Das Labor Spiez wurde offenbar von russischen Hackern angegriffen. Im Zentrum der Ermittlungen steht die Gruppe «Sandworm».
Das Forschungsinstitut im Berner Oberland ist die schweizerische Fachstelle zum Schutz vor ABC-Angriffen. Was schon auf dem Papier sensationell tönt, hat es in der Praxis erst recht in sich: Die Wissenschaftler gelten weltweit als Experten schlechthin, wenn es um Chemiewaffen geht, so auch im spektakulären Fall des ehemaligen Doppelagenten Sergei Skripal.
Der russische Ex-Spion und seine Tochter wurden im März im englischen Salisbury mit dem Nervengift Nowitschok vergiftet. Das Spiezer Labor war an der Analyse beteiligt. Damit zog es das Interesse Moskaus auf sich.
Laut Kurt Münger vom Bundesamt für Bevölkerungsschutz begann der Angriff im Vorfeld einer grossen Konferenz, zu der das Institut im September ins Oberland eingeladen hat. Teilnehmer sind Fachleute für chemische und biologische Kampfführung.
Als Word-Dokument getarnt
Monate vor dem Treffen kursierte unter ihnen plötzlich ein Word-Dokument, das lediglich Informationen zur Tagung zu enthalten schien. Tatsächlich war in der Datei ein Schadprogramm installiert.
Um keinen Verdacht zu erregen, wurde das Dokument im Namen des Labors Spiez versendet. Die Absender benutzten dafür eine gefälschte E-Mail-Adresse. «Jemand hat sich als Labor Spiez ausgegeben», sagt Münger.
Wie lange die Hacker bereits zuvor ihr Unwesen trieben, dazu kann Münger aus Sicherheitsgründen nichts sagen: «Wir haben die Eingeladenen der Konferenz umgehend informiert, dass das Dokument nicht von uns stammt. Und auf die Gefahr hingewiesen.»
Auch dazu, ob einer der Adressaten das Dokument geöffnet hat und damit den Hackern auf den Leim gegangen ist, schweigt das Bundesamt für Bevölkerungsschutz. «Das Labor selber hat keinen Abfluss von Daten registriert», sagt Münger bloss.
Das Institut bestätigte den Angriff gegenüber dem deutschen Nachrichtenmagazin «Spiegel», das dafür die Hackergruppe «Sandworm» verantwortlich machte.
Mit Putins Geheimdienst verbandelt
Die Truppe soll auf Sabotageaktionen spezialisiert und dem russischen Militärgeheimdienst GRU zugeordnet sein. Experten des russischen IT-Sicherheitsunternehmens Kaspersky Lab bestätigen: Die Hacker von Spiez verfügen über russische Sprachkenntnisse.
Es handle sich um die gleiche Gruppe, die schon die Winterolympiade im koreanischen Pyeongchang angegriffen hat. Nun konzentriere sie sich auf ein neues Ziel: Organisationen, die auf biologische und chemische Bedrohungen spezialisiert sind. Wie das Labor Spiez.
Hacker haben dieses Jahr schon mehrere Ziele in der Schweiz angegriffen. Der Nachrichtendienst des Bundes berichtete intern von Cyberattacken auf «diverse internationale Sportverbände» mit Sitz in der Eidgenossenschaft, darunter auch das Internationale Olympische Komitee (IOC) in Lausanne – Schweizer IT-Unternehmen seien ebenfalls getroffen worden.
Bereits hinter diesen Hackerangriffen vermutete der Nachrichtendienst damals die russische Regierung. Das Muster scheint sich zu wiederholen.