Berlin. Die Sicherheitsbehörden in den USA und in Deutschland haben im Februar dieses Jahres ein globales Spionagenetz des russischen Militärgeheimdienstes GRU (Glawnoje Raswedywatelnoje Uprawlenije/Hauptverwaltung für Aufklärung) ausgeschaltet. Teil des Netzwerkes war und ist eine Hackergruppe mit der Bezeichnung „APT28“ (ATP = Advanced Persistent Threat), auch bekannt als „Fancy Bear“. Die „ATP28“-Hacker sind mindestens seit 2004 weltweit aktiv. Das Bundesinnenministerium zählt sie zu den bösartigsten Cyber-Akteuren weltweit. Ausgespäht oder infiltriert wurden (beziehungsweise werden) nach wie vor Regierungen, das Militär, Behörden und Konzerne – auch in Deutschland. Im Februar zeigte die ARD dazu die Dokumentation „Putins Bären – die gefährlichsten Hacker der Welt“, auf die wir in unserem Beitrag noch näher eingehen wollen. Im Mai schließlich äußerte sich die Bundesregierung auf eine Kleine Anfrage von BSW-Bundestagsabgeordneten zum Thema „Potenzielle Bedrohungen der nationalen Sicherheit“ – vor allem durch russische Nachrichtendienste. Auch hierzu später mehr …
Deutsche Sicherheitsbehörden haben in einer weltweit koordinierten und US-geführten Operation namens „Dying Ember“ maßgeblich dazu beigetragen, kompromittierte Netzwerkgeräte, die von dem russischen Cyber-Akteur „ATP28“ als Teil seines Spionagenetzwerks genutzt wurden, zu bereinigen. Dies geht unter anderem aus Presseerklärungen des Bundesamtes für Verfassungsschutz (BfV) und des Federal Bureau of Investigation (FBI) hervor. Die Mitteilung des FBI haben wir in unserer Bildergalerie eingebaut.
Die Gruppe „APT28“ hatte den Behördenangaben zufolge im Auftrag des russischen Militärgeheimdiensts GRU Schadsoftware auf Hunderten von kleinen Routern in Büros und privaten Haushalten installiert. Das so geschaffene Netz sollte als globale Plattform für Cyber-Spionage genutzt werden. Bundesinnenministerin Nancy Faeser gab sich kämpferisch: „Wir wissen, welche Instrumente Putins Verbrecherregime einsetzt. Unser Handeln zeigt, wie ernst die Bedrohungslage durch russische Cyber-Angriffe ist – aber auch, wie wir uns gegen diese Bedrohungen wappnen.“
Das BfV erklärte in seinem Pressestatement, dass die Hackergruppe des GRU die „gekaperte“ internationale Infrastruktur in den vergangenen zwei Jahren auch für Angriffe auf deutsche Ziele verwendet habe. „Der Fokus der Angriffe lag dabei auf Informationen über die politisch-strategische Ausrichtung Deutschlands im Zusammenhang mit Russland und Unterstützungslieferungen militärischer Güter für die Ukraine“, so der Verfassungsschutz weiter. Darüber hinaus seien auch Ziele in anderen EU- und NATO-Staaten angegriffen worden.
Wer nun sind die Hacker aus der Russischen Föderation? Wie gehen sie vor? Sind sie zu stoppen? Im Februar dieses Jahres zeigten die Verantwortlichen des YouTube-Kanals „Simplicissimus“ in Zusammenarbeit mit der ARD und dem SWR die Dokumentation „Putins Bären – die gefährlichsten Hacker der Welt“. Die Produktion, nominiert für den Deutschen Fernsehpreis 2024 in der Rubrik „Beste Dokumentation/Reportage“, gibt Antworten. Auch zum 15. Mai 2015.
