Was ist passiert?
Heinrich Krammer schien aufklären zu wollen. Leute wie er schreiben Parteien, Abgeordneten und deren Mitarbeitern häufig. Ihre Mails beinhalten Hintergrundinformationen von unterschiedlichen Institutionen und Lobby-Gruppen. Krammer meldete sich in diesem Fall im Namen der Nato und unter der E-Mail-Endung hq.nato.int. Es ging ihm um das Erdbeben in Italien und den Militärputsch in der Türkei. Informationen, die wichtig sein könnten, seien unter einem Link zu finden.
Doch Heinrich Krammer ist frei erfunden. Seine E-Mail, so berichten Süddeutsche Zeitung, NDR und WDR, ist Teil einer Spear-Phishing-Attacke: Ein Angreifer studiert sein Ziel, er lernt, welche Inhalte es als vertrauenswürdig ansieht, sendet eine Falle in Mail-Form. Klickt das Opfer auf den Link, installiert sich eine Malware auf seinem Computer. Genau so ein Angriff passierte vergangenes Jahr im Bundestag und genau so ein Angriff hatte im August 2016 zahlreiche deutsche Parteien zum Ziel.
Erst im September fiel die Attacke auf und das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte die Fraktionen. Betroffen waren unter anderem die Bundesgeschäftsstelle der Linken, die Junge Union und (schon länger bekannt) die CDU im Saarland. Apt28 soll verantwortlich sein, die selbe Gruppe, die schon den Bundestag hackte, das Democratic National Committee (DNC) und die Anti-Doping-Agentur WADA. Ihr Operationsraum: Russland.
Angriff auf die US-Demokraten
Am 13. Juni 2016 meldete das DNC, die oberste Organisation der US-Demokraten, einen Angriff auf das hauseigene Computernetzwerk. Zuerst war von russischen Kriminellen die Rede, dann bekannte sich ein Hacker zur Tat – Guccifer 2.0.
Wenige Wochen später, am 22. Juli 2016, veröffentlichte die Enthüllungsplattform WikiLeaks knapp 20.000 Emails aus dem DNC. Die darin enthaltenen Korrespondenzen zwischen sieben Mitarbeitern der Organisation und Medien, Geldgebern sowie Kollegen führten zu mehreren Skandalen und Rücktritten. Neben Details zur Beschaffung von Spendengeldern offenbarten die Dokumente, dass die Parteiführung gezielt die Wahlkampagne von US-Präsidentschaftskandidat Bernie Sanders zugunsten Hillary Clintons untergrub.
Die Enthüllungen führten dazu, dass die DNC-Vorsitzende Debbie Wasserman Schultz von ihrem Amt zurücktrat. Ihr folgten kurz darauf Geschäftsführerin Amy Dacey, Finanzchef Brad Marshall und Kommunikationschef Luis Miranda. Auch eine Datenbank mit Informationen zum republikanischen Präsidentschaftsbewerber Donald Trump wurde bei dem Angriff kompromittiert.
+++ Mehr zum Thema: Was dem deutschen Staat fehlt, um sich gegen Hacker zu verteidigen +++
Parallel zu den Enthüllungen auf WikiLeaks veröffentlichte die bis dato unbekannte Website DC Leaks eine Datenbank mit gestohlenen Informationen. Darunter persönliche E-Mails und Dokumente von hochrangigen Politikern, sowohl Demokraten als auch Republikaner, sowie von Militär-Angestellten und Investoren.
Für besonders großes Aufsehen sorgten interne Dokumente des Multimilliardärs und Clinton-Unterstützers George Soros. Aus diesen ging hervor, dass der US-Investor im Jahr 2014 mehrere griechische Medien dafür bezahlt hatte, falsche Berichte über die Maidan-Proteste in der Ukraine zu verbreiten. Soros hatte zu diesem Zeitpunkt eine beträchtliche Summe in ukrainische Staatsanleihen investiert.
Es folgten zahlreiche weitere Enthüllungen privater Unterlagen, unter anderem von DNC-Mitarbeiter William Rinehart, dem ehemaligen Nato-General Philip Breedlove und der für die Demokraten tätigen PR-Beraterin Sarah Hamilton.
Jüngstes Opfer von DC Leaks: der ehemalige US-Außenminister Colin Powell. In einer im August veröffentlichten Sammlung von E-Mails äußert sich der Republikaner vernichtend über Hillary Clinton und Donald Trump. Letzteren bezeichnet er als „nationale Schande und einen international Geächteten“. Clinton hingegen hält er vor, überheblich zu sein und damit „alles, was sie anfasst, zu vermasseln“.
Wer steckt hinter DC Leaks?
DC Leaks selbst gibt an, von einer Gruppe amerikanischer „Hacktivisten“ betrieben zu werden, die für Meinungsfreiheit und Menschenrechte eintritt. Das proklamierte Ziel: E-Mails hochrangiger Einflussnehmer aus der ganzen Welt analysieren und veröffentlichen.
Untersuchungen des Cybersecurity-Unternehmens ThreatConnect konnten allerdings direkte Verbindungen zum Hackerkollektiv Fancy Bears ausmachen, die enge Beziehungen zum russischen Militärgeheimdienst GRU pflegt und unter anderem für den Hack der Anti-Doping-Agentur WADA im Vorfeld der Olympischen Spiele 2016 verantwortlich war.
Einige der eingesetzten Phishing-E-Mails konnten demnach zu einem von Fancy Bears benutzten E-Mail-Konto zurückverfolgt werden. Darüber hinaus wurde die Registrierung der DC-Leaks-Domain über einen rumänischen Server vorgenommen, der zuvor schon für andere Operationen von Fancy Bears zum Einsatz kam. Auch auf den bekennenden des DNC-Hacker Guccifer 2.0 stießen die Sicherheitsexperten bei der Untersuchung von DC Leaks.
Wer ist Guccifer 2.0?
Während WikiLeaks die Quelle für die veröffentlichten DNC-E-Mails verschweigt, hat sich Guccifer 2.0 zum Angriff auf das Democratic National Committee und zur Herausgabe der Mails bekannt. Der Hacker betreibt einen Twitter-Account und ein Blog, über die er bis heute gestohlene Dokumente verbreitet. Erst in dieser Woche veröffentlichte er unter anderem die Handynummer von Vize-Präsidentschaftskandidat Tim Kaine.
Das Pseudonym Guccifer 2.0 ist offenkundig eine Anlehnung an den rumänischen Hacker Marcel Lazăr Lehel. Der hat 2013 unter dem Codenamen Guccifer unter anderem private Daten von Bill und Hillary Clinton sowie George W. Bush veröffentlicht und wurde in den USA jüngst zu 52 Monaten Haft verurteilt.
Auch Guccifer 2.0 gibt sich als Rumäne aus. In einem Chat mit Motherboard reagierte er auf die Aufforderung, etwas auf Rumänisch zu schreiben, allerdings unbeholfen. Sicherheitsexperten vermuten laut der US-Tageszeitung The Hill, dass er für die vorgebrachten Sätze ein Übersetzungsprogramm genutzt hat und es sich bei dem Hacker um ein vom russischen Geheimdienst geschaffenes Ablenkungsmanöver handelt. Auf diesem Wege wolle das Land seine Beteiligung an den Hackerangriffen verschleiern.
Wie ThreatConnect berichtet, behauptete Guccifer 2.0 bei dem Versuch, der Washington Post interne E-Mails aus dem Umfeld von Hillary Clinton zuzuspielen, in direkter Verbindung mit DC Leaks zu stehen. Gegenüber der International Business Times erklärte der Hacker wiederum, dass er zwar mit DC Leaks kooperiere, der Gruppe jedoch nicht angehöre und eigene Ziele verfolge. Guccifer 2.0 beteuerte wiederholt, kein Russe und der russischen Sprache nicht mächtig zu sein. Auswertungen von ThreatConnect zeigen allerdings, dass von dem Hacker verschickte E-Mails über einen russischsprachigen VPN-Server versandt wurden.
Welches Ziel verfolgen die Hacker?
Über die Motive der Angreifer herrscht Uneinigkeit. Sah es zu Beginn so aus, als würden sich die Angriffe gezielt gegen die Demokraten richten, brachten die darauffolgenden Enthüllungen aus den unterschiedlichsten politischen Lagern Theorien über eine gezielte Manipulation des US-Wahlkampfes zugunsten des Republikaners Donald Trump ins Wanken.
ThreatConnect vermutet hinter den Angriffen einen russische Beeinflussungsversuch ohne konkret erkennbares Ziel. So könne das Land etwa im Sinn haben, die öffentliche Meinung und Medienberichterstattungen zu seinem Vorteil lenken. Es kursieren allerdings auch andere Theorien: Der ehemalige NSA-Mitarbeiter William Binney etwa hält es für viel wahrscheinlicher, dass ein „frustrierter, ehemaliger US-Geheimdienstler“ hinter den Angriffen steckt als ein von Russland gesponsertes Hackerteam.
Wie reagiert Russland auf die Vorwürfe?
Die russische Regierung dementiert jegliche Beteiligung an den Hackerangriffen, sowohl auf Deutschland als auch auf die USA. Pressesprecher Dmitri Peskov bezeichnete die Vorwürfe als „paranoid“ und „absurd“. Die russische Botschaft in Washington stufte eine Beteiligung Russlands an den Angriffen auf das DNC ebenfalls als „vollkommen unrealistisch“ ein. WikiLeaks-Gründer Julian Assange erklärte, dass es keine Beweise dafür gebe, dass die auf seiner Website veröffentlichten Daten aus russischen Quellen stammten.
Offizielle Schuldzuweisungen seitens der USA in Richtung Russland hat es indes noch nicht gegeben, US-Präsident Barack Obama schließt eine Beteiligung des Landes an den Cyberangriffen allerdings nicht aus. Das FBI hat der International Business Times zufolge seine Ermittlungen in dieser Richtung ausgeweitet. Aktuell untersucht die Bundesbehörde eine mögliche Einflussnahme der Hacker auf den Wahlprozess, weil man Hackerangriffe auf Wahlsysteme zweier US-Bundesstaaten ausgemacht hat.
Welche Konsequenzen haben die Angriffe?
Momentan sorgt die steigende Frequenz der Hackerangriffe und Enthüllungen in den USA vor allem für Nervosität. Besonders die Republikaner fürchten einen ähnlichen Eklat, wie ihn die Demokraten bereits erlebt haben. Ferner wächst die Sorge um eine gezielte Manipulation der Präsidentschaftswahlen.
Doch nicht nur Politiker sind in Alarmbereitschaft: Gegenüber der New York Times äußerten sich mehrere Politiker besorgt über die Sicherheit ihrer persönlichen Informationen. Der ehemalige Sprecher des Nationalen Sicherheitsrates Tommy Vietor sagte, dass er sich gar nicht ausmalen mag, was man alles in seinen früheren E-Mails finden könne. Der Umgangston im Weißen Haus sei bisweilen „sehr rau“ gewesen.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
Ein Nachrichtensprecher, der laut der New York Times aus Angst vor Hackerangriffen anonym bleiben wollte, hat nach der Attacke gegen Colin Powell eigenen Angaben zufolge eine ganze Nacht damit verbracht, seine E-Mails zu durchforsten und im Anschluss seinen kompletten Account zu löschen. Viele hochrangige Wirtschaftsvertreter und Politiker verzichten bereits ganz auf das Schreiben von E-Mails, große Unternehmen engagieren Firmen, die Daten verschlüsseln. Ein Trend, der schon seit dem großen Sony-Hack 2014 um sich greift und jetzt noch verstärkt werden dürfte.
Wie will sich die US-Regierung künftig schützen?
Präsident Obama hat als Reaktion auf die Hackerangriffe schon im Juli eine Direktive angekündigt, mit der die USA effektiver gegen Bedrohungen aus dem Netz vorgehen wollen. Sie regelt die Zusammenarbeit der verschiedenen Bundesbehörden im Falle einer Hackerattacke und wurde zwei Jahre lang vorbereitet. Die Amerikaner setzen dabei auf ein sechsstufiges Bewertungssystem zur Einstufung der Schwere des Angriffs.
Welche Gefahr droht Deutschland?
Die Berichte der Süddeutschen Zeitung und ihrer Partner zeigen die erste Stufe einer neuen Manipulationsmethode nach dem Vorbild des DNC-Hacks – die Informationsbeschaffung. Laut SZ befindet sich die E-Mail mit der gefährlichen Software derzeit noch auf mehreren Parlamentsrechnern. Wie viel Informationen abgeflossen sind, und ob die Beute wertvoll war, lässt sich erst sagen, wenn die Datenpakete wieder auftauchen, genau wie es beim DNC der Fall war. Nach dem bisherigen Verhalten der Fancy Bears lässt sich aber durchaus vermuten, dass die Informationen, sollten sie denn wertvoll sein, auch geleakt werden.
In den USA hat das auf der politischen Bühne für einige Unordnung gesorgt – auch in Deutschland könnte es den Bundestagswahlkampf im kommenden Jahr maßgeblich beeinflussen. Weiterer Vertrauensverlust würde etwa Kräfte wie die AfD stärken, die nicht wenige in Moskau gern im Parlament sehen würden. Ähnlich wie bei DNC und WADA ist der Hack längst zum ersten Schritt einer neuen Art von informationeller Kriegsführung geworden.
