BR24 Logo
BR24 Logo
Startseite
© BR
Bildrechte: BR

Hacker mit Reichstagsgebäude, BR-Grafik

13
Per Mail sharen

    Die schwierige Suche nach dem Bundestags-Hacker

    Vor einem Jahr hat der Generalbundesanwalt einen Haftbefehl gegen einen russischen Hacker erwirkt. Die Bundesregierung sieht ihre Souveränität angegriffen. Eine aufwendige Recherche gibt Einblick in die internationalen Ermittlungen.

    13
    Per Mail sharen
    Von
    • Hakan Tanriverdi
    • Florian Flade, WDR

    Eine Wohnsiedlung, rund 30 Kilometer südostlich von Moskau. Die wuchtigen Plattenbauten haben bunte Kacheln an den Außenfassaden, dazwischen liegen Spielplätze und Grünanlagen. Es gibt Supermärkte, eine Bar, ein Sushi-Restaurant, eine Sportanlage, Schönheitssalons und ein Geschäft für Kinderbekleidung. Hier, in dieser Siedlung, in der vor allem junge Familien wohnen, soll ein Mann leben, nach dem das Bundeskriminalamt (BKA) seit rund einem Jahr sucht: Dmitriy Badin, 30 Jahre alt, Familienvater.

    Im Rechner der Bundeskanzlerin

    Badin wird für den bislang spektakulärsten Cyberangriff in Deutschland verantwortlich gemacht, den Hack des Deutschen Bundestages im Frühjahr 2015. Hacker waren heimlich in das IT-System des Parlaments eingedrungen und hatten sich Zugang zu E-Mail-Postfächern verschafft. Auch ein Rechner im Abgeordnetenbüro von Bundeskanzlerin Angela Merkel war betroffen. Rund 16 Gigabyte Daten soll die Hackergruppe erbeutet haben.

    "Der Mann in Merkels Rechner": Wie die Ermittler des Bundeskriminalamtes dem Hacker des russischen Militärgeheimdienstes auf die Schliche kamen, erzählen Florian Flade und Hakan Tanriverdi in diesem fünfteiligen Podcast.

    Im Dienste von "Fancy Bear"

    Schon früh gab es den Verdacht, dass der russische Militärgeheimdienst GRU hinter dem Angriff stecken könnte. Und doch hat es fünf Jahre gedauert, bis das BKA schließlich einen Tatverdächtigen identifizieren konnte: Der Russe Dmitriy Badin soll der Hacker sein, der in den E-Mails der Kanzlerin herumgeschnüffelt hat - mit einer eigens dafür geschriebenen Schadsoftware. Badin soll für den GRU arbeiten, und zwar für die Cybereinheit 26165, besser bekannt als APT28 oder "Fancy Bear".

    Die Kanzlerin schmerzt die Affäre

    Im Mai 2020 erwirkte der Generalbundesanwalt in Karlsruhe mit den Informationen des BKA einen Haftbefehl beim Bundesgerichtshof gegen Badin. Der Hacker mit dem Spitznamen "Scaramouche" wird seitdem auch von deutschen Behörden gesucht.

    "Ich bin sehr froh, dass die Untersuchungen dazu geführt haben, dass der Generalbundesanwalt eine konkrete Person auf die Fahndungsliste gesetzt hat", sagte Kanzlerin Merkel im Mai 2020 im Plenum des Deutschen Bundestages. "Mich schmerzt das", sagte die Kanzlerin weiter, sie sei stets um ein "besseres Verhältnis zu Russland" bemüht. Nun aber gebe es "harte Evidenzen" dafür, dass Russland das deutsche Parlament angegriffen habe: "Natürlich behalten wir uns immer Maßnahmen vor, auch gegen Russland."

    "Angriff auf die Demokratie an sich"

    Was aber ist seitdem passiert? Deutschland hat sich dafür eingesetzt, dass Badin auf einer europäischen Sanktionsliste landet. Das bedeutet: Etwaige Konten in der EU werden eingefroren, Einreisebeschränkungen erlassen. Sollte Badin zum Beispiel nach Italien reisen, um Urlaub am Mittelmeer zu machen, würde er ausgeliefert.

