Attacke auf SPD: Wie sind wir vor Cyberangriffen geschützt?

    FAQ

    Nach Hackerattacke auf SPD:Wie sind wir vor Cyberangriffen geschützt?

    von Oliver Klein und Jan Schneider
    |

    Hinter der Hackerattacke auf die SPD steckt wohl Russland. Der Fall zeigt: Deutsche Parteien sind kaum gegen solche Angriffe geschützt. ZDFheute klärt die wichtigsten Fragen.

    Nach Cyber-Angriff - russischer Geschäftsträger einbestellt
    Anfang 2023 waren E-Mail-Konten der SPD Ziel einer Cyber-Attacke. Die Bundesregierung macht staatliche russische Hacker dafür verantwortlich – und bestellt einen Diplomaten ein.03.05.2024 | 2:53 min
    Bundesaußenministerin Annalena Baerbock (Grüne) wurde deutlich: "Staatliche russische Hacker haben Deutschland im Cyberraum angegriffen. Das ist völlig inakzeptabel und wird nicht ohne Konsequenzen bleiben." Einmal mehr ist Deutschland Opfer eines Hackerangriffs geworden. Diesmal traf es die SPD, Email-Postfächer des Parteivorstandes wurden gehackt. Der Fall passierte bereits im vergangenen Jahr, heute wurde bekannt, dass wohl Russland dahintersteckt. Auch wenn Moskau das bereits offiziell dementiert hat.
    Was wissen wir zu dem Fall? Wer steckt hinter der russischen Hackergruppe und wie kamen die Ermittler ihr auf die Spur? Und wie schützt sich Deutschland vor solchen Attacken? ZDFheute beantwortet die wichtigsten Fragen.

    Was ist zum aktuellen Angriff auf die SPD bekannt?

    Die Bundesregierung macht eine Einheit des russischen Militärgeheimdienstes GRU für den Cyberangriff verantwortlich, genauer gesagt, die Gruppe APT28. Die Attacke war durch eine bis dahin noch unbekannte Sicherheitslücke beim Softwarekonzern Microsoft möglich geworden, hieß es von der SPD - und: "Es ist nicht auszuschließen, dass es zu einem Abfluss von Daten aus vereinzelten E-Mail-Postfächern kam."
    Programmierungssprache
    Innenministerin Faeser hat heute ein neues IT-Lagezentrum in Bonn eröffnet. Es soll kritische Infrastruktur besser vor Cyberattacken schützen. Spezialisten behalten die Sicherheitslage hier rund um die Uhr im Blick.06.02.2024 | 1:47 min
    Der Angriff war nach ZDF-Informationen Teil einer Kampagne gegen strategisch entscheidende politische und wirtschaftliche Stellen weltweit, die sich gegen Regierungsstellen, aber auch gegen Unternehmen für Energieversorgung, Logistik, IT-Service, Rüstung, Luft- und Raumfahrt in vielen europäischen Staaten richtete. Fokus der Kampagne war offenbar herauszufinden, wie sich führende westliche Akteure gegenüber dem russischen Angriffskrieg gegen die Ukraine positionieren.

    Welche Konsequenzen hat die Attacke?

    Das Auswärtige Amt hat mittlerweile den russischen Geschäftsträger einbestellt. Dieser habe bei dem Treffen die "Anschuldigungen einer Beteiligung staatlicher russischer Strukturen in der fraglichen Angelegenheit" zurückgewiesen, erklärte die russische Vertretung in Deutschland im Onlinedienst Telegram. Welche weiteren Konsequenzen der Fall hat, ist noch unklar. In ähnlichen Fällen hat es früher schon Sanktionen der Europäischen Union gegen Einzelpersonen oder Einrichtungen gegeben. Denkbar sind auch Reiseverbote oder das Einfrieren von Vermögenswerten.
    Bildcollage: Wladimir Putin (rechts im Bild), Satellit im Weltall (links im Bild)
    Tausende interne Unterlagen des russischen IT-Unternehmens NTC Vulkan geben erstmals einen Einblick in Putins digitale Cyberkriegspläne. 11.04.2023 | 28:06 min

    Welche großen Angriffe gab es zuvor?

    Die Gruppierung APT28 ist nach Angaben des deutschen Verfassungsschutzes seit mindestens 2004 weltweit vor allem im Bereich Cyberspionage aktiv. Sie habe in der Vergangenheit auch Desinformations- und Propagandakampagnen im Cyberraum geführt und zähle "zu den aktivsten und gefährlichsten Cyberakteuren weltweit". Das Bundesamt für Verfassungsschutz rechnet APT28 eindeutig dem Militärnachrichtendienst Russlands (GRU) zu.
    Die Gruppe, die auch unter dem Namen "Fancy Bear" firmiert, wurde 2015 schon für eine große Cyberattacke auf den Bundestag verantwortlich gemacht und später in den USA für eine Attacke auf die Demokratische Partei vor der Präsidentschaftswahl 2017. Im selben Jahr gab es einen größeren Datendiebstahl bei der Präsidentschaftskampagne von Emmanuel Macron.

