Deutsche Schlüssel-Ministerien gehackt

Nach seinem Treffen mit Wladimir Putin hatte Sebastian Kurz gerade Vertreter der russischen Zivilgesellschaft vor sich, da platzte die Meldung: Hacker seien in deutsche Regierungsnetzwerke eingedrungen. Konkret: Jene des Außen- wie des Verteidigungsministeriums. Der Angriff sei im Dezember erkannt worden und zu diesem Zeitpunkt bereits seit längerer Zeit gelaufen, womöglich ein Jahr lang. Dabei seien Daten erbeutet worden, hieß es.

Wie die dpa unter Berufung auf deutsche Sicherheitskreise berichtete, hätten die Angriffe auf die russische Hackergruppe APT28 zurückgeführt werden können. Das würde bedeuten: Hinter dem Angriff steht mit sehr hoher Wahrscheinlichkeit niemand geringerer als der russische Militärgeheimdienst GRU. ATP28 wird nachgesagt, im Auftrag der russischen Regierung aktiv zu sein und von dieser finanziert zu werden.

Einen Namen hat sich die Gruppe mit zahlreichen Angriffen gemacht. Die Liste der Ziele ist lang: Netzwerke der NATO, die Regierungen der Ukraine und Georgiens, die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE), das Weiße Haus, die Anti-Doping-Behörde, jene niederländische Amtsstelle, die den Abschuss der MH17-Maschine der Malaysian Airlines über der Ostukraine untersuchte, und zahlreiche andere Stellen.

Kreml-Kritiker im Visier

Auch bei der Veröffentlichung interner Mails aus der Clinton-Kampagne im US-Wahlkampf 2016 soll APT28 eine Rolle gespielt haben. Und auch in Deutschland tauchte APT28 bereits auf: Der Angriff auf Netzwerke des Deutschen Bundestages 2014 wird der Gruppe zugeschrieben. Immer wieder wurden auch Individuen – überwiegend russische Oppositionelle – zum Ziel der Angriffe.

Eines ist den Hackerangriffen immer gemein: Sie haben Kritiker, Opponenten des Kremls oder Stellen, die für den Kreml sensible Informationen haben (wie die niederländische Untersuchungsbehörde zu MH17), im Visier.Im jetzigen Fall ist von einer Schad-Software die Rede, die in die an sich als sicher geltenden Systeme der betroffenen Ministerien eingeschleust worden sei. Möglich ist das entweder mit erheblichem Aufwand von außen oder durch die Manipulation von Mitarbeitern, die Zugriff haben. Diese können entweder direkt angeheuert oder durch Tricks zur Preisgabe von nützlichen Informationen gebracht werden. Generell ist es aber schwierig, einen solchen Angriff einer bestimmten Gruppe, in diesem Fall der APT28, zuzuordnen. Die Spuren können leicht verwischt werden. Wahrscheinlich ist daher, dass es im Programmcode der Schad-Software oder im Ablauf des Angriffes Parallelen zu früheren Angriffen gab, deren Herkunft heute als geklärt gilt.