Das nationale Attribuierungsverfahren der Bundesregierung zur Angriffskampagne vom Januar 2023, bei dem u.a. die SPD-Parteizentrale und Rüstungs-, IT- und Luftfahrtunternehmen attackiert wurden, hat ergeben, dass der Angriff auf den russischen Geheimdienst zurückzuführen ist. Danach hat der Cyberakteur APT 28, der dem russischen Militärgeheimdienst zuzuordnen ist, über einen längeren Zeitraum eine damals nicht bekannte kritische Sicherheitslücke in Microsoft Outlook ausgenutzt, um E-Mail-Konten zu kompromittieren. Den Cyberangriff auf die SPD-Parteizentrale wertet die Bundesregierung als einen schwerwiegenden Eingriff in demokratische Strukturen.

"Die russischen Cyberangriffe sind eine Bedrohung für unsere Demokratie, der wir entschlossen entgegentreten. Wir handeln Seite an Seite innerhalb der EU, der NATO und mit unseren internationalen Partnern", betonte Innenministerin Nancy Faeser. Im Einklang mit EU und NATO verurteilt die Bundesregierung diese Angriffe auf das Schärfste.

Schutzmaßnahmen gegen hybride Bedrohungen im Hinblick auf Europawahl hochgefahren

Die Sicherheitsbehörden haben alle Schutzmaßnahmen gegen hybride Bedrohungen hochgefahren. Auch die Aufklärung der Cyberangriffe sei Ergebnis der hervorragenden, international vernetzten Arbeit unserer Sicherheitsbehörden, sagte Ministerin Faeser. "In diesem Jahr mit der Europawahl und weiteren Wahlen müssen wir uns gegen Hackerangriffe, Manipulationen und Desinformation besonders wappnen. Diese Angriffe zielen nicht nur auf einzelne Parteien oder bestimmte Politikerinnen und Politiker, sondern darauf, das Vertrauen in unsere Demokratie zu erschüttern." Im Zusammenhang mit der Europawahl ist insbesondere mit einer Zunahme ausländischer Desinformation und ausländischen Manipulations- und Einflusskampagnen im Informationsraum zu rechnen. Zudem sind im Kontext der Europawahl Cyberangriffe einzukalkulieren. Aktuell sind Phishing-Versuche auch gegen deutsche Parteien festzustellen. In den vergangenen Jahren hat sich weltweit gezeigt, dass im Vorfeld von Wahlen ein breites Spektrum an Cyberangriffen zu beobachten ist. Dazu gehören sogenannte Hack-and-Leak-Operationen gegen Parteien, bei denen E-Mails und Dokumente gestohlen und dann – teilweise manipuliert – veröffentlicht wurden. Hinzu kamen Angriffsversuche auf Webseiten und Server, die Wählerdaten enthielten oder Informationen zur Wahl zur Verfügung stellten. Politisch motivierter Hacktivismus hat seit dem Beginn des russischen Angriffskrieges gegen die Ukraine auch in Deutschland zugenommen und kann mit Überlastungsangriffen auf Webseiten oder Veranstaltungen von Parteien einhergehen. Ministerin Faeser dazu: "Umso wichtiger ist es, dass wir die Schutzmaßnahmen so stark verstärkt haben und gemeinsam handeln." Um den vielfältigen Bedrohungen zu begegnen, koordiniert das BMI ressortübergreifend Maßnahmen zum Schutz der Europawahl. 

Wer ist die Gruppierung APT 28?

APT 28 (auch als Sofacy, Fancy Bear, Pawn Storm oder Sednit bekannt) ist eine dem russischen Militärgeheimdienst GRU zuzuordnende Angriffsgruppierung, die seit mindestens 2004 weltweit aktiv ist. Zu ihrem Tätigkeitsprofil zählen neben Spionageangriffen auch Desinformations- und Propagandakampagnen im Cyberraum. APT 28 zählt weiterhin zu den aktivsten und gefährlichsten Cyberakteuren weltweit. Diese Gruppierung war auch für den Cyberangriff auf den Deutschen Bundestag im Jahr 2015 verantwortlich.