    Russlands Cyberkrieg
    :Ein Elite-Hacker will die Welt manipulieren

    Serebriakov ist Chef von Sandworm, einer der gefährlichsten Hacker-Gruppen. Frontal liegt seine Masterarbeit vor; darin erklärt er, wie Gesellschaften manipuliert werden können.
    von Carina Huppertz und Hakan Tanriverdi
    Codetext eines Programms
    mit Video

    Wie kann man die Angriffe bestimmten Gruppen zuordnen?

    Bei der digitalen Forensik- und Ermittlungsarbeit gehen die Ermittler ähnlich vor wie bei der Aufklärung anderer Straftaten. Es werden Spuren gesucht und gesichert, Muster analysiert und so die unterschiedlichen Puzzleteile einer Tat zusammengeführt. Das können Worte einer ausländischen Sprache im Quellcode der Schadsoftware sein oder die Tastatureinstellung der Angreifer. Auch der Zeitpunkt der Angriffe kann Rückschlüsse auf die Angreifer möglich machen.
    Das Problem dabei: Gerade Geheimdienste - zum Beispiel die CIA - haben extra Programme, die ihre Aktionen aussehen lassen, als seien sie von anderen Tätern verübt worden, womit die eindeutige Zuordnung erschwert wird. Und auch die Beweisführung birgt ein Problem: Würde das Auswärtige Amt veröffentlichen, was es über die Angreifer weiß, wissen diese, wie und warum sie aufgeflogen sind. Solange das Amt aber keine Beweise veröffentlicht, bleiben immer Restzweifel, ob wirklich die besagte Gruppe hinter der Attacke steckt.
    Gerhard Conrad zugeschaltet via Zoom
    Seit Beginn des russischen Angriffskrieges sei auch Deutschland ein Hauptziel russischer Militärspionage, sagt Geheimdienstexperte Gerhard Conrad.18.04.2024 | 8:32 min

    Welche großen Hackergruppen sind bekannt?

    Ermittlungsbehörden und Cybersicherheitsfirmen sind zahlreiche Hackergruppen bekannt. Teilweise hat eine einzige Gruppe dazu noch viele verschiedene Spitznamen: Eine Gruppe, die Microsoft "Midnight Blizzard" nennt und die mutßmaßlich für den Kreml arbeitet, ist unter anderem auch als "Cozy Bear", "CozyCar", "CozyDuke", "The Dukes" oder "Office Monkeys" bekannt.
    Unter anderem diese Hackergruppen sind auch noch bekannt:






    Cozy Bear
    :Kreml-Hackerangriff auf deutsche Politiker

    Russische Hacker der Gruppe "Cozy Bear" haben versucht, deutsche Politiker auszuspionieren. Die Hacker gaben sich als Organisatoren einer CDU-Veranstaltung aus.
    von Hannes Munzinger, Julia Klaus
    Russland, Moskau: Der zugefrorene Moskwa-Fluss und der Kreml sind während des Sonnenuntergangs zu sehen.
    mit Video

    Wie schützen sich deutsche Parteien?

    "Das Gesamtbild sieht leider immer noch sehr desolat aus", meint der Cybersicherheits-Experte Manuel Atug auf Anfrage von ZDFheute. Gerade in den deutschen Parteien sei kein wirkliches Bewusstsein für das Thema vorhanden. Keine Partei habe nach seinem Kenntnisstand einen hauptamtlichen IT-Sicherheitsbeauftragten. Deswegen sei es auch nicht überraschend, dass es den aktuellen Hack bei der SPD gegeben hat. Auch die Grünen und die FDP aber auch die CDU waren schon betroffen:

    Es gibt zwei Arten von Parteien: Die, die gehackt wurden, und die, die noch nicht wissen, dass sie gehackt wurden.

    Manuel Atug, Cybersicherheits-Experte

    Das habe verschiedene Ursachen, für die Atug wenig Verständnis hat. So seien Parteien etwa vom Datenschutz ausgenommen, müssen sich also nicht an die DSGVO halten. Auch dürfe das Bundesamt für Sicherheit in der Informationstechnik (BSI) sie nur auf Anfrage beraten und unterstützen. Eine Hilfe, die nach Atugs Wissen selten beansprucht wird. Verpflichtende Cybersicherheitsvorgaben für Parteien gibt es auch anderweitig keine.
    Nancy Faeser gibt Statement vor Presse
    In Bayern wurden zwei Männer wegen Spionage festgenommen. Spätestens seit Beginn des russischen Angriffskrieges sei man auf solche Fälle vorbereitet, sagt Innenministerin Faeser.18.04.2024 | 0:52 min
    Gleichzeitig seien es oft genau die Parteien, die nach weitreichender Überwachungstechnik wie der IP-Vorratsspeicherung und Nutzung von Palantir als Totalüberwachung rufen oder Sicherheitslücken für die deutschen Geheimdienste offen halten wollen. "Der Cyberraum wird im Politischen leider sehr populistisch genutzt, aber es passiert sehr wenig an echter Absicherung", ist Atugs ernüchterndes Fazit auch nach diesem neuen Hackerangriff.
    Quelle: Mit Material von dpa

    Mehr zu Hackerangriffen