Als John Podesta am 19. März 2016 eine alarmierende E-Mail erhielt, wusste er nicht, dass sie der Ausgangspunkt für einen massiven Schlag gegen seine damalige Chefin sein würde: Hillary Clinton, die damalige Präsidentschaftskandidatin der Demokraten. Die E-Mail informierte ihren Wahlkampfmanager darüber, dass jemand sein Gmail-Konto habe öffnen wollen, und forderte ihn auf, sein Kennwort zu ändern. Podesta klickte auf den Link und tat, wie die Nachricht verlangte.

Doch er hatte damit keineswegs sein Passwort geändert. Er hatte Hackern die Zugangsdaten für sein Konto genannt. Denn hinter der Nachricht bezüglich seines Gmail-Accounts steckte nicht Google, sondern mutmaßlich eine Gruppe namens APT28. Sie steht im Verdacht, eine falsche Seite aufgesetzt zu haben, mit der sie Podestas Logindaten abgreifen konnte und so ungefilterten Zugang zu all seinen E-Mails erhielt. Wenig später tauchten diese auf der Enthüllungsplattform WikiLeaks auf.

Knapp zweieinhalb Jahre später und nur drei Monate vor den Kongresswahlen in den Vereinigten Staaten scheint dieselbe Hackergruppe nun erneut versucht zu haben, nach einem ähnlichen Muster Mitarbeiterinnen und Mitarbeiter von staatlichen wie nichtstaatlichen Organisationen in den USA zu überlisten. Im Netz wurden mehrere Websites aufgesetzt, die denen bestehender Institutionen gleichen. Zu den nachgeahmten Seiten zählt unter anderem der Internetauftritt des US-Senats, zeigt ein am Dienstag veröffentlichter Report von Microsoft. Dem Bericht zufolge wurden auch die Websites von Organisationen wie dem Hudson Institute und dem International Republican Institute (IRI) kopiert, die der republikanischen Partei nahestehen. Insgesamt sind sechs Domänen betroffen.

Senat und republikanische Institutionen betroffen

Mutmaßlich sollten erneut Menschen per E-Mail dazu gebracht werden, ihre Login-Daten auf den nachgeahmten Websites einzugeben. Dieses Verfahren nennt sich in der Fachsprache Spear Phishing. Hacker senden E-Mails von seriös klingenden Adressen und suggerieren, dass man etwa das Facebook-Passwort ändern solle oder Netflix seine aktuellen Daten bestätigen müsse. Dafür soll die Person auf einen Link klicken. Tut sie das, greifen die Kriminellen die Anmeldeinformationen ab. Manchmal soll der Nutzer oder die Nutzerin auch einen Anhang öffnen, der wiederum Spionagesoftware auf dem Rechner installiert. So können Hacker ihre Opfer ausspähen.

Vertrauen generieren die Hacker, in dem sie Internetadressen wählen, die den Originalen stark ähneln. So auch im aktuellen Fall: In die Adresszeile des IRI fügten die Hacker lediglich ein "my" ein, die URL des US-Senats ließen sie auf ".group" statt auf ".gov" enden. Nach Angaben von Microsoft gibt es aber bisher keine Anzeichen dafür, dass über die gefälschten Websites erfolgreich Daten abgegriffen wurden. Ob die Institutionen selbst das Ziel waren oder Personen dahinter, bleibt einstweilen genauso ungeklärt wie die Frage, mit welchem Zweck diese ausspioniert werden sollten.

Neu an dem Ansatz der Hacker ist im aktuellen Fall, dass auch republikanische Gruppierungen angegriffen werden. So schätzt es zumindest Brad Smith ein, Präsident und Chief Legal Officer von Microsoft. "Wir sehen einen Anstieg der Angriffe", sagte er der New York Times. Die Ziele der Hacker gingen über die Seiten hinaus, die sie in der Vergangenheit anvisiert hätten. Zuvor fokussierten sie sich eher auf Demokraten wie Podesta oder auf Institutionen wie das Center for a New American Security, aus dessen Mitarbeiterkreis die einstige Obama-Administration gern Personal rekrutierte.

Microsoft vermutet erneut die Gruppe APT28, auch bekannt unter den Namen Strontium oder Fancy Bear, hinter den Attacken. Das Kollektiv von Hackern wird nicht nur mit dem Cyberangriff auf Clintons Wahlkampfmanager in Verbindung gebracht, sondern auch mit der digitalen Attacke auf den Bundestag und mit der auf die Website von Emmanuel Macron kurz vor der Wahl in Frankreich 2017. Den Hackern werden Verbindungen zum russischen Nachrichtendienst GRU nachgesagt, Recherchen der ZEIT untermauerten diesen Verdacht.

Für eine russische Beteiligung gibt es zwar in all diesen Fällen nur Indizien, Beweise sind zumindest der Öffentlichkeit nicht bekannt. Auch in der aktuellen Sache fällt aber auf, dass Institute und Organisationen angegriffen wurden, die Russland eher kritisch gegenüberstehen. Das Hudson Institute moniert beispielsweise Kleptokratie und Korruption in Russland. Das IRI hat die russischen Angriffe auf die US-amerikanischen Wahlen scharf verurteilt. Dem Direktorium des Instituts gehören US-Republikaner wie der Trump-Kritiker John McCain oder der kürzlich vom Weißen Haus entlassene General H. R. McMaster an. Das sind wieder nur Indizien, aber sie häufen sich.

Microsoft und die Verteidigung der Demokratie

Interessant auch, dass Microsoft in den aktuellen Fall involviert ist. Das Unternehmen bestätigte auf Nachfrage die Beteiligung an der Aufklärung des Hacks. Microsoft ist normalerweise eher für sein Betriebssystem Windows denn für Cyberabwehr bekannt. Seit 2008 betreibt der Tech-Konzern eine sogenannte Digital Crimes Unit (DCU), die aus Sicherheitsexperten und Rechtsanwältinnen besteht. Ziel des Teams ist es nach Angaben der Firma, Cyberattacken zu stoppen oder zu verhindern. Im April setzte Microsoft außerdem das Defending Democracy Program auf, das politische Kampagnen vor Hackern schützen, mehr Transparenz in die Onlinewerbung von Parteien bringen und Desinformationskampagnen verhindern soll.

In der vergangenen Woche hat die DCU einen Gerichtsbeschluss ausgeführt und die sechs gefälschten URL unter ihre Kontrolle gebracht. Nach eigenen Angaben hat das Unternehmen in den vergangenen zwei Jahren zwölfmal auf Geheiß von Gerichtsverfügungen 84 Fake-Websites geschlossen, die mit APT28 in Verbindung gestanden haben sollen. Im Juli hatte das Unternehmen zuletzt geholfen, ähnliche Attacken gegen zwei US-Senatoren zu blockieren. Gemeinsam mit den IT-Experten des Senats beobachte man zudem die Domain-Aktivitäten im Netz. Am Dienstag gab das Unternehmen darüber hinaus bekannt, eine Initiative namens AccountGuard zu starten. Mit dem frei verfügbaren Programm will es den Schutz von politischen Kandidatinnen sowie Thinktanks und politische Organisationen stärken.