Schlagwort-Archive: BfV

Terrorpläne in der Frühphase?

von Florian Flade

Was steckt hinter dem Terroralarm in Berlin? Und welche Rolle spielt ein Asylbewerber in Attendorn?

farid_a

Das Foto soll Farid A. in den Reihen des IS in Syrien zeigen (Quelle: Berliner Polizei)

Im Herbst vergangenen Jahres, kurz nach den Terroranschlägen von Paris, rückte ein 30-jähriger Mann in Berlin in den Fokus der deutschen Sicherheitsbehörden. Der Algerier Fayssal B. kam im Frühjahr 2004 nach Deutschland und besitzt seitdem eine befristete Aufenthaltsgenehmigung. Nach außen wirkte er unauffällig, lebt mit Frau und Kind im Ortsteil Tempelhof. Am S-Bahnhof Alexanderplatz und am Checkpoint Charlie arbeitete er in zwei Backshops als Verkäufer.

Das Bundesamt für Verfassungsschutz (BfV) kam jedoch zur Einschätzung, dass es sich bei Fayssal B. um einen radikalen Islamisten, einen Unterstützer der Terrororganisation „Islamischer Staat“ (IS) handeln könnte. Die Agenten nahmen ihn daraufhin genauer ins Visier.

Dabei stellten die Verfassungsschützer fest, dass Fayssal B. einige interessante Kontakte pflegte, unter anderem zu „Abdelsalam N.“, einem 49-jährigen Algerier der mit richtigem Namen Nardine F. heißen soll, geboren im französischen Nancy. Er lebte seit dem Jahr 2000 mit unterschiedlichen Identitäten in Berlin und wohnt in einem unscheinbaren Hinterhof-Wohnblock in Berlin Kreuzberg lebt. F. soll vor zwei Jahren kurzzeitig verschwunden sein, und kehrte anschließend mit gefälschten französischen Personaldokumenten zurück.

Fayssal B. stand nach Erkenntnissen des Verfassungsschutzes auch in Kontakt mit einem Mann, der erst im Dezember nach Deutschland eingereist war – getarnt als Flüchtling aus dem syrischen Aleppo, mit falschen Namensangaben. Der 34-jährige Farid A. kam offenbar mit seiner Frau und den gemeinsamen Kindern über die sogenannte Balkan-Route zunächst nach Bayern, wo er sich am 28. Dezember 2015 erstmals als Asylbewerber registrieren ließ. Im Januar schließlich bezog er eine Flüchtlingsunterkunft im nordrhein-westfälischen Attendorn.

Die Kommunikation zwischen Fayssal B. in Berlin und Farid A. im Asylbewerberheim sei „hoch konspirativ“ abgelaufen, berichten Ermittler. Die Männer hätten Verschlüsselungssoftware und Chatprogramme benutzt, die für Sicherheitsbehörden kaum zu knacken sind. Mehrfach hätten sie Mobiltelefone und SIM-Karten gewechselt.

Das Kontaktprofil des mutmaßlichen Islamisten Fayssal B. machte die Verfassungsschützer stutzig. Sie intensivierten die Observationen, Telefone wurden abgehört. Dabei wurde noch eine weitere Verbindung von Faisal B. bekannt: Zu einem 25-jährigen algerischen Asylbewerber aus Isernhagen bei Hannover. Der Mann soll vor kurzem eine Reise unternommen haben. In den Brüsseler Stadtteil Molenbeek – einer salafistischen Hochburg und Heimat einiger Attentäter der Anschläge von Paris im November 2015.

Was genau planten Fayssal B., Farid A. und die beiden anderen Männer? Bereiteten sie einen Terroranschlag in Deutschland vor? Womöglich in Berlin? Vielleicht am Checkpoint Charlie oder am Alexanderplatz, wo Faisal B. zur Arbeit ging?

Wirklich konkret wurden die Hinweise nicht, die deutsche Sicherheitsbehörden rund im Januar generieren konnten. Aber es gelang ihnen schließlich die wahre Identität des angeblichen Flüchtlings Farid A. in Attendorn zu klären: Er ist kein Syrer, sondern Algerier. Und wird von den algerischen Behörden mit einem internationalen Haftbefehl gesucht, weil er für die Terrorgruppe IS in Syrien tätig gewesen sein soll.