Wie liefen die Cyberangriffe der APT 28 ab?

Ab Ende Dezember 2022 kam es zu einem Cyberangriff von APT 28 auf die SPD-Parteizentrale. Der Angriff ist Teil einer größeren Kampagne, in der seit mindestens März 2022 eine Schwachstelle im Microsoft-Windows-Client von Outlook ausgenutzt wurde. Die Schwachstelle erlaubte ohne Nutzerinteraktion ein Ausleiten von (gehashten) Windows-Zugangsdaten der jeweiligen Nutzer. Diese kann der Angreifer – je nach Konfiguration des angegriffenen Netzwerks – direkt für maliziöse Zugriffe etwa auf E-Mail-Konten einsetzen und bei zu geringer Passwortkomplexität auch das Passwort des jeweiligen Opfers erraten.

APT 28 verwendete bei der Durchführung der Angriffe kompromittierte Netzwerkgeräte von ansonsten unbeteiligten Unternehmen und Privatpersonen zur Verschleierung der eigenen Infrastruktur. In einer weltweit koordinierten Operation wurden Ende Januar 2024 unter der Federführung des FBI solche kompromittierten Netzwerkgeräte bereinigt, die zuvor von APT 28 als Teil seines Spionagenetzwerks genutzt wurden. Das Bundesamt für Verfassungsschutz (BfV) war von Beginn an in diese Maßnahme eingebunden.

Die Aufklärung der nun APT 28 zugeordneten Angriffe ist Ergebnis einer umfassenden Zusammenarbeit deutscher Behörden und ihrer ausländischen Partner. Maßgeblich war dabei auch die Kooperationsbereitschaft der angegriffenen Institutionen, durch welche das Bundesamt für Verfassungsschutz in die Lage versetzt wurde, bis dato unbekannte Ziele der Kampagne aufzudecken und in Zusammenarbeit mit weiteren Behörden, insbesondere dem Bundesamt für Sicherheit in der Informationstechnik, diese zu warnen und bei der Aufklärung der Angriffe zu unterstützen.

Das Bundesamt für Verfassungsschutz ist für die nachrichtendienstliche Aufklärung von Cyberangriffen, Spionage und Sabotage durch ausländische Nachrichtendienste zuständig und steht als vertraulicher Ansprechpartner zur Verfügung.

Gegen wen richteten sich die Cyberangriffe?

Diese Kampagne von Cyberangriffen richtete sich gegen die SPD-Parteizentrale sowie gegen deutsche Unternehmen aus den Bereichen Logistik, Rüstung, Luft- und Raumfahrt, IT-Dienstleistungen sowie gegen Stiftungen und Verbände. Auch im Ausland wurden Unternehmen aus diesen Sektoren attackiert. Darüber hinaus zielten die Angriffe im Ausland auf staatliche Institutionen sowie Kritische Infrastruktur insbesondere aus dem Bereich der Energieversorgung. Ziele mit Bezügen zum völkerrechtswidrigen Angriffskrieg Russlands gegen die Ukraine stellten einen Schwerpunkt der Angriffe dar.

Wie ist die aktuelle Gefährdungslage in Deutschland?

Im Hinblick auf Cyberaktivitäten hat sich die bereits vor dem völkerrechtswidrigen Angriffskrieg Russlands gegen die Ukraine hohe Gefährdungslage weiter verschärft. Als Handlungsoptionen betrachtet Russland neben Cyberspionage auch Cybersabotage, wobei Kollateralschäden und Spillover-Effekte rücksichtslos in Kauf genommen werden. In dem Maße, in dem nachrichtendienstliche Operationen mit menschlichen Quellen für Russland schwieriger werden, gewinnen Cyberoperationen für die russischen Dienste noch größere Bedeutung.