Finger tippen auf einer Tastatur. | picture alliance / dpa

Cybergefahr im Wahlkampf Das große Rauschen

Stand: 14.07.2021 05:01 Uhr

Russlands Geheimdienste werden weiterhin für Cyberangriffe in Deutschland verantwortlich gemacht. Die Sicherheitsbehörden befürchten, dass Moskau versuchen könnte, die Bundestagswahl zu beeinflussen.

Von Florian Flade, WDR, und Hakan Tanriverdi, BR

Es war ein Versuch, wenn auch kein besonders erfolgreicher. Aber der Angriff war dennoch sehr ernst zu nehmen. Schließlich kam er von einer der meistgefürchteten Gruppen der Welt, die wiederholt bewiesen hat, wie talentiert ihre Hacker sind. Sie sollen im Auftrag des russischen Auslandsgeheimdienstes SWR handeln, IT-Sicherheitsexperten nennen sie "Cozy Bear" oder APT29.

Mehrere Mitarbeitende deutscher Ministerien, darunter des Bundesinnenministeriums, bekamen im Mai sogenannte Phishing-E-Mails. Darin befand sich ein Link. Wer darauf klickte, installierte sich unfreiwillig eine Schadsoftware auf dem Computer und ließ die Hacker sozusagen herein.

Angriff auf breiter Front

Diesmal aber sollen die Angreifer nicht erfolgreich gewesen sein, Daten flossen wohl nicht ab. Ein ausländischer Nachrichtendienst hatte die deutschen Sicherheitsbehörden zudem früh über die Angriffe informiert. Sie seien gegen sehr viele Organisationen gerichtet gewesen - darunter Think Tanks und eben Ministerien - wie ein Beamter erklärt, der den Vorgang kennt. "Das ging gegen Gott und die Welt", sagt dieser Beamte über die in Deutschland eher erfolglose Kampagne der APT29-Hacker.

Derartige Cyberangriffe sind mittlerweile keine Besonderheit mehr. Russische Geheimdienste sollen in den vergangenen Jahren immer wieder versucht haben, auf elektronischem Weg an brisante Informationen zu gelangen. Mal gelang es, oft aber scheiterten sie.

Desinformationskampagnen befürchtet

Nur wenige Wochen vor der Bundestagswahl im September aber steigt bei deutschen Sicherheitsbehörden die Nervosität. Die Sorge ist groß, dass sich Russland in die diesjährige Wahl einmischen könnte. Durch gezielte Desinformationskampagnen etwa, möglicherweise mithilfe zuvor gestohlener Daten. Was, wenn Moskau versucht, bestimmten Parteien oder Kandidaten auf diese Weise zu schaden - oder anderen zum Wahlsieg zu verhelfen?

In den USA hatten Putins Hacker im Präsidentschaftswahlkampf 2016 zuerst die E-Mails der Demokratischen Partei gehackt und dann bestimmte Inhalte veröffentlicht. Auch bei der Wahl in Frankreich im Jahr 2017 sollen russische Hacker viele Tausend E-Mails von Macrons Wahlkampfteam gestohlen haben, die dann im Internet veröffentlicht wurden. "Hack & Leak"-Operationen heißen solche Aktionen im Jargon der Geheimdienste.

"Desinformation zielt darauf ab, bereits bestehende Konflikte in den Gesellschaften zu verstärken", sagt der deutsche Politikwissenschaftler Thomas Rid, der an der amerikanischen Johns-Hopkins-Universität zu Desinformation forscht. Solche "politische Sabotage" sei keine neue Entwicklung, sondern eine sehr alte Vorgehensweise von Geheimdiensten. Neu seien vor allem die Vorgehensweisen, durch Hacker-Angriffe und durch Ausnutzung von sozialen Medien. 

Arbeitsgruppe soll schnelle Reaktion garantieren

In Deutschland wollen die Behörden auf solche Ereignisse frühzeitig reagieren können. Bereits Ende 2018 wurde daher die Arbeitsgruppe (AG) "Hybrid" ins Leben gerufen, an der mehrere Behörden beteiligt sind. Darunter das Bundesamt für Verfassungsschutz (BfV), das Bundesamt für die Sicherheit in der Informationstechnik (BSI) und der Bundesnachrichtendienst (BND). Diese Arbeitsgruppe trifft sich regelmäßig unter Federführung des Bundesinnenministeriums, um über so genannte "hybride Bedrohungen" zu sprechen, zum Beispiel über Cyberangriffe und über das gezielte Streuen von Falschinformationen.

Eine eigene Unterarbeitsgruppe "Bundestagswahl" befasst sich zudem mit möglicher Desinformation und ausländischer Einflussnahme auf die anstehende Wahl. Alle zwei Wochen erstellen die Fachleute ein Lagebild, in dem alle Erkenntnisse zusammengefasst werden. Sie informieren auch gezielt potenzielle Opfer über Cybergefahren.

