Wahl in Frankreich:Russische Hacker haben es wohl auf Macron abgesehen

Emmanuel Macron

Emmanuel Macron tritt am 7. Mai in der Stichwahl um die französische Präsidentschaft gegen Marine Le Pen an.

(Foto: AP)
  • Der französische Präsidentschaftskandidat Emmanuel Macron wurde wohl von russischen Hackern ins Visier genommen.
  • Über Phishing-Webseiten sollten Informationen erbeutet werden.
  • Es ist unklar, ob der Angriff erfolgreich war.
  • Auch von der Konrad-Adenauer-Stiftung wollten die Hacker Informationen erbeuten.

Von Hakan Tanriverdi

Hacker haben in den vergangenen Wochen wohl den französischen Präsidentschaftskandidaten Emmanuel Macron ins Visier genommen. Damit wollen sie offenbar seinem Wahlkampf schaden. Es handelt sich um dieselbe Gruppe, die für Hacking-Angriffe auf US-Demokraten und den Bundestag verantwortlich ist. Deutsche und amerikanische Sicherheitsbehörden gehen davon aus, dass die Hacker ihre Befehle vom russischen Staat erhalten.

Das geht aus einer Analyse der IT-Sicherheitsfirma Trendmicro hervor (PDF). Auch die CDU-nahe Konrad-Adenauer-Stiftung soll Ziel von Angriffen gewesen sein. Trendmicro zufolge ist es unklar, ob die Gruppe mit ihren Versuchen erfolgreich war. Die Sicherheitsforscher können nicht sagen, ob es Hacker-Attacken auf andere Kandidaten der französischen Präsidentschaftswahl gab.

Die Sicherheitsforscher veröffentlichen ihren Bericht in einer kritischen Phase des Wahlkampfs. Den ersten Wahlgang am vergangenen Sonntag haben Macron und die Rechtspopulistin Marine Le Pen gewonnen. Nun entscheiden die Franzosen am 7. Mai, wer ihr neues Staatsoberhaupt wird.

Sollte es den Angreifern gelungen sein, in die Netzwerke einzudringen, könnten sie diese Informationen veröffentlichen. So geschah es vor der US-Wahl. Interne Mails der Demokraten wurden über den Zeitraum von mehreren Wochen veröffentlicht. In den USA dauerte der Wahlkampf allerdings Monate. Da die Wahl in Frankreich bereits am 7. Mai stattfindet, bleibt weniger Zeit, um Einfluss zu nehmen.

Analyse aus der Ferne

Der Bericht beschreibt eher allgemein, wie die Hacker in den vergangenen Jahren gearbeitet haben. Detaillierte Informationen zu einzelnen Hacking-Versuchen finden sich in solchen Dokumenten selten. Macron und die Adenauer-Stiftung werden jeweils nur ein einziges Mal erwähnt, beide im Zusammenhang mit sogenannten Phishing-Angriffen.

Dabei werden Personen zum Beispiel auf fremde Webseiten gelockt, um dort Login-Informationen preiszugeben, meist für E-Mail-Konten oder andere wichtige Accounts. Die Webseiten sehen aus, als ob sie von Microsoft, Google oder GMX stammen. Wer einen genaueren Blick in die Adresszeile wirft, kann den Betrug oftmals sehen. Statt google.com steht dort dann zum Beispiel qoogle.com.

Gibt die Person ihre Anmeldeinformationen auf der Fake-Webseite ein, nutzen die Angreifer diese, um sich im tatsächlichen Account einzuloggen. Von dort aus haben sie Zugriff auf alle Inhalte des Mail-Postfachs, können im Namen der Person weitere Mails verschicken und sich Stück für Stück in das Netzwerk vorarbeiten.

Vier Fake-Webseiten

Im Fall von Macron wurde insgesamt vier Fake-Webseiten aufgesetzt, die optisch der offiziellen Seite en-marche.fr ähnelten. Nach Angaben von Trendmicro wurde auch versucht, Schadsoftware auszuspielen. Diese Software erlaubt es Angreifern, auf den Rechner der betroffenen Person zuzugreifen.

Bei der Konrad-Adenauer-Stiftung sollte wohl die Webseite des Alumni-Programms nachgebaut werden. Ein Sprecher der Stiftung sagte, dass es in den vergangenen Wochen "eine kleinere Geschichte" gegeben habe, diese sei aber schnell entdeckt worden. Man sei mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kontakt gewesen. Das BSI selbst wollte sich nicht äußern.

Mounir Mahjoubi, Digitalstratege der Macron-Kampagne, sagte der New York Times, den Angreifern sei es nicht gelungen, E-Mail-Accounts des Politikers oder seiner Mitarbeiter zu übernehmen. Die Zeitung zitiert auch Kreml-Sprecher Dmitrij Peskow, der über den Bericht von Trendmicro spottet: "All das wärmt nur die Anschuldigungen aus Washington auf, die auf sehr wackligen Füßen stehen." Russland habe sich "niemals" in die Wahlen anderer Länder eingemischt.

"Antieuropäisch eingestellt"

Hinter den Angriffen stecken Hacker, die seit Jahren von etlichen IT-Sicherheitsfirmen beobachtet werden. Medial ist das Kollektiv unter dem Namen APT28 bekannt. Richard Werner von Trendmicro nennt die Gruppe "antieuropäisch eingestellt". Sie unterstütze "Kräfte, die die EU-Politik blockieren wollen".

IT-Sicherheitsfirmen bezeichnen sich selbst als unpolitisch, üben mit ihren Berichten jedoch ebenfalls Einfluss aus. Die Berichterstattung über die Angriffe während des US-Wahlkampfs wurde zum Beispiel durch die Analyse der Firma Crowdstrike dominiert. Diese durfte im Auftrag der US-Demokraten Netzwerke analysieren und die Ergebnisse präsentieren. Über Monate hinweg erwähnte jeder Artikel über Hacking-Versuche durch APT-Gruppen diesen Bericht. Im Gegensatz zur Auftragsarbeit von Crowdstrike liefert Trendmicro die Analyse aus der Ferne und auf eigene Rechnung.

Wie es zu rechtfertigen ist, den Bericht in dieser Phase des Wahlkampfs zu veröffentlichen? Trendmicro sagt, man habe intern durchaus diskutiert, ob der Bericht früher veröffentlicht werden solle. Letztendlich sei die Frage, ob das Einfluss auf die Wahl habe, aber ohnehin schwer zu beantworten. "Uns interessiert, wie Hacker vorgehen - und das weltweit."

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: