Russische Hacker:Der Spion, der aus dem Rechner kam

Computer Hacker

Nicht alle Hacker arbeiten in dunklen Räumen mit schummriger Neon-Beleuchtung. Die wenigsten tragen dabei Handschuhe.

(Foto: Oliver Berg/dpa)

Kaum ein Land beherrscht die Kunst des Hackens so wie Russland. Dieser Wissensvorsprung hat eine Vorgeschichte, die in Deutschland beginnt.

Von Georg Mascolo und Hakan Tanriverdi

Wie beginnt die Geschichte vom Aufstieg Russlands zur Cyber-Großmacht, die - so lauten Vorwurf und Klage - Wahlen in den USA manipuliert, sich mit raffinierten digitalen Einbruchswerkzeugen in den Bundestag und das besonders geschützte deutsche Regierungsnetz hackt?

Sie beginnt mit einem Toten. Im Frühsommer 1989 wird er in einem Wald in der Nähe der niedersächsischen Stadt Gifhorn gefunden. Die Leiche ist verbrannt, neben ihr findet sich ein Klumpen Kunststoff. Die Polizei wird sagen, dass dies der Kanister war, aus dem sich das Opfer mit Benzin übergossen habe, bevor es sich selbst verbrannte.

Der Tote wird als Karl Koch identifiziert, ein Schulabbrecher, drogensüchtig, aber ein früher Virtuose am Computer. Koch war ein Hacker, der zeitweilig gemeinsam mit einer Gruppe von Freunden dem sowjetischen Geheimdienst KGB zugearbeitet hatte. Ziemlich bekifft und pleite waren Mitglieder der Gruppe Jahre zuvor nach Ost-Berlin gefahren und hatten den Sowjets ihre Dienste angeboten. Sie könnten in geheime amerikanische Datensysteme eindringen. Die Skepsis war anfangs groß, aber dann ließ sich ein KGB-Mann namens Sergej überzeugen. Man könne es ja einmal probieren.

"Ganz neue Qualität gegnerischer Ausspähung"

Die Sache flog auf, vom "größten Spionagefall seit Günter Guillaume" war die Rede. Das war übertrieben, aber in den Archiven findet sich bis heute der Satz des damaligen Präsidenten des Verfassungsschutzes. Man habe es "hier ganz sicherlich mit einer neuen Qualität gegnerischer Ausspähung unserer Datennetze zu tun".

Fast 30 Jahre später hört man diesen Satz ziemlich oft.

Die damalige KGB-Operation ist der erste amtlich verzeichnete Fall staatlicher Computerspionage, der Fall Karl Koch kam in den Neunzigerjahren unter dem Titel "23 - Nichts ist so wie es scheint" in die Kinos. Mithilfe eines "Haufens vollgedröhnter deutscher Hacker", so schreibt es der britische BBC-Sicherheitsexperte Gordon Corera in seinem Buch "Cyberspies", habe das KGB vor allen anderen das Potenzial dieser Form der Spionage erkannt.

In Moskau wurde früh erkannt, dass der Computer die Welt beherrschen würde

Ausgerechnet Russland. Das Land der brillanten Mathematiker, Physiker und Schach-Großmeister. Einerseits. Andererseits telefonieren und kommunizieren seine eigenen Bürger mit amerikanischen, koreanischen, chinesischen Computern und Handys. Keiner der ganz großen Internet-Weltkonzerne hat seinen Sitz in Moskau oder Sankt Petersburg. Aber in allen größeren Städten gibt es Apple-Stores.

Und doch würde Russland heute keinen Karl Koch mehr benötigen. Ganze "Digitalarmeen aus dem Osten" stünden inzwischen bereit, schreibt der Spiegel. Westliche Geheimdienste sind davon überzeugt, dass diese seit Jahrzehnten angeheuert und trainiert wurden, geduldig habe Russland seine Kapazitäten im Cyberbereich aufgebaut. Weil in Moskau früh erkannt wurde, dass der Computer die Welt revolutionieren würde. Und in der Welt der Spionage kein Stein mehr auf dem anderen bleiben würde.

Der Computer und der Spion haben eine lange Geschichte. Zu den ersten Rechnern gehörten jene, die zu Beginn des Zweiten Weltkrieges entwickelt wurden, um die militärischen Codes der deutschen Verschlüsselungsmaschine "Enigma" zu knacken. Der Coup half den Alliierten, Hitler-Deutschland niederzuringen. Briten und Amerikaner hatten die Geräte entwickelt, die Sowjetunion blieb außen vor. Der Wettlauf begann.

Der Osten fiel zurück, im Kalten Krieg war für den KGB und seinen ostdeutschen Partner, die Stasi,das Stehlen von Computertechnologie neben militärischen Geheimnissen die wichtigste Aufgabe. Ganze Abteilungen arbeiteten auf Bestellung der hoffnungslos unterlegenen osteuropäischen Technologiekombinate. Es war einer der größten Raubzüge des industriellen Zeitalters. Einer, der als junger KGB-Offizier, Dienstsitz Dresden, wohl auch mit diesen Aufgaben betraut war, heißt Wladimir Putin.

Merkel soll Putin gewarnt haben, gestohlene Daten aus dem Bundestag einzusetzen

Das Entschlüsseln militärischer Codes gilt bis heute bei Geheimdiensten als das erste goldene Zeitalter der Überwachung. Inzwischen ist die zweite Ära angebrochen. Kaum ein Geheimnis, ein privates Detail, eine Entdeckung, die Menschen nicht elektronisch versenden oder abspeichern. Handys und Computer sind, jedenfalls aus Sicht der Geheimdienste, großartige Quellen. Sie wollen kein Geld, keinen Zuspruch, sie kennen weder Zweifel noch Skrupel. Die Wanze hörte auf zu senden, wenn die Batterie erschöpft war. Heute hängt der Ausgespähte das Gerät selbst an die Steckdose. Die Datenmenge, die sich stehlen lässt, ist enorm, das Risiko aber vergleichsweise gering. Der Spion bricht keine Türen und Panzerschränke auf. Er sitzt an einer Tastatur.

Natürlich existieren raffinierte Firewalls, Viren-Erkennung, hoch entwickelte Abwehrprogramme. Aber in der digitalen Welt gilt ziemlich oft eine alte Faustregel der Militärs: Den Wettlauf zwischen Geschoss und Panzerung gewinnt immer das Geschoss. Die drei goldenen Regeln der Computersicherheit beschrieb einer der führenden Köpfe der NSA einmal so: Schaff dir keinen Computer an. Schalte ihn nicht ein. Nutze ihn nicht.

Die Sowjetunion war technologisch in den meisten Bereichen hoffnungslos unterlegen, in der Spionage aber stets Weltspitze. Russland folgt der Tradition. Wie also funktioniert ihre Cyberspionage? Fragt man im Westen, dann entsteht das Bild von agilen Hackern, die entweder direkt bei den russischen Geheimdiensten sitzen oder aber eng mit ihnen verbunden sind. Viele scheinen es aus Patriotismus zu tun oder für Geld.

Psychologischer Druck auf Hacker

Andere, so berichtete es einmal der inzwischen verstorbene Computerspezialist Kris Kaspersky der SZ, würden gezwungen: "Einen Kumpel von mir haben sie in ein dunkles Loch eingesperrt, er konnte weder stehen noch sitzen, kein Essen, kein Wasser. Irgendwann hat er der Heimat Ja gesagt." So schildert es per Chat mit der SZ auch Dmitry Artimovich. 2013 habe ihn ein Zellengenosse angesprochen, ob er denn nicht für den Staat arbeiten wolle. Andernfalls könne es ein hartes Urteil gegen ihn geben. Artimovich lehnte ab. "Natürlich wurde daraufhin weiter psychologischer Druck ausgeübt."

Die Gruppen - der "schicke Bär" ("Fancy Bear") und der "gemütliche Bär" ("Cozy Bear") - sind nun oft in den Schlagzeilen. In der vergangenen Woche war es die "Schlange" ("Snake"), die es über die Bundesakademie für öffentliche Verwaltung in Brühl bis zu den Rechnern in der für Russland zuständigen Abteilung des Auswärtigen Amtes geschafft haben soll. Das deutsche Regierungsnetz wurde kompromittiert. Die Hacker-Einheiten werden unterschiedlichen russischen Geheimdiensten zugeordnet. Snake gilt als die raffinierteste Truppe. "Ich habe mich gefühlt wie ein kleines Kind, das den großen Jungs beim Skateboarden zuschaut und erkennt, was die für Tricks draufhaben, was überhaupt möglich ist," sagt einer, der eine frühe Version der Software bereits 2007 analysierte.

Wer steckt hinter einem Angriff? Das ist schwer zu sagen

Beweise dafür, dass die Gruppen für den russischen Staat arbeiten, sind bisher nicht öffentlich geworden, was die westlichen Geheimdienste an Belegen gesammelt haben, bleibt weitgehend unter Verschluss. Man will den Hackern nicht zeigen, was man über sie und ihre Methoden bereits weiß. Nur Bruchstücke dringen heraus: Etwa, dass die Angriffe auffällig häufig zu den Bürozeiten in Moskau oder St. Petersburg stattfinden. Oder dass IT-Experten angeblich einmal beobachten konnten, wie Daten, die mit der Schadsoftware der "Fancy Bear"-Gruppe abgegriffen wurden, auf einem Server in jenem Moskauer Gebäudekomplex endeten, in dem der militärische Geheimdienst GRU sitzt.

Ein echter Coup scheint dem niederländischen Nachrichtendienst AVID gelungen zu sein: Dessen Hacker sollen in Server eingedrungen sein, die in einem Universitätsgebäude nahe dem Roten Platz standen. Offenbar gehören sie zur "Cozy Bear"-Gruppe, und die Niederländer sollen sogar beobachtet haben, wie sie von dort aus im amerikanischen Präsidentschaftswahlkampf die Demokratische Partei hackten. Selbst in die Überwachungskameras sollen die Niederländer vorgedrungen sein und so inzwischen einige der Hacker identifiziert haben.

