BR24 Logo
BR24 Logo
Startseite

Cyberangriff: Politiker im Visier der "Chaostruppe" | BR24

© picture alliance / empics | Yui Mok
Bildrechte: picture alliance / empics | Yui Mok

Die Hackergruppe "Ghostwriter" startet Cyberangriffe auf Bundestagsabgeordnete

12
Per Mail sharen

    Cyberangriff: Politiker im Visier der "Chaostruppe"

    Die Mission der Hacker von Ghostwriter ist es, für Chaos zu sorgen. Ausgerechnet diese Hacker haben im Wahljahr nun deutsche Politiker angegriffen. Ersten Analysen zufolge führt die Spur nach Russland.

    12
    Per Mail sharen
    Von
    • Hakan Tanriverdi
    • Florian Flade, WDR

    Es ist Montag, der 18. Januar, kurz nach 10 Uhr, als der Twitter-Account des polnischen Politikers Marek Suski plötzlich ungewöhnliche Mitteilungen absetzt. "Das Verhalten einiger Frauen ist inakzeptabel und überschreitet jegliche moralische Grenzen", steht in dem Tweet. Er werde von einer Frau sexuell belästigt und müsse sich nun wehren, damit dies endlich aufhöre. Es folgt ein Tweet mit drei Fotos. Darauf zu sehen: eine blonde Frau, ebenfalls Politikerin. Die Aufnahmen zeigen sie leicht bekleidet, teilweise nur in Unterwäsche und Nachthemd.

    Zum Zeitpunkt, als die Bilder gepostet wurden, hatte Marek Suski rund 12.000 Twitter-Follower. Die freizügigen Fotos seiner Parteikollegin hatte der Politiker nicht selbst veröffentlicht. Es waren Hacker, die heimlich sein Nutzerkonto übernommen hatten. Sie sollen zuvor auch die Social-Media-Kanäle der Politikerin gehackt und sich wohl auch die Bilder von ihrem Handy verschafft haben.

    Ghostwriter: Cyberattacke auf deutsche Abgeordnete

    Die Hackergruppe, die mit den gefälschten Politiker-Tweets in Polen für einiges Aufsehen sorgte, beschäftigt nun auch deutsche Sicherheitsbehörden. Denn sie soll auch hierzulande Politiker ins Visier genommen haben. In der vergangenen Woche wurde bekannt, dass das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für die Sicherheit in der Informationstechnik (BSI) derzeit vor Cyberangriffen der Hacker warnen – und davon ausgehen, dass der russische Militärgeheimdienst GRU hinter den Attacken stecken könnte.

    Sieben Bundestags- und mehr als 30 Abgeordnete verschiedener Landtage sollen kürzlich sogenannte Phishing-Mails erhalten haben, also harmlos wirkende E-Mails, in denen oft ein Link zu einer Webseite eingefügt ist, auf der Nutzer aufgefordert werden, ihr Passwort einzugeben. Der Verfassungsschutz hatte die Angriffswelle frühzeitig bemerkt und anschließend die betroffenen Personen informiert. Es soll sich um Abgeordnete der CDU/CSU-Fraktion und von der SPD handeln.

    "Nachrichtendienstlicher Hintergrund" vermutet

    In einem Schreiben des BfV und des BSI warnen die Behörden Parlamentarier, "dass Ihre dienstliche und/oder private E-Mail-Adresse im Fokus einer gezielten Phishing-Kampagne stehen könnte". Das Schreiben liegt BR Recherche und dem WDR vor. Weiter heißt es darin, der Verfassungsschutz gehe "von einem nachrichtendienstlichen Hintergrund aus". Es sei zudem davon auszugehen, dass die möglicherweise gestohlenen Daten für weitere Aktivitäten genutzt werden sollten. Etwa "für den Zugriff auf Ihre Benutzerkonten bei sozialen Netzwerken oder zur Verbreitung von Falschmeldungen".

    In den E-Mails werden die Empfänger aufgefordert, zu beweisen, dass "Sie kein Spam-Bot sind". Sie sollen deshalb eine Webseite besuchen und dort Name und Passwort eingeben, ansonsten werde das Postfach "innerhalb von drei Tagen gesperrt". Die Mail erzeugt also Druck und ist angeblich von GMX verschickt. Sie enthält viele orthografische Fehler, da die Hacker anscheinend ein Programm verwendet haben, das Probleme mit deutschen Umlauten hatte. Statt "müssen" steht in der E-Mail zum Beispiel "müssen" und statt "verstoßen" steht da "verstoßen". Das sind Fehler, die in echten E-Mails von GMX nicht auftauchen.

