Hacker-Angriff auf SPD: Bundesregierung macht Russland verantwortlich

Kritik an Russland nach Hacker-Angriffen: Außenministerin Baerbock in Australien

Die Hacker kennen die Lücken. So kommt APT28, wie die Angriffsgruppe heißt, oft an fremde Daten – und so sind sie auch an Daten des SPD-Parteivorstandes im Zeitraum von Ende Dezember 2022 bis Januar 2023 gekommen. Über eine Sicherheitslücke der Microsoft-Outlook-Postfächer und ohne, dass die Nutzer irgendetwas falsch gemacht hätten, kam APT28 an die Windows-Zugangsdaten. Dann konnten die Hacker entweder direkt im E-Mail-Postfach wildern oder sogar an das Passwort kommen, wenn es nicht zu kompliziert war.

Die SPD hatte den Angriff auf ihre Parteizentrale im Sommer 2023 öffentlich gemacht. Am Freitag teilte die Bundesregierung nach langen Ermittlungen – an denen unter Federführung des Auswärtigen Amtes nicht nur das Innenministerium und die Sicherheitsbehörden beteiligt waren, sondern auch ausländische Partner – nun nicht nur mit, dass APT28 für den Angriff auf die SPD verantwortlich gewesen ist. Sie machte vor allem deutlich, dass man APT28 dem russischen Militärgeheimdienst GRU zuschreibt und dass man Russlands Cyberattacken nicht weiter hinzunehmen gedenkt. Schon zu Freitagmittag wurde der russische Geschäftsträger in Berlin einbestellt, der Botschafter selbst ist gerade nicht da. Auch EU und NATO verurteilten die Angriffe.

Es war der Außenministerin vorbehalten, als Erste das Ergebnis zu vermelden. Auf der anderen Seite der Welt, im australischen Adelaide, stellte Annalena Baerbock sich vor die Mikros und sagte, es sei klar, dass russische Akteure hinter den Cyberattacken im vergangenen Jahr stünden. Staatliche russische Hacker hätten Deutschland im Cyberraum angegriffen. „Das ist völlig inakzeptabel und wird nicht ohne Konsequenzen bleiben“, äußerte sie. Ein Regierungssprecher hob später hervor, die Kampagne der Hacker „richtet sich gegen Regierungsstellen und Unternehmen aus den Bereichen Logistik, Rüstung, Luft- und Raumfahrt, IT-Dienstleistungen sowie Stiftungen und Verbände“. Auch andere europäische Länder seien betroffen. Zu den Schäden gab es kaum Details, nur von kompromittierten Servern sprach ein Sprecher des Innenministeriums.

Im Fall der SPD hatten die Hacker Zugriff auf eine einstellige Zahl von E-Mail-Postfächern des Parteivorstandes. Die SPD hatte damals Hilfe beim Bundesamt in der Informationstechnik und beim Bundesamt für Verfassungsschutz gesucht. „Es ist nicht auszuschließen, dass es zu einem Abfluss von Daten aus vereinzelten E-Mail-Postfächern kam“, teilte damals die Partei mit. SPD-Generalsekretär Kevin Kühnert hatte schon vor knapp einem Jahr Russland unter Verdacht. Es gebe „fundierte Anhaltspunkte dafür, dass die Attacke durch Angreifer aus Russland ausgeführt wurde“, sagte er damals.

Deutschland bestellt den russischen Geschäftsträger ein

Die Empörung ist auch außerhalb Deutschlands groß. Der EU-Außenbeauftragte Josep Borrell teilte am Freitag mit, die EU sei entschlossen, das gesamte Spektrum an Maßnahmen nutzen, um Russlands bösartiges Verhalten im Cyberspace zu verhindern und darauf zu reagieren. Die NATO teilte mit, man wolle die notwendigen Fähigkeiten einsetzen, „um das gesamte Spektrum der Cyber-Bedrohungen abzuschrecken, abzuwehren und zu bekämpfen, um uns gegenseitig zu unterstützen“.

