Was bisher nur vermutet wurde, ist für die Sicherheitsbehörden nun klar: Russland war für eine Cyberattacke auf die Kanzlerpartei verantwortlich. EU und Nato sehen dies als Teil einer Welle von Angriffen, die sich auch gegen wichtige Unternehmen richtet.

Der lautlose Angreifer hat vielerlei Namen: Sofacy Group, Forest Blizzard, Pawn Storm. Am besten bekannt ist er unter dem Pseudonym Fancy Bear, die Geheimdienste nennen ihn APT28 oder auch Militäreinheit 26165 des russischen Militärgeheimdienstes GRU. Gemeint ist jene klandestine Truppe, die nach Überzeugung der Bundesregierung hinter einem Hackerangriff auf E-Mail-Konten der SPD-Parteizentrale im Jahr 2023 steht.

Das hat Bundesaußenministerin Annalena Baerbock (Grüne) in der Nacht zum Freitag während ihrer Australien-Reise öffentlich gemacht. „Staatliche russische Hacker haben Deutschland im Cyberraum angegriffen“, sagte sie. Dies sei „völlig inakzeptabel und wird nicht ohne Konsequenzen bleiben“, kündigte Baerbock an. Ein Sprecher des Auswärtigen Amtes teilte am Freitag mit, dass der Geschäftsträger der russischen Botschaft in Berlin einbestellt wurde, eine relativ scharfe Form des diplomatischen Protests. Weitere Konsequenzen behalte sich die Bundesregierung vor.

Die Cyberattacke auf die größte Regierungs- und Kanzlerpartei wertete die Bundesregierung als „schwerwiegenden Eingriff in demokratische Strukturen“. Bundesinnenministerin Nancy Faeser (SPD) sagte Freitagmittag bei einem Besuch in Prag: „Wir werden uns keinesfalls vom russischen Regime einschüchtern lassen.“ Die Bundesregierung verurteile die Angriffe „auf das Schärfste“. Nach Faesers Angaben richteten sich die Spionage-Aktivitäten auch gegen deutsche Unternehmen aus den Bereichen Logistik, Rüstung, Luft- und Raumfahrt, IT-Dienstleistungen sowie gegen Stiftungen und Verbände. Auch im Ausland seien solche Unternehmen attackiert worden.

Nachrichtendienste vermuten eine Kampagne gegen strategisch wichtige Ziele weltweit

Im Fokus der letztlich von Kremlherrscher Wladimir Putin in Auftrag gegebenen groß angelegten Cyberspionage waren offenbar Informationen wichtiger westlicher Akteure zum russischen Angriffskrieg gegen die Ukraine und zur – vor allem militärischen – Unterstützung für die Regierung in Kiew. Die Nachrichtendienste gehen von einer Kampagne gegen strategisch entscheidende politische und wirtschaftliche Stellen weltweit aus, von der auch Energieversorger betroffen waren. Zu konkret betroffenen Unternehmen machte die Bundesregierung keine Angaben, um der russischen Regierung keine Anhaltspunkte über ihren Informationsstand zu liefern.

Die Gruppe APT 28 hat ihre Strategie geändert

Die russische Hackergruppe APT 28 ist schon seit Jahren auf dem Schirm internationaler Sicherheitsbehörden. Sie soll bereits seit 2004 aktiv sein und Hackerangriffe ausführen. Laut dem Bundesamt für den Verfassungsschutz zählt sie zu den „aktivsten und gefährlichsten Cyberakteuren“ weltweit. Lange ging es der Einheit vor allem darum, Desinformations- und Propagandakampagnen im Cyberraum durchzuführen. Zuletzt aber registrierten Behörden ein immer aggressiveres Vorgehen, um in Deutschland, aber auch in vielen anderen Ländern an Militärgeheimnisse etwa zur Unterstützung für die Ukraine zu kommen.

Die EU und die Nato verurteilten die russischen Cyberattacken ebenfalls scharf. Der Nordatlantikrat der Nato zeigte sich entschlossen, gegen solche Bedrohungen vorzugehen. Man wolle die notwendigen Fähigkeiten einsetzen, „um das gesamte Spektrum der Cyberbedrohungen abzuschrecken, abzuwehren und zu bekämpfen, um uns gegenseitig zu unterstützen“, hieß es in einer Mitteilung des wichtigsten Entscheidungsgremiums der Verteidigungsallianz am Freitag. Man erwäge auch „koordinierte Reaktionen“. Die Hackergruppe, die auch für den SPD-Angriff verantwortlich gemacht wird, habe auch „andere nationale Regierungsstellen, Betreiber kritischer Infrastrukturen und andere Einrichtungen im gesamten Bündnis“ angegriffen. Darunter seien Litauen, Polen und Schweden, die EU nannte zudem die Slowakei. Auch die tschechische Regierung gab bekannt, dass sie betroffen sei.

Die EU hatte bereits im Jahr 2020 Sanktionen gegen zwei russische Geheimdienstler und die GRU-Militäreinheit 26165 verhängt, die für einen Hackerangriff auf die IT- und E-Mail-Systeme des Bundestags im Jahr 2015 verantwortlich waren. Zudem erließ sie Strafmaßnahmen gegen weitere Hacker und Dienststellen russischer Geheimdienste, die versucht hatten, in den Niederlanden in das Netzwerk der Organisation zum Verbot chemischer Waffen (OPCW) mit Sitz in Den Haag einzudringen. Dabei wurden Einreiseverbote ausgesprochen und Vermögenswerte eingefroren. Diese Maßnahmen könnten nun ausgeweitet werden. Russlands Verhalten stehe im Widerspruch zu den UN-Normen für verantwortungsvolles staatliches Verhalten im Cyberspace, hieß es in Brüssel weiter.