An diesem Freitag vor neun Jahren wurde der Deutsche Bundestag „kurz in die kommunikative Steinzeit zurückgeklickt“, so die Münchener Nachrichtenagentur Teleschau in einem Beitrag. „Dann griffen die Parlamentarier wieder zu Kugelschreiber und Zettel – weil sich niemand traute, Computer zu benutzen.“ Die Computer der Abgeordneten waren von russischen Hackern „okkupiert“ worden. Es war einer der ersten großen öffentlich gewordenen Digital-Attacken der sogenannten „russischen Bären“ auf die Legislative eines souveränen Nachbarlandes. Rote Linien schienen Moskau zu diesem Zeitpunkt nicht mehr zu interessieren …
Der „Russische Bär“ ist (neben „Mütterchen Russland“) eine nationale Personifikation Russlands, die in Westeuropa, primär in Großbritannien, besonders oft während des Kalten Krieges verwendet worden war. Die Figur, die aus national-russischer Sicht auf die (einstige) Größe des Russischen Imperiums beziehungsweise Sowjetreiches angespielt hat (und immer noch anspielt) und dabei für „Kraft, Stärke und Dominanz“ steht, kommt in vielen russischen Symbolen und Begrifflichkeiten vor.
Die Hacker-Eliten der vier russischen Geheimdienste FSB (Federalnaja sluschba besopasnosti Rossijskoi Federazii/Föderaler Dienst für die Sicherheit der Russischen Föderation), SWR (Sluschba Wneschnei Raswedki Rossijskoi Federazii/Dienst für Außenaufklärung), GRU (Hauptverwaltung für Aufklärung) sowie FSO (Federalnaja Sluschba Ochrany Rossijskoi Federazii/Föderaler Dienst zur Bewachung des Präsidenten und der Regierung) tragen die Codenamen „Fancy Bear“, „Cozy Bear“ oder „Voodoo Bear“ – wahrscheinlich gibt es weitere Tarnnamen mit „Bären“-Bezug.
Zurück zur Doku der ARD und zum massiven Angriff auf den Bundestag 2015. Diese Operation war damals so erfolgreich, dass ein Mitglied der russischen Hackergruppe „Fancy Bear“ sogar dem Rechner der damaligen Bundeskanzlerin Angela Merkel „einen Besuch“ abstattete. Wie später von IT-Experten ermittelt werden konnte, wurde von den Russen vorübergehend das gesamte Bundestagsnetzwerk „übernommen“. Dabei wurden 16 Gigabyte Daten kompromittiert (und „abgesaugt“) – betroffen könnten, so Fachleute, „bis zu 200.000 E-Mails“ gewesen sein.
Als das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn wegen der Cyber-Attacke aktiv wurde, berichtete am selben Tag auch das Nachrichtenmagazin DER SPIEGEL über das Desaster. Erst da erfuhren die meisten Bundestagsabgeordneten von dem Hack. „Die Hölle brach los“, heißt es in der ARD-Dokumentation. Und: „In dem entstehenden Chaos und der Ratlosigkeit erfolgte die Weiterleitung von wichtigen Informationen tatsächlich zunächst wieder auf Papier.“
Auch in den USA demonstrierten „die Bären“, dass zuvor Undenkbares nun denkbar war: Sie infiltrierten 2016 die Parteizentrale der Demokratischen Partei und erbeuteten dabei mehr als 50.000, zum größten Teil hochsensible E-Mails. Wie die Teleschau anmerkte: „Darunter auch geheime Dossiers über Donald Trump, der sich gerade anschickte, vom verspotteten zwielichtigen Geschäftsmann zum 45. Präsidenten der Vereinigten Staaten von Amerika zu werden.“
Die Münchener Nachrichtenagentur weiter: „Mit den erbeuteten Dokumenten startete ,Fancy Bear‘ eine sogenannte ,Hack and Leak‘-Aktion: erst Daten stehlen, die dann spektakulär veröffentlichen und sich zu guter Letzt am angerichteten Chaos erfreuen. Und das Chaos war [aus russischer Sicht] perfekt. Hillary Clintons Wahlkampf wurde sabotiert und es gab stattdessen – zumindest indirekt – weiteren Rückenwind für die Trump-Kampagne. Was den Interessen von Russlands Staatschef Wladimir Putin mutmaßlich sehr dienlich war.“
Am Digital-Coup in den USA waren diesmal zwei Bären beteiligt: Neben „Fancy Bear“ hatte sich 2016 auch „Cozy Bar“ in den Netzwerken der Parteizentrale der Demokraten auf Daten-Jagd herumgetrieben.
