Die mutmaßlich vom russischen Geheimdienst gesteuerte Hackerkampagne »Ghostwriter« hat kurz nach Beginn des Ukrainekriegs eine neue Angriffswelle in Deutschland gestartet. Das geht aus einem Sicherheitshinweis des Bundesamts für Verfassungsschutz hervor. »Aufgrund erneuter, aktueller Angriffe von Ghostwriter im März 2022 gegen Personen in Deutschland ist besondere Vorsicht geboten«, heißt es in dem Schreiben an Vertreter der deutschen Wirtschaft.

Die Hacker versuchen mit sogenannten Phishingmails Zugang zu E-Mail-Konten zu bekommen. Aktuell kämen die Lock-Mails unter anderem von der harmlos klingenden Adresse t-online.de@comcast.net, warnt das Bundesamt.

In der Vergangenheit konnte »Ghostwriter« laut Verfassungsschutz bereits »erfolgreich Daten von Mandatsträgerinnen und Mandatsträgern und sonstigen politischen Zielen erbeuten«. Diese könnten womöglich über sogenannte Hack and Leak-Operationen öffentlich gemacht und für Desinformationskampagnen missbraucht werden. Es bestehe auch die Gefahr, dass Angreifer Nachrichtenportale oder Social-Media-Accounts von Journalisten kapern, um über diese Kanäle Falschmeldungen zu verbreiten, so die Behörde.

Schmutzkampagnen im Netz

Ähnlich ist die Gruppierung »Ghostwriter« bereits in Osteuropa und im Baltikum vorgegangen. So platzierten die Hacker etwa in Litauen eine erfundene Nachricht über die Schändung eines jüdischen Friedhofs durch deutsche Soldaten auf einer Internetseite. In Polen übernahmen die Angreifer den Twitteraccount eines Politikers der regierenden PiS-Partei und veröffentlichten intime Fotos einer Parteifreundin – eine moderne Form des Rufmords.

In Deutschland verschickten die Hacker im Superwahljahr 2021 Lock-Mails an Dutzende Abgeordnete des Bundestags und der Landtage . Sie zielten darauf ab, Zugang zum privaten Mail-Postfach oder den Social-Media-Konten zu bekommen – in einzelnen Fällen wohl mit Erfolg. Schmutzkampagnen mit den erbeuteten Daten hat es aber bislang nicht gegeben.

Die deutschen Sicherheitsbehörden gehen davon aus, dass »Ghostwriter« von Wladimir Putins Militärgeheimdienst GRU gesteuert wird. Unterstützung bekommen die Hacker nach Einschätzung von Sicherheitsexperten dabei von der belarussischen Cybertruppe »UNC 1151 «. Seit dem vergangenen Sommer führt der Generalbundesanwalt in Karlsruhe in dem Zusammenhang ein Ermittlungsverfahren.

Sabotage durch russische Dienste?

In Berlin ist die Angst vor Cyberangriffen in Deutschland in den vergangenen Tagen spürbar gestiegen. In mehreren Schreiben an Politiker und Unternehmen warnt der Verfassungsschutz, dass wegen der Sanktionen gegen Russland und den Waffenlieferungen an die Ukraine ein erhöhtes Risiko von Attacken »gegen deutsche Stellen einschließlich Unternehmen« bestehe.

Die russischen Dienste verfügten »zweifelsohne« über Fähigkeiten, sowohl kritische Infrastruktur als auch militärische Einrichtungen und den politischen Betrieb »erheblich und nachhaltig zu sabotieren«, schreibt die Behörde.