Auch die sogenannte "geopolitische Cui-Bono-Analyse" spielt eine Rolle - wem nützt der Angriff? Damit kann man richtigliegen. Oder es geht einem wie dem Polizeichef in "Casablanca", der die Verhaftung der "üblichen Verdächtigen" anordnete. In der Cyberwelt muss nichts so sein, wie es scheint. Fragt man Vertreter der russischen Regierung, so sprechen sie von einer Kampagne: "Wir nehmen mit Bedauern zur Kenntnis, dass alle Hackerangriffe in der Welt mit russischen Hackern in Verbindung gebracht werden," erklärte vergangene Woche Kreml-Sprecher Dmitrij Peskow.

Hacker, die wie Künstler sind

Wenn die digitalen Spuren eindeutig Richtung Osten weisen, gilt ein zweites Erklärungsmuster: Patriotische Russen, so umschrieb es Putin, könnten dahinterstecken, junge Russen, die aus Überzeugung oder Empörung gegen den Westen losziehen. Hacker, so der russische Präsident, seien wie "Künstler, die ihre Ziele danach auswählen, wie sie sich morgens fühlen, wenn sie aufwache". Solche Geschichten kennt inzwischen auch die Bundesregierung. Nach dem digitalen Einbruch in den Bundestag 2015 folgte ein informeller Protest, darauf ein Dementi des Kreml. Allerdings: Was patriotische Hacker tun, könne man nun auch nicht beeinflussen.

Bleibt die Frage, wie viel Aufregung eigentlich berechtigt ist. Was und wo ausspioniert wird, entscheidet jedes Land nach politischer Risikobereitschaft und tatsächlichen Fähigkeiten. Die NSA hört(e) die Kanzlerin ab. Eine der am schnellsten wachsenden Unterabteilungen des Bundesnachrichtendienstes, T 4, beschäftigt sich mit dem Eindringen in fremde Datennetze. Erfolgreich. Russland steht ganz oben auf der Liste der Ziele.

Angst und Empörung des Westens speisen sich vor allem aus dem Verdacht, dass Russland nicht nur spioniert, sondern sich im Netz genauso aggressiv aufführt wie in der wahren Welt. Beweisstück "A" ist jedenfalls aus Sicht der amerikanischen Geheimdienste und der bei der Präsidentschaftswahl unterlegenen Demokraten das Hacken umfangreicher Bestände von E-Mails, die dann gezielt geleakt wurden, um Hillary Clinton zu schaden. Politische Sabotage, in Geheimdienstkreisen "aktive Maßnahme" genannt. Es ist der Versuch, einen politischen Prozess zu beeinflussen und so einem Gegner zu schaden.

Barack Obama soll angesichts des Hacker-Angriffs einen seiner seltenen Wutanfälle gehabt haben

Inzwischen hat US-Sonderermittler Robert Mueller 13 russische Staatsbürger angeklagt, die einen "Informationskrieg" geführt haben sollen, um den Wahlkampf in den USA zu beeinflussen. Hauptquartier der Kampagne war laut Anklage eine sogenannte Troll-Fabrik in der Sawuschkina-Straße 55 in Sankt Petersburg. Hintermann ist angeblich Jewgeni Wiktorowitsch Prigoschin, genannt "Putins Koch." Der alte Freund des Präsidenten verdiente ein Vermögen mit Catering-Firmen.

Die Vorwürfe lassen Russlands Präsident Wladimir Putin weitgehend kalt. Selbst wenn die Anschuldigungen stimmten, sei es ihm egal, sagte Putin dem US-Sender NBC in einem Interview. "Mir ist das völlig gleichgültig, weil sie nicht die Interessen des russischen Staates vertreten", sagte er.

Russland und die USA waren stets die Meister dieses gefährlichen Spiels. Früher ging es oft schief, das Material war häufig gefälscht und das nicht einmal besonders gut. Der Versuch, die damalige Uno-Botschafterin Jeane Kirkpatrick wegen angeblich zu enger Verbindung zu dem Apartheid-Regime in Südafrika zu diskreditieren, scheiterte an einem Rechtschreibfehler: "priviously" statt "previously". Heute kann, aber muss nicht einmal mehr gefälscht werden. Man hat Zugriff auf riesige Mengen echten Materials. Kanzlerin Merkel soll Putin ausdrücklich davor gewarnt haben, so etwas im Vorfeld der Bundestagswahl mit den gestohlenen Daten aus dem Bundestag auch nur zu versuchen.

US-Präsident Barack Obama soll angesichts des Hackerangriffs auf die Wahl übrigens einen seiner seltenen Wutanfälle gehabt haben. Danach soll er mit einer geheimen Anordnung erlaubt haben, "das digitale Äquivalent" von ferngezündeten Bomben in den russischen Netzen zu platzieren, schreibt die Washington Post. Für die nächste Auseinandersetzung im Cyber-Raum.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: