Haftbefehl erwirkt Behörden suchen nach russischem Hacker
Der Generalbundesanwalt hat einen Haftbefehl gegen einen Hacker erwirkt. Der Mann soll für den russischen Militärgeheimdienst eine NATO-Denkfabrik in Nordrhein-Westfalen ausspioniert haben.
Das war knapp: Die Tat, die Nikolaj Kozachek vorgeworfen wird, wäre nach deutschem Recht beinahe verjährt. Vor fünf Jahren, im April 2017 soll der heute 32-jährige Russe einen Cyberangriff in Deutschland verübt haben. Er soll Computer im Joint Air Power Competence Centre, einer Denkfabrik der NATO, im nordrhein-westfälischen Kalkar ausspioniert haben. Und zwar im Auftrag des russischen Militärgeheimdienstes GRU.
Mehrere Jahre lang hatten das Bundeskriminalamt (BKA) und die Bundespolizei zu dem Cyberangriff auf die NATO-Liegenschaft ermittelt. Mittlerweile erwirkte der Generalbundesanwalt einen Haftbefehl gegen Kozachek beim Bundesgerichtshof - ein seltener Ermittlungserfolg. Der "Spiegel" hatte zuerst darüber berichtet.
Russische Hacker-Einheit "Fancy Bear"
Die Ermittler rechnen Kozachek der russischen Hackereinheit APT28 zu, die auch "Fancy Bear" genannt wird. Es soll sich dabei um die auf Cyberangriffe spezialisierte Einheit 26165 des russischen Militärgeheimdienstes GRU handeln. Diese Einheit wird auch für den spektakulären Angriff auf das IT-System des Deutschen Bundestages im Frühjahr 2015 verantwortlich gemacht.
Im Fall des Bundestagshacks war es dem BKA bereits gelungen, einen der Hacker zu identifizieren, der maßgeblich beteiligt gewesen sein soll: Dimitri Badin, gegen den der Generalbundesanwalt im Mai 2020 einen Haftbefehl erwirkt hatte, soll unter anderem die E-Mail-Postfächer auf Computern im Abgeordnetenbüro der damaligen Bundeskanzlerin Angela Merkel ausgespäht haben.
US-Behörden machen die Hacker von APT28 alias "Fancy Bear" auch für die Angriffe auf die E-Mails der Demokratischen Partei im Präsidentschaftswahlkampf 2016 und auf die Welt-Anti-Doping-Agentur verantwortlich. Sowohl Dimitri Badin als auch Nikolaj Kozachek werden deshalb bereits vom FBI seit einigen Jahren gesucht.
Erfolgreicher Hack in NATO-Thinktank
Nach Erkenntnissen deutscher Ermittler soll Kozachek im Frühjahr 2017 in das IT-System der NATO-Denkfabrik in Kalkar unweit der niederländischen Grenze eingedrungen sein. Er soll dort eine Schadsoftware installiert haben, die eine sogenannte "Keylogger"-Funktion hat, also jede Tastatureingabe mitschneidet, und auch heimlich Screenshots vom Computerbildschirm erstellt und verschickt.
Damit soll der Hacker auf mindestens zwei Computern aktiv gewesen sein und kam so offenbar an interne Informationen der NATO. In welchem Umfang tatsächlich Daten abgeflossen sind, ist allerdings bis heute unklar. Auch der dadurch womöglich entstandene Schaden kann nur schwer bemessen werden.
Das betroffene Joint Air Power Competence Centre wurde 2005 gegründet und ist ein Kompetenzzentrum der NATO, in dem Strategien und Grundsätze für die Kriegsführung im Luft- und Weltraum erarbeitet werden. Es ist jedoch nicht Teil der Kommandostruktur des Verteidigungsbündnisses.
Auf die Spur des Hackers, der unter den Spitznamen "blabla1234565" und "kazak" aktiv gewesen sein soll, waren die deutschen Ermittler unter anderem durch die Analyse der eingesetzten Schadsoftware sowie durch Programmier-Artefakte gekommen. Zudem konnten schon vor Jahren Daten von einem Server in Frankreich sichergestellt werden, der von der GRU-Hackereinheit APT28 alias "Fancy Bear" genutzt worden sein soll.
Mehr als 1000 Ziele
Darauf fanden sich Hinweise zu rund 1000 Zielen, die von den Hackern angegriffen worden waren. Teilweise mittels der Schadsoftware namens "X-Agent", mit der auch Kozachek gearbeitet haben soll. Darunter war das besagte Thinktank der NATO am Niederrhein.
Die deutschen Ermittler konnten außerdem die Inhalte von E-Mail-Konten des Russen sichern, der unter anderem Apple-Nutzerkonten verwendet haben soll. Damit bekamen sie Zugang zu allerlei privaten Unterlagen und Fotos, unter anderem auch Aufnahmen, die Auszeichnungen und Uniformen des russischen Militärgeheimdienstes GRU zeigen sollen.
Eine öffentliche Fahndung nach Kozachek und auch nach Dimitri Badin, der für den Bundestagshack verantwortlich gemacht wird, gibt es bisher von deutscher Behörden nicht. Eine offene Ausschreibung im Fahndungssystem von Interpol, die kurzzeitig erwogen worden war, existiert ebenfalls nicht. Spionage gilt gemeinhin als politische Straftat, und nach politischen Straftaten darf über das Interpol-System nicht gefahndet werden.
Zuletzt hatten deutsche Sicherheitsbehörden wiederholt vor russischen Cyberangriffen auch im Kontext des Krieges gegen die Ukraine gewarnt. Russlands Geheimdienste, so die Einschätzung der Behörden, könnten nun verstärkt versuchen, durch Hackerattacken an Informationen aus Politik, Militär, Wirtschaft und Forschung zu gelangen.
