Hände auf einer Computer-Tastatur

Cyberangriff auf Bundestag Haftbefehl gegen russischen Hacker

Stand: 05.05.2020 09:35 Uhr

Vor fünf Jahren griffen Hacker das IT-System des Bundestags an. Jetzt hat die Bundesanwaltschaft nach Recherchen von WDR, NDR und SZ einen Haftbefehl gegen einen Tatverdächtigen erwirkt. Er soll für den russischen Geheimdienst arbeiten.

Von Florian Flade, WDR und Georg Mascolo, NDR/WDR

Es war ein Angriff, wie ihn Deutschland bis dato noch nicht erlebt hatte: Im Frühjahr 2015 drangen Hacker in das IT-System des Deutschen Bundestags ein und stahlen mehr als 16 Gigabyte Daten - darunter zahlreiche E-Mails von Abgeordneten. Ziel des Angriffs soll sogar das Abgeordnetenbüro von Kanzlerin Angela Merkel gewesen sein. Aus Sicherheitsbehörden hieß es, der Cyberangriff sei vermutlich Teil der Spionagekampagne APT28, auch bekannt als "Fancy Bear". Dahinter wird der russische Geheimdienst vermutet.

Florian Flade
Georg Mascolo

Russe hackte wohl auch US-Demokraten und WADA

Nach Informationen von WDR, NDR und "Süddeutscher Zeitung" ist es deutschen Ermittlern nun erstmals gelungen, einen Tatverdächtigen zu identifizieren, der am "Bundestags-Hack" beteiligt gewesen sein soll. Es handelt sich um den 29-jährigen Russen Dmitriy Badin, einen Hacker, der für den russischen Militärgeheimdienst GRU arbeiten soll. Gegen ihn hat der Generalbundesanwalt in dieser Woche beim Bundesgerichtshof einen Haftbefehl erwirkt.

Die USA suchen bereits seit zwei Jahren nach Badin: Die US-Bundespolizei FBI geht davon aus, dass der Russe auch an den Hackerangriffen auf die Demokratische Partei im Vorfeld der Präsidentschaftswahlen 2016 und auf die Welt-Anti-Doping-Agentur WADA beteiligt war. Der US-Sonderermittler Robert Mueller, der untersuchen sollte, ob es eine Beeinflussung der Wahl Donald Trumps durch Russland gab, hat bereits 2018 Anklage gegen Badin in diesen beiden Fällen erhoben.

"Einheit 26165" des Militärgeheimdienstes

In Deutschland ermittelt das Bundeskriminalamt (BKA) seit mehreren Jahren zum Cyberangriff auf das IT-System des Bundestages. Dabei ist es den Ermittlern gelungen, Badin als einen der mutmaßlich beteiligten Hacker zu identifizieren. Sogar seine Einheit, in der er beim GRU arbeiten soll, konnten die Ermittler bestimmen: "Einheit 26165".

Badin soll nach Erkenntnissen des BKA eine entscheidende Rolle beim Hackerangriff auf das deutsche Parlament gespielt haben. Die Ermittler gehen davon aus, dass er mindestens eine eigens entwickelte Schadsoftware namens "VSC.exe" am 7. Mai 2015 um 13.31 Uhr eingesetzt und gesteuert habe, die dazu genutzt wurde, Passwörter abzugreifen und so noch tiefer in das IT-System vorzudringen.

Angeblicher Absender: Vereinte Nationen

Im April 2015 hatten mehrere Bundestagsabgeordnete nahezu zeitgleich eine E-Mail mit der Betreffzeile "Ukraine conflict with Russia leaves economy in ruins" erhalten. Die Absenderadresse endete auf "@un.org" und wirkte daher wie eine echte E-Mail der Vereinten Nationen. Ein Link, der in der E-Mail enthalten war, führte zu einem vermeintlichen UN-Bericht - tatsächlich aber war die Webseite mit einer Schadsoftware präpariert, die sich unbemerkt auf dem Computer installierte.

In den folgenden Wochen konnten die Hacker sich durch das IT-System des Parlaments bewegen. Sie griffen auch Passwörter ab und übernahmen mehrere Accounts von Administratoren des Netzwerkes. Damit verschafften sie sich weitergehende Zugänge und konnten noch mehr Daten erbeuten. Zeitweise musste das gesamte Netz des Bundestages abgeschaltet werden, um den Angriff zu beenden. Die Beute der Hacker, darunter wohl viele E-Mails von Parlamentariern, soll auf Server im Ausland geflossen sein.

Verdächtige Server genutzt

Ein IT-Sicherheitsunternehmen alarmierte im Mai 2015 das Bundesamt für Verfassungsschutz (BfV), weil verdächtige Server, über die schon öfter russische Hackerangriffe gesteuert worden waren, offenbar mit Computern aus dem Bundestag kommunizierten. Daraufhin nahmen deutsche Sicherheitsbehörden die Ermittlungen auf.

Die Analyse von Log-In-Dateien, die Überwachung von Servern, die Untersuchung der eingesetzten Schadsoftware und Hinweise ausländischer Partnerdienste führten die deutschen Strafverfolger schließlich zu Badin.

Haftbefehl kurz vor Verjährung

Für die Bundesanwaltschaft und die BKA-Ermittler ist der nun erwirkte Haftbefehl gegen den russischen GRU-Offizier Badin ein großer Erfolg. Auch, weil die Zeit in dem Fall drängte: In wenigen Wochen wären die Spionagevorwürfe gegen den Russen wohl verjährt. Die russische Botschaft teilte mit, ihr lägen bisher keine offiziellen Dokumente, Informationen oder Anfragen zu dem Fall vor.

Korrektur: In einer vorherigen Fassung des Textes hieß es, der Generalbundesanwalt habe einen internationalen Haftbefehl gegen den mutmaßlichen Hacker erwirkt. Dies ist nicht zutreffend, es handelt sich um einen nationalen Haftbefehl.

Über dieses Thema berichtete die tagesschau am 05. Mai 2020 um 12:00 Uhr.