Ein Mann tippt auf der Tastatur eines Laptops | dpa
Exklusiv

Attacke auf Bundestag Hackerjagd mit Hindernissen

Stand: 22.04.2021 05:01 Uhr

Vor einem Jahr hat der Generalbundesanwalt einen Haftbefehl gegen einen russischen Hacker erwirkt, der den Bundestag ausspioniert haben soll. Doch ob der Mann je vor Gericht stehen wird, ist unklar.

Von Florian Flade, WDR, und Hakan Tanriverdi, BR

Eine Wohnsiedlung, rund 30 Kilometer südöstlich von Moskau. Die wuchtigen Plattenbauten haben bunte Kacheln an den Außenfassaden, dazwischen liegen Spielplätze und Grünanlagen. Es gibt Supermärkte, eine Bar, ein Sushi-Restaurant, eine Sportanlage, Schönheitssalons und ein Geschäft für Kinderbekleidung. Hier, in dieser Siedlung, in der vor allem junge Familien wohnen, soll ein Mann leben, nach dem das Bundeskriminalamt (BKA) seit rund einem Jahr sucht: Dmitriy Badin, 30 Jahre alt, Familienvater.

Im Rechner der Bundeskanzlerin

Badin wird für den bislang spektakulärsten Cyberangriff in Deutschland verantwortlich gemacht, den Hack des Deutschen Bundestages im Frühjahr 2015. Hacker waren heimlich in das IT-System des Parlaments eingedrungen und hatten sich Zugang zu E-Mail-Postfächern verschafft. Auch ein Rechner im Abgeordnetenbüro von Bundeskanzlerin Angela Merkel war betroffen. Rund 16 Gigabyte Daten soll die Hackergruppe erbeutet haben. 

Schon früh gab es den Verdacht, dass der russische Militärgeheimdienst GRU hinter dem Angriff stecken könnte. Und doch hat es fünf Jahre gedauert, bis das BKA schließlich einen Tatverdächtigen identifizieren konnte: Der Russe Dmitriy Badin soll der Hacker sein, der in den E-Mails der Kanzlerin rumgeschnüffelt hat - mit einer eigens dafür geschriebenen Schadsoftware. Badin soll für den GRU arbeiten, und zwar für die Cybereinheit 26165, besser bekannt als APT28 oder "Fancy Bear".

Im Mai 2020 erwirkte der Generalbundesanwalt in Karlsruhe mit den Informationen des BKA einen Haftbefehl beim Bundesgerichtshof gegen Badin. Der Hacker mit dem Spitznamen "Scaramouche" wird seitdem auch von deutschen Behörden gesucht.

"Ich bin sehr froh, dass die Untersuchungen doch jetzt dazu geführt haben, dass der Generalbundesanwalt eine konkrete Person auch auf die Fahndungsliste gesetzt hat", sagte Merkel im Mai 2020 im Plenum des Deutschen Bundestages. "Mich schmerzt das", sagte die Kanzlerin weiter. Sie sei stets um ein "besseres Verhältnis zu Russland" bemüht. Nun aber gebe es "harte Evidenzen" dafür, dass Russland das deutsche Parlament angegriffen habe. "Natürlich behalten wir uns immer Maßnahmen vor, auch gegen Russland." 

"Angriff auf die Demokratie an sich"

Was aber ist seitdem passiert? Deutschland hat sich dafür eingesetzt, dass Badin auf einer europäischen Sanktionsliste landet. Das bedeutet: Etwaige Konten in der EU werden eingefroren, Einreisebeschränkungen erlassen. Sollte Badin zum Beispiel nach Italien reisen, um Urlaub am Mittelmeer zu machen, würde er ausgeliefert. In einer so genannten Weisung des Auswärtigen Amtes an deutsche Diplomaten - die in Brüssel die Position der Regierung vertreten - heißt es in sehr klaren Worten: "Wir erachten den Angriff auf das deutsche Parlament als einen Angriff auf die Demokratie an sich. Und auf die Souveränität des deutschen Staates." Die Weisung ist vom 16. Juni 2020 und liegt BR und WDR vor. Sie ist über weite Teile geschwärzt. Weiter heißt es dort: "Wir dürfen nicht zulassen, dass solche verleumderischen Angriffe auf europäische Werte ohne Konsequenzen bleiben und wir dürfen nicht zulassen, dass solche Angriffe in der Zukunft andauern." Die Sanktionen wurden am 22. Oktober 2020 verhängt.

Die Personenfahndung des BKA ist mit dem Fall Dmitriy Badin zwar offiziell befasst - aber es gilt als wenig aussichtsreich, ihn vor Gericht zu stellen. Der Gesuchte hält sich mit hoher Wahrscheinlichkeit in Russland auf und wird vermutlich auch von seinem Arbeitgeber, dem russischen Staat, geschützt. Die russischen Behörden werden wohl kaum eine deutsche Bitte um Festnahme umsetzen.

 

Wichtige Hinweise durch das FBI

Die US-Bundespolizei FBI lieferte den deutschen Ermittlern wichtige Beweise, die bei der Überführung von Badin eine zentrale Rolle einnahmen, wie ein Bundesanwalt in einer nicht-öffentlichen Sitzung des Ausschusses Digitale Agenda des Bundestages im Mai 2020 erklärte. Das Protokoll der Sitzung liegt BR und WDR vor. "Die Identifizierung des unter dem Pseudonym 'Scaramouche' agierenden Angreifers als der Beschuldigte Badin beruhe in erster Linie auf Erkenntnissen und Beweismitteln, die das FBI zur Verfügung gestellt habe", heißt es dort. Unter anderem ein Google-Account von Badin sei Teil der übergebenen Daten gewesen.

Die USA beschuldigen Badin, für den Cyberangriff auf die Demokratische Partei im Vorfeld der US-Präsidentschaftswahl 2016 verantwortlich gewesen zu sein. Badin ist in den USA angeklagt. Adam Hickey, stellvertretender Generalstaatsanwalt im US-Justizministerium ist zuständig für Spionage-Ermittlungen. Für ihn ist es erfreulich, dass neben den USA ein zweites Land einen Hacker aus derselben Gruppe identifiziert hat und mit juristischen Mitteln vorgeht. "Es ist von entscheidender Bedeutung, dass ähnlich gesinnte Staaten ihre jeweiligen Ergebnisse bestätigen und sagen: 'Wir haben uns auch diese Beweise angeschaut oder wir haben unsere eigenen Erkenntnisse und kommen zum Schluss, dass dieser oder jener Staat dafür verantwortlich ist'", sagt Adam Hickey im Gespräch mit BR Recherche. Den Haftbefehl direkt kommentieren wollte der stellvertretende Generalstaatsanwalt nicht.

BND durchforstet Internet nach Hackern

Dem Bundesnachrichtendienst (BND) ist es nach Informationen von BR und WDR gelungen, gezielt Server zu finden, die von den Hackern verwendet werden. Diese setzten bis 2018 eine bestimmte Schadsoftware ein - IT-Sicherheitsexperten nennen sie "X-Tunnel". Teile der Kommunikation ließen sich aus dem Internetverkehr, den der BND mitschneiden darf, herausfiltern. So war der BND in der Lage, die eingesetzten Server der Hacker zu identifizieren - und auch, auf wen es die Hacker abgesehen hatten.