back to top

Diese 4 Webseiten deuten auf ein Bundestagsleak hin und hier steht warum

BuzzFeed News hat die Webseiten untersucht und die sechs großen Parteien befragt, wie sie mit einem Bundestagsleak umgehen würden.

Gepostet am

Innerhalb weniger Minuten registrieren Unbekannte Mitte Januar mehrere Webseiten, die auf ein Leak von geheimen Dokumenten aus dem Bundestag hindeuten könnten. Die vier Domains lauten btleaks.com, btleaks.info, btleaks.net oder btleaks.org. BT wie Bundestag?

BuzzFeed News ist allen verfügbaren Hinweisen nachgegangen, um herauszufinden, wer hinter diesen Webseiten steckt. Die Informationen könnten auf einen lokalen Streit um eine Firma aus Florida zurückzuführen sein. Andere Indizien deuten auf ein anstehendes Bundestagsleak hin. Auffällig ist, wie gut die Besitzer der Webseiten darin waren, ihre Herkunft zu verschleiern.

Sollte es zu einem Leak kommen, könnte dies den Wahlkampf gehörig durcheinander wirbeln. Die größten deutschen Parteien sind sich auf Anfrage von BuzzFeed News uneinig, ob sie geleaktes Material im Wahlkampf verwenden würden. Während einige Parteien dies kategorisch ausschließen, lassen sich andere eine Hintertür offen.

Verfassungsschutz überwacht die Seiten

Die vier Domains werden am 13. Januar registriert. Los geht es um 14:53 Uhr. Etwa sieben Minuten dauerte der Vorgang, wie die Daten bei sogenannten Whois-Diensten zeigen, mit denen man Informationen über Webseiten bekommt. Exakt einen Monat später folgt dann btleaks.xyz, im Mai btleak.com. Allesamt analog zu den beiden Seiten für die DCLeaks.com in Washington DC oder die EMLeaks gegen Emmanuel Macron in Frankreich.

Noch gibt es keinen sichtbaren Inhalt, aber die deutschen Behörden überwachen die Seiten penibel, wie Verfassungsschutzpräsident Hans-Georg Maaßen in einem Gespräch auf der Netzwerk Recherche-Jahreskonferenz Anfang Juni diesen Jahres sagte. Wie in den USA und Frankreich könnte auch in Deutschland jemand versuchen, den Wahlkampf mit einem Leak von Dokumenten zu beeinflussen.

Die Sorge vor einem Leak ist durchaus begründet. Denn im Mai 2015 gelang es Angreifern, das Rechnernetz des Bundestags zu hacken. Zu den Zielen gehörten unter anderem die Büros von Bundeskanzlerin Angela Merkel und Bundestagsvizepräsident Johannes Singhammer.

16 Gigabyte von den Hackern erbeutet

Mehr als 16 Gigabyte Daten sollen bei dieser mehrere Wochen dauernden Attacke kopiert worden sein. Hinzu kamen später Angriffe unter anderem auf die SPD-Fraktion im Bundestag, die Linkspartei, die SPD-nahe Friedrich-Ebert-Stiftung sowie die CDU-nahe Konrad-Adenauer-Stiftung.

Hinter den Cyber-Attacken vermutet das Bundesamt für Verfassungsschutz das vermutlich von russischen Geheimdiensten gelenkte Hackerkollektiv APT28, auch Fancy Bear genannt. „Überschneidungen bei der Verwendung technischer Infrastruktur und der Modus Operandi, nämlich Spear Phishing-Attacken, lassen die Annahme zu“, schreibt das Bundesamt für Verfassungsschutz auf Anfrage von BuzzFeed News.

Carsten Rehder / AFP / Getty Images

Hat Wladimir Putins Russland gezielt Hacker-Angriffe auf Emmanuel Macron und Angela Merkel gesteuert? Deutsche und amerikanische Sicherheitsbehörden gehen davon aus.