Dass Putin jegliche Beteiligung an, ja jegliches Wissen über die Hacker-Aktionen abstreitet, dürfte nicht überraschen. Im Dezember 2016 im Interview mit der US-Senderkette NBC News und auch bei seiner damaligen Jahrespressekonferenz in Moskau verneinte der Kreml-Chef kategorisch eine Einmischung seiner Dienste in die Belange anderer Staaten. Er ging dabei so weit anzudeuten, dass möglicherweise US-Geheimdienste hinter dem Cyber-Angriff auf die Computer des Democratic National Committee stecken könnten, um anschließend Russland zu beschuldigen.
Mit dem Themenkomplex „Cyber-Angriffe und Spionageabwehr“ befasst sich auch eine neunseitige Antwort der Bundesregierung vom 24. Mai dieses Jahres auf eine Kleine Anfrage der Gruppe BSW im Bundestag. Angefragt hatten unter anderem die Parlamentarier Ali Al-Dailami, Christian Leye und Sahra Wagenknecht. Sie wollten mehr in Erfahrung bringen über die „Potenziellen Bedrohungen der nationalen Sicherheit durch ausländische Mächte sowie [über] öffentliche Aufträge an frühere Geschäftspartner des flüchtigen Wirecard-Managers Jan Marsalek“.
Marsalek, seit Jahren per Haftbefehl international gesuchter Ex-Vorstand des kollabierten deutschen Finanzdienstleisters Wirecard AG, wird inzwischen von der Karlsruher Bundesanwaltschaft auch der Spionage für Russland bezichtigt. Laut einem SPIEGEL-Bericht vom 28. Juni dieses Jahres soll Generalbundesanwalt Jens Rommel die Ermittlungen gegen den früheren Wirecard-Vorstand eingeleitet haben.
Der in München-Aschheim ansässige ehemalige Dax-Konzern Wirecard war im Juni 2020 zusammengebrochen, als aufflog, dass auf Treuhandkonten in Asien 1,9 Milliarden Euro fehlten. Die Pleite gilt als eine der größten Finanzskandale der deutschen Nachkriegsgeschichte. Es laufen mehrere Straf- und Zivilverfahren gegen frühere Manager. Die Spur von Marsalek verlor sich zunächst in Belarus, später wurde er unter wechselnden Identitäten in Russland ausgemacht.
In der Vorbemerkung ihrer Kleinen Anfrage weisen die BSW-Politiker ausdrücklich auf die „Verletzlichkeit der Bundesrepublik Deutschland bei der Kommunikationsinfrastruktur im Cyber-Raum“ hin. So habe unter anderem das Parlamentarische Kontrollgremium in der Vergangenheit „mehrfach auf russische Spionage- und Desinformationsaktionen hingewiesen und auf die damit verbundenen Gefahren aufmerksam gemacht“. Das Gremium des Bundestages erwarte von der Regierung, so die Fragesteller, „den zahlreichen Sachverhalten, die ebenfalls in diese Richtung deuten, proaktiv und entschlossen nachzugehen – auch um Muster zu erkennen“.
Die Parlamentarier befassen sich in diesem Zusammenhang in ihrer Kleinen Anfrage auch mit der Gemengelage um das Milliarden-Desaster von Wirecard und die zum Großteil immer noch völlig unklaren Marsalek-Aktivitäten dabei. Hinzu kommen die immer stärker werdenden Hinweise auf rätselhafte Spionagetätigkeiten des Ex-Wirecard-Vorstandes – offenbar an den Fäden Moskaus. Eine große Rolle bei diesem Teilaspekt der Causa „Jan Marsalek“ spielen dessen Verbindungen zu Geschäftspartnern vor allem in Deutschland und Österreich. Diese wiederum waren hauptsächlich interessiert an Geschäftsbeziehungen mit staatlichen Stellen, die vor allem mit Software-Lösung beliefert werden konnten.
Wirecard-Debakel, Marsalek-Flucht, Spionage-Vorwürfe, hochsensible IT-Deals mit staatlichen Auftraggebern – eine brisante Gemengelage, angesichts der sich die Bundesregierung von den Volksvertretern der BSW fragen lassen musste, ob vor Aufnahme „etwaiger Geschäftsbeziehungen“ tatsächlich auch eine zum „Schutz nationaler Sicherheitsinteressen erforderliche [Zuverlässigkeitsprüfung]“ erfolgt sei.
Al-Dailami, Leye und Wagenknecht erinnerten in ihrer Kleinen Anfrage zudem daran, dass bereits der frühere BSW-Abgeordnete Fabio De Masi (seit Juli 2024 Mitglied des Europäischen Parlaments) im April 2021 im Wirecard-Untersuchungsausschuss des Bundestages den einstigen Bundesminister der Finanzen und heutigen Bundeskanzler Olaf Scholz sowie dessen Vorgängerin im Amt, Bundeskanzlerin a.D. Angela Merkel, in den Befragungen (Scholz am 22. April und Merkel am 23. April) mit wichtigen Informationen zum Fall „Marsalek“ konfrontiert habe.
De Masi habe bei diesen Terminen im Ausschuss darauf hingewiesen, dass der damalige Hauptgesellschafter der Firma Virtual Solution, Nicolaus von Rintelen, unter anderem geschäftliche Beziehungen zu einem russischen Oligarchen und zeitgleich zu Wirecard-Manager Marsalek und dessen nachrichtendienstlichem Umfeld unterhalten habe. Virtual Solution (heute Materna Virtual Solution, München), tätig auf dem Felde der Cyber-Sicherheit, hat vor allem die mobile Kommunikation von Bundesministerien und zahlreichen Bundesbehörden via Sicherheitslösung „SecurePIM“ verschlüsselt, auch die der Bundeswehr.
Wie schon bei dem Cyber-Security-Unternehmen Virtual Solutions, so wurde später noch ein weiterer Auftrag im Sicherheitsbereich – sprich für die Bundeswehr – an das geschäftliche Umfeld des heute nach wie vor flüchtigen Marsalek vergeben. Der Europapolitiker De Masi äußerte sich Ende 2002 dazu gegenüber dem Wirtschaftsmagazin Capital wie folgt: „Leider drängt sich der Verdacht auf, dass unsere Sicherheitsbehörden mit dem von Interpol gesuchten [Ex-Manager von Wirecard] enger vertraut waren.“
Bei dem zweiten Auftrag handelt es sich um das Software-Projekt „Future Analysis Cooperation System“, kurz FACT. Das Foresight-Tool, mittlerweile („ohne Beanstandungen“, so das Bundesministerium der Verteidigung gegenüber Capital) bei der Truppe im Einsatz, stammt von dem 2016 in Berlin gegründeten Start-up 4strat.
Hierzu wusste Capital zu berichten: „Bei der Truppe hat das FACT-Projekt einen langen Vorlauf. Schon im Jahr 2010 war ein Vorläuferprojekt im Planungsamt der Bundeswehr gestartet, zuständig dort das Dezernat ,Zukunftsanalyse‘. Das Ziel: die Einführung einer webbasierten Software, mit der sich die globalen Trends und Szenarien, die Auswirkungen auf Deutschlands Sicherheit haben, analysieren lassen – von Militärstrategien anderer Staaten über die Verfügbarkeit von Rohstoffen bis hin zur Entwicklung der Inflation. Die IT-Plattform soll den Planern der Bundeswehr dabei helfen, aus Hunderten Einflussfaktoren konkrete Bedrohungsszenarien zu simulieren und Strategien abzuleiten, wie sich die Truppe in den kommenden 10, 20 oder 30 Jahren aufstellen soll – etwa was den Zuschnitt ihrer Verbände oder ihre Ausrüstung angeht. Nicht nur mit Blick auf die aktuelle Konfrontation mit Russland ein hochsensibler Bereich.“
