BR24 Logo
BR24 Logo
Deutschland & Welt

Bundestag-Hack: Ein "Ü" wurde zum Problem für die Hacker | BR24

© pa/dpa/Paul Zinken

Bundestag-Hack: Ein "Ü" wurde zum Problem für die Hacker.

Per Mail sharen

    Bundestag-Hack: Ein "Ü" wurde zum Problem für die Hacker

    Im Frühjahr 2015 griffen Hacker das IT-System des Bundestages an. Bei den Ermittlungen wurde klar: Die Angreifer machten Fehler. Und sie scheiterten wohl an einem Buchstaben.

    Per Mail sharen

    Manchmal ist ein "Ü" ein Problem. Zum Beispiel beim Programmieren von Schadsoftware. Wenn der Umlaut nicht erkannt wird, dann wird das Werkzeug unbrauchbar. So war es wohl im Frühjahr 2015, als Hacker in das IT-System des Bundestages eindrangen, um die E-Mails von Abgeordneten zu stehlen. Ein Versuch, den Computer im Abgeordnetenbüro der Bundeskanzlerin auszuspionieren, scheiterte zunächst. Und das lag nach Informationen von BR und WDR an einem "Ü".

    Haftbefehl gegen Russen erwirkt

    In dieser Woche hat der Generalbundesanwalt einen Haftbefehl gegen den 29-jährigen Dmitriy Badin erwirkt. Badin soll für den russischen Militärgeheimdienst GRU arbeiten. Genauer: Für die GRU-Einheit 26165, auch bekannt als APT28 oder "Fancy Bear". Badin soll am Hackerangriff auf den Bundestag vor rund fünf Jahren beteiligt gewesen sein. Die Ermittler glauben, dem Russen nachweisen zu können, was genau er im Netz des Parlaments gemacht hat.

    Nach Erkenntnissen des Bundeskriminalamtes (BKA), das bei den Ermittlungen durch die IT-Spezialisten der Bundespolizei, durch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) und den Verfassungsschutz unterstützt wurde, soll Badin eine bestimmte Schadsoftware programmiert und eingesetzt haben – ein Programm mit dem Dateinamen "VSC.exe". Es wurde auch auf Computern im Büro von Kanzlerin Angela Merkel gefunden.

    Angriff scheiterte zunächst

    Eine forensische Analyse des Werkzeugs hat nach Informationen von BR und WDR ergeben, dass die Hacker zunächst daran scheiterten, das E-Mail-Postfach im Abgeordnetenbüro der Bundeskanzlerin auszuspähen. Beobachter, die die Schadsoftware kennen, gehen davon aus, dass sie unter Druck geschrieben wurde. Die Datei mit dem Namen "VSC.exe" enthielt den kompletten Dateipfad, also jene Stelle auf der Festplatte, an der das Postfach samt Inhalten zu finden war.

    Der Pfad enthält die Buchstabenfolge "\Users\Merkel". Weiter enthielt der Pfad Informationen, die darauf schließen lassen, dass das Konto einem Mitarbeiter im Merkel-Büro gehörte. Die Ermittler wissen also, wer im Fokus des Hackers stand. Weiter hinten im Dateipfad befindet sich dann das Problem für den Hacker: Statt "Büro" steht im Programm "B?ro".

    Offenbar hatte der Hacker den Dateipfad zum Postfach kopiert und in den Code seiner Schadsoftware eingefügt. Da er aber wohl kein Tastaturlayout mit deutschen Umlauten verwendet hat, wurde aus dem "Ü" schließlich ein "?" So konnte die Schadsoftware den angegebenen E-Mail-Ordner nicht finden und die Inhalte des Postfachs entsprechend nicht auslesen.

    Üblicherweise wird die Datei VSC.exe von den APT28-Hackern dazu eingesetzt, Passwörter auszulesen, um sich anschließend auf weitere Rechner ausbreiten zu können. Im Fall der Schadsoftware im Abgeordneten-Büro der Kanzlerin wurden hingegen diese Funktionen ersetzt durch jene, die direkt das E-Mail-Konto ins Visier nahmen.

    Weitere Fehler lassen Rückschlüsse auf Täter zu

    Ein weiterer Fehler, der sich in der Spionage-Software finden lässt: der Nutzername des Rechners, auf dem sie entwickelt wurde. Auch das ist ein Dateipfad, der wertvolle Hinweise liefert, nämlich den Nutzernamen "Scaramouche" – eine Figur aus dem italienischen Theater, die übersetzt "Scharmützel" bedeutet. Der Name, hinter dem sich der Hacker Dmitriy Badin verbergen soll, war bereits in Zusammenhang mit der russischen Spionagegruppe APT28 alias "Fancy Bear" aufgefallen.

    In einer vertraulichen 17-seitigen Analyse hat sich das Nationale Cyber-Abwehrzentrum (NCAZ) des Bundes im Juni 2019 mit der Hackergruppe APT28 auseinandergesetzt. Darin gibt der Bundesnachrichtendienst (BND) eine Einschätzung ab. Wörtlich heißt es: Die Hacker agierten "nahezu sicher im Auftrag des russischen, militärischen Geheimdienstes GRU". Die eingesetzten Werkzeuge der Gruppe lassen "auf eine hohe bis punktuell sehr hohe Fachexpertise schließen", sie verfüge außerdem über "große Finanzmittel und personelle Ressourcen".

    Auch Verteidigungsministerium im Fokus von APT28

    Der Militärische Abschirmdienst (MAD) berichtet in der Analyse über Angriffe, die sich "in den letzten Jahren" gegen Mitarbeiter des Verteidigungsministeriums richteten. Durch gezielte Anschreiben an öffentlich nicht bekannte E-Mail-Adressen habe man versucht, Schadsoftware auf Rechnern zu installieren. In den E-Mails nahmen die Hacker der Analyse nach gezielt Bezug auf das jeweilige Arbeits- und Interessengebiet der Empfänger oder erwähnten kürzlich besuchte nationale oder internationale Veranstaltungen.

    Anscheinend waren diese Angriffe teilweise erfolgreich. "Neben Programmen, die Tastatureingaben aufzeichnen", seien Programme entdeckt worden, die zuständig waren für die "Erstellung von Bildschirmfotos, Anzeige von Ordnerinhalten bis hin zur Löschung von Spuren". Doch ein Abfluss aus den IT-Systemen konnte laut MAD verhindert werden.

    Wie viele Daten beim Angriff auf das Bundestags-Netz im Frühjahr 2015 tatsächlich erbeutet wurden, ist weiterhin nicht klar. Ersten Schätzungen zufolge könnten bis zu 16 Gigabyte kopiert und abgegriffen worden sein.

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!