Ein als Flüchtling getarnter IS-Dschihadist, ein Algerier mit Kontakten nach Belgien und zwei mutmaßliche Islamisten in Berlin – davon einer mit offensichtlich gefälschtem Pass. Die Gemengelage schien für die Ermittler zu riskant, um sie nicht weiter zu verfolgen. Zumal auch Fotoaufnahmen auftauchten, die den Asylbewerber Farid A. in Kampfmontur, mit Pistole in der Hand in Syrien zeigen, teilweise mit Leichen posierend und beim Abendessen mit einem mutmaßlichen Kontaktmann der Paris-Attentäter.

Am 10. Januar schließlich gab das Bundesamt für Verfassungsschutz (BfV) seine Erkenntnisse über die algerische Islamisten-Zelle an die Berliner Staatsanwaltschaft ab. In deren Auftrag übernahm die Sonderkommission „Frost“ des Landeskriminalamtes (LKA) die Ermittlungen. Was folgte waren drei Wochen intensive Observationsarbeit durch Mobile Einsatzkommandos (MEK) in Berlin und Attendorn.

In den frühen Morgenstunden folgte am Donnerstag schließlich der Zugriff. Rund 450 Polizisten, davon alleine rund 300 Beamte in Berlin, rückten in Attendorn, Hannover und der Hauptstadt an. Sie nahmen Farid A. und seine Frau fest. Und auch Nardine F. in Berlin-Kreuzberg wurde wegen des Verdachts der Urkundenfälschung kurzzeitig festgenommen. Für Fayssal B., der in seiner Wohnung in Berlin-Tempelhof angetroffen wurde, und für den Algerier in Hannover reichte es offenbar nicht für Haftbefehle. Sie wurden lediglich befragt.

„Bei den richterlich angeordneten Durchsuchungen der Wohnungen und Arbeitsstätten stellten die Ermittler Datenträger in großer Menge, Dokumente, Unterlagen sowie Mobiltelefone sicher“, teilte die Berliner Polizei am Freitag mit. „Zur Unterstützung der Maßnahmen wurden Sprengstoffspürhunde eingesetzt. Gefährliche Gegenstände wie Sprengstoff oder Waffen wurden dabei nicht gefunden.“

Falls es Anschlagspläne des algerischen Quartetts gab, dann befanden sie sich noch in der „Frühphase“, ist aus Sicherheitskreisen zu vernehmen. Verfassungsschutzpräsident Hans-Georg Maaßen erklärte im ZDF-Morgenmagazin, es sei die Aufgabe seiner Behörde derartige Planungen frühzeitig aufzuklären und zu vereiteln.

 

Der persische Raubzug

von Florian Flade

Iranische Hacker haben weltweit Großkonzerne attackiert. Auch in Deutschland. Der Cyber-Angriff dauert offenbar noch an.

pic131114_2

Der Eindringling kam lautlos und unbemerkt. Über Monate hinweg hatten die Mitarbeiter eines Industrieunternehmens ihre Arbeit verrichtet und nicht einmal bemerkt, dass sich Fremde am Wichtigsten zu schaffen machten, das ein Unternehmen unterhält: dem Computersystem, in dem alles Know-how gespeichert ist. Stillschweigend bahnten sich die Täter den Weg in die IT-Infrastruktur, gezielt suchten sie nach Schwachstellen, arbeiteten sich schrittweise vor. Als die Firma im April 2014 schließlich erste „Unregelmäßigkeiten im Rechnernetz“ feststellte, hatten die Angreifer bereits ein halbes Jahr lang Zeit gehabt, um die Mitarbeiter auszuspionieren und ihre Passwörter zum Firmennetz abzufischen.

Auf der Suche nach Hilfe wandte sich das Unternehmen daraufhin an den Bayerischen Verfassungsschutz, dessen Experten sogleich die Fährte aufnahmen. Mehrere Mitarbeiter des 2013 speziell für den Kampf gegen Wirtschaftsspionage gegründeten Cyber-Allianz-Zentrums (CAZ) machten sich an die Arbeit und stießen schnell auf Spuren von Software-Werkzeugen, die die Hacker genutzt hatten, um heimlich in die inneren Sphären des Unternehmens vorzudringen.

Doch wenngleich das Aufdecken professioneller Cyberangriffe wie diese für die CAZ-Experten zum Alltag gehört, sorgte dieser Fall für großes Erstaunen. Die Spuren führten nicht etwa zu Hackern in China oder Russland – von wo die Mehrzahl der Cyberangriffe auf Deutschland gestartet wird. Die Täter saßen in einem Land, das bis dato nicht eben als Zentrum für Wirtschaftsspionage bekannt war: im Iran. Die Arbeitszeiten der Hacker hatten die Verfassungsschützer dabei auf die richtige Fährte gebracht. Die Aktivitäten ruhten an Freitagen, dem für Muslime heiligen Tag der Woche. Und außerdem zu jenen Zeiten, da in der Zeitzone Irans die Gläubigen zum Gebet gerufen werden.

