Im Oktober und November 2016 folgten Wikileaks-Veröffentlichungen von mehr als 60 000 E-Mails, die mutmaßlich aus dem Besitz von John Podesta stammten, dem Wahlkampfmanager der Präsidentschaftskandidatin der US-Demokraten Hillary Clinton. Im März 2016 war demnach ein Gmail-Account Podestas gehackt worden, mit Hilfe eines Links in einer Spear-Phishing-Mail, der nur scheinbar zu den Sicherheitseinstellungen des Accounts führte. Der Inhalt der geleakten E-Mails sorgte für große politische Verwerfungen vor der US-Wahl am 8. November 2016. Unter anderem trat die DNC-Vorsitzende Debbie Wasserman Schultz zurück.

Angriffe auf deutsche Parteien 2016, Hackerangriffe in Europa 2017

Auch in Deutschland fanden unterdessen weitere Attacken auf Politiker statt. Im Mai 2016 berichtete das auf Serversicherheit spezialisierte japanische Unternehmen Trend Micro von einer Attacke gegen die CDU, die im April gestartet worden sei. In Lettland sei dafür ein gefälschter Webmail-Server der CDU aufgesetzt worden. Etwa zur gleichen Zeit seien gefälschte Domains zweier deutscher Webmail-Anbieter – web.de und GMX – in den Niederlanden registriert worden. Das Ziel seien koordinierte Spear-Phishing-Angriffe gegen hochrangige Nutzer unter anderem aus der CDU gewesen. Wie mehrere Abgeordnete gegenüber der "Zeit" bestätigten, erhielten sie per SMS eine Warnung von der Fraktionsgeschäftsführung, die darauf hinwies, dass es Anzeichen für IT-Angriffe durch E-Mails gebe, in der die CDU als vermeintlicher Absender genannt werde. Auch hinter diesem Angriff vermutet Trend Micro die Gruppe APT28/Fancy Bear.

Der Rechercheverbund aus "Süddeutscher Zeitung", NDR und WDR berichtete im September 2016, dass Politiker und Mitarbeiter mehrerer Parteien am 15. und 24. August Spear-Phishing-Mails mit schädlichen Links erhalten hatten, die vermeintlich aus dem Hauptquartier der Nato stammten. Bei diesem Angriff waren nicht nur die Parteien im Bundestag Ziel, sondern ebenfalls andere Teile wie die Junge Union, die Bundesgeschäftsstelle der Linken oder die CDU im Saarland, wo für März 2017 die Landtagswahl anstand. Auch in diesen beiden Fällen sah die Bundesregierung APT28/Fancy Bear am Werk.

In einem Bericht, der am 25. April 2017 veröffentlicht wurde, analysiert Trend Micro die Aktivitäten der Hackergruppe in den vergangenen zwei Jahren. Darin wird unter anderem von Spear-Phishing-Angriffen auf die CDU-nahe Konrad-Adenauer-Stiftung im April 2017 und die Wahlkampagne des französischen Präsidentschaftskandidaten Emmanuel Macron im März 2017 berichtet. Gegenüber Reuters erklärte ein Trend-Micro-Forscher, dass auch auf die SPD-nahe Friedrich-Ebert-Stiftung Attacken stattgefunden hätten. Zwei Tage vor der Wahl in Frankreich am 7. Mai veröffentlichten Unbekannte interne Dokumente aus einem Hack von Macrons "En marche!"-Bewegung. Dieser Leak zeigte jedoch keinen größeren Einfluss auf das Wahlergebnis. Macron gewann deutlich.

Abwehrmaßnahmen nach dem Bundestags-Hack

Wer die Angreifer auch sind und in wessen Auftrag sie auch handeln, der Bundestag muss sich auf neuerliche Attacken vorbereiten. Was wurde in den letzten zwei Jahren getan, um die Sicherheit der Netzwerke dort zu verbessern? Die Pressestelle antwortet schnell – und knapp: "Bezüglich Ihrer Anfrage gibt die Bundestagsverwaltung keine öffentlichen Erklärungen ab, da diese die Sicherheitsarchitektur des Bundestags betrifft." Ausführlicher nimmt ein Sprecher des BSI Stellung. Seit dem Angriff von 2015 bestehe eine Kooperation zwischen den Einrichtungen. Maßnahmen zur Sicherung der Netze seien vom Deutschen Bundestag übernommen worden. Auch biete das BSI so genannte Penetrationstests an, bei denen Experten das Vorgehen von Hackern imitieren und versuchen, die Sicherheitslücken einer IT-Infrastruktur zu finden und zu knacken.

Dabei ist das BSI für die Sicherheit des Bundestagsnetzes gar nicht zuständig. Das 1991 gegründete Bundesamt kümmert sich unter anderem um die IT der Bundesverwaltung, zu der etwa die Bundesministerien und die Bundesregierung gehören – nicht jedoch der Deutsche Bundestag. Doch um den Hackerangriff von 2015 zu beenden, mussten die IT-Leute im Haus das BSI und weitere Experten aus der Privatwirtschaft um Hilfe bitten. Anfang des Jahres 2017 bot das BSI außerdem neun ausgewählten Parteien Schulungen in Sachen IT-Sicherheitskompetenz an, wie aus Kreisen zu erfahren war, die mit dem Vorgang vertraut sind. Das Angebot erhielten die fünf Parteien im aktuellen Bundestag (CDU, CSU, SPD, Grüne, Linke), die in den Landtagen vertretenen Parteien, die auch zur Bundestagswahl zugelassen sind (FDP, AfD, Freie Wähler), und die Piratenpartei, die bis vor Kurzem in mehreren Landtagen vertreten war. Alle neun Parteien nahmen das Angebot an. In einigen Fällen ließen sich laut Insidern "hohe Parteifunktionäre" und "Parteivorstände" in den Schulungen persönlich vom BSI beraten.

Aktuelle Attacken auf private Mail-Accounts

Inhaltlich ging es dabei unter anderem um sichere mobile Kommunikation, etwa durch Verschlüsselung. Auch riskante Handlungsmuster im täglichen Umgang mit IT waren bei den Terminen Thema. Zudem unterstützt das BSI die Parteien bei der Beschaffung sicherer Hardware wie Handys und Tablets, indem es anbietet, diese vorab zu überprüfen. Die übrigen der 48 zur Bundestagswahl 2017 zugelassenen Parteien erhielten vom BSI schriftliche Hinweise zur IT-Sicherheit.

Diese Hinweise können die Parteien gut gebrauchen. Im Moment rollt wieder eine Angriffswelle, dieses Mal auf deutsche "Funktionsträger aus Wirtschaft und Verwaltung". Das teilte das BSI in einer Pressemeldung am 23. Juni mit. Dieses Mal haben es die Angreifer auf private Mail-Accounts bei Yahoo und Gmail abgesehen, genau wie bei dem verheerenden Angriff auf Hillary Clintons Wahlkampfmanager John Podesta. "Die verwendete Angriffsinfrastruktur hat Ähnlichkeit mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische 'En marche!'-Bewegung eingesetzt wurde", heißt es in der Pressemeldung des BSI weiter. Und auch die gefälschten Domains in den Niederlanden, die an die Webmail-Dienstleister GMX und web.de erinnern, stehen noch bereit.

Bundeskanzlerin Merkel hat beim Treffen mit Russlands Präsident Putin in Sotschi im Mai schließlich gesagt, sie gehe "selbstbewusst davon aus, dass wir den Wahlkampf unter uns Deutschen unbeschadet werden durchführen können". Die nächsten Wochen werden nun zeigen, ob sie Recht behält.