EU-Sanktionen gegen russische Hacker?
11. Juni 2020Angela Merkel ist bekannt für ihre eher nüchterne und trockene Art. Aber im Mai wurde die Bundeskanzlerin - ausgerechnet beim Thema Cybersicherheit - ungewöhnlich emotional am Rednerpult des Bundestages. Der Anlass: Die Grünen-Abgeordnete Tabea Rösner hatte nach Erkenntnissen gefragt, welche Daten zu welchem Zweck beim Hackerangriff auf den Bundestag im Jahr 2015 aus ihrem Abgeordnetenbüro gestohlen worden seien.
Sie habe den Eindruck, dass dort wahllos abgegriffen worden sei, gab Merkel zu Protokoll. Auch, dass sie sehr froh sei, dass der Generalbundesanwalt eine "konkrete Person" auf die Fahndungsliste gesetzt habe. Dann setzte Merkel fort: "Ich nehme diese Dinge sehr ernst, weil ich glaube, dass da sehr ordentlich recherchiert wurde, und ich darf sehr ehrlich sagen: Mich schmerzt es" - gerade weil sie sich um ein besseres Verhältnis zu Russland bemühe.
Die Kanzlerin sprach von "harten Evidenzen", dass russische Stellen hinter dem Diebstahl von mindestens 16 Gigabyte Daten, Dokumenten und E-Mails aus dem Netz des Bundestages stehen - darunter auch Tausende E-Mails aus dem Abgeordnetenbüro von Merkel selbst. Und sie stellte den Cyber-Angriff in Zusammenhang mit einer russischen "Strategie der hybriden Kriegsführung, die auch Kriegsführung im Zusammenhang mit Cyberdesorientierung und Faktenverdrehung beinhaltet".
Öffentliche Schuldzuweisung
Der Auftritt der Kanzlerin markiert einen Wendepunkt in der öffentlichen Zuordnung russischer Cyber-Angriffe. Ein Wendepunkt, der wenige Tage zuvor vom Generalbundesanwalt eingeleitet worden war: Peter Frank hatte Ende April einen internationalen Haftbefehl ausstellen lassen gegen Dmitrij Badin. Die Ermittler sind überzeugt: Der 29-jährige Russe steht hinter dem spektakulären Angriff auf die IT-Systeme des deutschen Bundestages im Frühjahr 2015. Die Schadsoftware des Angreifers hatte sich so tief in dem Netzwerk eingenistet, dass es komplett abgeschaltet werden musste. Nach dem Datendiebstahl wurde das System mit seinen knapp 6000 angeschlossenen Rechnern von Grund auf neu aufgebaut.
Lange hatte Deutschland vermieden, den Angriff eindeutig und öffentlich Mitgliedern des russischen Geheimdienstes zuzuordnen. Das habe sich mit dem Haftbefehl aus Karlsruhe und den Äußerungen der Kanzlerin geändert, sagt Julia Schütze. Schütze ist Projektmanagerin für "Internationale Cyber-Sicherheitspolitik" beim Berliner Think-Tank "Stiftung Neue Verantwortung". Für die Cyber-Expertin zeigt sich in der Anklage gegen Badin der "lange Atem Deutschlands, wenn es darum geht, gerichtsfeste Beweise für eine eindeutige Zuordnung zu bekommen - die dann auch zu politischen Maßnahmen führen können".
EU-Cybersanktionsregime
Politische Maßnahmen sind auf dem Weg. Ende Mai wurde der russische Botschafter ins Auswärtige Amt bestellt. Sergej J. Netschajew musste sich nicht nur anhören, dass die Bundesregierung den Hackerangriff "auf das Schärfste" verurteilt. Botschafter Netschajew wurde auch angekündigt, dass sich die Bundesregierung "in Brüssel für die Nutzung des EU-Cybersanktionsregimes gegen Verantwortliche für den Angriff auf den Deutschen Bundestag, darunter auch Herrn Badin, einsetzen wird."
Dieser Cyber-Sanktionsmechanismus wurde am 17. Mai 2019 vom Europäischen Rat beschlossen.
Bei Cyberangriffen, die "erhebliche Auswirkungen" haben, kann die EU seither Sanktionen gegen Personen und Einrichtungen verhängen, die für eben diese Angriffe verantwortlich sind. Gedroht werde da unter anderem mit einem Einreiseverbot in die EU, führt Cyberexpertin Schütze aus, oder auch mit dem Einfrieren von Vermögenswerten. Schütz sieht den Wert der Strafmaßnahmen vor allem in ihrer "politisch strategischen Symbolik".
