Die Spur führt in ein kleines Rechenzentrum unweit der Universität Wien. Laut einem offiziellen Bericht des FBI und des US-Heimatschutzministeriums befindet sich dort ein Rechner, der von Hackergruppen für Angriffe auf US-Einrichtungen benutzt wurde – und zwar im Auftrag des russischen Geheimdienstes. Seine IP-Adresse wurde von den US-Bundesbehörden am vergangenen Freitag veröffentlicht, gemeinsam mit 4.659 weiteren. Sie gehören Computern, die weltweit verstreut sind und von den Hackern gekapert wurden. Sie sind über ihre IP-Adressen lokalisierbar. Der Rechner in Wien gehört dem Verein Funkfeuer, der ein nichtkommerzielles WLAN-Netz in Wien betreibt. Derzeit wird von Vereinsmitgliedern untersucht, ob die Angaben der US-Behörden stimmen. Ihre Vermutung: Der Rechner wurde gehackt und für Attacken missbraucht.

Keine Infos von US-Behörden

"Erste entsprechende Hinweise haben wir schon gefunden", sagt Adrian Dabrowski gegenüber dem Standard. In den kommenden Tagen will man die gewonnenen Informationen veröffentlichen. "Wir untersuchen das ganz genau", betont Dabrowski, der zu den führenden IT-Sicherheitsexperten Österreichs zählt. Kritisch sieht man, dass Funkfeuer nicht direkt von den US-Behörden kontaktiert wurde, obwohl in deren Bericht nur eine einzige österreichische IP-Adresse erwähnt wird.

Laut FBI wurde der Rechner als sogenannter C&C-Server (Command and Control) genutzt, mit dem man Angriffe anderer, auch gehackter Rechner steuert und Daten sammelt. Für die Attacken werden hauptsächlich die beiden mit russischen Geheimdiensten verwobenen Hackergruppen APT28 und APT29 verantwortlich gemacht. Diese Abkürzung steht für "Advanced Persistent Threat" (übersetzt etwa: fortgeschrittene andauernde Bedrohung).

OSZE in Wien gehackt

Die russischen Hacker werden nicht nur verdächtigt, E-Mails der US-Demokraten geklaut und diese dann Wikileaks zugespielt zu haben. Sie sollen auch die OSZE mit Sitz in Wien infiltriert haben. Der Einbruch wurde vor wenigen Tagen öffentlich gemacht. "Der Angriff hat die Sicherheit vertraulicher Daten im OSZE-Netzwerk und die Integrität des IT-Netzwerks gefährdet", erklärte eine Sprecherin der Organisation.

Der Vorfall wurde "sehr ernst genommen" und mithilfe externer IT-Experten aufgearbeitet. Die Gefahr sei mittlerweile gebannt; es gebe bisher auch keine Hinweise darauf, "dass Daten aus dem OSZE-Netzwerk geleakt worden sind". Informationen der französischen Tageszeitung "Le Monde", wonach APT28 hinter dem Angriff vermutet werde, konnte sie nicht bestätigen. Den Hackern werden auch Angriffe gegen die Nato sowie Regierungsstellen und Journalisten in Osteuropa zugeschrieben, wenngleich auch hier die Beweise nicht eindeutig sind. Allerdings entsprechen die Zeitstempel in jener Schadsoftware, die eingesetzt wurde, den üblichen Arbeitszeiten im europäischen Teil Russlands. Außerdem gibt es Indizien dafür, dass die Autoren Russisch sprechen.

Die OSZE, die im Konflikt zwischen Russland und der Ukraine vermittelt, ist auch für US-Geheimdienste von Interesse. Im Zuge der Enthüllungen von Edward Snowden wurde bekannt, dass die Organisation auch von der US-amerikanischen NSA ausgespäht worden war.

Bundesheer: "Angriffe auf diverse Ziele in Österreich"

Das Bundesheer, das sich in den vergangenen Monaten verstärkt um das Thema Cybersicherheit bemüht hat und auch entsprechend aufgerüstet wird, bestätigt Aktivitäten der mutmaßlich russischen Hackergruppen, "die in den letzten Monaten diverse Ziele in Österreich angegriffen haben". Allerdings habe es im Bereich der militärischen Infrastruktur "keine Vorfälle gegeben, die diesen Hackergruppen zugeordnet werden können", sagte eine Sprecherin auf Anfrage des STANDARD.

In der "Sicherheitspolitischen Jahresvorschau 2017" des Bundesheeres heißt es, dass "Russland vom Westen zahlreiche hochentwickelte Hackergruppen zugeordnet werden". Diese gelten "trotz energischer russischer Dementis aktuell als wichtigste Gegner". Österreich habe laut Bundesheer-Bericht die "Cyberattacken des Jahres 2016 bewältigt", allerdings müssten die Cyberkapazitäten 2017 noch weiter ausgebaut werden.

Das Innenministerium will in puncto Aktivitäten russischer Hacker in Österreich keinen Kommentar abgeben. Im Verfassungsschutzbericht 2015 wird etwa von Angriffen auf kritische Infrastruktur und Cyberspionage berichtet. Russland wird als Urheber jedoch nicht explizit erwähnt. Innenminister Wolfgang Sobotka (ÖVP) bekräftigte am Montag, den Bereich Cybersecurity mit dreißig neuen Fachkräften aufstocken zu wollen. (Markus Sulzbacher, Fabian Schmid, 2.1.2017)