Bei 4strat waren von Anfang an zwei Personen maßgeblich in den Bundeswehr-Deal involviert, die über Jahre Geschäftskontakte mit Marsalek unterhalten hatten. Dazu noch einmal Capital: „Bei dem einen handelt es sich um einen Berater [nach Recherchen des bundeswehr-journal war dies Wolfgang Gattringer], der bis Ende 2006 als Vize-Kabinettschef im ÖVP-geführten Bundesinnenministerium Österreichs diente, später die Beratungsfirma Repuco gründete und über exzellente Drähte zu Sicherheitsbehörden verfügte.“ Die Repuco Unternehmensberatung GmbH ist heute Teil der in Wien basierten msg Plaut Gruppe. Über den zweiten Unternehmer, ein Professor der Informatik [nach Recherchen des bundeswehr-journal war dies Prof. Dr. Thomas Grechenig], schreibt Capital: „[Er ist] Eigentümer des IT-Unternehmens Research Industrial Systems Engineering (RISE) mit Hauptsitz in Schwechat bei Wien; RISE betreut unter anderem IT-Projekte für öffentliche Auftraggeber.“
Bereits im August 2022 hatte in Österreich David Stögmüller, seit dem 23. Oktober 2019 Abgeordneter der Grünen zum Nationalrat, eine schriftliche Anfrage zu Wirecard-Mitbegründer Marsalek und dessen Netzwerk an den damaligen Bundesminister für Inneres gerichtet. Stögmüller (Schwerpunkt seiner politisch-parlamentarischen Arbeit unter anderem die Landesverteidigung) führte in seiner Anfrage aus: „Wolfgang Gattringer ist Geschäftsführer der RISE GmbH sowie ,Mitglied des Managementteams‘ (zumindest bis März 2022) der msg Plaut Austria GmbH, die […] die Repuco Unternehmensberatung GmbH [aufgekauft hatte].“ Und: „Aus unzähligen E-Mails, die [dem Anfragesteller] vorliegen, geht hervor, dass Gattringer seit Jahren enge Verbindungen zu Jan Marsalek pflog und als dessen Vertrauter und Duzfreund galt. Sowohl über die Repuco Unternehmensberatung GmbH als auch über die RISE GmbH arbeiteten die beiden jahrelang zusammen.“
Der österreichische Abgeordnete schlussfolgerte, die engen Verbindungen Gattringers und dessen Firmen msg Plaut Austria und RISE zu Marsalek und Wirecard würden „aus sicherheitspolitischer Sicht große Fragen“ aufwerfen. Ähnlich muss es den Bundestagsabgeordneten der Gruppe BSW mit ihrer Kleinen Anfrage an die deutsche Bundesregierung gegangen sein.
Alles in allem hatten die Parlamentarier einen elf Fragen umfassenden Katalog formuliert. Die Antworten der Bundesregierung waren – wie zu erwarten – durchgängig zurückhaltend, teilweise ausweichend, insgesamt wenig erhellend.
Aussagekräftig war noch die Regierungsantwort auf die Frage 1 der BSW-Vertreter. Al-Dailami, Leye und Wagenknecht wollten wissen: „Welche Konsequenzen für ihr eigenes Handeln zieht die Bundesregierung aus der Auffassung des Parlamentarischen Kontrollgremiums der Nachrichtendienste, wonach .Sachverhalte aus der Vergangenheit (…) vor dem Hintergrund einer russischen Makrostrategie gegebenenfalls neu betrachtet werden‘ müssten?“
Die Bundesregierung warnt seit vielen Jahren vor den verstärkt von russischen Nachrichtendiensten ausgehenden Gefahren, heißt es in der Antwort. Vor diesem Hintergrund sei beispielsweise bereits vor längerer Zeit damit begonnen worden, das Bundesamt für Verfassungsschutz/BfV mit konkreten Maßnahmen im Bereich der Spionageabwehr darauf auszurichten. Dazu zählten unter anderem auch die Bildung neuer Schwerpunktreferate im Bereich „Russland“. Diese Referate evaluierten jetzt die Gesamtlage fortlaufend und bewerteten bei Vorliegen neuer Erkenntnisse auch in der Vergangenheit liegende Sachverhalte neu. Es fände in solchen Fällen national wie international ein intensiver Austausch statt, versichert die Regierung.
