Behörden sehen Russland hinter Angriff auf Parteien

Der Spionage-Angriff auf die Saar-CDU war Teil einer bundesweiten Aktion. Dahinter soll eine vom russischen Staat gelenkte Gruppe stecken, die vor allem seit Ausbruch der Ukraine-Krise besonders aktiv ist.

Der Cyber-Attacke auf Spitzenpolitiker der saarländischen CDU war keine isolierte Aktion, sondern Teil einer bundesweiten Angriffswelle. In Sicherheitskreisen wird berichtet, dass neben CDU-Politikern aus dem Saarland auch Abgeordnete des Bundestages aus anderen Bundesländern Opfer geworden seien. Die Angreifer haben es demnach auf deutsche Parteien abgesehen. Nach SZ-Informationen gehen die Behörden davon aus, dass die Angreifer in Russland sitzen und vom Staat gesteuert werden.

Die Hintergründe trägt derzeit die Abteilung "Spionageabwehr, Geheim-, Sabotage- und Wirtschaftsschutz" des Bundesamtes für Verfassungsschutz in Köln zusammen. Sie wird auch der Frage nachzugehen haben, ob die Spione Erfolg mit ihren Angriffen hatten, was Experten in einigen Fällen für durchaus möglich halten.

Im Saarland hat sich auch die Polizei eingeschaltet. Die gestern eingesetzte Sonderkommission "Täuschung" aus Experten der Dienststelle "Cyber Crime" ermittelt wegen versuchter Ausspähung von Daten und Computer-Spionage, wie Polizeisprecher Stephan Laßotta sagte. Mehr Informationen wollen die Ermittler nicht preisgeben, im Saar-Innenministerium ist die Rede von einer als geheim eingestuften Verschlusssache.

Bei den Angriffen handelt es sich um sogenanntes "Spear-Phishing". Dabei fälschen die Angreifer eine E-Mail-Adresse einer vertrauenswürdigen Organisation. Im Fall der Saar-CDU war dies eine Absenderadresse, die scheinbar einem Nato-Mitarbeiter gehörte. Mit diesem Absender verschicken die Täter Mails an ausgewählte Adressaten, die dazu gebracht werden sollen, einen Link anzuklicken. Diese Internetseite ist jedoch mit einer Spionage-Software infiziert.

Es ist nicht das erste Mal, dass deutsche Politiker und Parteien angegriffen wurden. Im Mai 2015 wurde das interne Netz des Deutschen Bundestages attackiert, ein Jahr später die Bundesgeschäftsstelle der CDU . Was die ganze Angelegenheit politisch delikat macht, ist die mutmaßliche Urheberschaft der Angriffe.

Sicherheitskreise schreiben die Angriffe der Gruppe "Sofacy" zu, die auch unter der Bezeichnung "APT28" bekannt ist. APT steht für "Advanced Persistent Threat" (fortgeschrittene, andauernde Bedrohung). Die Spionageabwehr-Abteilung im Bundesamt für Verfassungsschutz warnt schon seit längerer Zeit vor der Gruppe, unter anderem in einem Dokument vom 3. März 2016: "Die Angriffskampagne Sofacy/APT 28 ist seit spätestens 2007 aktiv und stellt derzeit wohl eine der aktivsten und aggressivsten Kampagnen im virtuellen Raum dar. Führende IT-Sicherheitsunternehmen gehen bei Sofacy/APT 28 von einer Steuerung durch staatliche Stellen in Russland aus." Dabei soll es sich Medienberichten zufolge um den russischen Inlandsgeheimdienst FSB und den Militärgeheimdienst GRU handeln.

Seit Ausbruch des Konflikts in der Ostukraine haben die Verfassungsschützer "eine deutliche Intensivierung der Aktivitäten der Angreifergruppierung" beobachtet. Es gebe auch Hinweise darauf, dass Angriffe auf Ziele in der Energiebranche vorbereitet würden, heißt es in dem Dokument. Es sei ferner bekannt, dass einige deutsche Forschungsinstitutionen und Unternehmen, vor allem aus dem Bereich Lasertechnologie und Optik, von Sofacy/APT 28 betroffen gewesen seien.