Der Leiter des CAZ, Michael George, stellte daraufhin eine kleine Taskforce aus mehreren Mitarbeitern ab, um in Zusammenarbeit mit dem Bundesamt für Verfassungsschutz (BfV) und dem Bundesnachrichtendienst (BND) Stück für Stück das Angriffsschema der Hacker zu rekonstruieren. Als die Verfassungsschützer nach mühevoller Kleinarbeit endlich zu den Servern vorgedrungen waren, auf denen die genutzten Software-Tools lagerten, hatten sie sozusagen die Waffenkammer der Hacker identifiziert – und stellten fest, dass sie eine Cyberkampagne von unerwartet großem Ausmaß enttarnt hatten.

Keineswegs nur deutsche Firmen waren Opfer des Angriffs aus dem Mittleren Osten geworden, betroffen waren Unternehmen und Forschungseinrichtungen auf der ganzen Welt. Zahlreiche Großkonzerne aus der Luft- und Raumfahrtbranche sowie aus der Rüstungsindustrie und Petrochemie standen im Visier der Cyber-Kriminellen. Auch hatten die Angreifer versucht, sich Zugriff auf sensible Daten von Universitäten zu beschaffen – und das in gleich mehreren EU-Ländern, außerdem in den USA, Israel, Mexiko und Saudi-Arabien. Selbst in die Hochburgen der Wirtschaftsspionage, Russland und China, hatten sich die Hacker vorgewagt. Seit mehr als einem Jahr dauern die Attacken bereits an, rekonstruierten die Experten. Und ein Ende der Angriffe, heißt es, sei wohl nicht abzusehen.

Was die Cyber-Spione suchen, liegt auf der Hand: In der Folge seines umstrittenen Atomprogramms ist der Iran seit vielen Jahren von Wirtschaftssanktionen getroffen. Zwar behauptet das Regime in Teheran, seine Nuklearanlagen nur für zivile Zwecke zu nutzen. Doch da man fürchtet, dass das Land am Bau einer Atombombe arbeitet, verhängten die USA und die Europäische Union mehrfach Sanktionen und Embargos gegen den Iran. Im Zentrum stehen dabei Rüstungsgüter, aber auch technische Komponenten, die bei der Urananreicherung zum Einsatz kommen.

Über Tarnfirmen und Mittelsmänner, das berichten Sicherheitsexperten, versucht der Iran, sich die verbotenen Güter weltweit zu beschaffen. Zudem würden seit einiger Zeit auch Hacker gezielt eingesetzt, um für das Atomprogramm relevante Baupläne und Forschungsergebnisse zu stehlen. „Die iranische Staatsführung interessiert sich sehr für westliche Militärtechnologie“, sagt ein Vertreter einer europäischen Sicherheitsbehörde. „Von Drohnensystemen über Satellitentechnik bis hin zu Raketenantrieb und Radaranlagen.“

Um an das gewünschte Know-how zu kommen, beschritten die Hacker aus dem Iran neue Wege. Wie die Verfassungsschützer aus Bayern feststellten, verwendeten die Angreifer nicht etwa Trojaner und Viren, sondern nutzten gezielt Lücken in der Software der Unternehmen aus, etwa fehlende Updates bei Windows -Systemen. Zudem gelang es ihnen, sich wichtige Passwörter für Datenbanken zu verschaffen. Einem Luft- und Raumfahrtkonzern im Ausland sollen so rund 115.000 Dateien gestohlen worden sein. Von einem Satelliten-Hersteller flossen wohl mehr als 10.000 Dateien ungehindert in den Iran ab.

Die Unternehmen hierzulande sind aber offenbar noch glimpflich davongekommen. „Es gibt bislang keine Hinweise darauf, dass auch deutsche Unternehmen zu Schaden gekommen sind“, sagt Michael George, der bayerische Verfassungsschützer. Um weiteren Schaden abzuwenden, setzte der Leiter des CAZ Wirtschaftsvertreter bundesweit mit einer fünfseitigen Warnmeldung in Kenntnis über den Angriff aus dem Iran – und gab überdies Tipps dazu aus, wie sich die Firmen vor der unsichtbaren Gefahr aus dem Netz schützen können. „Wir stellen der deutschen Wirtschaft die Werkzeuge zur Verfügung, mit der die Hacker angreifen“, sagt er. So könnten die Unternehmen frühzeitig Gegenmaßnahmen ergreifen. „Sozusagen einen Impfschutz aktivieren.“