Anzeige

Die Hacker stehen im Verdacht, auch für die Angriffe auf Emmanuel Macrons Wahlkampfzentrale, die Demokratische Partei in den USA und Hillary Clintons Mailserver verantwortlich zu sein. Nun also Deutschland? Sollte ein Leak veröffentlicht werden, würden einer Umfrage von BuzzFeed News zufolge wohl auch viele deutsche Medien darüber berichten.

Informationen auf Wunsch verborgen

Die entsprechenden Webseiten sind registriert bei den Providern GoDaddy.com und Enom.com. Beide US-amerikanischen Anbieter bieten gegen Bezahlung eine „Whois Privacy Protection“: Sie verbergen also auf Wunsch die privaten Informationen des Anmelders in öffentlich einsehbaren Registern und ersetzen sie durch eigene Firmenadressen. Und das ist bei den btleaks-Seiten der Fall.

Das kann natürlich Zufall sein, nicht jeder möchte seine privaten Daten ins Netz stellen. Oder aber jemand sichert sich möglichst gut ab. In so einem Fall kann man davon ausgehen, dass die Anmelder zusätzlich sämtliche Spuren mit Hilfe von Proxy-Diensten verschleiert haben. Das sind mehrere zwischengeschaltete Server, die eine Rückwärtssuche nahezu unmöglich machen. Das bekannteste Beispiel für solche Proxy-Dienste ist das TOR-Netzwerk.

Auch weitere Untersuchungen der Seiten durch BuzzFeed News ergeben keine Anhaltspunkte: der Quellcode der Seiten verrät nichts, es gibt keine relevanten Backlinks, keine Cloudflare-ID und keinen Analytics-Code. Die robots.txt ergibt genau so wenig wie eine Rückwärtssuche mit IP, Nameserver oder Mailserver. Internet-Archive haben keine Inhalte aus der Vergangenheit gespeichert.

Auch die bei diversen paste-sites gefundenen Treffer zu btleaks scheinen nichts mit dem Angriff auf den Bundestag zu tun haben. Gemeint sind Dienste wie Pastebin oder Leakedin. Sie ermöglichen es, sehr große Textmengen anonym hochzuladen. Hacker hatten beispielsweise Pastebin dazu genutzt, die internen Unterlagen von Emmanuel Macron hochzuladen.

Kaum möglich, alle Uploads zu überwachen

Allerdings ist es kaum möglich, alle Uploads großer Textmengen auf solchen Seiten zu überwachen, dafür gibt es einfach zu viele Möglichkeiten. Einfacher wäre es tatsächlich, die wenigen BT Leaks-Webseiten im Auge zu behalten – falls dort tatsächlich Informationen auftauchen sollten.

Eine Analyse sozialer Medien wie des russischen Portals V-Kontakte oder Twitter hilft ebenfalls nicht weiter. Alle von BuzzFeed News gefundenen Einträge zum Thema BTLeaks sind irrelevant und haben nichts mit einem möglichen Leak vor der Bundestagswahl zu tun.

Sehr viel interessanter erscheint ein Treffer bei Facebook. Denn hier gibt es eine eigene Seite namens BT Leaks. Die beschäftigt sich allerdings nicht mit dem Bundestag, sondern mit Vertragsverletzungen der US-amerikanischen Unternehmens Billet Technology. Steht BT also gar nicht für Bundestag, sondern für Billet Technology?

Auf der Seite selbst heißt es „BT Leaks – the truth will be revealed“. Das muss nicht auf den deutschen Wahlkampf gemünzt zu sein, wie ein Post auf der Seite verrät: „Everything you wanted to know from #infringment to #fraud #btleaks #billettechnology #deepthroat“. Hinzu kommt ein Link auf die Seite btleaks.com. Also eine jener Seiten, die das Bundesamt für Verfassungsschutz überwacht, weil es die Bundestags-Hacker dahinter vermutet. Das "Digital Forensic Research Lab" des Atlantic Council geht deshalb davon aus, dass die BT-Leaks-Seiten vermutlich eher nicht auf einen möglichen Bundestagsleak hindeuten.