    Einflussnahme auf Bundestagswahlkampf geplant?

    Der Fall wird von deutschen Sicherheitsbehörden sehr ernst genommen. Nicht etwa weil es sich um einen besonders ausgefeilten Angriff handelt, sondern vor allem wegen des Zeitpunktes: Im September findet die Bundestagswahl statt. Die Sorge ist daher groß, dass russische Geheimdienste versuchen könnten, die politischen Prozesse in Deutschland zu beeinflussen oder massiv zu stören. In den USA und in Frankreich war es in der Vergangenheit zu solchen Aktionen durch mutmaßlich russische Hackergruppen gekommen.

    In der vergangenen Woche sprach BfV-Präsident Thomas Haldenwang den aktuellen Vorfall im geheim tagenden Parlamentarischen Kontrollgremium des Bundestages an. Dort wird die Arbeit der Geheimdienste kontrolliert. Haldenwang soll erklärt haben, dass die Sicherheitsbehörden den russischen Militärgeheimdienst GRU hinter der Attacke vermuten. Mehr als 200 E-Mail-Adressen sollen die Hacker angegriffen haben und zwar fast ausschließlich Nutzerkonten bei den Anbietern GMX und T-Online. Längst nicht alle Empfänger seien Politiker, es gebe oft auch nur eine Namensgleichheit oder Namensähnlichkeit.

    Hacking und Desinformation

    Die Cyberkampagne, die nun offenbar auch auf deutsche Abgeordnete abzielt, wurde erstmals von der IT-Sicherheitsfirma Fireeye beschrieben und als "Ghostwriter" bezeichnet. Die Hacker würden sich "an russischen Sicherheitsinteresseren" orientieren, heißt es in einem Dossier der Firma. Fireeye beobachtet die Hacker von Ghostwriter bereits seit März 2017, wie der IT-Sicherheitsexperte Benjamin Read erklärt. "Was diese Gruppe auszeichnet, ist die Art und Weise, wie sie Hacking mit Desinformationskampagnen verbinden." Die Hacker hätten in vielen Fällen seriöse Webseiten gehackt und erfundene Inhalte hochgeladen. Fireeye macht keine Angaben darüber, ob die Gruppe im Auftrag eines Staates agiert.

    "Bemerkenswert ist, dass dies die erste größere beobachtete Aktivität der Gruppe in West-Europa darstellt", heißt es in einem aktuellen Bericht des BSI zum Hackerangriff auf die Politiker in Deutschland. "Kampagnen durch Ghostwriter wurden in der Vergangenheit vor allem in Litauen, Lettland und Polen beobachtet." Auf Anfrage teilt die Behörde mit, den laufenden Angriff der Hacker von Ghostwriter bereits seit "Mitte Februar 2021" zu beobachten.

    Die Mission von "Ghostwriter" scheint es zu sein, durch gezielte Desinformation nicht nur Verwirrung zu stiften, sondern auch die öffentliche Meinung zu beeinflussen, Wut und Empörung auf bestimmte Ziele zu lenken. Diese Hacker seien, so heißt es im Verfassungsschutz, nicht nur Datendiebe, sondern eine "Chaostruppe". Die Hacker gingen zwar relativ plump und technisch wenig ausgereift vor, könnten aber dennoch enormen Schaden anrichten.

    Digital-Experten fordern Sensibilisierungskampagne

    Jens Zimmermann, Sprecher für Digitalpolitik in der SPD, warnt davor, solche Angriffe zu unterschätzen. "Es ist natürlich heikel, weil versucht werden könnte, die Legitimität der Bundestagswahl anzugreifen, also zu suggerieren, auf irgendeine Art und Weise, dass diese Wahl nicht mit rechten Dingen abläuft." Zimmermann fordert eine bessere Sensibilisierungskampagne für Politiker.

    Das sieht auch Anke Domscheit-Berg so, netzpolitische Sprecherin der Linken. Das sei aber gar nicht so einfach, Abgeordnete seien am Ende einer Legislaturperiode doppelt belastet, mit Abgeordnetentätigkeit und Wahlkampf. "Und dann ahne ich, dass sehr viele Büros leider zugunsten irgendwelcher anderer Termine entscheiden werden und dass es am Ende hinten runterfällt." Anstelle von Workshops schlägt sie vor, knappe Schreiben zu verfassen, in denen Basiswissen vermittelt werde.

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!