Was gegenüber dem russischen Botschafter angekündigt wurde, nimmt langsam Fahrt auf: Die Bundesregierung hat "Vorschläge für eine Sanktionsliste im Hinblick auf den Hackerangriff gemacht und steht dazu mit ihren EU-Partnern im Rahmen der dafür vorgesehenen Verfahren in engem Austausch", ist auf Anfrage der DW aus dem Auswärtigen Amt zu hören. Dieser Prozess begintt mit einer Arbeitsgruppe beim Europäischen Rat in Brüssel: Bei der "Horizontal Working Party on Cyber Issues". Wie mehrere Medien berichten, haben deutsche Diplomaten am 3. Juni eine Vorschlagsliste für Sanktionen in Brüssel vorgelegt. Mit einiger Sicherheit dürfte Dmitrij Badin darauf an besonders prominenter Stelle stehen.
Wohnadresse beim Geheimdienst
Auf einem Fahndungsplakat der amerikanischen Bundespolizei FBI taucht Badin gleich zweimal auf. Und blickt mit kurzgeschorenen blonden Haaren ernst in die Kamera. Auch das FBI erhebt schwere Vorwürfe gegen den rund 500 Kilometer südlich von Moskau in Kursk geborenen Mann: Badin soll zu den Leuten gehören, die im US-Wahlkampf 2016 E-Mails von Hillary Clinton und der Demokratischen Partei stahlen und anschließend veröffentlichten - um die Wahl zugunsten Donald Trumps zu manipulieren.
Auch ein Bericht der Rechercheplattform Bellingcat bringt Badin mit dem Militärgeheimdienst GRU in Verbindung. So sei seine offizielle Wohnadresse identisch mit der offiziellen Adresse der GRU-Einheit 26165, haben die Bellingcat-Rechercheure herausgefunden.
Diese Einheit ist unter verschiedenen Namen bekannt und berüchtigt: vor allem als Fancy Bear, aber auch Sofacy, Pawn Storm oder Sednit. IT-Experten und auch der Bundesverfassungsschutz bevorzugen den eher technischen Begriff APT28. APT steht für "Advanced Persistent Threat", was so viel heißt wie "fortgeschrittene andauernde Bedrohung".
Andauernd ist APT28 tatsächlich. Das Cybersicherheitsunternehmen FireEye beobachtet die russischen Staatshacker schon seit 2007. Und bringt sie neben dem Hackerangriff auf den Bundestag und der US-Wahl mit einer Fülle weiterer Angriffe in Verbindung: etwa auf die Welt-Anti-Doping-Agentur WADA, auf die OSZE oder die NATO.
Amtshilfe aus den Niederlanden
Allerdings: Die Zuweisung von Cyberangriffen, die sogenannte Attribution, ist schwierig. Im virtuellen Raum lassen sich falsche Fährten legen, Spuren verwischen. Zwar gibt es häufig begründete Verdachtsmomente und technische Hinweise. Geheimdiensten reichen die für ihre Bewertung. Aber Gerichte müssen eindeutige Beweise haben.
Wichtig für die deutschen Ermittler war die Amtshilfe aus den Niederlanden: Dort hatte die Spionageabwehr im Frühjahr 2018 einen Angriff auf den Hauptsitz der Organisation für das Verbot von Chemiewaffen, OPCW, vereitelt. Dabei war den Niederländern eine Fülle von technischem Gerät in die Hände gefallen. Das, so bestätigt Julia Schütze von der SNV, habe dem Generalbundesanwalt klare Beweise geliefert, die eindeutig zu Badin und zum GRU führten.
Allerdings erinnert ausgerechnet ein Blick auf die Webseite des Generalbundesanwalts daran, dass Cyberangriffe aus allen Richtungen kommen können: "Zu den bekanntesten Fällen gehören die Ermittlungen wegen des Verdachts der Ausspähung des Mobiltelefons von Bundeskanzlerin Dr. Angela Merkel durch US-amerikanische Nachrichtendienste", ist dort zu lesen. "Der Verdacht ließ sich nicht gerichtsfest beweisen. Das Verfahren wurde im Juni 2015 eingestellt."
Im Falle Badins und des GRU wird Deutschland die EU-Ratspräsidentschaft ab Juli vermutlich dazu nutzen, dass der Hackerangriff auf den Bundestag dagegen nicht folgenlos bleibt.