Diese türkischen Hacker behaupten, hinter dem Bundestagsangriff zu stecken

Das interne Datennetz des Bundestags wurde Ende vergangener Woche zum Ziel einer Cyber-Attacke. Petra Pau, die Vorsitzende der IT-Komission, bezeichnete den Vorfall als „schwerwiegend".

Während das chronisch unterfinanzierte Bundesinstiut für Sicherheit in der Informationstechnik (BSI) wohl noch über die Angreifer und deren Motivation rätselt, bekannte sich die nationalistische türkische Hackergruppe Türk Hack Team zu einer Attacke auf 300 strategische Ziele in Deutschland. Mit ihrer „Operation Almanya" hätten sie wichtige staatliche Domains „stundenlang" mittels einer DDoS-Attacke lahmgelegt, weil ihnen die deutsche Bewertung des Völkermords an den Armeniern nicht passe.

Unter den angeblich angegriffenen Domains befinden sich zum Teil eher obskure Seiten, wie zum Beispiel die Website eines eines konservativ-katholischen Nachrichtendienstes—aber auch strategisch wichtige Ziele wie der Online-Auftritt der Bundesbank, die Website des BND, die des Bundesministeriums für Bildung und Forschung (BMBF) und die kommunale Website Berlin.de.

Die Gruppe feiert sich gerade im Netz für ihren Angriff, der sogar mit Ankündigung kam:

Türk Hack Team olarak gelecek hafta Almanya Merkez Bankası 'nın üstüne yürüyeceğiz. Şimdiden önlemleri alın bu sefer 200 kat daha fazla!
— ZoRRoKiN (@ZoRRo_KiN) May 5, 2015

Übersetzt: „Das Türk Hack Team wird nächste Woche die deutsche Zentralbank angreifen. Nehmt euch in acht, diesmal kommen wir 200-fach stärker."

Von der Attacke berichteten in der Türkei diverse große Medien wie NTV und Milliyet unter Berufung auf die Nachrichtenagentur IHA. Die Agentur berichtet allerdings ohne Verweise auf andere Quellen abseits der Hacker und außerdem, dass „großer Schaden angerichtet wurde"—was natürlich nicht stimmt, weil bei einer DDoS-Attacke nichts dauerhaft kaputt geht.

Die Operation der Hacker ist laut Türk Hack Team politisch motiviert: Sie richte sich gegen Bundespräsident Gaucks Anerkennung des Völkermordes (die Gruppe selbst bezeichnet diese Geschichtsepisode als „Völkermord-Komödie") an den Armeniern durch die Türkei. Die Aufarbeitung und Einordnung dieses Ereignisses ist in der Türkei politisch hochumstritten: Sowohl Erdogan als auch andere nationalistische Kreise wehren sich vehement gegen den Genozid-Vorwurf. Auf Nachfrage bestätigte uns die türkische Hackergruppe gern, dass sie ebenfalls hinter der Attacke auf den Bundestag stecke: „Der Angriff auf den Bundestag wurde von uns ausgeführt." Einen Beleg blieb uns das Türk Hack Team schuldig. Ob tatsächlich ein Zusammenhang besteht, lässt sich generell nicht leicht nachprüfen: Der Ursprung einer DDoS-Attacke ist nur schwer ermittelbar, wenn gewisse Sicherheitsvorkehrungen getroffen wurden, und auch der Bundestag wollte auf unsere Nachfrage keine näheren Angaben dazu machen.

Der Angriff einer regierungstreuen Hacker-Gruppe im Ausland erinnert an die Attacken der prorussischen Cyber Berkut auf den deutschen Bundestag im Januar 2015 oder die Pro-Assad-Hacker-Feldzüge der Syrian Electronic Army: Es gibt immer mehr nationalistische Hacker-Gruppen, die zwar angeblich außerhalb staatlicher Strukturen, aber politisch genau auf Linie der Regierung agieren. In jedem Fall bedeutet der Angriff, dass die IT-Infrastruktur des Bundestags verwundbar ist (was möglicherweise auch an der Ablehnung von Open Source-Code liegt, mit dem Schwachstellen aufgedeckt werden könnten).

Zunächst hieß es aus den ermittelnden Behörden BSI und der IT-Kommission des Bundestags, die Hacker hätten versucht, eine Schadsoftware einzuschleusen. Mittlerweile spricht die Vorsitzende der IT-Kommission und Vizepräsidentin des Bundestags, Petra Pau (Die Linke) aber von einer DDoS-Attacke. „Einen solchen Angriff auf das Netz des Bundestags über mehrere Tage hat es noch nicht gegeben", sagte Petra Pau der DPA.

