Jetzt neu!

Die ViOffice Cloud ist jetzt GRATIS für bis zu 3GB Speicherplatz. Jetzt registrieren!
Zum Inhalt springen
Startseite » Blog » Cyberangriffe auf die Demokratie

Cyberangriffe auf die Demokratie

Bereits seit Jahren sehen sich demokratische westliche Staaten immer wieder Cyberangriffen ausgesetzt, welche augenscheinlich oder sogar nachweislich durch andere Staaten koordiniert und ausgeführt werden.

Cyberangriffe können prinzipiell sehr unterschiedliche Ziele verfolgen. Wie im vergangenen Jahrzehnt ersichtlich etablieren sich auch Attacken auf die Meinungsbildung der Bevölkerung durch Flutung von der sozialen Medien mittels Bots. Auch die Einflussnahme auf die Nachrichtenlage, Journalist:innen oder Politiker:innen ist ein immer stärker genutztes Mittel. Nicht zuletzt nutzt insbesondere Russland seinen Einfluss auf populistische Gruppierungen und Politiker:innen in ganz Europa, sowie ihre Verbindungen in das verschwörungsideologische und rechtsextremistische Milieu. [1, 2]

Der Hauptfokus dieses Blogbeitrags soll jedoch der direkte Cyberangriff auf staatliche Stellen und die Demokratie und deren Akteur:innen sein.

Erst vor wenigen Tagen wurde bekannt, dass Hacker die Sozialdemokratische Partei Deutschlands (SPD) gezielt attackierten und vermutlich Informationen und E-Mail-Verkehr der Parlamentarier:innen abgriffen. Die Sicherheitsbehörden und Bundesregierung vermuten dieselbe, dem russischen Geheimdienst zu zuordneten, Gruppierung hinter dem Hack, die schon beim „Bundestagshack“ 2014/2015 aktiv war. [3, 4]

Obwohl auch nordkoreanische und chinesische Akteur:innen immer wieder hinter unterschiedlichsten Cyberangriffen vermutet werden, sind die allermeisten bekannten Attacken in Europa den russischen Geheimdiensten zuzuordnen.

Russische Bären

Unterschiedlichste Angriffe der vergangenen beiden Jahrzehnte wurden in großen Teilen lediglich fünf den russischen Geheimdiensten nahestehenden Gruppierungen zugeordnet, welche Journalist:innen mit dem Sammelbegriff „Putins Bären“ bezeichnen. [5, 6]

Der Bär wurde bereits im 16. Jahrhundert als Symbol für Russland und spätestens seit dem frühen zwanzigsten Jahrhundert für den russischen Staat verwendet. Insbesondere in politischen Karikaturen westlicher Staaten wird Russland durch den Bären oftmals als groß, brutal, und unbeholfen dargestellt.

Das Symbol des Bären weist im Rahmen der Berichterstattung über die fünf Hackergruppierungen auf deren Gefährlichkeit und das skrupellose Vorgehen hin.

Fancy Bear

Die als „Fancy Bear“ bezeichnete Gruppierung ist unter vielen weiteren Namen bekannt, wie beispielsweise „Advanced Persistent Threat 28“ (APT28), STRONTIUM oder Pawn Storm, nach dem gleichnamigen Debut der Gruppierung im Jahr 2014. Im Zuge der Ermittlung zur russischen Beeinflussung der US-Amerikanischen Wahlkampfes 2016 bezeichnete die Sonderermittlungskommission unter Robert Mueller die Gruppierung als „GRU Unit 26165“, ordnete sie also direkt dem russischen Militärnachrichtendienst GRU zu. [5, 6, 7, 8]

Fancy Bear agierte weltweit, insbesondere in ehemaligen Ostblockstaaten, der Ukraine, den USA, Frankreich, den Niederlanden und Deutschland. Der Cyberangriff auf den Deutschen Bundestag von Ende 2014 bis Anfang 2015 legte die gesamte IT-Infrastruktur des deutschen Parlaments über Tage lahm. Tiefgreifende Restrukturierungen waren nötig, um den Angriff nach Wochen schlussendlich abzuwehren. Mehrere Gigabyte an Daten und vertraulichen Informationen wurden dabei mutmaßlich an russische Geheimdienste abgeleitet. Die meisten Cyberangriffe, die Fancy Bear zugeschrieben werden, beinhalten Phishing und Spear Phishing Attacken auf E-Mail Konten und webbasierte Systeme. [5, 6, 7, 8, 9, 10, 11]

Cozy Bear

Cozy Bear ist eine weitere, oft im Zusammenhang mit Fancy Bear genannte Hackergruppierung aus dem Umfeld russischer Geheimdienste. Weitere Namen der mindestens seit 2010 agierenden „Advanced Persistent Threat 29“ (APT29) Gruppierung sind CozyDuke oder Midnight Blizzard. [5]

Cozy Bear agiert insbesondere mittels Trojanern. Ähnlich wie Fancy Bear infiltrierten sie insbesondere IT Infrastruktur westlicher, demokratischer Staaten um Informationen aus zuleiten. Hierbei kommt es immer wieder vor, dass Sicherheitsexpert:innen im Laufe von Ermittlungen Spuren sowohl von Fancy als auch von Cozy Bear in denselben Systemen finden. [5, 6, 8, 9, 10]

Der Fall des Hackangriffs auf das US-Amerikanische „Democratic National Committee“ sticht hierbei besonders hervor. Obwohl beide Gruppierungen wohl zum selben Zeitpunkt IT-Infrastruktur des Komitees infiltrierten, glauben Sicherheitsbehörden, dass beide unabhängig voneinander arbeiteten und möglicherweise nicht einmal wussten, dass sie zeitgleich dasselbe Ziel attackierten. [12]

Durch eine vom niederländischen Geheimdienst AIVD durchgeführte Abhöraktion, bei der Überwachungskameras in den Büros der Hackergruppe gekapert wurden, konnte die Gruppierung russischen Geheimdiensten zugeordnet werden. Der niederländische Geheimdienst, der die Gruppierung über Wochen buchstäblich durch Kameras beobachtete, schreibt Cozy Bear dem russischen Auslandsnachrichtendienst SVR zu. [5]

Berserk Bear

Die von Geheimdiensten der USA dem russischen Geheimdienst FSB zugeordnete Hackergruppe Berserk Bear, welche ebenso unter den Synonymen BROMINE, Energetic Bear oder Ghost Blizzard bekannt ist spezialisiert sich insbesondere auf die Infiltration kritischer Infrastruktur. [5, 6, 13, 14]

Beserk Bear operiert mindestens seit 2018 in den USA und Deutschland, wo sie zu Zwecken der Spionage in Systeme von Unternehmen im Bereich der Energie- und Wasserversorgung eindrangen. [5, 13, 14]

Voodoo Bear

Die vor allem als „Sandworm“ bekannte Hackergruppierung wird dem russischen Geheimdienst GRU zugeschrieben und soll ab 2015 unterschiedlichste groß angelegte Angriffe auf ukrainische Infrastruktur und Energieversorgung verantworten. Unter anderem der Cyberangriff auf die Kontrollsysteme des havarierten ukrainischen Atomkraftwerks in Chernobyl im Jahre 2017 mittels der Schadsoftware NotPetya soll auf das Konto der Gruppierung gehen. Die Schadware zielt auf Windowssysteme, infiltriert diese und verschlüsselt alle dort gespeicherten Daten. [5, 15]

Im Zuge des Angriffskrieges Russlands auf die Ukraine ab 2022 tritt Voodoo Bear immer wieder mit weiteren Cyberangriffen auf kritische Infrastruktur und Energieversorgung der Ukraine in Erscheinung. Die dem russischen Militär zugehörige Hackergruppe ist damit aktiv mittels Cyberwarefare im russischen Krieg beteiligt. [16]

Venomous Bear

Die ursprünglich nach dem Trojaner „Turla“ benannte Hackergruppe agiert seit mindestens 2008 und ist vor allem innerhalb und im näheren Umfeld von Russland aktiv. Sicherheitsexpert:innen glauben, dass die Gruppe sogar bereits seit 1996 aktiv sein könnte. Sie infiltriert insbesondere Systeme von Regierungen und dem Militär unterschiedlicher Länder. Auch GNU+Linux Systeme können mit dem Turla Trojaner attackiert werden. [17, 18]

Der Bundestaghack

Im Dezember 2014 begannt eine groß angelegte Phishing Attacke auf Mitglieder des Deutschen Bundestags. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vermutet die Gruppierung Fancy Bear hinter dem Angriff. [5, 6, 19, 20]

Den Hacker:innen gelang es zunächst unbemerkt in die IT-Systeme des Bundestags einzudringen und sich dort zu verbreiten. Bis März 2015 wurden dort über 16 Gigabyte Daten, vorwiegend E-Mails und anhängende Dokumente, ausgleitet und mutmaßlich russischen Geheimdiensten übergeben. [5, 6, 19, 20, 21]

Der Angriff gehört bis heute zu den größten Cyberangriffen in Deutschland. Mehr noch, er zielte in direkter Weise auf die demokratischen Strukturen der Bundesrepublik. Als Sicherheitsbehörden den Vorfall bemerkten, nahmen sie die gesamte IT-Infrastruktur offline, und bauten sie Stück für Stück über mehrere Wochen wieder neu auf. [5, 19, 20, 21]

Auch wenn bis heute keine der erbeuteten sensiblen Daten veröffentlicht wurden, gilt der Vorfall in Deutschland als einer der größten außenpolitischen Skandale des wiedervereinigten Deutschlands. [5, 19, 20, 21, 22]

Quellen

  1. Zimmermann, N. (2024): Wie ein prorussisches Portal Stimmung gegen Deutschland macht. URL: https://www.faz.net/aktuell/politik/ausland/voice-of-europe-wie-propaganda-fuer-russland-funktioniert-19618660.html
  2. Jones, M. G. (2024): Belgium investigating Russian influence network suspected of paying EU lawmakers. URL: https://www.euronews.com/my-europe/2024/04/12/belgium-investigating-russian-influence-network-suspected-of-paying-eu-lawmakers
  3. Daniel, I. (2024): Bundesregierung macht Russland für Cyberangriff auf SPD verantwortlich. URL: https://www.zeit.de/politik/ausland/2024-05/spd-cyberangriff-russland-geheimdienst-gru-bundesregierung
  4. Schwarte, G. (2024): Russland steckt „eindeutig“ hinter Cyberangriff auf SPD. URL: https://www.tagesschau.de/inland/spd-cyberangriff-russland-100.html
  5. SWR (2024): Putins Bären – Die gefährlichsten Hacker der Welt. URL: https://www.ardmediathek.de/video/putins-baeren/putins-baeren-die-gefaehrlichsten-hacker-der-welt/swr/Y3JpZDovL3N3ci5kZS9hZXgvbzIwMDQ0NjI
  6. Taube, B. (2024): Putins Bären – die gefährlichsten Hacker der Welt? URL: https://www.br.de/mediathek/podcast/br24-thema-des-tages/putins-baeren-die-gefaehrlichsten-hacker-der-welt/2093032
  7. Richter, S. & Kireev, M. (2024): Was über das russische Hackerkollektiv APT28 bekannt ist. URL: https://www.zeit.de/politik/ausland/2024-05/russische-hackerangriffe-apt28-cyberkriminalitaet-faq
  8. Spiegel (2021): Russische Gruppe »Ghostwriter« attackiert offenbar Parlamentarier. URL: https://www.spiegel.de/politik/deutschland/russischer-hack-erneute-attacke-hack-auf-bundestag-sieben-abgeordnete-betroffen-a-75e1adbe-4462-4e30-bd94-96796aed6b8a
  9. Scherschel, F. (2018): Bundeshack: Daten sollen über Outlook ausgeleitet worden sein. URL: https://www.heise.de/news/Bundeshack-Daten-sollen-ueber-Outlook-ausgeleitet-worden-sein-3987759.html
  10. Krempl, S. (2018): Bundeshack: Angreifer kompromittierten 17 Rechner im Auswärtigen Amt. URL: https://www.heise.de/news/Bundeshack-Angreifer-kompromittierten-17-Rechner-im-Auswaertigen-Amt-3985590.html
  11. Holland, M. (2016): Angeblich versuchter Hackerangriff auf Bundestag und Parteien. URL: https://www.heise.de/news/Angeblich-versuchter-Hackerangriff-auf-Bundestag-und-Parteien-3328265.html
  12. The Economist (2016): Bear on bear. URL: https://www.economist.com/united-states/2016/09/22/bear-on-bear
  13. Greenberg, A. (2020): The Russian Hackers Playing ‚Chekhov’s Gun‘ With US Infrastructure. URL: https://www.wired.com/story/berserk-bear-russia-infrastructure-hacking/
  14. Reuters (2016): German intelligence sees Russia behind hack of energy firms – media report. URL: https://www.reuters.com/article/us-germany-cyber-russia/german-intelligence-sees-russia-behind-hack-of-energy-firms-media-report-idUSKBN1JG2X2/
  15. Holland, M. (2018): Russische Hacker: Angeblich neue Angriffe auf Bundestagsabgeordnete. URL: https://www.heise.de/news/Russische-Hacker-Angeblich-neue-Angriffe-auf-Bundestagsabgeordnete-4235782.html
  16. Greenberg, A. (2022): The Case for War Crimes Charges Against Russia’s Sandworm Hackers. URL: https://www.wired.com/story/cyber-war-crimes-sandworm-russia-ukraine/
  17. Flade, F., Frey, L. & Tanriverdi, H. (2022): Spuren führen zum Geheimdienst FSB. URL: https://www.tagesschau.de/investigativ/br-recherche/russische-hacker-103.html
  18. Cimpanu, C. (2017): 21 Years Later, Experts Connect the Dots on One of the First Cyber-Espionage Groups. URL: https://www.bleepingcomputer.com/news/security/21-years-later-experts-connect-the-dots-on-one-of-the-first-cyber-espionage-groups/
  19. Holland, M. (2015): Bundestags-Hack: Zehntausende Internetseiten für Abgeordnete gesperrt. URL: https://www.heise.de/news/Bundestags-Hack-Zehntausende-Internetseiten-fuer-Abgeordnete-gesperrt-2730126.html
  20. Holland, M. (2015): Nach Bundestags-Hack: Parlament bekommt neue IT-Sicherheitsstruktur. URL: https://www.heise.de/news/Nach-Bundestags-Hack-Parlament-bekommt-neue-IT-Sicherheitsstruktur-2810587.html
  21. Heise (2015): Bundestag-Hack war ein Phishing-Angriff über un.org. URL: https://www.heise.de/news/Bundestag-Hack-war-ein-Phishing-Angriff-ueber-un-org-2811847.html
  22. Stöber, S. (2017): Warten auf das Leak. URL: https://www.tagesschau.de/faktenfinder/bundestagswahl-warten-leak-101.html
Jan Weymeirsch
Website | + posts

Jan ist Mitgründer von ViOffice. Er kümmert sich insbesondere um die technische Umsetzung und Wartung der Software. Seine Interessen liegen insbesondere in den Themengebieten Sicherheit, Datenschutz und Verschlüsselung.

Neben seinem Studium der Volkswirtschaftslehre, später der angewandten Statistik und seiner daran anknüpfenden Promotion, hat er jahrelange Erfahrung im Bereich Softwareentwicklung, Opensource und Serveradministration.

Schlagwörter: