exklusiv

Stand: 09.07.2025 06:01 Uhr

Die Bundeswehr wird immer wieder zum Ziel von Cyberangriffen. Nach Informationen von WDR, NDR und SZ traf es zuletzt zwei Zulieferer. Erste Spuren weisen offenbar nach Russland, die Ermittlungen laufen.


Manuel Bewarder


Florian Flade, WDR

Es ist nur wenige Wochen her, da klang Andreas Kubitz zwar besorgt, aber nicht alarmiert. Nahezu täglich komme es zu Cyberangriffen auf die Bundeswehr, die Auswirkungen bisheriger Attacken aber seien „aufgrund unserer technischen Vorkehrungen und unseres Fachpersonals eher gering“ gewesen, sagte der Kommandeur des Zentrums Cyber-Sicherheit in einem Interview, das die Bundeswehr auf ihrer Webseite veröffentlichte. Der Oberst gab sich zuversichtlich, die Sorge vor schweren Attacken aus dem Netz schwingt dennoch mit.

Diese Sorgen sind offenbar nicht unbegründet. Erst kürzlich kam es nach Informationen von WDR, NDR und Süddeutscher Zeitung (SZ) zu zwei Vorfällen, bei denen zunächst unklar war, ob nicht vielleicht doch Hacker brisante Daten mit Bezug zur Bundeswehr erbeutet haben könnten: Mitte Juni wurde ein hessisches Unternehmen, das als Dienstleister im Bereich satellitengestützter Kommunikation für die Bundeswehr tätig ist, das Opfer eines Cyberangriffs.

In einer ersten Bewertung des Vorfalls durch die Sicherheitsbehörden hieß es zunächst, der Abfluss von Verschlusssachen, also als vertraulich eingestuften Informationen der Bundeswehr, sei wahrscheinlich. Zudem seien wohl auch operative Informationen betroffen und somit die Sicherheit von Einsätzen der Bundeswehr womöglich gefährdet, da auch Satellitenkommunikation kompromittiert worden sein könnte. Mittlerweile geht die Bundeswehr allerdings davon aus, dass sich der Schaden wohl in Grenzen hält.

IT-forensische Untersuchungen

„Der operative Datenverkehr der Bundeswehr und die eigenen IT-Netze des Geschäftsbereichs Bundesverteidigungsministerium waren von dem Angriff nach aktuellen Erkenntnissen nicht betroffen“, sagte ein Sprecher des Verteidigungsministeriums auf Anfrage. „Wir stehen im engen Austausch mit dem Dienstleister und den Ermittlungsbehörden. Die Landeskriminalämter Hessen und Nordrhein-Westfalen haben Ermittlungen aufgenommen, IT-forensische Untersuchungen laufen.“

Bei der digitalen Attacke auf das Unternehmen aus Hessen soll es sich um einen Ransomware-Angriff gehandelt haben. Bei solchen Attacken ist es üblich, dass die Angreifer Daten und IT-Systeme der Opfer verschlüsseln und erst nach Zahlung von Lösegeld wieder freigeben. Ersten Erkenntnissen zufolge soll bei dem besagten Angriff eine Schadsoftware zum Einsatz gekommen sein, die einer russischen Hackergruppierung zugeordnet wird, heißt es aus Sicherheitskreisen.

Auch ein weiterer Cybervorfall aus dem Juni beschäftigt die Bundeswehr: Nach Informationen von WDR, NDR und SZ soll ein Ingenieurbüro in Niedersachsen von Hackern angegriffen worden sein. Die Firma ist mit dem Bau von Liegenschaften für das Operative Führungskommando der Bundeswehr beauftragt und soll unter anderem Vorgaben aus dem als geheim eingestuften „Operationsplan Deutschland“ umsetzen. Dabei handelt es sich um ein Papier, das die Landes- und Bündnisverteidigung, insbesondere den Aufmarsch und die Verlegung von Truppen in der Bundesrepublik im Spannungs- und Kriegsfall, regelt.

Ausschließlich kriminellen Hintergrund?

Ob diese geheimen Informationen von den Hackern erbeutet wurden, ist nicht bekannt. Die Behörden gehen jedenfalls auch in diesem Fall davon aus, dass die Angreifer aus der russischen Cybercrime-Szene stammen. Inwiefern der Angriff tatsächlich einen ausschließlich kriminellen Hintergrund hat, ist unklar. Schon seit einiger Zeit mutmaßen deutsche Sicherheitsbehörden, dass es zu einer verstärkten Kooperation zwischen Cyberkriminellen sowie sogenannten „Hacktivisten“, und russischen staatlichen Stellen kommt.

Teilweise würde arbeitsteilig agiert, heißt es in Sicherheitskreisen, außerdem gebe es Erkenntnisse, dass auch Methoden und Cyberwerkzeuge ausgetauscht würden. Auffällig zudem: Immer wieder rücken Ziele in Europa in den Fokus der Cyberkriminellen, für die sich eben auch Moskaus Geheimdienste interessieren. Etwa Unternehmen aus dem Bereich der kritischen Infrastruktur, Rüstungsunternehmen, Forschungseinrichtungen, und politische und zivilgesellschaftliche Organisationen.

Daher gibt es in den Sicherheitsbehörden inzwischen die These: Was auf den ersten Blick wie ein gewöhnlicher Fall von Cybercrime aussieht, könnte tatsächlich eine Spionageoperation sein – oder die sensiblen Daten könnten schlichtweg in einer Art Zweitverwertung von den Hackern an russische Geheimdienste weitergegeben werden.

 Für die Cybersicherheit des deutschen Militärs ist das Zentrum für Cyber-Sicherheit der Bundeswehr (ZCSBw) zuständig. Rund 600 militärische und zivile Mitarbeiter hat diese im Jahr 2017 aufgestellte Truppe, die die Aktivitäten im Cyberraum der Bundeswehr überwacht. Daneben ist auch das Bundesamt für den Militärischen Abschirmdienst (BAMAD) mit der Abwehr von elektronischen Spionageangriffen beauftragt.

Zahl der DDoS-Attacken gestiegen

Im Frühjahr hatte Cyber-Sicherheitschef der Bundeswehr, Oberst Kubitz, im Interview erklärt, dass die Bundeswehr „regelmäßig“ Ziel von vielfältigen Angriffen sei. Seit dem Start des russischen Angriffskrieges auf die Ukraine stieg laut Kubitz zum Beispiel die Zahl der sogenannten DDoS-Attacken erheblich an – damit sind Massenanfragen gemeint, die die Systeme der Bundeswehr überfordern und lahmlegen könnten.

Den Angaben zufolge gebe es außerdem zunehmend Phishing-Attacken, bei denen etwa Passwörter erbeutet werden sollen. Man habe es mit unterschiedlichster Schadsoftware zu tun und eben mit „gezielten Spionageversuchen“ durch sogenannte APTs (Advanced Persistent Threats). Damit werden Hackergruppen bezeichnet, die mit staatlichem Auftrag agieren und oft direkt in geheimdienstliche oder militärische Strukturen eingebunden sind.

Die Zahl der Cyberangriffe und Ausspähversuche, die deutsche Sicherheitsbehörden Russland zuschreiben, hat in den vergangenen Jahren deutlich zugenommen. Seit dem Angriffskrieg gegen die Ukraine im Jahr 2022 haben sich die vereinzelten, teils schweren Angriffe im Grunde zu einem Dauerfeuer auf westliche technische Systeme entwickelt. Die digitale Front ist dabei eng mit jener auf dem Schlachtfeld verbunden. Gezielt störte Russland zum Start der Invasion das Satellitensystem Viasat.

Cyberangriff auf die SPD

Als besonders schwerwiegend in Deutschland galt nach Angaben des Auswärtigen Amtes zuletzt der Cyberangriff auf die SPD, der dem russischen Militärgeheimdienst GRU zugeordnet wird. Offiziell werden Russland jedoch nur vereinzelt Angriffe zugeschrieben. Das liegt daran, dass Angreifer im digitalen Raum ihre Spuren leicht verwischen können und die Urheberschaft nur schwer nachgewiesen werden kann.

Erst Ende Mai informierten Bundesnachrichtendienst (BND), Bundesamt für Verfassungsschutz (BfV) und Bundesamt für Sicherheit in der Informationstechnik (BSI) öffentlich in einem Sicherheitshinweis über russische Cyberaktivitäten. Sie warnten dabei vor allem vor Angriffen gegen westliche Logistik- und Technologieunternehmen durch die Cybergruppierung APT28, die dem russischen Militärnachrichtendienst GRU zugeordnet ist. Die Angriffe dienten laut den Behörden der Spionage gegen Infrastruktur-Knotenpunkte – dazu seien etwa Überwachungskameras gehackt worden, um Militärlieferungen oder Hilfstransporte in die Ukraine auszuspionieren.

Bundeskanzler Friedrich Merz (CDU) wiederholte in der ARD seine Warnung, wonach Russland längst einen hybriden Krieg gegen den Westen führe. „Das ist ein Krieg nicht nur gegen die Ukraine, das ist ein Krieg gegen uns“, sagte Merz in der Sendung „Maischberger“. Man werde „ausspioniert, wir haben Sabotageakte, wir haben hier massive Falschmeldungen“. Russland greife heute bereits an, so der Bundeskanzler.