Das Bundesamt für Sicherheit in der Informationstechnik und die Bundestagsverwaltung arbeiten nach eigenen Aussagen weiter an der Analyse des Falls, wollten heute aber nicht bestätigen, dass die Angriffe sich auf die Türkei zurückführen lassen. „Bis jetzt sind keine neuen Angriffe festgestellt worden", schrieb uns ein Pressesprecher des Bundestags und weiter: „Ein Datenabfluss ist nicht nachweisbar." Der BND wollte sich auf unsere Nachfrage hin nicht zu einem möglichen Angriff äußern. Wir können somit nicht abschließend bestätigen, ob es sich bei dem Bundestags-Vorfall der vergangenen Woche tatsächlich um eine politisch motivierte Attacke des Türk Hack Team handelt. Da wir dennoch gerne herausfinden wollten, was hinter „Operation Almanya" steckt, haben wir mit dem Türk Hack Team-Anführer ZoRRoKiN gesprochen. MOTHERBOARD: Was war das Ziel der „Operation Almanya"? ZoRRoKiN: Diese Operation war eine Reaktion auf die Aussagen von Herrn Gauck auf den angeblichen Völkermord an den Armeniern. Unser Ziel war es, eine Nachricht an das deutsche Volk zu senden. Und die wäre? Der durchgeführte Angriff richtet sich keinesfalls gegen das deutsche Volk. Er ist lediglich ein Angriff als Reaktion auf die Haltung des Bundespräsidenten. Wir laden das deutsche Volk dazu ein, die Aussagen von Joachim Gauck zu reevaluieren und zu kritisieren. Findet denn durch einen Hacking-Angriff ein Umdenken statt und die Operation war also aus eurer Sicht erfolgreich und habt ihr erreicht, was ihr erreichen wolltet? Sie war aus unserer Sicht ein voller Erfolg. Man hat gesehen, dass wir das Angriffspotential haben, deutsche Seiten komplett lahmzulegen. Bald wird uns das deutsche Volk dann auch in unserer Position dazu (im Bezug auf den Völkermord an den Armeniern) unterstützen. Wie groß ist eure Gruppe und wie groß ist euer Botnet? Türk Hack Team ist eine Armee von insgesamt 750 000 Menschen. In der Führungsriege befinden sich 82 Personen. Unser Botnet ist ein Netzwerk von ca. einer Million Bots. Dieses Netzwerk wird aber nicht als Ganzes aktiv genutzt. Ihr behauptet, bis zu 300 deutsche Seiten angegriffen zu haben. Nach welchen Kriterien habt ihr die Seiten ausgesucht? Bei dieser Operation wurden die Seiten nach Priorität sortiert. Natürlich war es wichtig Seiten anzugehen, die etwas Aufmerksamkeit generieren. Wurden die Seiten gehackt oder nur lahmgelegt? Wenn lahmgelegt, wie lange? Wir könnten die Seiten Tage lang lahmlegen. Aber wir wollen dem deutschen Volk kein Unrecht tun in Anbetracht unserer rechtmäßigen Sache. Wir wollten mit der Operation an erster Stelle ausprobieren, ob wir die wichtigsten deutschen Seite lahmlegen können. Das haben wir hiermit bewiesen. Der längste DoS hat eine halbe Stunde gedauert, der kürzeste fünf Minuten. Natürlich kann es auch sein, dass eine Seite nach einer Attacke noch für mehrere Stunden fehlerhaft erscheint oder länger nicht mehr aufrufbar ist.

Was haltet ihr vom Sicherheitsstandard deutscher Seiten? Ehrlich gesagt sind die deutschen Seiten recht sicher; aber da der Angriff sehr umfangreich war, ist es normal, dass die Server irgendwann der Last nicht mehr standhalten. Von daher wäre es nicht richtig, die deutschen IT-Sicherheitskräfte für den Ausfall verantwortlich zu machen.

Was steht ihr zur kommunistisch orientierten Redhack-Gruppe, die während der Gezi-Park-Proteste als regierungskritische Hacktivisten bekannt wurde? Wir haben keinerlei Beziehung zu Redhack, wir sehen sie eher als Unterstützer von Terroristen. Was für Pläne habt ihr als nächstes? Als nächste Operation haben wir die die ägyptische Regierung im Visier, die den ehemaligen Präsidenten Mursi gerade zum Tode verurteilt hat. Eigentlich wollten wir Bulgarien als nächstes angreifen, aber die Operation wurde abgeblasen, weil wir sie nicht als wichtig genug empfanden.

Bir sonraki operasyon Mısır üzerine gerçekleşecektir.
— ZoRRoKiN (@ZoRRo_KiN) May 19, 2015

Ok, wir bräuchten jetzt wohl noch ein paar Beweise, dass ihr die 300 Seiten wirklich lahmgelegt habt. Könntet ihr uns bitte noch das Defacement schicken, das ihr für die deutschen Ziele benutzt habt?

Bei der von uns verwendeten Bonet-Attacken gab es kein Defacement, also habe ich davon keine Screenshots. Aber ich kann ein paar Screenshots von Server Checks der betroffenen URLs mitschicken:

Sollten wir weitere Rückmeldung deutscher Behörden oder weitere Informationen zu dieser aktuellen Entwicklung erhalten, werden wir den Artikel entsprechend aktualisieren.

Theresa und Selim sind auch auf Twitter.