Man erwäge auch „koordinierte Reaktionen“. Bundesinnenministerin Nancy Faeser (SPD) sagte in Prag, „die russischen Cyberangriffe sind eine Bedrohung für unsere Demokratie, der wir entschlossen entgegentreten“. Auch die Tschechische Republik gab an, Opfer der Cyberangriffe gewesen zu sein. Was neben der Einbestellung des russischen Geschäftsträgers konkret folgen soll, blieb zunächst unklar. Ein Sprecher des Außenministeriums sprach in Berlin davon, dass man alle möglichen Maßnahmen prüfe – und dass APT28 in der EU schon sanktioniert sei.

Die Hackergruppe ist eine alte Bekannte. APT steht für „Advanced Persistent Threat”, die Fachbezeichnung für anhaltende Angriffe von Hackern mit großen technologischen Möglichkeiten, die vermutlich staatlich gesteuert sind. Neben APT28 kursieren weitere Bezeichnungen für die Gruppe. Die bekannteste stammt von einem IT-Unternehmen, das die Angriffe auf Server der Demokratischen Partei vor den amerikanischen Präsidentenwahlen 2016 untersuchte: „Fancy Bear“. Bär ist der firmeneigene Code für Angreifer aus Russland, das Wort „Fancy“ leitet sich aus dem Wort „Sofacy“ ab, das in der Spionagesoftware der Angreifer vorkam.

Auch Angela Merkel wurde schon zum Ziel der Hacker

Westliche Fachleute hatten die Gruppe schon früher dem Militärgeheimdienst GRU zugerechnet. Offenkundig geht es den Angreifern nicht ums Geld, sondern darum, Interessen der russischen Führung zu dienen. Ziele von APT28 lagen längst nicht allein in den Vereinigten Staaten, sondern unter anderem in Georgien, Polen, Frankreich und in der Ukraine; auch die NATO wurde schon angegriffen. Auch in Deutschland ist die Gruppe schon lange vor dem Angriff auf die SPD in Erscheinung getreten.

Mitte des vergangenen Jahrzehnts gab es einen Angriff auf den Deutschen Bundestag, unter anderem auf das Abgeordnetenbüro der damaligen Bundeskanzlerin Angela Merkel. Damals verschafften sich die Angreifer nicht wie nun im Fall der SPD unter Ausnutzung von Sicherheitslücken Zugang, sondern mit E-Mails, die angeblich von den Vereinten Nationen kamen. Die Sanktionen der EU gegen die Gruppe waren eine Antwort darauf. Wegen des Angriffs auf die Server des Bundestags hat der Generalbundesanwalt außerdem vor vier Jahren einen Haftbefehl gegen den russischen Soldaten Dmitrij Badin erwirkt.

Nach diesem fahndet auch die amerikanische Bundespolizei FBI, wegen der Hackerangriffe auf die Demokratische Partei von 2016 sowie auf die Welt-Anti-Doping-Agentur WADA. Später wurden APT28 unter anderem Angriffe auf einen Datenverbund der obersten Bundesbehörden sowie auf einzelne Bundestagsabgeordnete zugerechnet. Auch russische und westliche Journalisten und Medien sind Ziele der Hacker geworden.

Das Gebäude des GRU in Moskau, in dem das Hauptquartier der Hacker vermutet wird, wurde im Juli vorigen Jahres Ziel eines ukrainischen Drohnenangriffs. Im Februar war es deutschen Sicherheitsbehörden in einer Operation unter Führung des amerikanischen FBI sogar gelungen, ein von APT28 genutztes Netzwerk zu zerschlagen – dabei wurden Hunderte Router in Privathaushalten und Büros ausgeschaltet, die mit Schadsoftware befallen waren und für Angriffe genutzt werden. Doch trotz dieses Erfolgs stellte ein Sprecher des Bundesinnenministeriums am Freitag klar, dass die Gruppe weiterhin aktiv „und nach Einschätzung unserer Sicherheitsbehörden eine der weltweit gefährlichsten und aktivsten Cyberangriffe-Gruppierungen“ sei.

Auch mit Blick auf die anstehenden Europawahlen sind die Sorgen vor russischen Desinformationskampagnen groß. Am Freitag sagte Faeser: „Wir werden uns keinesfalls vom russischen Regime einschüchtern lassen. Wir werden die Ukraine weiter massiv unterstützen, die sich gegen Putins mörderischen Krieg verteidigt.“