Berlin Gut ein Jahr nach der Cyber-Attacke auf den Bundestag ist die CDU von Kanzlerin Angela Merkel Ziel eines vermutlich ebenfalls aus Russland gesteuerten Hacker-Angriffs. Aus der CDU-Zentrale in Berlin hieß es am späten Donnerstagabend zu entsprechenden Informationen einer Internet-Sicherheitsfirma: „Der Vorgang ist bekannt. Wir haben unsere IT-Infrastruktur entsprechend angepasst.“
Zu den Hintergründen könne man nichts sagen. Die Unions-Abgeordneten im Bundestag wurden nach Informationen der Deutschen Presse-Agentur am Mittwoch per Sammel-SMS gewarnt. Hinter der Attacke werden wie beim Angriff auf das deutsche Parlament vor gut einem Jahr russische Hacker mit staatlichem Hintergrund vermutet.
Das IT-Netz des Bundestages musste im Sommer 2015 für mehrere Tage abgeschaltet werden, um es nach dem Angriff wieder sicher zu machen. Die Hacker-Gruppe, die für den Angriff auf den Bundestag und vermutlich auch auf die CDU verantwortlich ist, ist unter den Bezeichnungen „Sofacy“ und „APT28“ bekannt. Die Fakten im Detail:
Das ist bekannt: Die Sicherheitsfirma Trend Micro berichtet am 11. Mai in ihrem Internet-Blog, eine Hackergruppe versuche seit April, Computersysteme der CDU anzugreifen. Ziel seien außerdem ranghohe Nutzer der Web-Maildienste Gmx und web.de in Deutschland. Die CDU wird auch von Sicherheitsbehörden vor dem Angriff gewarnt.
Wie greifen die Hacker an? Im Prinzip mit uralten Tricks. Bei der CDU wird laut Trend Micro ein Webmail-Server gespiegelt. Die Nutzer sollen denken, sie würden sich direkt auf der ihnen bekannten CDU-Internetseite anmelden. Dabei geben sie ihre Daten auf einer wohl von Spionen oder Kriminellen betriebenen Seite ein. Der Server, von dem aus die Internet-Seite betrieben wird, steht demnach in Lettland.
Was wollen die Angreifer erreichen: Mit der täuschend echt aussehenden gefakten CDU-Internetseite wollen die Hacker Parteimitglieder dazu verführen, dort Benutzernamen und Passwort einzutragen. Die Daten würden zu den Cyber-Spionen umgeleitet und könnten dann beliebig genutzt werden.
Hackergruppe mit Verbindung zur russischen Regierung
Was könnten die Hacker mit den Infos anfangen? Einerseits könnten sie in den internen Mitgliederbereich der CDU vordringen. Außerdem befürchten Sicherheitsexperten, die Hacker könnten gefälschte, aber unverdächtig aussehende Mails mit den Absendern der CDU-Mitglieder verschicken. Diese Nachrichten könnten wiederum auf mit Schadsoftware verseuchte Internetseiten leiten.
Sind schon Daten an die Hacker abgeflossen? Was den Angriff auf die CDU angeht, ist das unklar, aber eher unwahrscheinlich. Bei der mutmaßlich von der gleichen Hacker-Gruppe gesteuerten Attacke auf den Bundestag sind 2015 aber Daten in großem Umfang abgegriffen worden. Nachdem das IT-System des Bundestages im Sommer vergangenen Jahres neu aufgesetzt wurde, ist dieses Datenloch gestopft, heißt es.
Wer steckt hinter der Attacke? Ganz sicher lässt sich das nicht sagen. Sicherheitskreise gehen seit längerem davon aus, dass hinter dem Cyberangriff auf den Bundestag eine Gruppe steht, die unter den Namen „Sofacy“ oder „APT28“ bekannt ist. Das soll auch für den Angriff auf die CDU gelten.
Wer oder was ist „Sofacy“? In westlichen IT-Sicherheitskreisen wird unter den Bezeichnungen „Sofacy“ oder „APT28“ eine Hacker-Gruppe geführt, bei der sehr stark eine Verbindung zu russischen Regierungsstellen vermutet wird. Handfeste Beweise dafür sind wie fast immer in solchen Fällen schwierig.
Was spricht für eine Verbindung nach Moskau? Es gibt Indizien: Ziele der Attacken waren schon die Nato, Regierungsstellen in Osteuropa oder dem Kaukasus sowie kritische Journalisten in Russland. Das sind attraktive Angriffspunkte für russische Geheimdienstler. Spuren wurden nach Moskau oder St. Petersburg zurückverfolgt. Zeitstempel in der Schadsoftware, die eingesetzt wurde, entsprechen nach diesen Informationen den üblichen Arbeitszeiten im europäischen Teil Russlands. Es gibt außerdem Belege dafür, dass die Autoren Russisch können.
Wofür steht „APT28“? Der zweite Name von „Sofacy“ – „APT28“ – geht auf die Bezeichnung für eines der Angriffsprogramme der Gruppe zurück. Die Abkürzung APT steht für Advanced Persistent Threat (etwa: fortgeschrittene andauernde Bedrohung).
