Was sich als Warnung des Providers tarnte, war eine Phishing­attacke – ein Versuch, über einen falschen Link Passwörter zu stehlen. In diesem Fall ging es schief, denn ganz unerwartet kam der Angriff nicht: Christo Grozev ist Internetexperte und arbeitet für das Recherchenetzwerk Bellingcat, das den ­Abschuss des malaysischen ­Pas­sagierflugzeugs mit der Flugnummer MH 17 über der Ukraine durch eine russische ­Rakete aufklärte und das die Identität jener russischen Spione aufdeckte, die das Giftattentat auf den Überläufer Sergei Skripal in Grossbritannien verübt hatten.

Menschliche Schwächen

In den vergangenen Wochen arbeitete Grozev mit Tamedia an einer detaillierten Beschreibung, wie und wo sich einer der drei Skripal-Attentäter in den Monaten zuvor in der Schweiz bewegt hatte. Der Versuch, an sein Passwort zu kommen, folgte kurz danach. Ein Zusammenhang ist wahrscheinlich.

Die Firma Protonmail bietet einen sicheren Mailverkehr durch mehrfache Verschlüsselung an. Für den aktuellen Versuch, an das Passwort eines Kunden zu kommen, bastelten die Angreifer eine Oberfläche, die dem Auftritt von Protonmail täuschend ähnlich sah. Die Sicherheit des Systems sei dadurch jedoch nicht gefährdet worden, sagt Protonmail-Gründer und CEO Andy Yen: Weil die Angreifer nicht ins System hätten eindringen können, habe ihr Angriff auf Kunden gezielt, «um menschliche Schwächen auszunützen».

Protonmail untersuchte in den vergangenen 24 Stunden die falsche Seite und kam zum Schluss, dass die Angreifer technisch versiert sein mussten und viel Geld und Zeit in ihre Attacke investierten. Bellingcat vermutet, dass dahinter die russische Hackergruppe APT28 steht, die im Westen auch als «Fancy Bear» bekannt ist. Sie soll dem Militärgeheimdienst GRU unterstehen. «Unsere internen Ermittler und unabhängige Analytiker fanden Hinweise, dass die Attacke von Russland ausging», sagt Andy Yen: «Wir können andere Akteure aber nicht ausschliessen.»

Die GRU verübte in den vergangenen Jahren immer wieder Hackerangriffe in der Schweiz, unter anderem auf den Weltfussballverband Fifa und auf Delegierte der Anti-Doping-Agentur Wada.

Da Protonmail eine Schweizer Firma ist, wurden die Bundeskriminalpolizei Fedpol und die Melde- und Analysestelle Informationssicherheit (Melani) des Bundesrates informiert. Die Schweizer Behörden verweigern jegliche Auskunft zu dem Fall.

Bellingcat hatte kurz nach dem Giftanschlag auf Sergei Skripal die wahre Identität der GRU-Agenten enthüllt, die mutmasslich das Nervengift Nowitschok an Skripals Haustür anbrachten. In diesem Jahr konnte dann der dritte GRU-Mann identifiziert werden, der vermutlich den Anschlag koordiniert oder überwacht hatte. Sein echter Name lautet Denis Sergejew, er reiste allerdings stets unter seinem Tarnnamen Sergei Fedotow.

In den Monaten vor dem Anschlag auf Skripal hielt sich Sergejew alias Fedotow mehrmals in der Schweiz auf. Da Bellingcat Zugriff auf die Daten seines Mobiltelefons hatte, war es gemeinsam mit dem Recherchedesk von Tamedia möglich, die Aufenthaltsorte und -zeiten des GRU-Offiziers in der Schweiz exakt zu bestimmen. Der Artikel erschien in dieser Zeitung und auf der Website von Bellingcat am 6. Juli. Zwei Wochen später begannen die Phishingversuche via Protonmail.