Hacks in Deutschland Spuren führen zum Geheimdienst FSB
Die Hacker der Gruppe "Snake" gelten als gefährliche Cyberspione - auch in Deutschland haben sie zugeschlagen. Aber wer steckt dahinter? BR und WDR-Recherchen zeigen: Spuren führen zum russischen Geheimdienst FSB.
"Snake" gilt als eine der gefährlichsten Cyberspionage-Einheiten überhaupt, so etwas wie die Meisterdiebe im digitalen Raum. Sie ist - wie viele Hackergruppen - nach einem Tier benannt: "Snake", andere nennen sie "Turla". Oder auch "Uroburos", nach einem Fabelwesen aus der griechischen Mythologie, einer Schlange, die sich selbst frisst.
Seit nunmehr fast zwei Jahrzehnten werden die Hacker von "Snake" von IT-Sicherheitsexperten und Sicherheitsbehörden weltweit beobachtet. Ihre Werkzeuge - die eingesetzte Schadsoftware - so heißt es in einer internen Analyse des kanadischen Geheimdienstes, seien offensichtlich von "Genies" programmiert worden.
Und auch deutsche Sicherheitsbehörden verweisen bis heute auf die "herausragende technische Qualität" der Hacker - und auf deren Gefährlichkeit. Sie werden für einige der spektakulärsten Cyberangriffe überhaupt verantwortlich gemacht, für Attacken auf Regierungen, auf militärische und diplomatische Stellen.
"Snake" hackte Auswärtiges Amt
Auch in Deutschland soll "Snake" bereits zugeschlagen haben. Ende 2017 fiel der Hack auf: "Snake" hatte das IT-System der Hochschule des Bundes im nordrhein-westfälischen Brühl gehackt. Die Hochschule war aber offenbar nur das Einfallstor, von dort arbeiteten sich die Hacker dann zu ihrem wohl eigentlichen Ziel vor: dem Netz des Auswärtigen Amtes in Berlin. Dort erbeuteten die Hacker auch Dokumente, in denen es um die Osteuropa-Politik der Bundesregierung ging.
Wer aber steckt hinter der Hackergruppe "Snake"? Deutsche Sicherheitsbehörden und auch der für Spionage-Verfahren zuständige Generalbundesanwalt wollen sich nicht dazu äußern, wen sie hinter der Hackergruppe vermuten. Eine öffentliche Zuordnung der Hacker-Gruppe zu einem bestimmten Staat oder einem Geheimdienst - Attribution genannt - ist bislang nicht erfolgt.
Mutmaßliche Entwickler identifiziert
Ein Rechercheteam von BR und WDR hat sich auf die Suche nach den Hackern gemacht. Monatelang haben die Reporterinnen und Reporter Spuren verfolgt, die die Hacker hinterlassen haben. Dabei sind sie auf mehrere Personen gestoßen, die offenbar Schadsoftware für "Snake" entwickelt haben. Es handelt sich um russische Staatsbürger - von ihnen führen weitere Spuren zum russischen Inlandsgeheimdienst FSB.
Bei der Erstellung der Schadsoftware waren die Hacker wohl unvorsichtig, jedenfalls haben sie offenbar vergessen, ihre Nutzernamen "vlad" und "urik" auf dem Computer zu löschen. Von dort aus führte die Spur zu älteren Einträgen in Internetforen. Die Spur von Vlad, das ergibt die Recherche, führt zu einer Technischen Universität in der Stadt Rjasan rund 200 Kilometer südlich von Moskau, an der er nach eigenen Angaben eingeschrieben war.
Firma trug FSB im Namen
Vlad gibt außerdem an, Abteilungsleiter in einer Firma namens Center-Inform in Rjasan gewesen zu sein, ein Unternehmen mit Hauptsitz in Sankt Petersburg. Center-Inform wiederum war eingegliedert in eine Firma, die den FSB zwischen 2004 und 2007 offiziell im Namen trug: "Atlas des FSB". Ob das auch beinhaltete, für Cyberspionage zuständig zu sein, ist offen.
Der zweite mutmaßliche Entwickler Urik machte zumindest in einem Interview keinen Hehl draus, dass er für den FSB gearbeitet hat. Er habe sich mit Computer-Spionage befasst. In einer Präsentation wird außerdem ausgeführt: Urik arbeitete ebenfalls für die Firma Center-Inform, im Auftrag des FSB.
Weder die mutmaßlichen Entwickler der Spionage-Software von "Snake" noch die Firmen Atlas und Center-Inform reagierten auf Anfragen. Auch der FSB beantwortete Fragen von BR und WDR nicht.
Die russische Botschaft teilte auf Anfrage mit, dass es mittlerweile zum "Trend geworden" sei, über "russische Hacker" zu spekulieren: "Wir halten es nicht für angebracht, zu Spekulationen und Fakes in Massenmedien Stellung zu nehmen." Man habe deutsche Stellen "aufgefordert, auf die Megaphon-Diplomatie zu verzichten und Fragen der Cybersicherheit unter Fachleuten zu erörtern". Die Bekämpfung der Cyberkriminalität sei ein globales Problem, das gemeinsam angegangen werden müsse.
Staaten halten Belege geheim
Herauszufinden, wer hinter Cyberangriffen steckt, gilt als schwierig. Spuren lassen sich verwischen, Dokumente fälschen. Wenn es Beweise gibt, werden sie von Staaten oft als vertraulich eingestuft.
Laut Sven Herpig, der sich bei der Stiftung "Neue Verantwortung" um Cybersicherheitspolitik kümmert, sei es ein Problem, dass Geheimdienste ihre "Quellen verbrennen" könnten. Das heißt, dass sie bei Preisgabe ihrer Quellen Gefahr laufen, in Zukunft nicht mehr auf dieselbe Art und Weise herausfinden zu können, wie Hackergruppen vorgehen. Doch es könne wichtig sein, Informationen über Urheber von Hackerangriffen zu veröffentlichen: "Das heißt, es wird nicht gesagt, wir verhängen einfach eine Sanktion oder weisen einen Botschafter aus, weil Staat XY hinter einer Cyberoperation steckt, sondern hier sind übrigens die Beweise und aufgrund dieser ergreifen wir diese Maßnahmen."
In Deutschland ermittelt das Bundeskriminalamt (BKA) gegen die Hacker von "Snake" - unter anderem wegen des Cyberangriffs auf das Auswärtige Amt im Jahr 2018. Das Verfahren führt der Generalbundesanwalt in Karlsruhe, der Vorwurf lautet geheimdienstliche Agententätigkeit. Die Staatsanwälte gehen davon aus, dass die Hacker im Auftrag von staatlichen Stellen in Russland agiert haben.
Haftbefehl nach Bundestagshack
Im Frühjahr 2020 hatte der Generalbundesanwalt in einem ähnlichen Verfahren erstmals einen Haftbefehl gegen einen ausländischen Hacker erwirken können. Dem Russen Dimitri Badin, der für den russischen Militärgeheimdienst GRU tätig sein soll. Ihm wird vorgeworfen im Jahr 2015 an dem Cyberangriff auf das IT-System des Deutschen Bundestages beteiligt gewesen zu sein.
Dabei waren Hacker in die E-Mail-Postfächer zahlreicher Abgeordneter eingedrungen und sollen mehrere Gigabyte an Daten gestohlen haben. Auch zwei Rechner im Bundestagsbüro der damaligen Bundeskanzlerin Angela Merkel waren betroffen.