Ein Mann sitzt vor einem Laptop und schaut sich einen Programmcode an.

Cyberangriff auf den Bundestag Wie lief die Suche nach dem Hacker?

Stand: 08.05.2020 11:44 Uhr

Der Generalbundesanwalt fahndet nach einem russischen Spion, der am Cyberangriff auf den Bundestag 2015 beteiligt gewesen sein soll. Abgeordnete wollen nun wissen, wie die Behörden den Hacker enttarnt haben.

Von Florian Flade, WDR

Die Dimension des Falls war ihnen bewusst - immerhin sollten die Ermittler des Bundeskriminalamtes (BKA) eine der spektakulärsten Spionageaktionen der vergangenen Jahrzehnte aufklären: Im Frühjahr 2015 waren Hacker in das IT-System des Deutschen Bundestages eingedrungen. Über Wochen hatten sie sich unbemerkt im Netz des Parlaments bewegt und große Mengen an Daten abgegriffen. Darunter waren wohl tausende E-Mails und Dokumente von Abgeordneten. Auch zwei Computer im Büro von Bundeskanzlerin Angela Merkel waren betroffen.

Bundeskanzlerin Merkel bei einer Gedenkfeier im ehemaligen KZ Auschwitz.
galerie

Auch das Abgeordnetenbüro von Kanzlerin Merkel war Ziel des Angriffs.

Im BKA gaben sie dem Verfahren den Namen "Magnus", Lateinisch für "groß" oder auch "wichtig". Ziel war es, die Hacker ausfindig zu machen, die im Bundestag einen digitalen Raubzug verübt hatten. Wer waren die ungebetenen Gäste in Merkels Computer? Nach fünf Jahren nun können die Ermittler zumindest einen ersten Ermittlungserfolg verbuchen.

Wie WDR, NDR und "Süddeutsche Zeitung" (SZ) berichteten, hat der Generalbundesanwalt in dieser Woche einen Haftbefehl gegen einen Tatverdächtigen erwirkt: Dmitriy Badin, 29 Jahre alt, russischer Staatsbürger. Er soll dem russischen Militärgeheimdienstes GRU angehören - ein Hacker im Dienste des Kreml also.

Die Suche nach dem russischen Hacker wird nun wohl bald schon im Bundestag diskutiert werden. In diversen Ausschüssen und Gremien steht der Fall inzwischen auf der Tagesordnung. Die Abgeordneten wollen wissen, wie die Sicherheitsbehörden den mutmaßlichen Cyberspion aus Russland enttarnen konnten - und welche Behörden genau daran beteiligt waren.

Dmitry Badin
galerie

Gegen Badin ist ein Haftbefehl der Bundesanwaltschaft ergangen.

Haftbefehl? Ja. Auslieferungsantrag? Noch nicht

Bereits am Mittwoch hatte ein Vertreter des Generalbundesanwalts den Mitgliedern des Innenausschusses im Bundestag bestätigt, dass Anfang der Woche der Haftbefehl gegen Badin ergangen sei. Einen Auslieferungsantrag an Russland gebe es noch nicht, hieß es. Viel mehr erfuhren die Abgeordneten nicht.

Manuel Höferlin, digitalpolitischer Sprecher der FDP-Bundestagsfraktion und Vorsitzender des Ausschusses Digitale Agenda, fordert nun eine umfassendere Unterrichtung. Es sei aufgrund des erwirkten Haftbefehls gegen Badin davon auszugehen, dass den deutschen Sicherheitsbehörden "weitreichende Details zum Vorgehen des Hackers" vorlägen, so Höferlin.

Für die nächste Sitzung des Digitalausschusses in der kommenden Woche werde man daher Vertreter des BKA, der Bundespolizei und des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) einladen. "Ich erwarte detaillierte Auskunft zu den technischen Mitteln und Methoden, die zur Täterermittlung genutzt wurden", so FDP-Politiker Höferlin. "Für mich geht es dabei auch um die Frage, ob die beteiligten Behörden dabei im Rahmen ihrer verfassungsmäßigen Kompetenzen und Befugnisse gehandelt haben."

Konstantin von Notz (Bündnis 90/Die Grünen) | Bildquelle: picture alliance/dpa
galerie

Der Vize-Fraktionschef der Grünen, von Notz, will Details zur Zusammenarbeit der Sicherheitsbehörden und Nachrichtendienste im Fall "Badin" wissen.

Abgeordnete wollen Einzelheiten wissen

Auch Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag, möchte von den Behörden mehr Details zu dem Fall erfahren. Die Identifizierung des Tatverdächtigen sei ein Erfolg, so Von Notz. Und ein wichtiges Signal dafür, dass man solche Angriff nicht einfach hinnehmen will.

"Wir wollen von der Bundesregierung wissen, wie die Kooperation zwischen den beteiligten Sicherheitsbehörden und Nachrichtendiensten, auch ausländischen, konkret aussah", sagt der Grünen-Politiker. "Wie lief die Forensik des Angriffs genau ab? Gegen wen richtete sich der Angriff? Über alle diese Fragen wollen wir Klarheit und erwarten von der Bundesregierung, dass sie die zuständigen Gremien umgehend und umfassend informiert."

Recherche mit Unterstützung aus vielen Richtungen

Bei der Suche nach dem Hacker waren die BKA-Ermittler von den Technikspezialisten der Bundespolizei und dem Bundesamt für Verfassungsschutz (BfV) unterstützt worden. Auch das BSI, das für den Schutz der Regierungsnetze zuständig ist, war involviert. Von einer "Sisyphusarbeit", ist die Rede. Es flossen Hinweise aus anderen Cyberattacken in die Ermittlungen ein. Und es gab Unterstützung durch ausländische Behörden - unter anderem aus den USA, Frankreich und den Niederlanden. Zahlreiche Server wurden beschlagnahmt und zeitweise überwacht.

Dem BKA war es so schrittweise gelungen, Badin als jenen Hacker zu identifizieren, der eine Schadsoftware namens "vsc.exe" erstellt und am 07. Mai 2015 um 13.31 Uhr im IT-System des Bundestages eingesetzt haben soll. Dabei soll es sich um ein Programm handeln, mit dem Passwörter in besonders geschützten Systemen abgegriffen werden können. Das Programm war auch auf einem Computer im Abgeordnetenbüro der Bundeskanzlerin entdeckt worden.

Hacker machte Fehler

Die Kriminalisten fanden zudem heraus, dass Badin bei seinen Onlineaktivitäten ziemlich unvorsichtig agierte und hin und wieder auch Fehler machte. So wurden unter anderem seine E-Mail-Adressen bekannt. Er agierte zudem unter dem Pseudonym "Scaramouche" – ein Name, der im Zusammenhang mit Schadsoftware aufgetaucht war, die von der Cybereinheit 26165 des russischen Militärgeheimdienstes GRU eingesetzt worden sein soll.

Westliche Geheimdienste vermuten Hacker dieser Einheit hinter der Spionagekampagne "Fancy Bear". Zu deren Zielen gehörten in den vergangenen Jahren unter anderem das E-Mail-System der US-Demokraten, die Welt-Anti-Doping-Agentur Wada - und eben der Bundestag.

Über dieses Thema berichtete die tagesschau am 05. Mai 2020 um 20:00 Uhr.

Darstellung: