BERLIN (dpa) - Weltweit sind mehrere Nationen in der Lage, komplexe und gefährliche Cyberangriffe zu führen. Die USA, China, Nordkorea und Israel werden immer wieder in diesem Zusammenhang genannt. Zuletzt erregten aber vor allem Hacker Aufmerksamkeit, die vermutlich aus Russland stammen.

Sie betreiben Botnetze aus Millionen gekaperten Rechnern, die ohne Wissen ihrer Besitzer Spam-Mails verschicken oder Bitcoin produzieren. Sie handeln in dunklen Ecken des Netzes in großem Stil mit Kreditkarten-Daten und Software für Cyberangriffe. Sie sollen E-Mails des Parteivorstands der US-Demokraten und des Wahlkampf-Stabs von Hillary Clinton gestohlen und mit deren Veröffentlichung zur Wahl von Donald Trump zum US-Präsidenten beigetragen haben. Ihnen werden Sabotage-Aktionen wie ein großflächiger Stromausfall in der Ukraine - oder auch die zwei Erpressungstrojaner-Wellen im vergangenen Jahr zugeschrieben. Egal, ob es um Online-Kriminalität oder Geheimdienst-Aktionen geht - Hacker aus Russland kommen nicht aus den Schlagzeilen.

Die Grenze zwischen den beiden Welten der Elite-Hacker im staatlichen Auftrag und der zwielichtigen Cyber-Kriminellen ist laut Experten mitunter verschwommen. Die Geheimdienste würden nicht davor zurückscheuen, bei ihrer Arbeit auch mal vom Know-how der Online-Unterwelt zu profitieren. Programmierer könnten mal für die eine, mal für die andere Seite arbeiten.

In der Sowjetunion wurden einst hunderttausende Mathematiker und Programmierer für die Militär und Rüstungsindustrie ausgebildet. Als das Sowjet-Imperium Anfang der 90er Jahre zusammenbrach, wurde auf einmal eine Legion erstklassiger Experten freigesetzt. Viele fanden ehrliche Jobs in der freien Wirtschaft oder an den Universitäten. Doch einige setzten ihr Wissen gleich mit krimineller Energie ein.

Bereits 1995 wurde ein russischer Mathematiker und Programmierer festgenommen, dem es gelang, in die Systeme der Citibank einzubrechen und sich selbst zehn Millionen Dollar zu überweisen. 20 Jahre später ist die russische Cybercrime-Szene längst eine gut organisierte Untergrund-Industrie. Sie wirft mehr als genug ab, um in Wachstum zu investieren und die besten Profis zu bezahlen, wie der russische Virenjäger Eugene Kaspersky betont. Diese suchten dann zum Beispiel nach noch unbekannten Software-Schwachstellen für Online-Einbrüche, den sogenannten Zero-Day-Lücken.

Nur recht selten gelingt westlichen Ermittlern ein Erfolg gegen diese Schattenwirtschaft. Als einen Triumph feierten sie 2014 die Festnahme von Roman Seleznew, der unter anderem einen florierenden Handel mit erbeuteten Kreditkartendaten betrieb. Er wurde im vergangenen Jahr in den USA zu 14 Jahren Haft verurteilt.

Zuletzt standen aber viel mehr die politischen Cyber-Aktivitäten aus Russland im Mittelpunkt. So soll zuletzt die Online-Attacke während der Olympia-Eröffnungsfeier in Korea laut US-Experten das Werk russischer Hacker gewesen sein. Sie hätten aber eine falsche Fährte nach Nordkorea gelegt.

Die im Westen am besten erforschte Hackergruppe wird unter der Bezeichnung «APT28» geführt (APT steht für Advanced Persistent Threat - also etwa fortgeschrittene dauerhafte Bedrohung). Die Gruppe, die auch unter den Namen «Sofacy» oder «Fancy Bear» in Berichten auftauchte, soll unter anderem hinter dem Cyberangriff auf den Bundestags 2015 oder dem E-Mail-Klau bei den US-Demokraten stecken.

«Sie sind fähig zu einigen der ausgeklügeltsten Aktionen in Computernetzwerken, die wir irgendwo auf der Welt gesehen haben», heißt es etwa bei der US-Firma FireEye, die mehrere ausführliche Berichte über die Gruppe veröffentlicht hatte. «APT28» habe einen guten Zugang zu Ressourcen und qualifizierten Entwicklern.

Die Gruppe sei in der Lage, in größerem Maßstab und mit besserer Vorbereitung zu agieren als chinesische Geheimdienst-Hacker: «Ihr Arsenal an bisher unbekannten Software-Schwachstellen wirkt nahezu endlos.» Dabei seien die Angreifer besonders gut darin, mit fingierten E-Mails oder Websites den Menschen als Schwachstelle auszunutzen, sagte FireEye-Chef Kevin Mandia: «Sie missbrauchen das Vertrauen der Leute, noch viel mehr als Lücken in Systemen.»

In aktuellen Bericht des Bundesverfassungsschutzes wird neben APT28 die «russische Angriffskampagne» «Snake» bzw. «Turla» oder «Uroburos» erwähnt. Die deutschen Geheimdienstler weisen den Angreifern «eine hohe Analysekompetenz und entsprechende Ressourcen» zu. Die Auswahl der Opfer deute auf staatliche Interessen hin: Betroffen seien weltweit Regierungsstellen und Ziele in Wirtschaft und Forschung, insbesondere in den Bereichen Energietechnik, Röntgen- und Nukleartechnologie, Messtechnologie sowie Luft- und Raumfahrt.

Anfang Mai 2016 wurde bekannt, dass der Berner Rüstungs- und Technologiekonzern RUAG erfolgreich angegriffen worden war. Auch hier soll «Snake» aktiv gewesen sein. Bei dem Hack seien 23 Gigabytes abflossen, eine viel größere Datenmenge als beim aktuellen Bundes-Hack. Auch in der Schweiz konnten sich demnach die Angreifer mehrere Monate unbemerkt im Datennetz bewegen und es weitgehend unter ihre Kontrolle bringen.

Experten verweisen aber auch darauf hin, dass insbesondere Hacker, die große Ressourcen eines Staates im Rücken haben, in der Lage sind, die Herkunft einer Attacke zu fälschen. So gehöre es inzwischen zum Handwerk der Cyber-Angreifer, falsche Spuren zu legen und die Schuld an einer Attacke einem anderen Land unterzuschieben. Daher muss nicht jede Attacke, die vermeintlich aus Russland gestartet wurde, tatsächlich auf das Konto russischer Hacker gehen.