    In einer Weisung des Auswärtigen Amtes an deutsche Diplomaten – die in Brüssel die Position der Regierung vertreten – heißt es in sehr klaren Worten: "Wir erachten den Angriff auf das deutsche Parlament als einen Angriff auf die Demokratie an sich. Und auf die Souveränität des deutschen Staates." Die Weisung datiert auf den 16. Juni 2020 und liegt BR und WDR vor. Sie ist über weite Teile geschwärzt. Weiter heißt es dort: "Wir dürfen nicht zulassen, dass solche verleumderischen Angriffe auf europäische Werte ohne Konsequenzen bleiben und wir dürfen nicht zulassen, dass solche Angriffe in der Zukunft andauern." Die Sanktionen wurden am 22. Oktober 2020 verhängt.

    Der Hacker wird wohl gut geschützt

    Die Personenfahndung des BKA ist mit dem Fall Dmitriy Badin zwar offiziell befasst – aber es gilt als wenig aussichtsreich, ihn vor Gericht zu stellen. Der Gesuchte hält sich mit hoher Wahrscheinlichkeit in Russland auf und wird vermutlich auch von seinem Arbeitgeber, dem russischen Staat, geschützt. Die russischen Behörden werden wohl kaum eine deutsche Bitte um Festnahme umsetzen.

    Wichtige Hinweise durch das FBI

    Die US-Bundespolizei FBI lieferte den deutschen Ermittlern wichtige Beweise, die bei der Überführung von Badin eine zentrale Rolle einnahmen, wie ein Bundesanwalt in einer nicht-öffentlichen Sitzung des Ausschusses Digitale Agenda des Bundestages im Mai 2020 erklärte. Das Protokoll der Sitzung liegt dem BR und WDR vor. Die Identifizierung des unter dem Pseudonym "Scaramouche" agierenden Angreifers als der Beschuldigte Badin beruhe in erster Linie auf Erkenntnissen und Beweismitteln, die das FBI zur Verfügung gestellt habe, heißt es dort. Unter anderem ein Google-Account von Badin sei Teil der übergebenen Daten gewesen.

    Anklage in den USA

    Die USA beschuldigen Badin, für den Cyberangriff auf die Demokratische Partei im Vorfeld der US-Präsidentschaftswahl 2016 verantwortlich gewesen zu sein. Badin ist in den USA angeklagt. Adam Hickey, stellvertretender Generalstaatsanwalt im US-Justizministerium ist zuständig für Spionage-Ermittlungen. Für ihn ist es erfreulich, dass neben den USA ein zweites Land einen Hacker aus derselben Gruppe identifiziert hat und mit juristischen Mitteln vorgeht. "Es ist von entscheidender Bedeutung, dass ähnlich gesinnte Staaten ihre jeweiligen Ergebnisse bestätigen und sagen: 'Wir haben uns auch diese Beweise angeschaut oder haben unsere eigenen Erkenntnisse und kommen zum Schluss, dass dieser oder jener Staat dafür verantwortlich ist'", sagt Adam Hickey im Gespräch mit BR Recherche. Den Haftbefehl direkt kommentieren wollte der stellvertretende Generalstaatsanwalt nicht.

    BND durchforstet Internet nach Hackern

    Dem Bundesnachrichtendienst (BND) ist es nach Informationen von BR und WDR gelungen, gezielt Server zu finden, die von den Hackern verwendet werden. Diese setzten bis 2018 eine bestimmte Schadsoftware ein – IT-Sicherheitsexperten nennen sie "X-Tunnel". Teile der Kommunikation ließen sich aus dem Internet-Verkehr, den der BND mitschneiden darf, herausfiltern. So war der BND in der Lage, die eingesetzten Server der Hacker zu identifizieren – und auch, auf wen es die Hacker abgesehen hatten.

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!