Es ist ein Angriff, dessen Folgen wir noch gar nicht einschätzen können: Cyberkriminellen soll es gelungen sein, das als besonders sicher geltende Datennetzwerk des Bundes geknackt und bis zu einem Jahr ausgehorcht zu haben. Der Name der Gruppe: APT28. Doch wer steckt dahinter?
Das Hacker-Kollektiv ist in der Szene schon lange berüchtigt. Die Abkürzung steht für "Advanced Persistant Threat", ein Begriff der IT-Sicherheit, der sich am besten mit "Fortgeschrittene und anhaltende Bedrohung" übersetzen lässt. Den Namen erhielten die Hacker von den Sicherheitsexperten von FireEye, einem US-Unternehmen für Netzwerksicherheit. APT28 wird auch als "Fancy Bear" oder "Sofacy Group" bezeichnet. Wer genau dahinter steckt, ist nicht offiziell bekannt. Die deutschen Geheimdienste sind aber sicher: Gesteuert wird die Gruppe von den russischen Geheimdiensten GRU und FSB. Auch unter anderen Sicherheitsexperten ist das weitgehend Konsens, klare Beweise fehlen aber bislang.
+++ Lesen Sie hier: Deutschlands digitale Krieger - Zu Besuch beim Cyberkommando der Bundeswehr +++
Hochrangige Ziele
Die Hacker haben schon einiges auf dem Kerbholz. Ihnen wird etwa der Angriff auf den Bundestag 2015 zugeschrieben, sie attackierten europäische Rüstungskonzerne, Webprovider und Energieunternehmen. Auch der Hacker Guccifer 2.0, der vor der Wahl die Server der US-Demokraten infiltrierte, wird der Gruppe zugerechnet, weil er bekannte Teile ihrer Software benutzte. Die Wahlkampfteams von Angela Merkel und Emanuel Macron sollen in den letzten Jahren ebenfalls ins Visier genommen worden sein, scheinbar aber ohne Erfolg.
In ihrem Vorgehen gleicht APT28 anderen, fortgeschrittenen Hacker-Gruppen: Sie suchen oder kaufen bis dahin unbekannte Lücken in Betriebssystem und Programmen, dann wird versucht, über Phishing-Mails Zugriff auf die Systeme zu bekommen. Die Software wird in der Regel passgenau auf die Ziele zurechtgeschnitten. Experten sind sich anhand der Zielauswahl sicher, dass es sich um eine staatlich gesteuerte Gruppe handelt, der Fokus auf West- und vor allem Osteuropa legt eine russische Beteiligung nahe.
Die Deutsche Regierung wollte sich mit dem Daten-Netzwerk "Informationsverbund Berlin-Bonn" (IVBB) gezielt vor solchen Angriffen schützen. Es wurde eigens eingerichtet, um die geheime Kommunikation der Behörden sicher abzuschirmen. Dass die Hacker nun genau dieses Netzwerk infiltrieren und womöglich monatelang Zugriff auf geheimste Daten hatten, bezeichnete ein Sicherheitsexperte nach Angaben der "Deutschen Presse Agentur" als "Super-Gau".
