Hände auf einer Computer-Tastatur

Cyberangriff auf Bundestag Haftbefehl gegen russischen Hacker

Stand: 05.05.2020 09:35 Uhr

Vor fünf Jahren griffen Hacker das IT-System des Bundestags an. Jetzt hat die Bundesanwaltschaft nach Recherchen von WDR, NDR und SZ einen Haftbefehl gegen einen Tatverdächtigen erwirkt. Er soll für den russischen Geheimdienst arbeiten.

Von Florian Flade, WDR und Georg Mascolo, NDR/WDR

Es war ein Angriff, wie ihn Deutschland bis dato noch nicht erlebt hatte: Im Frühjahr 2015 drangen Hacker in das IT-System des Deutschen Bundestags ein und stahlen mehr als 16 Gigabyte Daten - darunter zahlreiche E-Mails von Abgeordneten. Ziel des Angriffs soll sogar das Abgeordnetenbüro von Kanzlerin Angela Merkel gewesen sein. Aus Sicherheitsbehörden hieß es, der Cyberangriff sei vermutlich Teil der Spionagekampagne APT28, auch bekannt als "Fancy Bear". Dahinter wird der russische Geheimdienst vermutet.

Russe hackte wohl auch US-Demokraten und WADA

Nach Informationen von WDR, NDR und "Süddeutscher Zeitung" ist es deutschen Ermittlern nun erstmals gelungen, einen Tatverdächtigen zu identifizieren, der am "Bundestags-Hack" beteiligt gewesen sein soll. Es handelt sich um den 29-jährigen Russen Dmitriy Badin, einen Hacker, der für den russischen Militärgeheimdienst GRU arbeiten soll. Gegen ihn hat der Generalbundesanwalt in dieser Woche beim Bundesgerichtshof einen Haftbefehl erwirkt.

Die USA suchen bereits seit zwei Jahren nach Badin: Die US-Bundespolizei FBI geht davon aus, dass der Russe auch an den Hackerangriffen auf die Demokratische Partei im Vorfeld der Präsidentschaftswahlen 2016 und auf die Welt-Anti-Doping-Agentur WADA beteiligt war. Der US-Sonderermittler Robert Mueller, der untersuchen sollte, ob es eine Beeinflussung der Wahl Donald Trumps durch Russland gab, hat bereits 2018 Anklage gegen Badin in diesen beiden Fällen erhoben.

Cyberangriff auf Bundestag: Haftbefehl gegen russischen Hacker
tagesschau 17:00 Uhr, 05.05.2020, Arnd Henze, WDR, Georg Mascolo, NDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

"Einheit 26165" des Militärgeheimdienstes

In Deutschland ermittelt das Bundeskriminalamt (BKA) seit mehreren Jahren zum Cyberangriff auf das IT-System des Bundestages. Dabei ist es den Ermittlern gelungen, Badin als einen der mutmaßlich beteiligten Hacker zu identifizieren. Sogar seine Einheit, in der er beim GRU arbeiten soll, konnten die Ermittler bestimmen: "Einheit 26165".

Badin soll nach Erkenntnissen des BKA eine entscheidende Rolle beim Hackerangriff auf das deutsche Parlament gespielt haben. Die Ermittler gehen davon aus, dass er mindestens eine eigens entwickelte Schadsoftware namens "VSC.exe" am 7. Mai 2015 um 13.31 Uhr eingesetzt und gesteuert habe, die dazu genutzt wurde, Passwörter abzugreifen und so noch tiefer in das IT-System vorzudringen.

Angeblicher Absender: Vereinte Nationen

Im April 2015 hatten mehrere Bundestagsabgeordnete nahezu zeitgleich eine E-Mail mit der Betreffzeile "Ukraine conflict with Russia leaves economy in ruins" erhalten. Die Absenderadresse endete auf "@un.org" und wirkte daher wie eine echte E-Mail der Vereinten Nationen. Ein Link, der in der E-Mail enthalten war, führte zu einem vermeintlichen UN-Bericht - tatsächlich aber war die Webseite mit einer Schadsoftware präpariert, die sich unbemerkt auf dem Computer installierte.

In den folgenden Wochen konnten die Hacker sich durch das IT-System des Parlaments bewegen. Sie griffen auch Passwörter ab und übernahmen mehrere Accounts von Administratoren des Netzwerkes. Damit verschafften sie sich weitergehende Zugänge und konnten noch mehr Daten erbeuten. Zeitweise musste das gesamte Netz des Bundestages abgeschaltet werden, um den Angriff zu beenden. Die Beute der Hacker, darunter wohl viele E-Mails von Parlamentariern, soll auf Server im Ausland geflossen sein.

Verdächtige Server genutzt

Ein IT-Sicherheitsunternehmen alarmierte im Mai 2015 das Bundesamt für Verfassungsschutz (BfV), weil verdächtige Server, über die schon öfter russische Hackerangriffe gesteuert worden waren, offenbar mit Computern aus dem Bundestag kommunizierten. Daraufhin nahmen deutsche Sicherheitsbehörden die Ermittlungen auf.

Die Analyse von Log-In-Dateien, die Überwachung von Servern, die Untersuchung der eingesetzten Schadsoftware und Hinweise ausländischer Partnerdienste führten die deutschen Strafverfolger schließlich zu Badin.

Haftbefehl kurz vor Verjährung

Für die Bundesanwaltschaft und die BKA-Ermittler ist der nun erwirkte Haftbefehl gegen den russischen GRU-Offizier Badin ein großer Erfolg. Auch, weil die Zeit in dem Fall drängte: In wenigen Wochen wären die Spionagevorwürfe gegen den Russen wohl verjährt. Die russische Botschaft teilte mit, ihr lägen bisher keine offiziellen Dokumente, Informationen oder Anfragen zu dem Fall vor.

Korrektur: In einer vorherigen Fassung des Textes hieß es, der Generalbundesanwalt habe einen internationalen Haftbefehl gegen den mutmaßlichen Hacker erwirkt. Dies ist nicht zutreffend, es handelt sich um einen nationalen Haftbefehl.

Über dieses Thema berichtete die tagesschau am 05. Mai 2020 um 12:00 Uhr.

Korrespondent

Florian Flade, WDR Logo WDR

Florian Flade, WDR

Korrespondent

Georg Mascolo | Bildquelle: picture alliance / SvenSimon Logo NDR/WDR

Georg Mascolo, NDR/WDR

Darstellung: