Es ist schon eine ziemliche Angelegenheit, wenn Otto-Normalverbraucher Ziel eines Hackerangriffs werden. Man kann sich nur annähernd vorstellen, welche Hebel in Bewegung gesetzt werden, wenn der Angriff gegen Menschen aus den höchsten deutschen Politikkreisen gerichtet wird.

Letzteres Szenario fand dann auch leider am 15. und 24. August 2016 statt. Erst zwei bis drei Wochen später wurden diese Angriffe, die der deutsche Bundesnachrichtendienst und die Nato aufdeckten, offiziell dem Nationalen Cyberabwehrzentrum gemeldet. Darauf wurden alle Fraktionen des Deutschen Bundestags am 9. September in Kenntnis gesetzt. Obwohl die Sache sehr ernst genommen wird, ist es doch erstaunlich, dass die Informationen erst nach so langer Zeit herausgegeben wurden.

Wie zielgerichtete Angriffe (Advanced Persistent Threat) ablaufen können und wie man sich davor schützt, zeigt das Aufklärungsvideo von SANS: Targeted Attacks – Security Awareness Video (nur in Englisch).

https://www.youtube.com/watch?v=JiChg-kpCDE

Die Untersuchungen des Bundesamts für Sicherheit in der Informationstechnik leitete eine offizielle Untersuchung ein. Inzwischen ist bekannt, dass eine Vielzahl von Politikern aller Parteien an den genannten Tagen eine E-Mail vom NATO-Hauptquartier im Postkorb vorfanden. Absender war ein völlig unbekannter Mensch namens Heinrich Krammer, dessen Adresse „hq.nato.int“ lautete und von einer NATO-Adresse stammte. Die E-Mail informiert über das italienische Erdbeben und den türkischen Militärputsch. Die Nachricht enthielt aber auch noch einen scheinbar harmlosen Link, der nur dafür gedacht war, Schadsoftware zu überbringen. Die Angreifer verteilten ihre Schadsoftware sogar an mittlerweile nicht mehr existierende E-Mail-Adressen. Im Juli, so wurde bekannt, hatte die Bundestagsverwaltung den Server gesperrt. Aber bis dahin konnte die Schadsoftware sich dort einnisten.

Dies war der aktuellste Angriff auf die deutschen Politiker. Bereits im Mai letzten Jahres hatten Angreifer eine ähnliche Vorgehensweise angewendet und E-Mails von einer Adresse der Vereinten Nationen versandt. Diese E-Mail informiert die Empfänger seinerzeit über den in der Ukraine stattfindenden Konflikt und hatte ebenfalls einen völlig unauffälligen Titel „Ukraine conflict with Russia leaves economy in ruins“ und der beigefügte Link führte ebenfalls zu einer Seite auf der Schadsoftware auf ihren Einsatz wartete.

Auch über diesen Vorfall wurden die Abgeordneten erst viel später, nämlich im September informiert. Verständlicherweise reagierten diese darauf recht verärgert und forderten mehr Transparenz in solchen Angelegenheiten. In der damals dritten und letzten Mitteilung zum Thema meldete Bundestagspräsident Lammert dann endlich, dass keine Gefahr mehr für die Parlamentarier besteht, denn die Schadsoftware sei beseitigt worden. Das BSI gab dann Details zum Hackerangriff bekannt nach langen Untersuchungen. Demnach sind die Computersysteme des deutschen Parlaments großflächig betroffen gewesen. Es stellte sich heraus, dass die Hacker sogar Admin-Passwörter abfangen konnten. Damit war kurzzeitig das gesamte Computernetz des Bundestages gefährdet.

Doch klar ist immer noch nichts so richtig, insbesondere nach den diesjährigen Angriffen. Die Parteien befürchten, dass „ausländische Spione“ hier am Werke seien. Dies ist für sie insbesondere beunruhigend, da im nächsten Jahr die Bundestagswahl ansteht.

Die aktuelle E-Mail Attacke war breiter gefächert. Nicht nur Mitglieder der Bundestagsfraktionen waren ins Visier genommen worden, sondern auch andere Zweige der verschiedenen Parteien und deren Geschäftsstellen. Die zuständigen Stellen, insbesondere die Bundesregierung und das BSI nehmen die erneute Attacke sehr ernst. Sie befürchten, dass Hacker mit den eventuell gesammelten sensiblen Informationen eine Meinungsmanipulation der Öffentlichkeit im Hinblick auf die anstehenden verschiedenen deutschen Wahlen 2017 einleiten wollen.

Laut BSI-Chef Schönbohm sei es ihm vor dem Hintergrund der amerikanischen Ereignisse wichtig, dass sich die Parteien vor Ausspähung schützen. Er wolle ihnen zukünftig bei der Abwehr von Cyberangriffen helfen, insbesondere da er vermutet, dass derartige Angriffe kurz vor der Bundestagswahl noch zunehmen könnten. Zuletzt wurden in den USA im Vorfeld der Präsidentschaftsvorwahlkämpfe interne E-Mails der Demokratischen Partei auf Wikileaks veröffentlicht.

Indessen ist immer noch nicht hundertprozentig klar, wer eigentlich tatsächlich hinter beiden Angriffen auf die deutschen Parlamentarier steckt. Es gibt jedoch Vermutungen, die die beide Angriffe in Russland ansiedeln. Hier werden die Namen zweier bekannter russischer Hackergruppen genannt, die üblicherweise im staatlichen Auftrag handeln: apt 28 und Sofacy.

Westliche Sicherheitsexperten gehen nach langjährigen Untersuchungen davon aus, dass russische Nachrichtendienste diese Angriffe steuern. Die einschlägig Bekanntesten darunter sind FSB und GRU. Auch die typischen Vorgehensweisen der Hacker bei den aktuellen Angriffen deuten darauf hin. Handfeste Beweise gibt es jedoch nicht. Es wird aber auch davon ausgegangen, dass dieselben russischen Hackergruppen einen Angriff ausführten. Dabei wurden Anwender im Frühjahr dieses Jahres auf eine gefälschte CDU-Webseite geleitet, wo nach Zugangsdaten gefragt wurde.

Artikel von sueddeutsche.de, 20.09.2016: Hackerangriff auf deutsche Parteien
Artikel von tagesschau.de, 20.09.2016: BSI warnt Parteien vor Cyberangriffen