Im Visier der Cyberkrieger
Erstellt von Redaktion am Donnerstag 31. August 2017
Gehackte Daten aus dem Bundestag
2015 kam es zum bislang größten Hacker-Angriff auf den Bundestag. Viele Dokumente wurden gestohlen. Vor der Wahl könnte das gefährlich werden.
AutorIn Gesa Steeger
Es ist ein Tag im Februar 2014, als Marieluise Beck erfährt, dass da noch jemand ist. In ihrem Computer. Einer, der durch die Hintertür gekommen ist. Der sich nimmt, was ihm gefällt.
Überrascht sei sie damals nicht gewesen, sagt Beck. Sie ist seit fast 30 Jahren Bundestagsabgeordnete der Grünen, Osteuropa-Sprecherin ihrer Fraktion, Russland-Expertin und -Kritikerin. Sie empfängt in ihrem Büro unter den Linden. Es gibt grünen Tee und frische Aprikosen. Es ist zehn Uhr, und Beck hat noch nicht gefrühstückt.
Zwei ihrer Mitarbeiter kommen aus Russland. Beide waren Mitarbeiter in politisch engagierten NGOs. Opposition. Da sei man einiges gewohnt, sagt Beck. „Wir arbeiten hier mit der Grundannahme, dass wir nicht alleine sind.“ Im Cyberwar ist Russland eine Weltmacht.
Deswegen sei man in ihrem Büro nicht erstaunt gewesen, als der Anruf der Bundestagsverwaltung gekommen sei. Ein Mitarbeiter der IT-Abteilung informierte Beck über Auffälligkeiten.
Diagnose: „MiniDuke“
Sie selbst habe nichts mitbekommen, sagt Beck. Woher auch? Alles lief weiter. Das Perfide bei diesen Angriffen aus dem Netz: Bemerkt werden sie oft sehr viel später. Die Bundesverwaltung ließ Becks Computer abholen und suchte auf der Festplatte nach den Spuren des Eindringlings: Wie war er hineingekommen? Und vor allem: Woher kam er, und was nahm er mit?
Nach einigen Wochen bekam Beck einen Bescheid. Die Ergebnisse der Untersuchung lägen in der Geheimschutzstelle des Bundestags zur Einsicht bereits. Beck las, dass ein Trojaner ihren Computer infiziert hatte. Damals hörte sie das erste Mal den Namen „MiniDuke“. Sie konnte nicht ahnen, dass MiniDuke erst der Anfang war, dass ein gutes Jahr später der Bundestag durch einen ähnlichen Angriff lahmgelegt werden würde und dass ihre Kollegen bis heute, ein paar Wochen vor der Wahl, immer noch die Folgen dieses Angriffs fürchten.
MiniDuke ist ein Trojaner, der durch eine Schwachstelle im Adobe Reader seinen Weg in den Computer findet. Er ist in der Cyberwelt kein Unbekannter. 2013 erfuhr man von 59 Angriffen auf Ziele in 23 Staaten. Darunter US-Forschungseinrichtungen und Regierungseinrichtungen in Portugal, Rumänien und Irland.
MiniDuke kommt per E-Mail, versteckt in einer Einladung zu einem Menschenrechtsseminar oder einem Artikel über die Zusammenarbeit der Ukraine mit der Nato, die als PDF-Datei anhängen. Es reicht ein Klick auf die Datei, und MiniDuke ist drin. Auch in Becks Büro muss einmal jemand an der falschen Stelle geklickt haben.
Das Interesse an dem Angriff sei damals minimal gewesen, sagt Beck. Sie weiß bis heute nicht, wohin ihre Daten abgeflossen sind. Das Bundesamt für Sicherheit in der Informationstechnik, das BSI, lieferte keine weiteren Informationen. Der Angriff wurde als Einzelfall verbucht und versank im Alltagsgeschäft – bis zum Frühjahr 2015.
30. April 2015: Der Cyber-Super-GAU
Am 30. April 2015, einem Donnerstag, drangen Angreifer in den Bundestag ein. Genauer: in dessen Netzwerk. Es ist der größte Angriff auf den Bundestag in der Geschichte, wenn man so will ein Cyber-Super-GAU: Auch das Abgeordnetenbüro von Bundeskanzlerin Angela Merkel und von Bundestagsvizepräsident Johannes Singhammer waren betroffen. Am Ende dieser Attacke wurden rund 16 Gigabyte Daten aus sechzehn Abgeordnetenbüros kopiert.
Welche Informationen jetzt in fremden Händen sind, wissen nur die Hacker. Es waren unter anderem die E-Mail-Postfächer, auf die es die Angreifer abgesehen hatten. Die Abgeordneten fürchten, dass die Informationen benutzt werden könnten. Am 24. September 2017 geht Deutschland wählen. Im Januar 2017 registrierten Unbekannte die Domain btleaks.net. Noch ist die Seite leer. Das könnte sich bald ändern.
