Berlin .

Der unzweifelhafte Beweis, der „rauchende Colt“, findet sich bei Cyberattacken selten. Wie beim Angriff auf den Bundestag vor einem Jahr führt die Spur bei der aktuellen Attacke auf die CDU zu russischen Hackern. Das Kölner Bundesamt für Verfassungsschutz sieht Anhaltspunkte für „staatliche Steuerung“.

IP-Adressen, benutzte Server und die Software sprechen dafür, dass der Angreifer in Russland sitzt. Selbst Zeitstempel können ein Hinweis sein, zum Beispiel, wenn Programmierer stets zu den Arbeitszeiten in Moskau oder Petersburg aktiv waren. Dass Geheimdienste dahinter stecken, schließt man aus dem Aufklärungsziel und dem hohen technischen und finanziellen Aufwand. Bei der CDU, die reagiert und sich abgesichert hat, sollten die Nutzer annehmen, sie würden sich auf der vertrauten Internetseite anmelden, die in Wahrheit kopiert war. Wenn sie ihren Benutzernamen und Passwort eintragen, hat der Angreifer sein erstes Ziel und eine Basis für weitere Operationen erreicht. Hinter dem Angriff auf die CDU wird – wie beim Bundestag – die Hackergruppe Sofacy/APT28 vermutet, laut Verfassungsschutz „eine der derzeit wohl aktivsten und aggressivsten Kampagnen“. Einige Operationen ließen sich über sieben bis elf Jahre zurückverfolgen. Gut möglich, dass kritische Infrastruktur, wie Kraft- und Wasserwerke, infiziert ist und dass es erst bemerkt wird, wenn die Schadsoftware „scharf“ geschaltet wird. Amtschef Hans-Georg Maaßen warnte am Donnerstagabend, die Informationssicherheit in Regierung, Verwaltung, Wirtschaft, Wissenschaft und Forschung sei „permanent bedroht“.

Bei Cyberspionage versucht der Angreifer, sich Informationen zu beschaffen. Bei Cybersabotage wird der Gegner lahmgelegt. Sandworm ist so eine Kampagne. Auf dem Höhepunkt der Krim-Krise wurde das Energienetz der Ukraine teilweise abgeschaltet. Für Maaßen ist der Cyberraum „ein Ort hybrider Kriegsführung“, einer Kombination aus konventionellen militärischen Operationen, Hackerangriffen, Desinformation. Ganz gleich, mit welcher Software der Angreifer in ein Netzwerk eindringt, in jedem Fall wird ein Fernzugriffsprogramm installiert. Durch diesen Rückmeldeweg erfolgt zumeist der Datenabgriff. Zur Verschleierung der Angreifer befinden sich die Steuerungssysteme häufig in Drittländern, oft hintereinandergeschaltet.