Für die Bundesregierung stellt sich aber nicht nur die Aufgabe, wie sie ihre eigene IT-Infrastruktur möglichst schnell sicherer gestaltet, in welche technischen und personellen Ressourcen sie dringend investieren muss. Sie muss auch entscheiden, wie sie auf den offensichtlich staatlich gelenkten Angriff aus Russland reagiert.

Der Generalbundesanwalt hat Vorermittlungen wegen des Verdachts der geheimdienstlichen Agententätigkeit aufgenommen, das ist die juristische Antwort. Wie aber sieht die politische aus? Und wie rüstet sich Deutschland gegen eine Digitalarmee aus dem Osten, die strategisch wie technisch immer geschickter agiert? Dass die Hacker von Snake ihr Geschäft verstehen, haben sie in der Vergangenheit schon oft bewiesen. So sollen sie weltweit in Botschaften, internationale Organisationen, Rüstungsfirmen, Regierungen und Geheimdienste eingedrungen sein; auch das U. S. Central Command, eine Leitstelle der amerikanischen Armee, sollen sie bereits attackiert haben.

Sicherheitsexperten halten den Code für deutlich ausgefeilter als die ebenfalls mutmaßlich auf Russland zurückgehenden Cyberkampagnen APT28 und APT29, besser bekannt unter den Namen "Fancy Bear" und "Cozy Bear".

Der estnische Geheimdienst bringt Snake in Verbindung mit dem russischen Geheimdienst FSB, Fachleute aus der Cybercommunity sehen es genauso. Die Truppe könnte zudem mit einer massiven, weltweiten Hackerkampagne gegen Diplomaten, Militärs und Nuklearforscher zu tun haben, die auf den Namen "Roter Oktober" getauft wurde.

Auswärtiges Amt: Spähziel Abteilung 2
Karl-Heinz Spremberg/ Chromorange/ Imago

Auswärtiges Amt: Spähziel Abteilung 2

Das Bundesamt für Verfassungsschutz warnte bereits im Mai 2016 deutsche Rüstungsunternehmen, dass sie ins Visier der russischen Cyberangriffskampagne von Snake geraten sein könnten. Die Rede war von einer "in Umfang und Qualität herausragenden, über lange Zeit gezielt durchgeführten Cyberspionageoperation mit internationalem Ausmaß".

Schon damals vermuteten die Verfassungsschützer, dass es sich um einen "staatlich gelenkten Angriff" handle. Die eingesetzte Schadsoftware sei "hoch entwickelt und komplex". Als Indizien, dass die Hacker aus Russland stammten, nannte der Verfassungsschutz unter anderem die Spracheinstellung "Code 1251" - damit können kyrillische Zeichen angezeigt werden. Zudem wurden auffällig große Aktivitäten zu üblichen Bürozeiten in Moskau und Sankt Petersburg festgestellt.

Deutsche IT-Sicherheitsexperten tauften die Cyberangriffskampagne auch "Uroburos", nach dem alten griechischen Symbol einer Schlange, die ihren eigenen Schwanz frisst. Der Grund: Im Quellcode der Schadsoftware stand die Zeichenfolge UrObUr()s.

Auf den Angriff gegen den IVBB machte ein ausländischer Partnerdienst die Deutschen am 19. Dezember vergangenen Jahres aufmerksam. Am 5. Januar wurde das BSI dann bei der Akademie in Brühl fündig. Seitdem ließ die Behörde die Attacke offenbar weiterlaufen, um herauszufinden, wer die Täter sind und wie sie vorgehen. Dabei haben BSI-Experten die Kommunikation der attackierten Computer isoliert, gespiegelt und simuliert, sodass die Angreifer den Eindruck hatten, alles laufe wie bisher. Schaden konnten sie nicht mehr anrichten.

Im Cyberraum ist es nahezu unmöglich, unumstößliche Beweise für die Urheberschaft eines Angriffs zu finden. Die eingeschleusten Codes können eine gewisse Handschrift tragen: Zeitstempel zum Beispiel, die auf Bürozeiten hindeuten, bestimmte Schreibweisen und Tippfehler.

Ein Indiz sind auch die Server, an die Daten gesendet werden. Häufig gehören sie Institutionen wie Universitäten, die ihrerseits unbemerkt gehackt wurden. Manchmal nutzen Hacker diese Server mehrfach, es entsteht so eine wiedererkennbare Infrastruktur. Die Cyberermittler können dann ein Angriffsprofil erstellen. Wem könnte die Attacke nutzen? Steht womöglich ein Staat dahinter? Nur selten verraten sich Täter direkt, aber bei APT28 ist das passiert. Da konnten IT-Experten beobachten, wie abgegriffene Daten versehentlich an einen Server in einem Moskauer Gebäudekomplex gesendet wurden, in dem der militärische Geheimdienst GRU sitzt.

Allerdings können Spuren im Code auch manipuliert sein. Absichtliche Tippfehler oder bewusst zu bestimmten Uhrzeiten zusammengestellte Softwarebestandteile können den Eindruck erwecken, dass die Täter in einem bestimmten Land leben, obwohl sie es nicht tun. "False Flag" heißen solche Operationen, Segeln unter falscher Flagge.

Die Indizien, dass viele der Hackerangriffe gegen westliche Unternehmen und Regierungsstellen russischer Natur sind, haben sich allerdings in den vergangenen Monaten verdichtet. Russland präsentiert sich als aggressive Digitalmacht, die im Netz alle Register der Cyberkriegsführung zieht.

Der Kurznachrichtendienst Twitter beispielsweise verschickte erst vor Kurzem Warnungen an mehr als 1,4 Millionen seiner Nutzer, die einem inzwischen identifizierten russischen Troll-Account folgten und dessen Tweets teilweise weiterverbreiteten. Twitter übergab dem US-Kongress zudem eine Liste mit mehr als 3800 Benutzerkonten, die laut internen Ermittlungen der berüchtigten russischen Internet Research Agency (IRA) zuzurechnen waren und inzwischen gelöscht wurden - so wie mehr als 200.000 ihrer propagandistischen Tweets.

Die Anklage des US-Sonderermittlers Robert Mueller, der die russischen Einflüsse auf die Präsidentenwahl untersuchen soll, nennt die IRA als hauptverantwortliche russische Organisation und klagt 13 Hintermänner wegen Wahlbeeinflussung an. "Amerika wird angegriffen", sagte der neue US-Geheimdienstdirektor Dan Coats vor dem Ausschuss. "Putin wertet die bisherigen Anstrengungen als Erfolg und sieht die 2018 anstehenden Midterm-Wahlen als nächstes potenzielles Ziel." Mindestens so alarmierend sind die Aktivitäten, die nicht auf die öffentliche Meinung abzielen, sondern auf Unternehmen, Lieferketten und Maschinen. Weitgehend unbemerkt von der Öffentlichkeit haben westliche Geheimdienste Russland gerade als Urheber einer der bislang zerstörerischsten Cyberattacken gebrandmarkt.

Im Juni vorigen Jahres hatte sich von der Ukraine aus eine Schadsoftware explosionsartig verbreitet, die Rechner verschlüsselte und damit unbrauchbar machte. Anders als bei vielen ähnlichen Erpressungsattacken ("Ransomware") ließen sich die Rechner selbst dann nicht wieder normal in Betrieb nehmen, als das geforderte Lösegeld in der Kryptowährung Bitcoin bezahlt worden war. Es ging den Tätern offensichtlich um pure Zerstörung.

Der Angriff, der NotPetya getauft wurde, betraf Großunternehmen wie die Reederei Maersk, den Logistikriesen TNT, den Pharmakonzern Merck, den deutschen Nivea-Hersteller Beiersdorf sowie den Lebensmittelkonzern Mondelez ("Milka"). Allein Maersk schätzt den eigenen Schaden auf mehrere Hundert Millionen Euro, Beiersdorf beziffert den Verlust bislang auf 35 Millionen Euro.

