Cyberangriff auf Investigativplattform

Der Giftmordanschlag auf den russischen Ex-Agenten Sergej Skripal war einer der aufregendsten Geheimdienstaffären der vergangenen Jahre. Zur Erinnerung: Am 4. März 2018 wurde der ehemalige Mitarbeiter des russischen Militärgeheimdienstes GRU Sergej Skripal in seinem Wohnort im englischen Salisbury vergiftet. Dort wohnte er, nachdem er 2010 bei einem Agentenaustausch zwischen Russland und den USA freigelassen wurde. Zuvor hatte er als verurteilter Doppelagent jahrelang in einem russischen Gefängnis gesessen. Sowohl er als auch seine Tochter waren mit dem extrem starken Nervengift Nowitschok in Berührung gekommen. Beide überlebten den Anschlag schwer verletzt. Doch wenige Wochen später verstarb ein weiteres Opfer des Anschlags, das offenbar zufällig in Kontakt mit dem weggeworfenen Giftbehälter gekommen war.

Bald nach dem Anschlag beschuldigten britische Behörde den russischen Staat hinter dem Mordkomplott zu stecken. Veröffentlicht wurden Fotos der Hauptverdächtigen und die Namen, mit denen sie nach England eingereist waren. Prompt folgte eine mediale Reaktion aus Russland: Beide Männer traten in einer TV-Show auf und behaupteten, als Touristen in England gewesen zu sein und sich in Salisbury lediglich die berühmte Kathedrale angeschaut zu haben. Ein eher wenig glaubhaftes Dementi.

Doch dann geschah etwas noch nie Dagewesenes: Die britischen Investigativ-Journalisten der Plattform auf – mittels Onlinerecherchen. Über Datenbanken, Jahrbücher, Autoregistrierungen und Telefondaten konnten sie die Namen, unter denen beide nach England eingereist waren, mit tatsächlichen Klarnamen in Verbindung bringen. Später gelang das auch noch für eine dritte Person, die an dem Anschlag beteiligt gewesen sein soll. Und nicht nur das: die Journalisten von Bellingcat gaben den berühmt-berüchtigten russischen Militärgeheimdienst GRU der Lächerlichkeit preis: denn sie fanden lange Listen mit Fahrzeugen und Mobiltelefonen, die ganz offensichtlich auf die GRU selbst registriert waren und die es erlaubten, sowohl Fahrzeuge, Personen als auch GPS-Profile in ganz Europa zu erstellen. Auf einmal war der geheime Dienst sehr gläsern. Die Wut und Scham, die das für einen Geheimdienst bedeutete, der sich noch heute mit seinen Erfolgen seiner fast 100-jährigen Geschichte rühmt, kann man sich nur vorstellen. Rache – bislang immer auch als Motiv für den Mordversuch an Sergej Skripal kolportiert – war zu erwarten.

Letzte Woche war es offenbar soweit: Bellingcat wurde angegriffen. Auf dem Cyber-Weg hatten Journalisten die GRU durchsichtig gemacht – und auf dem Cyber-Weg schlug die GRU offenbar zurück. Nicht mit physischer Gewalt, sondern mit einer Cyberattacke. Nach übereinstimmenden Medienberichten machte Bellingcat und sein in der Schweiz ansässiger E-Mail-Provider den Angriff öffentlich. Die Attacke verlief folgendermaßen: Zeitlich versetzt erhielten Mitarbeiter von Bellingcat gefälschte E-Mails, die dem Anschein nach von ihrem Schweizer E-Mail-Provider kamen. Dort wurden sie aufgefordert, über einen Link ihr E-Mail-Passwort einzugeben. Diese bekannte Masche, die nicht nur von Geheimdiensten, sondern auch von kriminellen Betrügern eingesetzt wird, ist als „Phishing“ bekannt. Doch es war kein „nigerianischer Prinz“, der mit einer angeblichen Millionenerbschaft locken wollte, sondern „einer der besten Phishing-Angriffe, die wir je gesehen haben“, so der Schweizer Provider. Fast perfekt ahmte der Angreifer die Aufmachung und Datenmaske des tatsächlichen Providers nach.

Offenbar verhinderte ein kurzer Plausch unter Kollegen, dass einer der Journalisten seine Daten tatsächlich eingegeben hat. Denn ein Journalist hatte bereits Anfang April seinem Kollegen von einer ähnlichen derartigen Aufforderung berichtet. Nachdem sich die „Phishing“-Mails häuften, wurde sofort der Provider in der Schweiz alarmiert. Dort stellte man fest, dass außer Bellingcat noch andere Nutzer des Providersystems ähnliche E-Mails erhalten hatten. Ein gezielter und breit angelegter Angriff also. In der Schweiz wurden die Strafverfolgungsbehörden eingeschaltet und Anzeige erstattet. Wie erfolgreich die Ermittlungen verlaufen, bleibt abzuwarten. Ebenso scheint es schwer vorstellbar, dass es die – vermutlich russischen Angreifer – bei einem „Phishing-Angriff“ auf Bellingcat belassen werden.