Spionage-Angriff auf CDU-Politiker

Mehrere Politiker der Saar-CDU sollten in eine digitale Falle gelockt werden. Die Ermittler rätseln, wer dahinter steckt. Es gibt offenbar Parallelen zum Angriff auf den Bundestag, den russische Stellen verübt haben sollen.

Manch ein Spitzenpolitiker der saarländischen CDU mag sich gewundert haben, als er am 24. August 2016 seine E-Mails abrief. Im Postfach lag die Mail eines scheinbar vertrauenswürdigen Absenders: eines deutschen Mitarbeiters im Brüsseler Nato-Hauptquartier, Endung: @hq.nato.int. In der Mail war unter anderem ein Link auf eine Internetseite zu finden.

Inzwischen ist klar, dass es sich um einen Cyber-Angriff gehandelt hat und der Link zu einer gefälschten, mit Schadsoftware infizierten Internetseite führte. Nur zwei Tage nach dem ersten Angriff folgte ein zweiter. Nach SZ-Informationen hat sich das Bundesamt für Verfassungsschutz (BfV) eingeschaltet, stuft die gesamte Angelegenheit jedoch als "geheim" ein. Die Kölner Behörde ist für die Spionageabwehr in Deutschland zuständig. Eine BfV-Sprecherin lehnte auf Anfrage der SZ eine Stellungnahme zu dem Fall ab.

Der Generalsekretär der Saar-CDU, Roland Theis , bestätigte den Angriff auf seinen Landesverband. Er sagte: "Man darf sich von so etwas nicht einschüchtern lassen." Die CDU Saar war offenbar der einzige betroffene Landesverband. Die Mail des vermeintlichen Nato-Mitarbeiters ging nicht an alle Parteimitglieder, die über eine E-Mail-Adresse mit der Endung @cdu-saar.de verfügen, sondern nur an ausgewählte Führungskräfte. Diese Methode nennt sich "Spear-Phishing". Nach Angaben des auf Cybersicherheit spezialisierten Unternehmens Kaspersky Lab stecken hinter solchen Angriffen häufig von ausländischen Regierungen bezahlte Hacker. Ihr Ziel ist es, vertrauliche Informationen zu stehlen. Kanzleramtschef und CDU-Landesvize Peter Altmaier , der als enger Mitarbeiter der Kanzlerin für ausländische Geheimdienste vermutlich das attraktivste Spionageziel der Saar-CDU wäre, soll im vorliegenden Fall nicht betroffen gewesen sein.

In Sicherheitskreisen wurde die Vermutung geäußert, dass es sich im Fall der CDU um den gleichen Cyber-Angreifer handelt wie bei der Attacke auf den Deutschen Bundestag Mitte Mai 2015. Damals lokalisierten die Verfassungsschützer den Ursprung bei einer staatlichen Stelle in Russland. Die Angriffsmethode war beim Bundestag die gleiche wie jetzt bei der CDU . Einziger Unterschied: Als Tarnung wurde damals nicht die Nato , sondern die Uno genutzt, wie WDR, NDR und "Süddeutsche Zeitung" berichteten. Die Betreffzeile damals bezog sich auf den Ukraine/Russland-Konflikt; diesmal lautete der Betreff "FYI Earth Quake" ("zu Ihrer Kenntnis Erdbeben"). Wobei sich die Frage stellt, warum ein Nato-Mitarbeiter eine E-Mail über ein Erdbeben verschicken sollte. Zumal der angegebene Link zu der englischsprachigen Seite in der Mail an die CDU-Leute nicht gerade vertrauenserweckend gewesen sein soll.

Den Angriff auf den Deutschen Bundestag im Jahr 2015 bewerten die Sicherheitsbehörden als "schwerwiegend". Im Verfassungsschutzbericht 2015 heißt es: "Die bei den Analysen festgestellten technischen Parameter deuten darauf hin, dass der ‚Elektronische Angriff‘ auf den Bundestag Teil einer APT-Angriffskampagne ist - eine der aktivsten und gefährlichsten im Cyberraum. (…) Die Ermittlungen lassen auf eine Steuerung durch russische staatliche Stellen schließen. Dies ergibt sich unter anderem aus der Analyse der Angriffsinfrastruktur und der eingesetzten Schadsoftware."

Im Mai 2016 wurde übrigens auch die Bundesgeschäftsstelle der CDU in Berlin angegriffen. Die Verfassungsschützer sind sich relativ sicher, dass die Verursacher die gleichen waren wie beim Bundestag. Und damit vielleicht auch die gleichen wie jetzt bei der Saar-CDU.

Mehr von Saarbrücker Zeitung