Eingerichtet wurde die Facebook-Seite scheinbar bereits am 14. April 2014, also lange vor den ersten bekannten Cyberattacken auf den Bundestag. Doch das Datum kann der Admin einer Seite beliebig einstellen. Zumal der erste Kommentar vom 26. Januar 2017 stammt, 13 Tage, nachdem Unbenannte die Domains registrierten. Auf eine Kontaktanfrage von BuzzFeed News reagierten die Betreiber der Facebookseite nicht.

Doch sind die BTLeaks-Webseiten überhaupt von Bedeutung für eine eventuelle Verbreitung von Interna, selbst wenn tatsächlich Hacker dahinterstecken? Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) geht davon aus, dass potenzielle Täter eine ganze Reihe von Veröffentlichungstaktiken verwenden, um die Sichtbarkeit zu erhöhen.

„Das beinhaltet auch die direkte Kontaktaufnahme mit Journalisten sowie das Veröffentlichen auf anonymen Plattformen, die auch eine Erhöhung der Robustheit gegen sogenannte Takedowns bedeuten“, sagte ein Sprecher des BSI auf Anfrage von BuzzFeed News. Im Klartext: Auf je mehr Wegen ein Leak verbreitet wird, desto schwerer ist es einzudämmen. Vermutlich würde ein Bundestagsleak deshalb nicht nur auf einer Webseite auftauchen – sondern im Zweifel auch auf Plattformen wie Wikileaks.

Sicher scheint nur, dass potenzielle Leaker hochprofessionell vorgehen werden. Anders als beispielsweise die Betreiber von Seiten wie BerlinLeaks.org. Die Seite ist nach eigenen Angaben ein „sicherer und anonymer Dienst, um relevante und berichtenswerte Dokumente zu veröffentlichen und zu verbreiten“. Doch schon mit wenigen Schritten lässt sich einer der Verantwortlichen aus Berlin enttarnen. Ähnlich sieht es mit germanleaks.info aus, hier stammt einer der Macher aus Mönchengladbach.

AfD: "Selbstverständlich nicht verwenden"

Die deutschen Parteien wollen bei einem möglichen Leak unterschiedlich mit der Frage umgehen. Die FDP, die Linken und die AfD wollen illegal geleaktes Material im Wahlkampf nicht verwenden, schreiben die Parteien auf Anfrage von BuzzFeed News.

„Wir lehnen es ab, Material zu verwenden, dass uns unter Missachtung des Datenschutzes zugespielt wurde“, schreibt Linken-Pressesprecher Hendrik Thalheim.

Die FDP spricht sich für einen fairen Wahlkampf aus. „Deshalb sind geleakte Informationen für uns kein Mittel im Parteienwettbewerb", schreibt die FDP, die Cyberangriffe für wahrscheinlich hält und sich deshalb "technisch und kommunikativ darauf eingerichtet" hat.

Auch die AfD schreibt, sie wolle geleakte Informationen nicht einsetzen. „Illegal veröffentlichte Daten würden wir selbstverständlich nicht verwenden, um damit Wahlkampf zu betreiben“, schreibt Pressesprecher Christian Lüth.

Nicht eindeutig vom Einsatz geleakten Materials distanzieren wollte sich dagegen die CDU. „Wir führen einen fairen Wahlkampf und gehen davon aus, dass das auch die anderen Parteien so handhaben“, schreibt die CDU-Zentrale auf Anfrage.

Auch die Grünen wollen sich nicht auf eine pauschale Antwort festlegen, „da zum Beispiel Edward Snowden immens wichtige Aufklärungsarbeit geleistet hat“. Leaks müsse man in jedem Fall kritisch einordnen „und Manipulationsversuche ins Leere laufen lassen“. Mit großer Sorge habe die Partei den Hackerangriff auf den Bundestag im Jahr 2015 verfolgt. Natürlich werde jetzt befürchtet, dass Inhalte nun im Wahlkampf „bewusst verzerrend und entkontextualisiert lanciert werden könnten“.

Die SPD antwortete trotz mehrfacher schriftlicher und telefonischer Anfrage nicht auf die Fragen von BuzzFeed News.

Boris Kartheuser ist freier Journalist.

Contact Boris Kartheuser at b.kartheuser@borka-medien.de.

Got a confidential tip? Submit it here.