08.12.2016

von Frank Jansen, Claudia von Salzen Drucken

Beeinflussung der Bundestagswahl : Verfassungsschutz warnt vor Cyberangriffen aus Russland

von Frank Jansen, Claudia von Salzen

Bild vergößern Im Visier? Abgeordnete des Bundestages waren 2015 bereits Ziel eines Hackerangriffs, hinter dem Russland stehen soll. Dabei gelangten die Hacker an große Datenmengen. Foto: Maurizio Gambarini/dpa

Hacker könnten versuchen, Politiker zu diskreditieren. „Im politischen Bereich stellen wir eine zunehmend aggressive Cyberspionage“ fest, warnt das Bundesamt für Verfassungsschutz.

Deutsche Sicherheitsexperten befürchten, dass Russland Einfluss auf die Bundestagswahl im September 2017 nehmen könnte. Seit dem Beginn der Ukraine-Krise 2014 sei ein „erheblicher Anstieg russischer Propaganda- und Desinformationskampagnen in Deutschland“ zu beobachten, sagt der Präsident des Bundesamtes für Verfassungsschutz (BfV), Hans-Georg Maaßen. „Im politischen Bereich“ stelle das BfV eine „zunehmend aggressive Cyberspionage“ fest.

DIE GEFAHREN

Aus Sicht des BfV droht eine gezielte Diffamierung von Mitgliedern der Bundesregierung, von Bundestagsabgeordneten und Mitarbeitern der im Parlament vertretenen Parteien. Material, mit dem die genannten Personen belastet werden könnten, haben russische Nachrichtendienste über Hackerangriffe möglicherweise schon gesammelt, weitere Attacken mit demselben Ziel dürften folgen.

Im Frühjahr 2015 drang die Hackergruppe „Sofacy“, von Sicherheitsbehörden auch APT28 genannt, insgesamt in 14 Server des Bundestags ein. Abgesaugt wurden Daten im Volumen von 16 Gigabyte. Die Bundesanwaltschaft nahm Ermittlungen wegen „geheimdienstlicher Tätigkeit“ auf. Was die Russen erbeutet haben, ist jedoch unklar. Das gilt auch für die mutmaßliche Sofacy-Attacke im Mai 2016 auf die CDU-Zentrale in Berlin.

Sicherheitskreise erwarten, dass Putins Nachrichtendienste in den geraubten Daten nach Informationen suchen, die den Ruf deutscher Politiker schädigen könnten. Sei es, weil private Probleme ans Tageslicht kommen oder wirtschaftliche Tätigkeiten, die als anrüchig gelten könnten, oder auch vertrauliche Absprachen zum Nachteil des politischen Gegners oder von Konkurrenten in der eigenen Partei. Zielpersonen solcher Kampagnen wären vermutlich Politiker, die sich für die Beibehaltung oder Verstärkung der Sanktionen gegen Russland einsetzen. Das fängt mit Bundeskanzlerin Angela Merkel (CDU) an.

„Informationen, die bei Cyberattacken abfließen, könnten im Wahlkampf auftauchen, um deutsche Politiker zu diskreditieren“, sagt Maaßen. „Die Hinweise auf Versuche einer Beeinflussung der Bundestagswahl im kommenden Jahr verdichten sich.“ Vor der Wahl sei ein weiterer Anstieg von Cyberangriffen zu erwarten.

DIE BISHERIGEN ANGRIFFE

Die Sicherheitsbehörden sowie die Bundesregierung sind angesichts der jüngsten Ereignisse im US-Wahlkampf alarmiert. Zwei Hackergruppen hatten Server des Parteivorstands der US-Demokraten angegriffen, sich zum Teil monatelang unentdeckt in dem Netzwerk bewegt und dabei offenbar große Datenmengen erbeutet. Später wurden die Mails aus dem Parteivorstand auf der Enthüllungsplattform Wikileaks veröffentlicht und verursachten einen kleinen Skandal, weil deutlich wurde, dass die Parteiführung die Kandidatin Hillary Clinton ihrem Mitbewerber Bernie Sanders vorgezogen hatte. Die Parteivorsitzende der Demokraten musste zurücktreten. US-Regierungsbehörden machten später in ungewöhnlich deutlicher Form die russische Regierung für die Angriffe verantwortlich. Zuvor hatten Sicherheitsexperten die Hackergruppen APT 28 und APT 29 als Urheber der Attacken ausgemacht, hinter beiden sollen russische Geheimdienste stehen. Anders als bei früheren Angriffen der mit dem russischen Staat assoziierten Hackergruppen wurde in diesem Fall das durch den Angriff gewonnene Material veröffentlicht, um es zu einer gezielten Diskreditierung politischer Akteure einzusetzen. So wird aus einem Hackerangriff letztlich eine gezielte Einflussoperation, ein klassisches Werkzeug der Geheimdienste. Ein ähnliches Vorgehen befürchten Sicherheitsexperten nun auch in Deutschland.

