Verfassungsschutz warnt vor russischen Cyberangriffen

Russische Hacker haben in den vergangenen Wochen auch ein deutsches Medienunternehmen ins Visier genommen. „Wir beobachten gegenwärtig eine Welle von Cyberattacken, die weit über die bisher bekannten Angriffe gegen den Deutschen Bundestag sowie gegen Parteien hinausgeht“, sagte der Präsident des Bundesamtes für Verfassungsschutz (BfV), Hans-Georg Maaßen, am Donnerstag der Deutschen Presse-Agentur in Berlin. „Die Angriffe richten sich auch gegen zumindest ein deutsches Medienunternehmen und gegen mehrere Ziele im Ausland.“ Es gebe „Anhaltspunkte für eine Steuerung durch staatliche Stellen in Russland“.

Um welches Medienunternehmen es sich handelt, teilte Maaßen nicht mit. Das BfV ist für die Spionageabwehr in Deutschland zuständig. Aufgrund der Vorgehensweise und der technischen Parameter rechne man die Angriffe der unter dem Namen „APT28“ bekannten Hacker-Kampagne zu, bei der es Anhaltspunkte für einen russischen staatlichen Hintergrund gibt. Die aktuelle Angriffswelle sei „Bestandteil einer der derzeit aktivsten und aggressivsten Cyberspionageoperationen“, warnte der Verfassungsschutzpräsident.

Meinungsmanipulation?

Kürzlich war bekannt geworden, dass eine unter den Namen „Sofacy“ und „APT28“ bekannte Hackergruppe mit Sitz in Russland im August erneut den Bundestag, die Linkspartei und die Saar-CDU angegriffen hat. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befürchtet, dass Hacker brisante Informationen nutzen könnten, um die öffentliche Meinung vor der Bundestagswahl 2017 zu manipulieren.

Aus einer der dpa vorliegenden Warnmeldung des Verfassungsschutzes vom Donnerstag an das BSI wird deutlich, dass der Angriff auf das Medienunternehmen über eine gezielte Mail an einen Journalisten geführt wurde. Die elektronische Nachricht habe einen manipulierten Link enthalten, der auf eine mit einem Schadecode infizierte Seite gelenkt habe. Der gefälschte Absender laute auf den Namen Heinrich Krammer und habe eine Mail-Endung, die auf einen angeblichen Nato-Ursprung hindeute. Mit Mails, die diesen Absender trugen, waren im August und September auch der Bundestag, die Linke und die Saar-CDU attackiert worden.

Böser Link

Laut Warnmeldung datieren alle bisher festgestellten Angriffsversuche auf die Zeit zwischen 15. August und 15. September. Bei einer der Attacken sei statt eines manipulierten Links ein verseuchtes Office-Dokument als Anlage verwendet worden. Die von „APT28“ versandten Phishing-Mails seien in der Regel in englischer Sprache verfasst, schreibt der Verfassungsschutz. Zudem nähmen die Nachrichten Bezug auf ein aktuelles tagespolitisches Ereignis. Bei den Attacken auf den Bundestag und die Parteien ging es um den versuchten Militärputsch in der Türkei Mitte Juli und das schwere Erdbeben in Italien am 24. August.

Das Opfer werde aufgefordert, für weiterführende Informationen einen manipulierten Link oder ein verseuchtes Office-Dokument zu öffnen, heißt es in der BfV-Warnung. Klicke das Opfer auf den Link, werde es auf eine Nachrichtenseite weitergeleitet, während sich im Hintergrund die Schadsoftware automatisch auf seinem Rechner installiere. Die Verfassungsschützer empfehlen in der Warnmeldung eine Überprüfung der Mail-Postfächer auf die Absenderadresse „heinrich.krammer@hq.nato.int“. Zudem werde empfohlen zu prüfen, ob E-Mails von internationalen Organisationen tatsächlich von bekannten Absendern stammten.