Für deutsche Unternehmen sind die Hackerattacken aus Teheran in diesem Ausmaß zwar eine Premiere. Tatsächlich warnen westliche Nachrichtendienste aber schon seit vielen Jahren vor zunehmender Cyber-Spionage aus dem Iran. Es sei unbestritten, sagt Hans-Georg Maaßen, Präsident des Bundesamts für Verfassungsschutz, „dass neben den Hauptakteuren China und Russland auch Nachrichtendienste anderer Staaten, etwa Iran, über die erforderlichen Ressourcen verfügen, um derartige Angriffe gegen deutsche Ziele ausführen“ zu können. „Der Iran ist sehr aktiv“, sagt auch James Andrew Lewis, ein früherer IT-Sicherheitsexperte des US-Außenministeriums. „Und sie sind besser, als wir dachten.“

Spätestens seit dem Angriff mit der Sabotage-Software „Stuxnet“ auf iranische Nuklearanlagen 2008 soll das Land entschieden haben, seine Cyber-Aktivitäten auszubauen. Die Hacker setzen dabei die gesamte Bandbreite der Spionage ein, um sich die gewünschte Beute zu holen. Soziale Netzwerke haben sich dabei offenbar als besonders nützlich erwiesen. Mit dem Ziel, westliche Militärexperten auszuspähen, hatten iranische Cyber-Spione schon vor drei Jahren das vermeintliche Nachrichten-Portal „NewsOnAir.org“ gegründet, auf der sie echte Meldungen von BBC, Reuters und AP verbreiteten.

Über das Portal hatten die als Reporter getarnten Angreifer Kontakt zu Fachleuten, Diplomaten und Dienstleistern des US-Militärs aufgenommen – mit dem Ziel, die Erkenntnisse westlicher Experten zum iranischen Nuklearprogramm auszuhorchen. Bis zu 2000 Personen sollen so ausspioniert worden sein. Nach Angaben der IT-Sicherheitsfirma iSight Partners handelt es sich bei der Attacke um eine relativ plumpe Methode ohne großen technischen Aufwand. Dies werde allerdings wettgemacht – durch „Geduld, Dreistigkeit und kreative Nutzung sozialer Netzwerke“.

 _______________________

Dieser Artikel erschien zuerst am 09. November .2014 in der WELT am Sonntag

http://www.welt.de/print/wams/wirtschaft/article134144811/Perser-im-PC.html

Die Tschetschenen kommen – oder nicht?

von Florian Flade

Am Samstag drohte nicht nur der Regen, den Fußballfans die Laune zu verderben. Eine Terrorwarnung geisterte durch die Medien. Islamisten planten womöglich einen Anschlag auf die Berliner Fanmeile. Was ist dran, an der Meldung?

pic27052013Emblem des russischen Inlandsnachrichtendienstes FSB

Sechs Wochen ist es her, da rissen zwei Bomben während des Bostoner Marathons drei Menschen in den Tod und verletzten über 250 weitere teilweise schwer. Die Bombenleger: Tamerlan und Dhzokhar Zarnajew, Brüder mit tschetschenischen Wurzeln. Vermutlich islamistisch motiviert.

Der Terroranschlag von Boston kam für die US-Behörden wie aus dem Nichts. Dabei hatte es bereits zwei Jahre zuvor konkrete Hinweise auf einen der Bombenleger gegeben. Der russische Inlands-Nachrichtendienst FSB wandte sich im März 2011 an einen Verbindungsbeamten des FBI in der amerikanischen Botschaft in Moskau. Ein in den USA lebender mutmaßlicher Islamist habe sich vermutlich „starb verändert“, sprich radikalisiert, und plane eine Reise in den Kaukasus, um sich dort einer Terrorgruppe anzuschließen. Gemeint war Tamerlan Zarnajew.

Das FBI besuchte die Familie Zarnajew und befragte Tamerlan. Ohne Ergebnis. Es gab keine Hinweise, so heißt es von Seiten des FBI, dass der Kaukasier ein Terrorist sei. Kurze Zeit später erfolgte eine zweite Anfrage der russischen Behörden zu Tamerlan Zarnajew, diesmal bei der CIA. Wieder ergaben sich keine Beweise für terroristische Aktivitäten. Die US-Behörden nahmen Zarnajew dennoch auf eine Warnliste auf.

Hannover am vergangenen Donnerstag, 23.Mai 2013. Die Innenminister-Konferenz (IMK) tagt. Mit dabei auch der Präsident des Bundeskriminalamtes, Jörg Ziercke. Er bittet die Innenminister des Bundes und der Länder an jenem Tag in einer kleinen, vertraulichen Runde zusammen zu kommen. Der BKA-Chef möchte über die Terrorgefahr in Deutschland sprechen. Aus konkretem Anlass.

Die Kollegen des russischen FSB hätten das BKA vor kurzem kontaktiert, so berichtet Ziercke der Runde. Es gebe Hinweise über möglicherweise geplante Terroranschläge in Deutschland. Die Russen hätten einige Telefonate zwischen radikalen Islamisten abgehört und dabei beunruhigende Informationen aufgegriffen.

Konkret soll es um drei Islamisten aus der Kaukasus-Republik gehen. Alle drei besäßen Mobiltelefone mit deutschen SIM-Karten. Möglicherweise seien die Personen auf dem Weg nach Deutschland. Ein Islamist halte sich vermutlich bereits in der Bundesrepublik auf.

Ein deutsches Nachrichtenportal vermeldete am Samstagvormittag, das BKA warne vor einem möglichen Terroranschlag auf der Fanmeile in Berlin während des Champions-League Finales. Bundesinnenminister Hans-Peter Friedrich (CSU) ruderte umgehend zurück. Es gäbe keine konkreten Hinweise auf Anschlagspläne und demnach auch keinerlei Grund zur Panik.

Und tatsächlich waren die Informationen des FSB eher vage und keineswegs konkret, was den Ort und den Zeitpunkt eines etwaigen Terroranschlags betrifft. Es gab keine Hinweise, dass explizit Fußball-Fans im Visier der Islamisten stehen. Nicht einmal, wie weit die Terrorpläne fortgeschritten sind, war aus dem russischen Hinweis ersichtlich.

Trotzdem nahm das BKA die Warnung aus Moskau durchaus ernst. Gemeinsam mit den Kollegen des Verfassungsschutzes wurde umgehend nach den kaukasischen Extremisten gesucht. Wer könnte der potentielle Terrorist sein? Hält er sich in Deutschland auf? Falls ja, wo?

Mittlerweile, so ist aus Sicherheitskreisen zu vernehmen, ist zumindest eine der Personen, ein gebürtiger Tschetschene, identifiziert worden.

Die Ereignisse von Boston haben weltweit Konsequenzen innerhalb der Sicherheitsbehörden. Für die deutschen Vertreter des Verfassungsschutzes und des Bundeskriminalamtes bedeutet dies: es kam vor kurzem zu Gesprächen mit den russischen Kollegen über die Gefahr, die von kaukasischen Islamisten ausgeht.

Niemand soll sagen können, man sei nicht gewarnt worden. So lässt sich vermutlich auch Zierckes Unterrichtigung der IMK-Runde verstehen. Das FBI ging Hinweisen aus Russland wohl nicht energisch genug nach. Sonst hätte man Tamerlan Zarnajew wohl wesentlich früher im Visier gehabt.

Der Fall der jüngsten Terrorwarnung zeigt, wie ernst deutsche Sicherheitsbehörden die Hinweise ausländischer Partnerdienste nehmen. Auch jene aus Russland, deren Nachrichtendienste nicht unbedingt in allen Bereichen – insbesondere der Spionage – als Partner verstanden werden.

Dass aber die Kooperation zwischen deutschen und russischen Terroristenjägern seit Jahren gut und solide funktioniert, ist in der Sicherheits-Community kein Geheimnis. Der Kampf gegen den islamistischen Terrorismus wird sowohl in Berlin als auch in Moskau als eine absolute Priorität betrachtet.

Wenn es darum geht, die Reisebewegungen von Dschihadisten zu verfolgen, Terrorzellen zu idenitifzieren oder Unterstützernetzwerke aufzudecken, so hört man aus den Behörden, dann arbeitet die russische Seite geradezu vorbildlich mit den deutschen Kollegen von BKA, BfV und BND zusammen. Wie ein Beispiel aus dem Oktober 2010 zeigt.

Abschließend bleibt zur Terrorwarnung zum Champions-League-Finale zu sagen: Informationen über potentielle Terroristen und deren Anschlagspläne gibt es regelmäßig. Nicht immer sind sie belastbar. Manchmal entsteht unnötig Hysterie. Insbesondere wenn Informationen nach draußen sickern.

__________________________

Dieser Artikel erschien am 27.Mai 2013 auf „Heise Telepolis“

http://www.heise.de/tp/artikel/39/39207/1.html