Die Parlamentarier wissen nur zu gut, wie Daten zur Waffe werden können. Wie sie auch Wahlkämpfe beeinflussen. Das zeigte der Hack auf Präsidentschaftskandidatin Hillary Clinton. Im Herbst 2016 veröffentlichte Wikileaks Tausende E-Mails der Demokratischen Partei. Die Inhalte bedeuteten für vier Mitarbeiter von Clinton das Karriereende und kostete die Demokraten vermutlich den Wahlsieg. Ähnlich am 5. Mai 2017 in Frankreich: Im Internet tauchten E-Mails der Macron-Kampagne auf. Rund 9 Gigabytes. Zwei Tage vor der Wahl.
IT-Attacken
Seit zehn Jahren registrieren IT-Spezialisten einen Anstieg politisch gesteuerter Hackerangriffe. Im Jahr 2010 wurde öffentlich, dass das Schadprogramm Stuxnet gezielt das iranische Atomprogramm störte. Dabei arbeiteten offenbar CIA, NSA und israelischer Geheimdienst mit.
Im Dezember 2015 saßen mehrere Zehntausende Menschen in der Ukraine vorübergehend im Dunkeln. Der Grund: ein Hack auf einen regionalen Energieversorger. Für die erste Hälfte des Jahres 2016 zählt das BSI im Netz der Bundesverwaltung rund 200 Schadsoftware-Infektionen pro Monat. Attacken auf Politiker, Parteien und Infrastruktur. Sie zeigen: Wer die richtigen Daten hat, der hat Einfluss. Was bedeutet dies für Deutschland? Wie sicher sind die deutschen Netze im Wahljahr 2017?
Wer Antworten auf diese Fragen sucht, der hat es schwer. Die Entscheider in Münchner Gewerbegebieten und Berliner Besprechungszimmern reden. Aber nicht öffentlich. IT-Sicherheit wird in Deutschland hinter verschlossenen Türen gemacht.
Die Troll-Armee auf Facebook
Für Marieluise Beck endet bald ihre Zeit im Bundestag. Sie spricht offen. „Einflussnahme gibt es doch schon lange.“ Beck erinnert sich an 2014. Für sie das Jahr, in dem sie nicht nur MiniDuke kennenlernte, sondern auch das, was Experten eine Troll-Armee nennen.
Es muss wohl Anfang 2014 gewesen sein, ganz genau erinnert sich Beck nicht mehr, da wurden ihre Mitarbeiter in ihrem Wahlkreisbüro in Bremen stutzig. Becks Facebook-Seite entwickelte sich zu einem schwarzen Brett aus Pöbeleien und persönlichen Angriffen. Es war einer ihrer Mitarbeiter im Berliner Büro, der Beck aufklärte: Das seien keine verärgerten Bürger, die ihrer Wut auf die Politikerin auf deren Facebook-Seite Luft machten, das seien gesteuerte Trolls, eine Art Cyberschlägertruppe. Sie fluten Onlineforen, machen Stimmung in Kommentarspalten oder eben auch auf Facebook-Seiten wie der von Beck. Anders als bei MiniDuke ist für Beck der Schaden der Trolls sofort sichtbar.
Mittlerweile weiß sie: MiniDuke kam vermutlich aus Osteuropa. In die Welt entsandt hat ihn die Hackergruppe APT29. Auch bekannt als „Cozy Bear“ oder „The Dukes“. Davon gehen zumindest die deutschen Behörden aus. Aber wer steckt hinter dieser Gruppe, und was wollen unbekannte Osteuropäer von einer Bremer Abgeordneten?
Die Spur führt nach Moskau
In einem Bericht des FBI werden die Gruppen APT29 und APT28 dem russischen Geheimdienst zugeordnet. Die amerikanische IT-Sicherheitsfirma Fireeye schreibt in einem Bericht über APT28, sie wüsste nicht genau, wer die Hacker sind und wo sie sitzen. „Aber wir haben Beweise für lang andauernde, zielgerichtete Operation, die auf Finanzierung von einer Regierung schließen lassen – einer Regierung, die in Moskau sitzt.“ Ähnlich äußern sich auch andere IT-Sicherheitsfirmen.
Wer herausfinden will, woher ein Angriff kommt, der muss in den Code schauen. Es gibt wiederkehrende Muster, bestimmte Formulierungen. Eine Art digitale Handschrift. Sicherheitsforscher haben herausgefunden: APT29 und APT28 schreiben Teile ihres Codes in kyrillischer Schrift. Die Zeiten, die sich im Code finden lassen, passen zu Bürozeiten in Moskau und Sankt Petersburg.
Aber: Jeder kann sich dieser Muster bedienen. Beweisen lässt sich wenig in dieser Welt aus Codes und fremdgesteuerten Servern. Zu den Angriffszielen von APT29 und APT28 gehören neben der Demokratischen Partei und Macron auch politische Organisationen in Europa, Afrika und den USA. Davon gehen die IT-Spezialisten aus. Auch der Bundestag wurde vermutlich Opfer von APT28.
Angriff über Schadsoftware
Quelle : TAZ >>>>> weiterlesen
——————————————————————————————————————————-
Grafikquelle :
Oben — Unterzeichnung des Koalitionsvertrages der 18. Wahlperiode des Bundestages. Ursula von der Leyen, Thomas de Maizière.
