Cyber-Angriff
Spionageangriff auf Ruag: So operieren Putins Hacker

Der Datendiebstahl beim Schweizer Rüstungskonzern Ruag beschäftigt die Bundesanwaltschaft. Zahlreiche Indizien sprechen dafür, dass Hacker im Dienst des russischen Staates hinter dem Cyber-Angriff stehen.

Lorenz Honegger
Drucken
Der Bund wurde erst im Januar auf den Datendiebstahl bei der Ruag aufmerksam.KEY

Der Bund wurde erst im Januar auf den Datendiebstahl bei der Ruag aufmerksam.KEY

KEYSTONE

Wenn es stimmt, was der Präsident der parlamentarischen Geheimdienst-Aufsicht sagt, dann führt die Spur im Fall Ruag in den Osten. Ein Gebäude in Moskau soll Ausgangspunkt des Datendiebstahls beim bundeseigenen Rüstungskonzern sein, der mehr als ein Jahr andauerte, bevor ihn die Schweizer Behörden entdeckten. «Man weiss, dass es Russland war», sagte Ständerat Alex Kuprecht (SVP/SZ) diese Woche.

Die Bundesanwaltschaft und das Verteidigungsdepartement wollen sich nicht zur Urheberschaft äussern, solange die Ermittlungen laufen. Die These der Geschäftsprüfungsdelegation des Parlamentes ist aber plausibel, wie Erfahrungen aus dem Ausland zeigen.

Hacker mit viel Geld

Das Cyber-Verteidigungszentrum der Nato im estnischen Tallinn geht davon aus, dass russische Hackergruppen seit mindestens 2007 im grossen Stil IT-Systeme von Staaten, Armeen, Rüstungsfirmen, Think-Tanks und anderen Organisationen rund um den Globus infiltrieren, um Informationen zu stehlen. Die Spionageformationen tragen Namen wie APT29 oder ATP28 und verfügen über grosse finanzielle Ressourcen.

Einen eindeutigen Beleg, dass sie im Auftrag des Kreml arbeiten, gibt es zwar nicht. Doch es gibt klare Indizien. Die Ziele ihrer Angriffe decken sich fast immer mit den sicherheitspolitischen Interessen der Regierung von Vladimir Putin. In den Quelltexten ihrer Trojaner-Programme finden sich regelmässig russische Sprachfetzen. IT-Experten
haben festgestellt, dass die Bearbeitungszeitpunkte der Softwarekomponenten perfekt mit den Arbeitszeiten in Moskau übereinstimmen – die Hacker sind in der Regel zwischen neun Uhr morgens und sieben Uhr abends aktiv.

Die Computer ihrer Opfer infiltrieren sie meist nach dem gleichen Schema. Personen von Interesse erhalten ein massgeschneidertes E-Mail mit einem infizierten Textdokument, Bild oder Multimedia-File. Wird die Datei geöffnet, installiert sich eine Schadsoftware, die den Angreifern Zugriff auf das Datensystem verschafft.

Das renommierte finnische Sicherheitsunternehmen F-Secure beschrieb vergangenen Herbst in einem Bericht eine russische Hackergruppe, die seit 2008 mit gezielten Attacken «Hunderte, wenn nicht Tausende» Regierungsinstitutionen und regierungsnahe Organisationen auf der ganzen Welt angegriffen habe. Die Hacker gingen hochprofessionell vor. Wenn IT-Sicherheitsfirmen einer Schadsoftware auf die Schliche kämen, werde diese binnen Tagen umprogrammiert. «Wir gehen von einer einheitlichen, grossen und gut koordinierten Organisation mit klar definierten Verantwortlichkeiten und Zielen aus.»

Das furchtlose Verhalten der Cyber-Spione lege nahe, dass sie keine rechtliche Verfolgung zu befürchten hätten. Das Fazit von F-Secure ist eindeutig: «Wir glauben, dass sie für den russischen Staat arbeiten.»

Leichtsinnige Beamte

Fragt sich, was die Konsequenzen für die Beziehungen zwischen Bern und Moskau wären, wenn sich der Verdacht im Fall Ruag bestätigt. Der ehemalige Diplomat Max Schweizer sagt, er glaube nicht, dass die Schweiz viel ausrichten könnte. «Der Bundesrat könnte als politisches Zeichen seinen Botschafter aus Moskau zurückbeordern. Materiell kann er jedoch wenig bewegen.» Die Schweiz sei in vielen Fragen auf das Wohlwollen der Russen angewiesen. Zum Beispiel in ihrem Bestreben, in den Sicherheitsrat der UNO aufgenommen zu werden. Er rät dem Bund, «möglichst schnell aufzuhören, naiv zu sein» und seine Sicherheitsvorkehrungen hochzufahren.

Dass Mitarbeiter des Schweizer Staates ein gefundenes Fressen für Hackergruppen sind, ist kein Geheimnis. Das Bundesamt für Informatik berichtete diesen Frühling in seinem internen Publikationsorgan, wie im November 2015 rund 45 Benutzer im Informatiknetz des Bundes infizierte E-Mail-Anhänge mit Namen wie «love.zip» geöffnet hatten. In fünf Fällen sperrte die Schadsoftware den Rechner der Betroffenen, auf dem Bildschirm erschien eine Lösegeldforderung. Ihr Glück war, dass von einem Teil der Daten eine Sicherheitskopie existierte.

Übrigens: Das Spionage-Opfer Ruag bietet Behörden und auch Streitkräften genau für solche Fälle individuelle «Cyber Security»-Lösungen und Trainings an.

Aktuelle Nachrichten