Die Phishing-Versuche von APT29 waren wohl zu breit gefächert, um als gezieltes Vorgehen im Vorfeld der Bundestagswahl gewertet zu werden. Doch das Vorgehen einer anderen Gruppierung sorgt für deutlich mehr Unbehagen in deutschen Sicherheitsbehörden. Vor Kurzem erst warnten BSI und BfV die Abgeordneten des Bundestages erneut vor möglichen Cyberattacken mit gefälschten E-Mails und wiesen auf eine Kampagne hin, die "Ghostwriter" genannt wird. Hinter ihr soll Russlands Militärgeheimdienst GRU stecken. 

Vermehrt private E-Mail-Konten missbraucht

"BfV und BSI gehen aktuell davon aus, dass durch Phishing erlangte Zugangsdaten zu privaten E-Mail-Konten genutzt werden, um gefälschte E-Mails zu versenden", heißt es in dem Schreiben, das WDR und BR vorliegt. Auch Accounts in sozialen Netzwerken könnten auf diese Weise übernommen werden: "Fremde Nachrichtendienste können diese Zugänge dann nutzen, um in Ihrem Namen persönliche und intime Informationen oder auch fabrizierte Falschnachrichten zu veröffentlichen."

In einer internen Präsentation des BfV wird ausgeführt, dass es "mehr als 300 Angriffsversuche" von "Ghostwriter" gegeben habe, darunter 60 Politiker auf kommunaler Ebene und 70 Abgeordnete, sowohl auf Bundestags- als auch auf Landtagsebene. "Hier werden Zugänge gesammelt, um vorbereitet zu sein. Sollte man sich entscheiden, politisch etwas machen zu wollen, könnte man dann direkt loslegen", formuliert es ein deutscher Beamter. 

Deutliche Anzeichen für Kampagne

Im Februar tauchten die ersten E-Mails auf. Sie sahen aus, als kämen sie von den Anbietern T-Online oder GMX. Die Empfänger wurden aufgefordert, ihren Nutzernamen und Passwort einzugeben. Beim Verfassungsschutz wertet man diese Aktion als "Vorbereitungshandlung" für mögliche Desinformationskampagnen.

"Wir erleben, dass auf unterschiedliche Art und Weise versucht wird, in den Willensbildungsprozess bei der Bundestagswahl einzugreifen", warnt Konstantin Kuhle, innenpolitischer Sprecher FDP-Bundestagsfraktion. "Es gibt im Wahlkampf keinen perfekten Diskurs, da wird immer mit harten Bandagen gekämpft. Wenn aber verdeckt und aus dem Ausland versucht wird, die Willensbildung in Deutschland in eine bestimmte Richtung zu lenken, dann ist das ein Angriff auf die freiheitliche Demokratie und dann muss man sich dagegen schützen."

Führende polnische Politiker betroffen

In Polen schlugen die Hacker von "Ghostwriter" schon vor Monaten zug - und sorgten auch für Wirbel. Sie übernahmen kurzzeitig den Twitter-Account eines konservativen Politikers, veröffentlichten darüber Fotos einer weiteren Politikerin, die sie in Unterwäsche zeigten. Im Juni dann berichteten polnische Medien, dass diese Hacker rund 4000 Personen angegriffen haben sollen, in rund 100 Fällen waren sie wohl erfolgreich. Betroffen sein soll auch der polnische Kanzleramtminister Michal Dworczyk. 

Mittlerweile gehen die Hacker noch einen Schritt weiter: Sie dringen nicht nur in Social-Media-Accounts von Politikern ein, übernehmend diese und stiften Chaos. Über den Messenger-Dienst Telegram werden auch sensible Informationen geleakt, darunter Unterlagen aus dem polnischen Verteidigungsministerium.

Ohne Skrupel

Obwohl die "Ghostwriter"-Kampagne längst öffentlich bekannt ist und die Behörden präventiv davor warnen, werden weiterhin entsprechende E-Mails verschickt. Das ist eine Dreistigkeit, die selbst erfahrene Mitarbeiter der Spionageabwehr überrascht. "Die machen einfach weiter", so ein Verfassungsschützer.

Es sei heute als Akteur von außen viel leichter als noch im Kalten Krieg festzustellen, welche politische Spaltungen und Grabenkämpfe es in einer Gesellschaft gebe, so der Forscher Thomas Rid. Gleichzeitig warnt er davor, derartige Desinformationskampagnen überzubewerten. "Die meisten der Operationen werden zu Hintergrundgeräuschen, die sind nicht besonders erfolgreich."

Über dieses Thema berichtete Inforadio am 14. Juli 2021 um 06:47 Uhr sowie mdr Aktuell um 10:18 Uhr.