Die von den Fragestellern in ihrer mehr als vier Seiten umfassenden Vorbemerkung detailreich erörterten Marsalek-Verbindungen zu Bundeswehr-Auftragnehmern aus dem IT-Bereich beantwortet die Bundesregierung sehr restriktiv. Sie befasst sich dabei in ihrer Antwort in der Hauptsache mit der „prüfbaren technischen Sicherheit der vorliegenden Software“.
So meint die Regierung beispielsweise bei der Softwarelösung „SecurePIM Government SDS“ der Firma Virtual Solution AG, es gebe keinen Anlass zur Neubewertung der Produkte und Dienstleistungen des Herstellers (der sich mittlerweile auch in anderer gesellschaftlicher Hand befindet). Bei der 4strat GmbH – zur Erinnerung: Vorhersage-Software FACT – gebe es keine Anhaltspunkte, die die Zuverlässigkeit der Firma als Lieferant der Bundeswehr in Frage stellen würden.
Auch Prof. Dr. Thomas Grechenig erhält eine regierungsamtliche Unbedenklichkeitsbescheinigung – trotz Marsalek und dessen rätselhaften Moskau-Verbindungen. Die Sicherheit der [von Grechenig und seinem Team] entwickelten Softwareprodukte […] sei zu jeder Zeit transparent für […] das Bundesamt für Sicherheit in der Informationstechnik nachvollziehbar, so die Bewertung.
Am heutigen Donnerstag (5. September) veröffentlichte das Bundesamt für Verfassungsschutz eine Presseerklärung mit der Überschrift „Gemeinsamer Sicherheitshinweis zu Cyberaktivitäten der russischen GRU-Einheit 29155“. Wir dokumentieren den Text, der sich inhaltlich nahtlos an unseren Beitrag einfügt, in Auszügen:
Der Sicherheitshinweis von FBI (Federal Bureau of Investigation), CISA (Cybersecurity and Infrastructure Security Agency), NSA (National Security Agency) sowie dem BfV (Bundesamt für Verfassungsschutz) und weiteren internationalen Partnern informiert über weltweite russische Cyber-Aktivitäten unter anderem gegen Kritische Infrastrukturen. Darin wird eine russische Cyber-Gruppierung, die nach Erkenntnissen der amerikanischen Dienste mit der russischen Militäreinheit „29155“ der GRU in Verbindung steht, benannt. Dabei handelt es sich um „UNC2589“, auch bekannt als „UAC-0056“, „Cadet Blizzard“ oder „Ember Bear“.
Das BfV erklärt: Die Militäreinheit „29155“ ist bekannt durch Aktivitäten wie etwa Sabotage-Operationen und Mordanschläge. Mitglieder der Einheit sollen auch für den Giftanschlag auf Sergei Skripal im Jahr 2018 verantwortlich sein. Seit 2020 führt die Einheit auch Cyber-Angriffe durch und erweitert ihre dahingehenden Fähigkeiten kontinuierlich. Dabei werden auch nicht-staatliche Akteure wie Cyber-Kriminelle in Operationen eingebunden. Die Cyber-Angriffe dienen der Spionage, der Sabotage und gehen häufig mit der Verunstaltung von Websites und der Veröffentlichung gestohlener Daten einher (sogenannte „Defacement“- beziehungsweise „Hack and Leak“-Operationen). […]
Laut BfV […] soll der Akteur auch Netzwerke in NATO-Mitgliedsstaaten in Europa und Nordamerika sowie Ländern in Lateinamerika und Zentralasien angegriffen haben. Die Aktivitäten umfassten sowohl destruktive Handlungen als auch Scanning und Datendiebstahl. Unter den bekannten Zielen befinden sich Kritische Infrastruktur sowie Regierungsstellen und Firmen aus den Bereichen Finanzen, Transport, Energie und Gesundheit. Seit Anfang 2022 scheint die primäre Absicht des Akteurs darin zu bestehen, Hilfsleistungen für die Ukraine auszukundschaften und zu stören. Es wurden bereits mehr als 14.000 Fälle von Domain-Scanning in 28 NATO- und EU-Ländern registriert, darunter auch Deutschland.
In der Dokumentation „Putins Bären – die gefährlichsten Hacker der Welt“ berichten die Macher des 64 Minuten dauernden Beitrages über die Eliteeinheiten russischer Dienste mit den Codenamen „Fancy Bear“ oder „Cozy Bear“. Im Visier der Hacker bisher: unter anderem der Deutsche Bundestag 2015, die US-Wahlen 2016 und aktuell die Ukraine.
Das Video ist in der ARD-Mediathek verfügbar bis zum 21. Februar 2026 (9 Uhr). Bis dahin erreichbar über folgende Verlinkung:
https://www.ardmediathek.de/video/putins-baeren/putins-baeren-die-gefaehrlichsten-hacker-der-welt/swr/Y3JpZDovL3N3ci5kZS9hZXgvbzIwMDQ0NjI
und
https://www.ardmediathek.de/film/Y3JpZDovL3N3ci5kZS9zZGIvc3RJZC8xNTg4
Das in unserem Beitrag behandelte Hackerkollektiv „APT28“ des russischen Militärgeheimdienstes GRU tritt auch in Erscheinung unter der Bezeichnung „Sofacy Group“. Die Gruppe (Experten bezeichnen die Mitglieder als „ursprünglich patriotische pro-russische“ IT-Spezialisten) ist auch bekannt unter dem Namen „Fancy Bear“. Als Einheit des Militärgeheimdienstes findet sich oft auch die Bezeichnung „26165“.
Thomas Reinhold, wissenschaftlicher Mitarbeiter des Leibniz-Instituts für Friedens- und Konfliktforschung PRIF, schreibt in einem Beitrag für die Website https://cyber-peace.org (Projekt „Cyber Peace – Vertrauensbildung, Abrüstung und Verifikation im Cyberspace“ der TU Darmstadt) über die „Sofacy Group“: „Die Gruppe soll 2008 mit Cyber-Attacken gegen das georgische Innenministerium erstmals in Erscheinung getreten sein. Entdeckt wurden die Aktivitäten im Rahmen von Untersuchungen […] des Unternehmens Trend Micro im Oktober 2014. Nachdem die unterschiedlichen Cyber-Attacken zunehmend für außenpolitische Spannungen sorgten und es Warnungen an Russland wegen des offensiven Auftretens der Hackergruppe gab, wurde Russland 2018 durch Großbritannien und die USA offiziell als staatlicher Urheber der Cyber-Attacken beschuldigt. Den Anschuldigungen wurden dabei Erkenntnissen der Regierungen und des federführenden britischen National Cyber Security Centre (NCSC) zugrunde gelegt, die mit ,high confidence‘ den russischen militärischen Nachrichtendienst als ,alm Ost certainly responsible‘ identifiziert haben wollen.“
Reinhold führt weiter aus: „Den Vorwürfen schlossen sich in der Folge offiziell auch Australien, Deutschland, die Niederlande und schließlich die NATO an. Das Außenministerium Russlands wies die Vorwürfe jedoch ,als haltlos und Gegenstand einer Fantasie und Spionage-Manie‘ zurück. […] In der Vergangenheit hatte die russische Regierung stets abgestritten, direkt durch staatliche Einrichtungen für derartige Attacken verantwortlich zu sein und stattdessen auf besagte ,zivile, patriotische Hacking-Gruppen‘ verwiesen, die nicht unter dem Einfluss der russischen Regierung stehen würden. Eine Zurechnung der Verantwortlichkeiten hätte aufgrund internationaler Abkommen und völkerrechtlicher Regelungen eine erhebliche Tragweite und Konsequenzen.“
Die Einheit „26165“ beziehungsweise „Sofacy Group“ (oder auch „APT28“ und „Fancy Bear“) soll unter anderem verantwortlich sein für folgende Cyber-Angriffe:
– 2014: Angriffe der GRU-Gruppe unter anderem auf europäische Rüstungsmessen wie die Euronaval, die Eurosatory, die Counter Terror Expo und die Farnborough International Airshow;
