Ausländische Hacker sind in das bislang als sicher geltende Datennetzwerk der deutschen Regierungsbehörden eingedrungen, und sie haben Daten gestohlen. Laut Medienberichten sind das Aussen- und das Verteidigungsministerium von den Cyberattacken betroffen. Deutschen Sicherheitskreisen zufolge führen die Spuren der Hackerangriffe nach Russland. Unter Verdacht steht wieder einmal die Hackergruppe APT 28, auch bekannt unter den Namen Fancy Bear oder Sofacy.

IT-Experten und Nachrichtendienste machen APT 28 für verschiedene Hackerattacken der letzten Jahre verantwortlich. Dazu zählen die Cyberangriffe auf das Computersystem des deutschen Bundestages im vorletzten Jahr sowie auf das Netzwerk der Demokratischen Partei in den USA im Jahr der Präsidentschaftswahlen.

Bei der Cyberangriffskampagne APT 28 handelt es sich «um eine langjährige, international angelegte Angriffsoperation mit Opfern weltweit, deren Beginn mindestens bis ins Jahr 2004 zurückgeht». Dies schreibt das deutsche Bundesamt für Verfassungsschutz (BFV) in einer im letzten Sommer veröffentlichten Einschätzung. Wie andere Nachrichtendienste geht das BFV davon aus, dass die Attacken von APT 28 durch russische staatliche Stellen gesteuert werden.

Verbindungen zu russischem Militärgeheimdienst

Für diese Annahme spricht die «Opferauswahl» beziehungsweise das dahinterstehende Aufklärungsinteresse. Ziele von Cyberangriffen waren und sind westliche Verteidigungs- und Aussenministerien sowie Institutionen von Nato und OSZE. Auch technische Parameter, etwa Spracheinstellungen und die Zeiten des Zugriffs auf Opfersysteme, sowie die für die Angriffe verwendeten Server weisen auf einen russischen Ursprung hin. «Weltweit werden bei Angriffen dieser Cyberspionagekampagne immer wieder dieselben Serverinfrastrukturen und Schadsoftwarekomponenten verwendet», schreibt das BFV. «Diese stellen das Standardwerkzeug von APT 28 dar.»

Die Abkürzung APT steht für Advanced Persistent Threat. Zu Deutsch: fortgeschrittene andauernde Bedrohung. Gemäss einem Bericht des estnischen Geheimdienstes gibt es zwei sogenannte APT-Hackergruppen: APT 28 und APT 29. APT 29 hat Verbindungen zu FSB und SVR, dem Inland- und dem Auslandgeheimdienst Russlands. Dagegen ist APT 28 mit dem russischen Militärgeheimdienst GRU verbunden.

Handfeste Beweise, dass es sich bei APT 28 um eine vom russischen Staat gelenkte Hackergruppe handelt, liegen kaum vor. Es gibt aber gewichtige Indizien dafür – und Einschätzungen von Experten. Benjamin Read, Leiter des Cyberspionage-Analyseteams bei der US-Sicherheitsfirma Fireeye, geht davon aus, dass die Hackergruppe APT 28 hinter den jüngsten Cyberangriffen auf das Netz der deutschen Regierung steht.

Der Hackerangriff auf das Datennetzwerk der deutschen Regierung hat nach Informationen der Deutschen Presse-Agentur mindestens bis Mittwoch angedauert. Sicherheitsbehörden hätten die Angreifer dabei jedoch beobachtet, um Informationen über Ziele und Herkunft der Attacke zu erfahren, heisst es aus Sicherheitskreisen.

Verdächtige Mails «bei diversen EU-Regierungen entdeckt»

Die Cyberattacke auf deutsche Regierungsstellen könnte Teil eines grösseren organisierten Spionageangriffs auf EU-Staaten sein. «Wir beobachten seit einigen Monaten, dass APT 28 gezielt Aussen- und Verteidigungsministerien in der Europäischen Union angreift und versucht, sich Zugang zu geschützten Systemen zu verschaffen», sagte Read der deutschen Zeitung «Die Welt».

Die Erkenntnis habe sein Team aus sogenannten Spearphishing-Mails gewonnen, «die unsere Sicherheitssysteme in den letzten Monaten bei diversen EU-Regierungen entdeckt haben». Bei Spearphishing-Mails handelt es sich um eine ausgefeiltere Spielart von Phishing-Angriffen.

Die Forscher der Firma Fireeye ordnen die Hackergruppe APT 28 dem russischen Staat zu. APT 28 sei eindeutig keine gewöhnliche Gruppe krimineller Hacker, der es um Geld gehe. «Die Ziele, die verwendeten Methoden, das jahrelange Durchhaltevermögen», so Read, «das sind allesamt klare Indizien für das Mitwirken staatlicher Behörden sowie die Finanzierung durch einen Staat.» Read gehörte zu Forschern, die 2014 erstmals auf die Gruppe ATP 28 aufmerksam gemacht hatten. Seitdem beschäftigt er sich fast ausschliesslich mit der Abwehr und Erforschung der russischen Staatshacker. Fireeye installiert bei ihren Kunden Hardware-Filtersysteme, die sämtliche Mails vor der Zustellung auf Anhänge mit Schadsoftware oder bösartige Links prüfen.