Ein Angriff auf die IT-Systeme des Deutschen Bundestages, Beeinflussung der Wahlen in den USA und Frankreich, ein Trojaner, mit dem Computerbesitzer erpresst werden: Hinter all dem soll die russische Hackergruppe "Sofacy" beziehungsweise "APT28" stecken. Sicherheitsexperten und Geheimdienste sind sicher: Sie wird von den russischen Behörden beauftragt. Das sind ihre Ziele.

Mehr aktuelle News finden Sie hier

Jeder Computer, jedes E-Mail-Postfach und jedes IT-System kann zur Zielscheibe von Hackern werden. "Die überwältigende Mehrzahl der Cyber-Angriffe hat einen kriminellen Hintergrund, ist in der Regel finanziell motiviert und erfolgt in den meisten Fällen ungezielt", sagt ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Gespräch mit unserer Redaktion.

Es gebe jedoch auch andere Attacken: "Im Bereich der Spionage sind unterschiedliche Tätergruppen bekannt, die unter Umständen im Auftrag staatlicher Akteure handeln", erklärt der Sprecher.

"Von Nationalstaaten ausgeführte Cyberangriffe, die sich gegen rivalisierende Staaten richten, sind das ,New Normal'", sagt auch Bob Botezatu, Director of Threat Research bei der Cybersicherheitsfirma Bitdefender. Spionage, Sabotage, Beeinflussung von Wahlen: Die Angriffe würden unterschiedlichste Ziele verfolgen. Neben Russland steht etwa China im Verdacht, solche Attacken zu initiieren.

Hacker-Kollektiv soll vom Geheimdienst gesteuert sein

Eine berüchtigte Hackergruppe soll dem russischen Militärgeheimdienst GRU unterstehen, glauben Geheimdienste und Sicherheitsexperten. Das Bundesamt für Verfassungsschutz (BfV) geht von einer "Steuerung durch russische staatliche Stellen" aus. Gemeint ist die "Sofacy Group": Das Hacker-Kollektiv ist wahrscheinlich seit 2004 aktiv und auch als "APT28", "Strontium" oder "Fancy Bear" bekannt – oder als "Cybereinheit 26165" des Geheimdienstes.

Die Mitglieder sind umtriebig und ihre Methoden vielfältig: Sie versenden Phishing-Mails, setzen Erpressungs-Trojaner ein oder versuchen, sich über ungesicherte Geräte aus dem "Internet der Dinge" (IoT) Zugang zu IT-Systemen zu verschaffen – zum Beispiel über Netzwerk-Drucker.

Eines ihrer Angriffsziele war vermutlich der Deutsche Bundestag: Dort schleusten die Hacker 2015 einen Trojaner ein und erbeuteten Tausende E-Mails von Abgeordneten. Einen der mutmaßlichen Beteiligten sucht die Generalbundesanwaltschaft inzwischen per Haftbefehl: Dmitriy Badin, Mitglied der "Sofacy Group". Er soll auch eine Schad-Software auf Computern im Büro von Kanzlerin Angela Merkel eingeschleust haben.

Ein Ziel der "Sofacy"-Hacker: Diebstahl sensibler Daten

Häufig steht bei den Angriffen der Gruppe der Diebstahl sensibler Daten im Zentrum, die anschließend veröffentlicht werden. Damit versuchten die Cyberkriminellen – und damit wohl die russischen Behörden – bereits, Einfluss auf Wahlen zu nehmen, etwa in Frankreich und den USA.

Viele Attacken, die dem Hackerkollektiv zugeschrieben werden, zeigen, auf welche Daten die Kriminellen aus sind:

  • 2016 drangen Angreifer in das Netzwerk der Demokratischen Partei in den USA ein und erbeuteten Daten. Darunter waren unter anderem 20.000 interne E-Mails, die die Enthüllungsplattform Wikileaks dann veröffentlichte.
  • 2015 und 2016 griffen Hacker die E-Mail-Systeme des dänischen Verteidigungs- und Außenministeriums an.
  • 2017 erbeuteten Hacker im französischen Präsidentschaftswahlkampf interne Dokumente des Wahlkampfteams von Emmanuel Macron.
  • Zwischen 2014 und 2017 attackierten Angreifer die E-Mail-Konten von mindestens 200 Journalisten, Bloggern und Verlegern.
  • 2018 wurden E-Mails des Internationalen Olympischen Komitees (IOC) erbeutet.
  • Die Hacker versuchten, E-Mails von US-Rüstungsfirmen, Oppositionellen in der Ukraine und von Politikern zu stehlen – unter anderem von den ehemaligen US-Außenministern John Kerry und Colin Powell.
  • 2018 wurde ein Cyberangriff auf die "Organisation für das Verbot chemischer Waffen" in den Niederlanden vereitelt.
  • Bei den IoT-Attacken hatten die Hacker auch Behörden, Unternehmen sowie militärische und medizinische Einrichtungen im Visier. Die Sicherheitsforscher von Microsoft warnten allein zwischen Mitte 2018 und Mitte 2019 knapp 1.400 Stellen vor Angriffen auf ihre Infrastruktur.

Der Erpressungstrojaner "Notpetya"

Die "Sofacy Group" widmet sich außerdem der Sabotage. Sie soll hinter der Malware "Notpetya" beziehungsweise "GoldenEye" stecken. Diese verschlüsselt alle Dateien im Computer, und der Besitzer soll Lösegeld zahlen, um sie wiederherzustellen.

2017 legte der Erpressungstrojaner weltweit Computer lahm und richtete Milliardenschäden an. Betroffen war vor allem die Ukraine, auch die Nationalbank des Landes wurde zur Zielscheibe.

Die schwierige Suche nach den Hintermännern

Der Kreml dementiert, die Angriffe initiiert zu haben. Doch die Auswahl der Opfer spreche für ein staatliches Interesse, meint der Verfassungsschutz. Technische Parameter der Angriffsmethoden wie Spracheinstellungen oder Zugriffszeiten weisen laut Behörde auf einen "russischen Ursprung" hin.

Meist ist es schwierig, Angreifer und Hintermänner zu identifizieren. "Cyber-Bedrohungen sind hochkomplex und extrem zielgerichtet", erklärt Bitdefender-Sicherheitsexperte Botezatu. Die Hacker versuchten, keine unerwünschte Aufmerksamkeit auf sich zu lenken.

Weil sie so schwer nachweisbar sind, können die Angriffe einfach bestritten werden. Damit seien sie oftmals effektiver als konventionelle Invasionen, meint Botezatu. Denn letztere könnten als offene Kriegserklärung betrachtet werden "und unvorhersehbare politische und wirtschaftliche Konsequenzen zur Folge haben".

Verwendete Quellen:

Fünf Jahrzehnte US-Politik - Wer ist Joe Biden?

Mit knapp fünf Jahrzehnten in der Politik ist der Bewerber der Demokratischen Partei um den Posten des Präsidenten ein Urgestein der US-Politik: Joe Biden kandidiert nach zwei gescheiterten Versuchen 1988 und 2008 zum dritten Mal für die Präsidentschaft. Wer ist der Herausforderer von Donald Trump?