Bei dem Angriff auf das Netzwerk der US-Demokraten hinterließen die Hacker nach Angaben von Sicherheitsexperten zudem genau dieselben Spuren wie bei dem Angriff auf die Server des Bundestages. Auch hinter dem Angriff in den USA soll die Gruppe APT28 stehen.

Außerdem verzeichneten Sicherheitsbehörden einen starken Anstieg von Spear-Phishing-Attacken gegen Parteien und Bundestagsfraktionen. Auch sie werden der Gruppe APT28 zugeschrieben. Bei dem Spear-Phishing-Angriff erhielten die Adressaten eine Mail, die scheinbar von der Nato oder einer anderen Organisation kam, sobald sie jedoch auf einen Link in der Mail geklickt hätten, wären sie zu einem Server weitergeleitet worden, über den Spähsoftware auf den Rechner des Empfängers gelangen kann.

DIE AKTEURE

Hinter den „Angriffskampagnen“ stehen Hacker, die für russische Geheimdienste tätig sind oder ihnen womöglich angehören. Verfassungsschutz und deutsche sowie ausländische IT-Sicherheitsunternehmen nennen die Gruppen APT 28 und APT 29. Die Abkürzung steht für „Advanced Persistent Threat“ (fortgeschrittene, andauernde Bedrohung). Die Nummerierung nimmt das IT-Unternehmen vor, das einen Angriff als Erstes entdeckt und einer Tätergruppe zuordnet.

APT 28 wird mit dem russischen Militärgeheimdienst GRU in Verbindung gebracht, APT 29 mit dem Inlandsgeheimdienst FSB. Sicherheitskreise gehen allerdings auch von kombinierten Aktionen der Dienste aus. Beim Angriff auf die Demokraten agierten beide Gruppen parallel – nach Ansicht von amerikanischen Sicherheitsexperten möglicherweise ohne direkte Kenntnis voneinander.

Sofacy ist seit 2007 aktiv. Im März sprach das BfV in seinem „Cyberbrief“ von der „aktivsten und aggressivsten Kampagne im virtuellen Raum“. Die Verfassungsschützer erwähnten zudem „Hinweise auf Vorbereitungshandlungen“ der Kampagne für Angriffe auf deutsche Energieunternehmen „durch Sofacy/APT28“. Größere Attacken blieben allerdings bislang aus.

Sofacy agiert auch mit Aliasnamen wie „CyberCaliphate“. Sicherheitskreise sprechen von Aktionen unter „falscher Flagge“. Im April 2015 legte „CyberCaliphate“ den französischen Sender TV5 Monde lahm. Auf dessen Facebook- und Twitter-Seiten wurde Propaganda der Terrormiliz IS verbreitet. Doch die Dschihadisten hatten mit der Attacke nichts zu tun. Verantwortlich war APT28.

DIE GEGENMASSNAHMEN

Bis zu dem Hackerangriff im Jahr 2015 auf den Bundestag spielte das Thema Computersicherheit für die ganz große Mehrheit der Abgeordneten keine Rolle. Eine Sensibilisierung der potenziell Betroffenen hat also gerade erst begonnen. Der Bundestag musste im vergangenen Jahr Teile des internen Netzes für mehrere Tage abschalten und zum Teil ganz neu aufzusetzen, um das Ausspähen zu beenden. Gegen die Spear-Phishing-Angriffe in diesem Jahr war das Parlament nach eigenen Angaben bereits besser gewappnet. Die Bundesregierung hat bereits 2011 ein Nationales Cyber-Abwehrzentrum eingerichtet, das beim Bundesamt für Sicherheit in der Informationstechnik angesiedelt ist und Ministerien, Sicherheitsbehörden und Polizei miteinander vernetzen soll. Es ist allerdings keine eigenständige Behörde und hat nur zehn Mitarbeiter, sodass es tatsächlich in erster Linie für den Austausch von Informationen genutzt wird.

Zu einer ersten Gegenmaßnahme hat sich die Bundesregierung aber offenbar entschlossen: mit der Warnung vor einer möglichen russischen Einflussnahme im bevorstehenden Wahlkampf an die Öffentlichkeit zu gehen. Das dient zum einen der Sensibilisierung der Gesellschaft für das Thema – zum anderen aber auch als Signal in Richtung Moskau, dass eine solche Operation nicht mehr gänzlich unentdeckt ablaufen könnte.