notifications
Analyse

Staatliche russische Hacker attackieren Deutschland – die Antworten auf die wichtigsten Fragen

Putins hybrider Krieg rückt immer näher. Die deutsche Regierung will nun eindeutige Beweise gegen russische Elitehacker haben. Das ist auch aus Schweizer Perspektive wichtig.

Die deutsche Regierung macht eine Einheit des russischen Militärgeheimdienstes GRU für einen Hackerangriff auf die SPD verantwortlich. Dies erklärte Aussenministerin Annalena Baerbock während ihres Australien-Besuchs und kündigte Konsequenzen an. Fragt sich, welche? Und wie verhält sich die Schweiz?

Warum ist das wichtig?

Die Sozialdemokratische Partei Deutschlands (SPD) steht in der Regierungsverantwortung und stellt mit Olaf Scholz den Bundeskanzler.

Und nun teilte die Bundesregierung über ihre Aussenministerin öffentlich mit, dass die SPD von Elitehackern attackiert wurde, die in Putins Sold stehen.

Laut Baerbock sind die Ermittlungen der Bundesregierung unter Federführung des Auswärtigen Amts bereits abgeschlossen. «Wir können diesen Angriff vom letzten Jahr heute eindeutig der Gruppe APT28 zuordnen, die vom russischen Geheimdienst GRU gesteuert wird», sagte die Grünen-Politikerin auf einer Pressekonferenz mit ihrer australischen Amtskollegin Penny Wong in Adelaide auf Nachfrage. «Das ist völlig inakzeptabel und wird nicht ohne Konsequenzen bleiben.»

Annalena Baerbock zu Besuch in Australien. 
Bild: Bild: Michael Errey / AP

Die Attacke auf die SPD soll Teil einer russischen Hacking-Kampagne in mehreren europäischen Ländern gewesen sein. Diese richtete sich gegen Regierungsstellen und Unternehmen, die mit Energieversorgung, IT, Rüstung oder Luft- und Raumfahrt zu tun haben.

Die Hackerangriffe hätten sich gegen Ziele in Deutschland und anderen europäischen Staaten sowie gegen Ziele in der Ukraine gerichtet, heisst es.

Wie die deutsche Innenministerin erklärte, zielten solche Cyberattacken nicht auf einzelne Parteien oder bestimmte Politikerinnen und Politiker ab. Die Russen wollten so das Vertrauen in die Demokratie erschüttern.

Welche Folgen hat das für Russland?

Das ist nicht bekannt.

Grundsätzlich sind diplomatische, wirtschaftspolitische und geheimdienstliche Massnahmen seitens Deutschland und der NATO-Verbündeten denkbar.

In ähnlichen Fällen hat es früher schon Sanktionen der Europäischen Union gegen Einzelpersonen oder Einrichtungen gegeben. Denkbar seien auch Reiseverbote oder das Einfrieren russischer Vermögenswerte.

Die deutsche Aussenministerin äusserte sich zunächst nicht zu konkreten Massnahmen. Am Freitagvormittag wurde dann mitgeteilt, dass der russische Botschafter ins Auswärtige Amt einbestellt wurde.

Der Vorfall zeige, «dass die russische Bedrohung für Sicherheit und Frieden in Europa real ist und sie enorm ist», sagte ein Sprecher des deutschen Aussenministeriums.

Putins Abgesandter in Deutschland war in den letzten Monaten regelmässig zu Gesprächen geladen worden. Zuletzt hatte man ihn vor zwei Wochen einbestellt, nach der Verhaftung von zwei Deutsch-Russen, die der Spionage verdächtig werden.

Die deutsche Innenministerin Nancy Faeser erklärte am Freitag, ihre Regierung wolle russischen Cyberangriffen in Deutschland entschlossen entgegentreten.

«Wir werden uns keinesfalls vom russischen Regime einschüchtern lassen. Wir werden die Ukraine weiter massiv unterstützen, die sich gegen Putins mörderischen Krieg verteidigt.»

Deutschland werde nun zusammen mit anderen EU-Staaten, der NATO und den internationalen Partnern reagieren. Weiter betonte die SPD-Politikerin:

«In diesem Jahr mit der Europawahl und weiteren Wahlen müssen wir uns gegen Hackerangriffe, Manipulationen und Desinformation besonders wappnen.»

Was sagt die NATO ?

Der Nordatlantikrat, das wichtigste Entscheidungsgremium der Nato, hatte sich bereits am Donnerstagabend «zutiefst besorgt» gezeigt über zunehmende russische Cyberattacken – ohne Details zu nennen. In einer Erklärung war von «feindlichen Aktivitäten» die Rede, die gegen Deutschland, Estland, Lettland, Litauen, Polen, Tschechien und Grossbritannien gerichtet seien.

In der offiziellen NATO-Erklärung heisst es:

«Diese Vorfälle sind Teil einer sich verstärkenden Kampagne von Aktivitäten, die Russland im gesamten euro-atlantischen Raum ausführt, auch im Bündnisgebiet und über Proxies (Stellvertreter). Dazu gehören Sabotageakte, Gewaltakte, Cyber- und elektronische Störungen, Desinformationskampagnen und andere hybride Operationen.»

Und weiter: Die Aktivitäten stellten «eine Bedrohung für die Sicherheit der Bündnispartner» dar.

Kann ein Hackerangriff den NATO-Bündnisfall auslösen?

Ja, das ist grundsätzlich möglich.

Die Mitgliedsstaaten des westlichen Verteidigungsbündnisses haben bewusst festgelegt, dass ein Hackerangriff den Artikel 5 des NATO-Vertrages auslösen kann.

Da sich im vorliegenden Fall der Schaden in Grenzen hält, wenn man nach den öffentlich vorliegenden Informationen geht, dürfte die NATO auf Massnahmen verzichten, die zu einer Eskalation führen.

Fachleute sprechen bei solchen Hackerangriffen von normalen Scharmützeln im Internet, die zur Spionage und Informationsbeschaffung dienen. Erst wenn die Schwelle zu echter Sabotage und Zerstörung überschritten werde, dürften die Alliierten mit geballter Kraft zurückschlagen und ihre offensiven Cyberfähigkeiten einsetzen.

Anzumerken bleibt, dass bei der russischen Invasion im Februar 2022 und einer damit verbundenen Cyberattacke gegen einen internationalen Satellitenkommunikations-Anbieter unter anderem deutsche Geräte zerstört und Windanlagen in Mitleidenschaft gezogen wurden. Die deutschen Behörden hielten sich in der Folge allerdings bedeckt, was allfällige Reaktionen betraf.

Wer sind die Angreifer?

Die Gruppierung APT28 ist nach Angaben des deutschen Verfassungsschutzes seit mindestens 2004 weltweit vor allem im Bereich Cyberspionage aktiv. Sie habe in der Vergangenheit auch Desinformations- und Propagandakampagnen geführt und zähle «zu den aktivsten und gefährlichsten Cyberakteuren weltweit».

Das deutsche Bundesamt für Verfassungsschutz rechnet APT28 eindeutig dem russischen Militärnachrichtendienst GRU zu. Sie ist auch als Einheit 26165 bekannt.

Die Elitehacker-Gruppe, die bei IT-Sicherheitsfachleuten unter dem Namen «Fancy Bear» firmiert, wurde 2015 für eine grosse Cyberattacke auf den Bundestag, also das deutsche Parlament, verantwortlich gemacht und 2016 in den USA für einen Hackerangriff auf die Demokratische Partei vor der Präsidentschaftswahl 2017.

Im selben Jahr attackierten die russischen Elitehacker auch in Frankreich die Präsidentschaftskampagne von Emmanuel Macron – allerdings ohne Erfolg.

Die Gruppe wird von westlichen Regierungen als langer Arm der russischen Geheimdienste eingestuft und ist seit dem Jahr 2020 mit EU-Sanktionen belegt.

Neben APT28 alias Fancy Bear wird mit Sandworm eine weitere Elitehackergruppe dem russischen Militärgeheimdienst zugerechnet. Es ist davon auszugehen, dass die beiden GRU-Einheiten eng kooperieren.

Ist das sicher?

Danach sieht es aus, sonst würde die Bundesregierung nicht dermassen deutliche Worte wählen.

Konkrete Beweise liegen nicht öffentlich vor.

Die Zuordnung eines Hackerangriffs zu einer konkreten Tätergruppe, Attribution genannt, gilt als schwierig. Dies, weil es professionell vorgehende Angreifer verstehen, ihre digitalen Spuren zu verwischen.

Die SPD hatte den Hackerangriff im Sommer 2023 bekannt gemacht. Der Angriff richtete sich gegen die Parteizentrale, dabei nutzten die Hacker eine damals bestehende Sicherheitslücke bei Microsoft aus und konnten offenbar in E-Mail-Postfächer vordringen.

SPD-Generalsekretär Kevin Kühnert hatte schon damals gesagt, es gebe «fundierte Anhaltspunkte dafür, dass die Attacke durch Angreifer aus Russland ausgeführt wurde». Nun wurde das sogenannte «nationale Attribuierungsverfahren» zu dem Vorfall abgeschlossen.

Das Schadensausmass ist nicht bekannt.

Was hat die Schweiz mit dem Fall zu tun?

Das ist nicht öffentlich bekannt.

Die Schweiz gilt wegen der Untätigkeit des Bundesrates und des Parlaments als Betätigungsfeld für russische Geheimdienstler. Der Schweizer Historiker und Geheimdienstexperte Adrian Hänni sagte im Juni 2023 gegenüber der NZZ:

«Die Bedeutung der Schweiz als vergleichsweise sicherer Hafen für russische Geheimdienstarbeit nimmt zu, weil die Strukturen hier noch intakt sind.»

Hänni erklärte, er halte es deshalb «für plausibel bis wahrscheinlich», dass verdeckte Aktivitäten russischer Geheimdienste in europäischen Ländern vermehrt aus der Schweiz heraus gesteuert würden. «Möglicherweise würden zudem gewisse weiterhin aktive Agentinnen und Agenten der russischen Dienste in anderen Ländern nun von der Schweiz aus geführt», so die NZZ.

Die Schweiz sei bereits früher als Drehscheibe für russische Agenten aufgefallen. Als Beispiel nannte Hänni die versuchte Vergiftung des in den Westen geflüchteten früheren GRU-Offiziers Sergei Skripal 2018.

Mitglieder des russischen Militärgeheimdienstes GRU hatten sich in den Monaten vor dem Attentat mehrfach in Genf aufgehalten, wie Untersuchungen ergaben. «Die berüchtigte GRU-Einheit 29155 soll in Genf sogar ein verdecktes Hauptquartier unterhalten haben.»

Wie der GRU hackt und tötet

Die NZZ wies auch noch auf ein anderes Problem hin, was die Zurückhaltung der Schweizer Politik betrifft, die auch nach Beginn der russischen Invasion im Jahr 2022 anhielt: Der Schweizer Nachrichtendienst NDB befürchte, dass vermehrt russische Geheimdienstmitarbeiter getarnt als ukrainische Flüchtlinge oder russische Deserteure und Kriegsflüchtlinge in die Schweiz einreisten.

Politische Vorstösse, die ein aktiveres Vorgehen gegen russische Agenten anstrebten, scheiterten bislang.

Sicher ist: Rund um die von der Schweiz organisierte, auf den 15. und 16. Juni angesetzte Friedenskonferenz haben Putins Cyberspione erneut viel zu tun.

Derweil laufen in Bundesbern die Vorbereitungen bei den zuständigen Behörden: Das Bundesamt für Cybersicherheit (BACS), der Nachrichtendienst und das Bundesamt für Bevölkerungsschutz (BABS) bereiten sich gemeinsam auf die von Russland kritisierte Tagung vor.

Offenbar will die Landesregierung zumindest kommunikativ in die Offensive gehen, wie Bundesratssprecher André Simonazzi gegenüber CH Media erklärte:

«Aus unserer Sicht ist es prinzipiell wichtiger, Medien und Bevölkerung frühzeitig, aktiv und regelmässig zu informieren, statt Gerüchten, Propaganda oder Desinformationen hinterherzulaufen und zu versuchen, diese zu korrigieren.»

Prävention und Widerstandsfähigkeit der Bevölkerung gegenüber manipulativen Falschinformationen seien «das Wichtigste». Nötigenfalls wolle der Bund aber Desinformation auch «aktiv bekämpfen».

Ob dazu auch endlich ein schärferes Vorgehen gegen russische Cyberkrieger gehört, bleibt offen.