Cybercrime

Russische Hacker am Werk? BSI warnt Parteien vor Cyberangriffen

Stand: 20.09.2016 17:00 Uhr

Das BSI warnt Parteien und Fraktionen vor Ausspähung durch Hacker. Grund dafür sind nach Informationen von NDR, WDR und SZ Cyberangriffe, hinter denen das Amt eine russische Gruppe vermutet. Der Verdacht: vor der Bundestagswahl könnte die öffentliche Meinung manipuliert werden.

Von Georg Heil, Georg Mascolo und Reiko Pinkert

Wagenknecht im Bundestag | Bildquelle: dpa
galerie

Auch Sahra Wagenknecht bekam die brisante E-Mail.

Nach Informationen von NDR, WDR und "Süddeutscher Zeitung" informierten die NATO und der Bundesnachrichtendienst (BND) das Cyberabwehrzentrum des Bundes am 7. September über eine Hacker-Attacke. Betroffen waren davon unter anderem die Bundestagsfraktionen von SPD und Linkspartei sowie zahlreiche Abgeordnete, unter ihnen auch die Fraktionsvorsitzende der Linkspartei, Sahra Wagenknecht.

Zudem wurden auch Personen und Institutionen außerhalb des Bundestags angegriffen, so die Bundesgeschäftsstellen der Linkspartei und der Jungen Union oder auch Politiker der CDU im Saarland. Über einen Angriff auf Politiker der CDU im Saarland hatte bereits die "Saarbrücker Zeitung" berichtet.

Ein Angriff aus Russland?

In einem kurzfristig anberaumten Treffen informierte das BSI dann Vertreter der Parteien und Bundestagsfraktionen über den Angriff, der einer russischen Gruppierung, die unter den Namen apt28 oder auch Sofacy Group bekannt ist, zugeordnet wird.

Gegenüber NDR, WDR und "SZ" bestätigte BSI-Präsident Arne Schönbohm: "Es gibt Indikatoren, die auf apt28 hindeuten." Die Gruppe wird nach Einschätzung von westlichen Sicherheitsbehörden von den russischen Nachrichtendiensten GRU und FSB gesteuert.

Angebliche Informationen aus dem NATO-Hauptquartier

Nato-Hauptquartier in Brüssel
galerie

Die E-Mails erweckten den Anschein, als kämen sie aus dem NATO-Hauptquartier in Brüssel. (Archivbild)

Die Hackergruppe soll am 15. und 24. August in einer sogenannten spear-phishing-Attacke E-Mails mit falscher Identität verschickt haben. Für die Empfänger entstand so der Eindruck, die E-Mails seien von der NATO verschickt worden -  vermeintlicher Absender der E-Mail war ein Heinrich Krammer mit der NATO-E-Mailadresse "@hq.nato.int".

Die Mails enthielten Links, die angeblich zu Informationen über das Erdbeben in Italien bzw. zum Putschversuch in der Türkei führten, tatsächlich jedoch auf eine Seite verlinkten, die Schadsoftware verbreitet. Auch das Bundesamt für Verfassungsschutz (BfV) warnte vor den E-Mails mit dem Betreff "FYI: Bulletin" und "FYI: Earthquake".

Bundestag sperrte Zugriff auf Server 

Der Angriff sei sehr breit angelegt gewesen - so soll es allein 70 E-Mails gegeben haben, die nicht zugestellt werden konnten, weil nicht mehr in Betrieb befindliche E-Mail-Adressen angeschrieben wurden. Wie viele E-Mails insgesamt zugestellt wurden, wird noch untersucht. Der Angriff scheiterte jedoch zumindest im Bereich des Bundestages, da die Bundestagsverwaltung den Zugriff auf die Server mit der Schadsoftware aus dem Netz des Bundestages bereits im Juli gesperrt hatte - offenbar waren also die selben Server bereits zuvor für Angriffe genutzt worden.

Die Angriffe sind zwischenzeitlich auch Gegenstand polizeilicher Ermittlungen.

Ähnlichkeiten zu Angriffen in den USA 

In der Bundesregierung und im BSI wird die neue Attacke außerordentlich ernst genommen. Es wird befürchtet, dass sensible Informationen gesammelt werden sollen, um diese später gezielt zu veröffentlichen und damit etwa die Meinungsbildung im Vorfeld der Bundestagswahl zu manipulieren. Ähnliche Vorwürfe stehen derzeit in den USA im Raum, wo es eine parlamentarische Untersuchung zu einem Hacker-Angriff auf die Demokratische Partei gibt.

Mehr zum Thema

"Vor dem Hintergrund der amerikanischen Ereignisse war es mir wichtig, dass sich die Parteien vor Ausspähung schützen", so BSI-Chef Schönbohm. Der BSI-Präsident bot den deutschen Parteien daher Hilfe bei der Abwehr künftiger Cyber-Angriffe an. Diese könnten vor der Bundestagswahl noch zunehmen, sagte er in dem Gespräch mit den Parteien.

Hackergruppe seit 2007 bekannt

Der aktuelle Angriff ist offenbar typisch für das Vorgehen der Gruppe apt28/Sofacy Group. Die Hackergruppe soll westlichen Behörden seit 2007 bekannt sein.

Ihr wird auch der Angriff auf Server des deutschen Bundestages im vergangenen Jahr zugerechnet - dabei war eine E-Mail verschickt worden, die angeblich von den Vereinten Nationen stammte und einen Link enthielt, der zu einer vermeintlichen UN-Seite führte. Den Empfängern der E-Mail war mitgeteilt worden, man könne auf der Seite Informationen zum Konflikt in der Ukraine erhalten.

Durch den Angriff kam es zu einem Datenabfluss in erheblicher Menge, der erst durch eine Abschaltung der Bundestags-IT gestoppt werden konnte. Auch ein sogenannter Spoof-Angriff, bei dem Nutzer im Frühjahr auf eine gefälschte CDU-Seite geleitet wurden, um dort ihre Zugangsdaten einzugeben, soll von den russischen Hackern ausgegangen sein.

Recherchekooperation

Die investigativen Ressorts von NDR, WDR und "Süddeutscher Zeitung" kooperieren unter Leitung von Georg Mascolo themen- und projektbezogen. Die Rechercheergebnisse, auch zu komplexen internationalen Themen, werden für Fernsehen, Hörfunk, Online und Print aufbereitet.

Über dieses Thema berichtete die tagesschau am 20. September 2016 um 17:00 Uhr.

Darstellung: