Cybercrime

Russische Hacker am Werk? BSI warnt Parteien vor Cyberangriffen

Stand: 20.09.2016 17:00 Uhr

Das BSI warnt Parteien und Fraktionen vor Ausspähung durch Hacker. Grund dafür sind nach Informationen von NDR, WDR und SZ Cyberangriffe, hinter denen das Amt eine russische Gruppe vermutet. Der Verdacht: vor der Bundestagswahl könnte die öffentliche Meinung manipuliert werden.

Von Georg Heil, Georg Mascolo und Reiko Pinkert

Wagenknecht im Bundestag | Bildquelle: dpa
galerie

Auch Sahra Wagenknecht bekam die brisante E-Mail.

Nach Informationen von NDR, WDR und "Süddeutscher Zeitung" informierten die NATO und der Bundesnachrichtendienst (BND) das Cyberabwehrzentrum des Bundes am 7. September über eine Hacker-Attacke. Betroffen waren davon unter anderem die Bundestagsfraktionen von SPD und Linkspartei sowie zahlreiche Abgeordnete, unter ihnen auch die Fraktionsvorsitzende der Linkspartei, Sahra Wagenknecht.

Zudem wurden auch Personen und Institutionen außerhalb des Bundestags angegriffen, so die Bundesgeschäftsstellen der Linkspartei und der Jungen Union oder auch Politiker der CDU im Saarland. Über einen Angriff auf Politiker der CDU im Saarland hatte bereits die "Saarbrücker Zeitung" berichtet.

Ein Angriff aus Russland?

In einem kurzfristig anberaumten Treffen informierte das BSI dann Vertreter der Parteien und Bundestagsfraktionen über den Angriff, der einer russischen Gruppierung, die unter den Namen apt28 oder auch Sofacy Group bekannt ist, zugeordnet wird.

Gegenüber NDR, WDR und "SZ" bestätigte BSI-Präsident Arne Schönbohm: "Es gibt Indikatoren, die auf apt28 hindeuten." Die Gruppe wird nach Einschätzung von westlichen Sicherheitsbehörden von den russischen Nachrichtendiensten GRU und FSB gesteuert.

Neuer Hackerangriff auf Bundestag
tagesschau 20:00 Uhr, 20.09.2016, Michael Stempfle/Georg Heil, ARD Berlin

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Angebliche Informationen aus dem NATO-Hauptquartier

Nato-Hauptquartier in Brüssel
galerie

Die E-Mails erweckten den Anschein, als kämen sie aus dem NATO-Hauptquartier in Brüssel. (Archivbild)

Die Hackergruppe soll am 15. und 24. August in einer sogenannten spear-phishing-Attacke E-Mails mit falscher Identität verschickt haben. Für die Empfänger entstand so der Eindruck, die E-Mails seien von der NATO verschickt worden -  vermeintlicher Absender der E-Mail war ein Heinrich Krammer mit der NATO-E-Mailadresse "@hq.nato.int".

Die Mails enthielten Links, die angeblich zu Informationen über das Erdbeben in Italien bzw. zum Putschversuch in der Türkei führten, tatsächlich jedoch auf eine Seite verlinkten, die Schadsoftware verbreitet. Auch das Bundesamt für Verfassungsschutz (BfV) warnte vor den E-Mails mit dem Betreff "FYI: Bulletin" und "FYI: Earthquake".

Bundestag sperrte Zugriff auf Server 

Der Angriff sei sehr breit angelegt gewesen - so soll es allein 70 E-Mails gegeben haben, die nicht zugestellt werden konnten, weil nicht mehr in Betrieb befindliche E-Mail-Adressen angeschrieben wurden. Wie viele E-Mails insgesamt zugestellt wurden, wird noch untersucht. Der Angriff scheiterte jedoch zumindest im Bereich des Bundestages, da die Bundestagsverwaltung den Zugriff auf die Server mit der Schadsoftware aus dem Netz des Bundestages bereits im Juli gesperrt hatte - offenbar waren also die selben Server bereits zuvor für Angriffe genutzt worden.

Die Angriffe sind zwischenzeitlich auch Gegenstand polizeilicher Ermittlungen.

Ähnlichkeiten zu Angriffen in den USA 

In der Bundesregierung und im BSI wird die neue Attacke außerordentlich ernst genommen. Es wird befürchtet, dass sensible Informationen gesammelt werden sollen, um diese später gezielt zu veröffentlichen und damit etwa die Meinungsbildung im Vorfeld der Bundestagswahl zu manipulieren. Ähnliche Vorwürfe stehen derzeit in den USA im Raum, wo es eine parlamentarische Untersuchung zu einem Hacker-Angriff auf die Demokratische Partei gibt.

"Vor dem Hintergrund der amerikanischen Ereignisse war es mir wichtig, dass sich die Parteien vor Ausspähung schützen", so BSI-Chef Schönbohm. Der BSI-Präsident bot den deutschen Parteien daher Hilfe bei der Abwehr künftiger Cyber-Angriffe an. Diese könnten vor der Bundestagswahl noch zunehmen, sagte er in dem Gespräch mit den Parteien.

Hackergruppe seit 2007 bekannt

Der aktuelle Angriff ist offenbar typisch für das Vorgehen der Gruppe apt28/Sofacy Group. Die Hackergruppe soll westlichen Behörden seit 2007 bekannt sein.

Ihr wird auch der Angriff auf Server des deutschen Bundestages im vergangenen Jahr zugerechnet - dabei war eine E-Mail verschickt worden, die angeblich von den Vereinten Nationen stammte und einen Link enthielt, der zu einer vermeintlichen UN-Seite führte. Den Empfängern der E-Mail war mitgeteilt worden, man könne auf der Seite Informationen zum Konflikt in der Ukraine erhalten.

Durch den Angriff kam es zu einem Datenabfluss in erheblicher Menge, der erst durch eine Abschaltung der Bundestags-IT gestoppt werden konnte. Auch ein sogenannter Spoof-Angriff, bei dem Nutzer im Frühjahr auf eine gefälschte CDU-Seite geleitet wurden, um dort ihre Zugangsdaten einzugeben, soll von den russischen Hackern ausgegangen sein.

Recherchekooperation

Die investigativen Ressorts von NDR, WDR und "Süddeutscher Zeitung" kooperieren unter Leitung von Georg Mascolo themen- und projektbezogen. Die Rechercheergebnisse, auch zu komplexen internationalen Themen, werden für Fernsehen, Hörfunk, Online und Print aufbereitet.

Über dieses Thema berichtete die tagesschau am 20. September 2016 um 17:00 Uhr.

Darstellung: