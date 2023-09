Berlin -Der Hackerangriff gegen die Bundesregierung war offenbar Teil einer weltweiten Spähaktion. Nach Informationen von NDR, WDR und der „Süddeutsche Zeitung“ soll es den Hackern gelungen sein, insgesamt 17 Rechner auch in Südamerika, dem Baltikum, in Skandinavien und der ehemaligen Sowjetunion zu infizieren. Auch die Ukraine soll betroffen sein. Um welche Länder es sich konkret handelt, ist unklar. Ein infizierter Rechner aus Deutschland soll demnach einem Mitarbeiter des Bundesverteidigungsministeriums gehört haben, der damals im Auswärtigen Dienst tätig war.

Die Cyberattacke auf die Bundesregierung könnte schon Ende 2016 begonnen haben. Nach Informationen der Deutschen Presse-Agentur hatten die Sicherheitsbehörden jedoch erst seit sechs Wochen sichere Hinweise auf die Hintergründe des Angriffs. Sie seien zwar am 19. Dezember von einem ausländischen Partnerdienst darauf hingewiesen worden, dass das Netzwerk attackiert werde, hieß es am Donnerstagabend in Sicherheitskreisen. Da der Hinweis aber nicht spezifisch genug gewesen sei, konnte er erst Mitte Januar bestätigt werden. Nun hat die Bundesanwaltschaft Vorermittlungen wegen geheimdienstlicher Agententätigkeit gegen unbekannt eingeleitet. Die Spuren führen nach Russland.

Viele Fragen weiterhin offen

Am Freitag gab es jetzt auch eine erste Reaktion aus Moskau. Die russische Regierung ist nach eigenen Angaben aus Deutschland noch nicht über den Hackerangriff auf das Datennetzwerk des Bundes informiert worden. „Mir ist nicht bekannt, dass diese Frage offiziell oder auf Expertenebene besprochen worden wäre“, sagte Kremlsprecher Dmitri Peskow. Peskow wehrte sich gegen einen Generalverdacht: „Jeder Hackerangriff auf der Welt wird gleich mit russischen Hackern in Verbindung gebracht“, sagte er der Agentur Tass zufolge. Aber es würden nie Beweise vorgelegt. Und die Medienberichte darüber müsse man „mit großer Vorsicht“ betrachten.

Noch immer gibt es jede Menge offene Fragen, die geklärt werden müssen: Welche Auswirkungen hat der Angriff? Welche und wie viele Daten sind abgeflossen? Wie kann man so einen Angriff künftig verhindern? Und: Ist die Gefahr jetzt gebannt? Auch hier gibt es widersprüchliche Aussagen. Einem Bericht des „Tagesspiegel“ zufolge, der sich auf Aussagen der Sicherheitsbehörden und das Auswärtige Amt beruft, soll die Attacke inzwischen gestoppt sein. Am Donnerstag hieß es noch, dass der Angriff noch immer laufe.

„Krisenmanagement im BMI ist katastrophal“

Die Linken-Politikerin Anke Domscheit-Berg gab nach einer Sondersitzung zu den Hackerangriffen am Freitag zu bedenken, dass bislang nicht klar sei, ob das Einfallstor der Hacker eine bereits bekannte Sicherheitslücke gewesen sei. „Uns ist in der Sitzung bestätigt worden, dass die Aussage von Staatssekretär Ole Schröder falsch war, der Angriff sei von Anfang an unter Kontrolle gewesen“, kritisierte die netzpolitische Sprecherin. Zudem sei das „Krisenmanagement im BMI ist katastrophal“.

Scharfe Kritik äußerte auch der stellvertretende Fraktionsvorsitzende der Grünen, Konstantin von Notz. Die Bundesregierung sei längst Teil des Problems, nicht Teil der Lösung. „Sie trägt selbst massiv dazu bei, IT-Sicherheit zu verschlechtern statt die Sicherheit digitaler Infrastrukturen effektiv zu erhöhen, was dringend erforderlich wäre“, sagte er dieser Zeitung. Dazu gehöre das „unbeirrte Festhalten an der Notwenigkeit des staatlichen Handel mit Sicherheitslücken“. Diese würden immer auch Dritten offenstehen.

Nach den jüngsten Erkenntnissen soll nicht die Hackergruppe „APT28“ hinter dem Angriff stecken, wie es zunächst geheißen hatte, sondern das Hackerkollektiv „Snake“ beziehungsweise „Turla“ oder „Uroburos“. Den Cyber-Spionen werden Verbindungen zu russischen Geheimdiensten nachgesagt.

Hackergruppe „Turla“ verwischt ihre Spuren

Die Hackergruppe „Turla“ geht kreative Wege, um ihre Spuren zu verwischen. In einem Blogartikel des russischen Softwareunternehmens und Virensoftwareanbieter „Kaspersky“ aus dem Jahr 2015 beschreibt das Unternehmen die Hackergruppe „Turla“ als eine Spionagetruppe, die seit acht Jahren in mehr als 45 Ländern Hunderte Computer infiltriert hat.

Die Hackergruppe verwischt ihre Spuren auch dadurch, dass sie das Satelliten-Internet anzapft und es für ihre Zwecke missbraucht. Der Vorteil: Es ist schwer, die Initiatoren der Attacke ausfindig zu machen, weil diese Methode anonym ist. Der Nachteil: Satellitengestütztes Internet ist langsam und kann zudem unbeständig sein. (mit dpa)