Hände tippen auf einer beleuchteten Tastatur | picture alliance / NurPhoto
Exklusiv

Cyberangriffe Bundesregierung will Zuordnung von Tätern

Stand: 07.10.2021 12:10 Uhr

Die Bundesregierung möchte die Cyberangriffe fremder Staaten schneller zuordnen und klar benennen - auch um den diplomatischen Druck erhöhen zu können. Die Strategie ist umstritten.

Von Florian Flade, WDR

Die Regierungspressekonferenz am 6. September war schon fast beendet, als die Sprecherin des Auswärtigen Amtes noch etwas ansprechen wollte. Zahlreiche Bundestags- und Landtagsabgeordnete seien im Vorfeld der anstehenden Bundestagswahl das Ziel einer Cyberangriff-Kampagne namens "Ghostwriter" gewesen, bei der mit sogenannten Phishing-Emails versucht werde, an Passwörter der Parlamentarier zu gelangen - vermutlich, um damit Identitätsdiebstahl zu begehen und anschließend Desinformation zu betreiben.

Florian Flade

 

Es folgten ungewöhnlich deutliche Worte. "Der Bundesregierung liegen verlässliche Erkenntnisse vor, aufgrund derer die Ghostwriter-Aktivitäten Cyberakteuren des russischen Staates und konkret dem russischen Militärgeheimdienst GRU zugeordnet werden können", so die Sprecherin des Außenministeriums. Es sei ein "inakzeptables Vorgehen", das eine Gefahr für die Sicherheit der Bundesrepublik und für den demokratischen Willensbildungsprozess darstelle. Man fordere Moskau daher auf, diese Aktivitäten "mit sofortiger Wirkung einzustellen".

Neuer Prozess zur Bestimmung der Urheber

Die unmissverständliche Ansage an die russische Regierung stellt ein Novum dar. Bislang hatte sich die Bundesregierung nur selten derart konkret zu den mutmaßlichen Urhebern von Cyberangriffen öffentlich geäußert. Oft schien es, als könne man die Verantwortlichen nicht zweifelsfrei identifizieren, vieles blieb vage. Mittlerweile aber verfolgt man eine andere Strategie.

Im Sommer dieses Jahres hat die Bundesregierung einen neuen Prozess etabliert, mit dem Cyberangriffe schneller und konkreter zugeordnet werden sollen. Die Sicherheitsbehörden werden dabei aufgefordert, in bestimmten Fällen eine zügige und möglichst genaue Attribution von Cybervorfällen vorzunehmen, also klar zu benennen, wen sie für den wahrscheinlichsten Urheber halten.

An diesem neuen Prozess sind das für Spionageabwehr zuständige Bundesamt für Verfassungsschutz (BfV), der Bundesnachrichtendienst (BND) und auch das Bundesamt für den Militärischen Abschirmdienst (MAD) beteiligt. Das Auswärtige Amt ist die koordinierende Stelle und bekommt die Attributionsberichte, die zwischen den Geheimdiensten abstimmt werden. In diese Berichte fließen die Erkenntnisse der jeweiligen Behörden zu ausgewählten und als besonders schwerwiegend geltenden Cyberangriffen ein.

Erkenntnisse münden in politische Reaktionen

Schon früher haben die Sicherheitsbehörden solche Zuordnungen vorgenommen, meist jedoch jeweils für sich und nicht in einem gemeinsamen Analysebericht. Weder der BND noch das BfV oder das Auswärtige Amt wollten sich offiziell zu dem neuen Attributionsverfahren äußern. 

Aus der Bundesregierung aber heißt es, Ziel eines solchen Vorgehens sei, dass alle relevanten Informationen zu den Hackerangriffen schneller zusammengetragen werden. Dies sei aus mehreren Gründen wichtig: unter anderem für eine Entscheidung darüber, welche politischen Reaktionen erfolgen können - etwa für das Erwirken von EU-Cybersanktionen, wie bereits gegen China und Russland geschehen. Aber auch für die Aufklärung und Sensibilisierung sei eine Attribution wichtig - und völkerrechtlich sei sogar gewollt, dass Urheber solcher Aktionen klar benannt werden.

Puzzlearbeit zeigt erste Erfolge

Die genaue Zuordnung von Cyberangriffen gilt als schwierige Puzzlearbeit. Oftmals verwenden die Angreifer komplexe Verschleierungstaktiken und legen falsche Spuren, beispielsweise indem sie die IT-Infrastruktur anderer Hackergruppen kapern. Tatsächlich aber, so heißt es in Sicherheitskreisen, sei die Aufklärung inzwischen besser, sodass heute in vielen Fällen die Verantwortlichen für Cyberangriffe durchaus enttarnt werden könnten: durch die Überwachung von Serverstrukturen zum Beispiel, durch die Analyse von Angriffsmustern und der eingesetzten Schadsoftware, oder durch andere nachrichtendienstliche Erkenntnisse.

Teilweise ist es den Behörden sogar bereits gelungen, einzelne Hacker namentlich zu identifizieren. Im Frühjahr 2020 erwirkte der Generalbundesanwalt erstmals einen Haftbefehl gegen einen mutmaßlichen Cyberspion aus Russland. Dimitri Badin soll für den russischen Militärgeheimdienst GRU arbeiten und soll für den Cyberangriff auf die IT-Systeme des Bundestages im Jahr 2016 verantwortlich sein. Die Ermittler des Bundeskriminalamtes (BKA) sind überzeugt, dass Badin dabei unter anderem in die E-Mail-Postfächer der Bundeskanzlerin eingedrungen ist. Auch im Fall "Ghostwriter" ermittelt inzwischen offiziell der Generalbundesanwalt.

Was nützen die Zuschreibungen?

Bei dem Attributionsverfahren unter Federführung des Auswärtigen Amtes geht es jedoch, anders als bei den Verfahren des Generalbundesanwalts, nicht um gerichtsfeste Beweise, sondern lediglich um eine Einschätzung basierend auf Erkenntnissen der Geheimdienste. Daher finden sich darin auch eher Formulierungen wie "nahezu sicher" oder "es ist davon auszugehen".

Was aber bringt die öffentliche Nennung von mutmaßlich Verantwortlichen? In Expertenkreisen gibt es durchaus Zweifel daran, ob eine Zuordnung wirklich abschreckende Wirkung hat. Im Fall von "Ghostwriter" jedenfalls gab es zuletzt noch immer Angriffe. Eine Sprecherin des russischen Außenministeriums erklärte, derartige Vorwürfe gegen Russland seien nicht neu. Deutschland habe jedoch "keine Beweise der Beteiligung Russlands an Hacker-Angriffen" vorgelegt.

Rückendeckung aus der EU

Auf europäischer Ebene aber gibt es Unterstützung für die deutsche Haltung zu den Cyberattacken. "Solche Aktivitäten sind inakzeptabel, da sie das Ziel haben, unsere Integrität und Sicherheit, demokratische Werte und Prinzipien und die Kernfunktion unserer Demokratien zu bedrohen", heißt es in einer gemeinsamen Erklärung der EU-Staaten. Man behalte sich "weitere Schritte" vor.

Über dieses Thema berichtete Deutschlandfunk am 24. September 2021 um 16:00 Uhr und Inforadio am 06. September 2021 um 14:05 Uhr.