Mitte Februar machte die britische Regierung das russische Militär für die "zerstörerische NotPetya-Cyberattacke" verantwortlich, heißt es in einer ungewöhnlich scharfen öffentlichen Stellungnahme. Zuvor hatte bereits der US-Geheimdienst CIA mit "hoher Sicherheit" geschlossen, dass der russische Militärgeheimdienst GRU die Schadsoftware NotPetya entwickelt habe.

Eine Schadsoftware machte Rechner unbrauchbar. Es ging den Hackern um Zerstörung.

Dass westliche Regierungen klar mit dem Finger nach Moskaus zeigen, hat auch damit zu tun, dass ihre Geheimdienste mittlerweile präzise Einblicke in die russischen Hackertruppen gewonnen haben.

Ein besonders spektakulärer Coup soll dabei dem niederländischen Geheimdienst AIVD gelungen sein. Dessen Elitehacker seien bereits 2014 in verdächtige Computersysteme in Moskau vorgedrungen, die sich in einem Universitätsgebäude in der Nähe des Roten Platzes befunden hätten, berichtete die niederländische Zeitung "de Volkskrant" Ende Januar. Offenbar hatten die Niederländer sich damit erfolgreich in eine Einheit ihrer russischen "Kollegen" eingehackt - nämlich bei Cozy Bear, auch als APT29 bekannt, die seit vielen Jahren aktiv und besonders berüchtigt ist.

Bis in die Überwachungskameras sollen die westlichen Agenten vorgedrungen sein. So konnten sie die Gesichter der Hacker mit denen bereits identifizierter russischer Geheimdienstmitarbeiter abgleichen und feststellen, dass in wechselnder Besetzung jeweils rund zehn Mitarbeiter ihrem geheimnisvollen Tagwerk an den Tastaturen nachgingen. Die Niederländer haben angeblich sogar beobachtet, wie die Russen im Aufgalopp für den US-Wahlkampf die Demokratische Partei hackten.

DER SPIEGEL

Amerikanische Geheimdienste hatten bereits zuvor verlauten lassen, ein "westlicher Verbündeter" habe schon 2014 geholfen, einen groß angelegten Cyberangriff auf das US-Außenministerium abzuwenden. Offenbar war es der personell und finanziell vergleichsweise bescheiden ausgestattete AIVD. Dessen Chef Rob Bertholee sagte im niederländischen Fernsehen, er habe keinen Zweifel daran, dass der Kreml die Cyberangriffe orchestriere.

Deutschland, so schien es, blieb in den vergangenen Monaten von solchen Angriffen verschont. Die entwendeten Dokumente aus dem Bundestag tauchten wider Erwarten auf keiner Enthüllungsplattform auf. Während des Bundestagswahlkampfs waren keine Manipulationen erkennbar, obwohl alle Behörden davor gewarnt hatten.

Doch die Ruhe war trügerisch, wie der Fall Snake zeigt. Allerdings scheint es sich dabei um "konventionelle Spionage" zu handeln, sagt der russische Geheimdienstexperte Andrej Soldatow: "Es ist eine Sache, wenn man im Hintergrund Informationen sammelt, und eine andere, wenn man diese Informationen dann an die Öffentlichkeit spielt, über WikiLeaks etwa."

Aber auch die Hackergruppe APT28 griff in den vergangenen Monaten immer wieder Ziele in Deutschland an. So wurde nach Informationen aus Sicherheitskreisen zum Beispiel das Internationale Paralympische Komitee gehackt, das seinen Sitz in Bonn hat. Die Täter hatten es leicht. Sie spielten die Schadsoftware auf das Android-Smartphone eines der Delegierten des Komitees, als dieser sich in einem Moskauer Hotel aufhielt. Dafür nutzten die Hacker das WLAN des Hotels. Dort sollen zur gleichen Zeit Mitarbeiter eines russischen Geheimdienstes eingecheckt gewesen sein: womöglich ein weiterer Beleg für die Involvierung staatlicher russischer Stellen in gezielte Hackerangriffe.

Über die Gründe, warum die Olympischen Spiele der Behinderten für die Russen interessant sein könnten, kann man nur spekulieren. Möglicherweise erhoffen sie sich so Zugang auf die Server des Internationalen Olympischen Komitees, das in der Vergangenheit viel mit Dopingvorwürfen gegen russische Sportler zu tun hatte.

BSI-IT-Lagezentrum: Sicherheitslücke nicht erkannt
Oliver Berg/ Picture Alliance

BSI-IT-Lagezentrum: Sicherheitslücke nicht erkannt

Auch in Berlin stellten die Behörden einen Angriff fest, der bereits im Dezember 2016 begonnen hat: Hacker infiltrierten offenbar die Stiftung Wissenschaft und Politik. Sie gehört zu den einflussreichsten deutschen Forschungseinrichtungen für außen- und sicherheitspolitische Fragen und berät Bundestag wie Bundesregierung. Mutmaßlich, so heißt es in Sicherheitskreisen, stecke hinter der Attacke APT28.

Vertreter der Sicherheitsbehörden und Politiker fordern seit geraumer Zeit, Attacken müssten mit entschiedenen Gegenangriffen beantwortet werden, mit sogenannten Hackbacks. Der CDU-Innenpolitiker Armin Schuster wünscht sich eine offensivere Ausrichtung der deutschen Cyberabwehr. "Wir können nicht nur Zäune bauen", sagt er. "Wir müssen auch die Möglichkeit haben, in die Netze der Angreifer einzudringen, gestohlene Dokumente zu löschen - und im Extremfall auch Server zu übernehmen oder lahmzulegen." Sven Herpig von der Stiftung Neue Verantwortung warnt allerdings vor einer Eskalationsspirale.

Digitalexperten wie die Linkenabgeordnete Anke Domscheit-Berg verweisen gar auf eine mögliche Mitschuld staatlicher Behörden wie der neuen Entschlüsselungsbehörde Zitis. Sie soll es Sicherheitsbehörden ermöglichen, auch verschlüsselte Kommunikation mitzulesen. Dafür muss sie Software-Schwachstellen selbst finden, horten oder bei kommerziellen Anbietern einkaufen. Domscheit-Berg sieht den Staat aber in der Pflicht, diese Sicherheitslücken möglichst schnell zu schließen. Auch der innenpolitische Sprecher der SPD-Fraktion im Bundestag, Burkhard Lischka, sagt, zunächst müsse sich die Bundesregierung darum kümmern, ihr eigenes Netz sicher zu gestalten. Offenbar gebe es dort Lücken, die Sicherheitsbehörden wie das BSI bislang nicht erkannt hätten.

Politisch zeigen die Hackerangriffe, wie sehr das deutsch-russische Verhältnis in den vergangenen Jahren gelitten hat. Beide Seiten trauen sich keinen Millimeter über den Weg. Präsident Putin scheint keine Hemmungen mehr zu haben, die Deutschen gegen sich aufzubringen. Zwischen den beiden wichtigsten Kontinentalmächten Europas herrscht ein Zustand, der zunehmend an den Kalten Krieg erinnert.

Immerhin reden Moskau und Berlin noch miteinander. Im vergangenen Jahr soll die Kanzlerin den russischen Präsidenten gewarnt haben, es werde Konsequenzen haben, wenn sich Russland in den deutschen Wahlkampf einmische. Daraufhin gab es offensichtlich keine Manipulationsversuche, die Hackerangriffe aber gingen weiter, still und leise.

Zu härteren Maßnahmen konnte sich die Bundesregierung bislang nicht durchringen. Kein Botschafter wurde einbestellt, Sanktionen gegen Russland wegen der Cyberangriffe wurden nicht beschlossen.

Die vornehme Zurückhaltung könnte damit zu tun haben, dass Spionieren zum alltäglichen Geschäft gehört, auch für demokratische Staaten wie Deutschland. Der Bundesnachrichtendienst hat in seinem Auftragsprofil russische Ziele.


Russland bereitet sich auf die Wahl am 18. März vor, deren Sieger jetzt schon feststeht: Wladimir Putin.



© DER SPIEGEL 10/2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.