– April 2015: Hacking-Attacken gegen IT-Systeme und Konten bei Social-Media-Diensten eines französischen Fernsehsenders;
– Frühjahr 2015: Hacking-Attacke auf IT-Systeme der Bundestagsfraktion der Linken und auf das Kommunikations- und IT-System PARLAKOM des Deutschen Bundestages;
– 2016: Hacking-Attacke auf das National Committees der Demokraten im Zuge der US-Präsidentschaftswahlen 2016 und damit verbunden die mutmaßlich russische Beeinflussung des Wahlkampfs in den Vereinigten Staates zugunsten von Donald Trump;
– 2017: Malware-Welle „NotPetya“ auf Grundlage des „EternalBlue-Zero-Day-Exploits“ (die Regierungen der Vereinigten Staaten, des Vereinigten Königreichs und Australiens schreiben „NotPetya“ nach Stellungnahmen von 2018 der Russischen Föderation zu – die Software sei von Russland eingesetzt worden, um die Ukraine zu destabilisieren, hieß es in den offiziellen Statements);
– 2018: Hacking-Versuch auf die Chemiewaffenkontroll-Organisation OPCW;
– Januar 2023: Hacker-Angriff durch „ATP28“ auf die SPD-Parteizentrale in Berlin;
– August 2024: „ATP28“-Attacke auf die Deutsche Flugsicherung (DFS);
– September 2024: Versuch der russischen Hacker, eine Fake-Website des Kieler Instituts für Weltwirtschaft (IfW) im Internet zu platzieren.
Besuchen Sie uns auf https://twitter.com/bw_journal
Zu unserem Bildmaterial:
1. Die im Februar 2024 erstmalig ausgestrahlte Dokumentation „Putins Bären – die gefährlichsten Hacker der Welt“ ist für den Deutschen Fernsehpreis 2024 in der Rubrik „Beste Dokumentation/Reportage“ nominiert. Sie wurde produziert von den Verantwortlichen des YouTube-Kanals „Simplicissimus“ in Zusammenarbeit mit der ARD beziehungsweise dem SWR. Der SWR stimmt mit der Grafik auf die Doku ein.
(Bild: Simplicissimus, SWR, ARD; grafische Bearbeitung und Bildmontage: mediakompakt)
2. FBI-Pressemitteilung vom 27. Februar 2024 zur internationalen konzertierten Aktion verschiedener Behörden und Institutionen gegen die Hackergruppe „APT28“ des russischen Militärgeheimdienstes GRU. Beteiligt an der Operation war auch das Bundesamt für Verfassungsschutz.
(Bild: Cyber-Security Advisory JCSA-20240227 des FBI; grafische Bearbeitung und Bildmontage: mediakompakt)
3. Fahndungsbilder der deutschen Sicherheitsbehörden von Jan Marsalek, flüchtiger Wirecard-Manager und möglicher Mitarbeiter russischer Dienste. Im Juni 2024 wurde bekannt, dass die Generalbundesanwaltschaft Marsalek verdächtigt, für Moskau spioniert zu haben.
(Bilder: Bundeskriminalamt; grafische Bearbeitung und Bildmontage: mediakompakt)
4. Russlands Präsident Wladimir Putin hat immer jegliches Wissen über Hacker-Aktionen seiner Dienste gegen den Westen verneint beziehungsweise derartiges Vorgehen strikt abgestritten. Zu hören und sehen war dies unter anderem im Dezember 2016 im Interview mit der US-Senderkette NBC News und auch bei seiner damaligen Jahrespressekonferenz in Moskau.
(Bildschirmfoto: Quelle Online-Auftritt des US-Senders NBC; Grafik und Bildmontage: mediakompakt)
Unser Großbild auf der START-Seite zeigt die Symboldarstellung „Cyber-Welt“ aus dem Bildangebot von Pixabay.
(Foto: Wolfgang Eckert/unter Pixabay License = freie kommerzielle Nutzung, kein Bildnachweis erforderlich; grafische Bearbeitung: mediakompakt)