zurück zum Artikel

Macron-Leaks: Die Geschichte zum "massiven Hack"

Obgleich die Identität der Hacker unbekannt ist, wird vor allem auf die Russen gezeigt

Ob es russische Hacker im Auftrag des Kreml waren, die mit einem "massiven Hack" in die Server des Wahlkampfteams von Emmanuel Macron eingedrungen und dann Tausende von kopierten Dokumenten im Web veröffentlicht haben, ist wie immer ungewiss. Viele gehen allerdings davon aus, dass es sich um die angeblich mit dem russischen Geheimdienst verbundene Gruppe APT28 bzw. Sofacy handelt, da offenbar erneut die Methoden [1] (Taktiken, Techniken und Verfahren - TTP) verwendet wurden, die auch beim Hack der DNC-Mailserver, in die Server des Bundestags und bei anderen Cyberangriffen verwendet wurden. Dabei wird freilich nicht direkt in ein System gehackt, es werden mit Phishing-Mails unvorsichtige Nutzer angeschrieben, um sie dazu verlocken, Malware zu installieren.

Nach dem US-Geheimdienst NSA hatte man bereits seit längerer Zeit Angriffsvorbereitungen entdeckt. Admiral Michael Rogers, der NSA-Direktor und gleichzeitig Kommandeur des Cyberkommandos, erklärte bei einer Kongressanhörung [2], man habe die Franzosen vor dem Angriff gewarnt und angeboten, Hilfe zu leisten. Seltsam ist, dass vor der Wahl noch die Rede davon war, dass der Angriff schon vorher stattgefunden haben soll, aber die Dokumente erst am Freitag veröffentlicht worden waren. Auch En Marche hatte am 5. Mai erklärt [3], dass der Hack vor einigen Wochen geschehen sei, ohne dies näher auszuführen. Es ging zunächst um die Verbreitung der kopierten Dokumente:

Le mouvement En Marche ! a été victime d’une action de piratage massive et coordonnée donnant lieu ce soir à la diffusion sur les réseaux sociaux d’informations internes de nature diverse (mails, documents comptables, contrats…). Les fichiers qui circulent ont été obtenus il y a plusieurs semaines grâce au hacking de boîtes mail personnelles et professionnelles de plusieurs responsables du mouvement.

En March

Die New York Times geht in ihrem Bericht (Hackers Came, but the French Were Prepared [4]) darauf auch nicht weiter ein, sondern erzählt die Geschichte, wie sie sich angeblich abgespielt hat. Handfeste Beweise für eine Verbindung gebe es nicht, wird eingeräumt, aber die Hacker seien nachlässig gewesen und hätten eine Menge an Spuren hinterlassen. Auffällig ist wieder, dass die von US-Regierungsangehörigen, Cyberexperten und dem Team von Macron erzählte Geschichte mehr oder weniger distanzlos wiedergegeben wird - mit der Moral gewissermaßen, dass der "von Russland favorisierte Informationskrieg" abgewehrt werden könne, wenn man vorgewarnt sei und die Angriffe schnell herausstellt.

Dabei haben allerdings auch amerikanische Rechte, vor allem Jack Posobiec, eine wichtige Rolle gespielt, zumindest um auf den Hack und die Dokumente aufmerksam zu machen (Wer steht hinter MacronLeaks? [5]). Auf 4chan.org wurde auf die Leaks von einem Benutzer mit einer lettischen IP-Adresse hingewiesen. Das sagt nichts, zumal dieser später schrieb, so die BBC [6], selbst schrieb, er stamme nicht aus Lettland und benutze sieben Proxies. Und dann hatte wenige Minuten nach dem ersten Hinweis maßgablich Jack Posobiec die Rolle desjenigen übernommen, der MacronLeaks über das Netz verbreitete. Andere US-Medien wie Bloomberg [7] sind da vorsichtiger.

Gut möglich, dass russische Hacker hinter dem Angriff standen, zumal auch die Geheimdienste anderer Staaten, die der USA allen voran, sich weltweit hackend betätigen, aber es werden auffällig andere Optionen meist nicht einmal begründet widerlegt, sondern nur Spuren gesammelt, die den Verdacht bestätigen. Man darf davon ausgehen, dass die Entlassung des FBI-Chefs durch Donald Trump die Haltung bestätigen wird. Tatsächlich war Comey schon vor der Wahl für Trump unangenehm (aber auch für Clinton), und er wollte nun mehr Ressourcen [8], um die Verbindungen zwischen dem Trump-Umfeld und Russland zu untersuchen. Trump, der sich über den nicht nach seiner Pfeife tanzenden Comey ärgerte, versuchte vermutlich, durch die Absetzung das Kapitel endlich hinter sich lassen zu können, hat es und den Verdacht aber damit nur verstärkt.

Danach war das "digitale Team" von Macron auf Angriffe bereits vorbereitet, tatsächlich zirkulierten schon längere Zeit seit den "Beeinflussungsoperationen" während des US-Präsidentschaftswahlkampfs Warnungen, dass Ähnliches auch bei den Wahlen in Europa und insbesondere in Frankreich geschehen könne. Zumal in Frankreich mit Marine Le Pen eine Anti-EU-Kandidatin mit Verbindungen in den Kreml gegen den EU-Befürworter antrat und Anhänger der Russenhypothese davon ausgingen, dass der Kreml ebenso gegen Macron wie gegen Clinton agieren könnte.

Im Vorfeld sei den Macron-Leuten aufgefallen, dass wieder Emails an Mitarbeiter über gefälschte Mail-Accounts versandt wurden. Das habe im Dezember begonnen. Offenbar, davon ist aber nicht die Rede, konnten die Hacker aber die Vorsichtsmaßnahmen überwinden und haben einen "Dummen" gefunden, der sich verführen ließ. Aber die New York Times scheint gleichzeitig ein Narrativ der Schuldzuweisung und der Verteidigung verkünden zu wollen. So wird herausgestellt, dass der für die Macron-Kampagne verantwortliche Mahjoubi sagte, sie hätten eine Gegenoffensive gestartet.

Ob der französische Geheimdienst oder staatliche Cyberexperten eingeschaltet wurden, bleibt unbeantwortet. Da man kann keine hundertprozentige Sicherheit garantieren könne, sagt Mahjoubi, habe man falsche Mail-Accounts eingerichtet und sie mit gefälschten Dokumenten gefüllt. Das sei "massiv" geschehen, "um die Verpflichtung für sie zu schaffen, sie zu verifizieren". Es sei darum gegangen, sie zu verlangsamen. En Marche hatte am letzten Freitag gemeldet, es seien gefälschte Dokumente unter den veröffentlichten. Es wurde aber auch gesagt, dass andere authentisch seien. Das ist auf jeden Fall eine geschickte Strategie. Weniger für die Hacker, sondern für diejenigen, die diese Dokumente zur Grundlage einer Berichterstattung machen wollen. Die New York Times schreibt jedenfalls, dass das Macron-Team nicht die Möglichkeit hatte, die Täter zurückzuverfolgen, sondern nur vermutet, es seien Russen gewesen.

Zentral in dem Narrativ ist, dass "die Russen einen schlechten Job gemacht haben, ihre Spuren zu verbergen", wie die NYT schreibt. Das habe es "privaten Sicherheitsfirmen" erleichtert, Beweise zu finden. Staatliche Behörden halten sich offenbar aus offensichtlichen Gründen mit Schuldzuweisungen zurück. Just die Behauptung, die Hacker hätten "Fehler" gemacht, indem sie Informationen hinterlassen hätten, die auf sie verweisen, ließe sich auch anders interpretieren, nämlich dass die Hacker diese Spuren hinterlassen wollten, um die Identifizierung in eine Richtung zu führen und sich zu verbergen. So sollen einige Metadaten der Dokumente zeigen, dass sie auf russischen Computern bearbeitet worden seien. Excel-Dokumente sollen mit Programmen von russischen Versionen von Microsoft Windows verändert worden seien. Andere Dokumente sollen von Nutzern mit russischer Namen verändert worden sein, u.a. einem 32-jährigen Angestellten der russischen Firma Eureka, die mit dem russischen Verteidigungsministerium und russischen Geheimdiensten zusammenarbeiten soll.

Wenn die russischen "Cyber-Operationen" von höchster Ebene angeordnet und mit vielen Ressourcen ausgestattet durchgeführt wurden, sollte dann eher der Verdacht aufkommen, dass hier womöglich falsche Spuren gelegt werden. Die These aber ist, dass die Russen nach der Besetzung der Krim forscher und unvorsichtiger geworden seien, weil sie nichts zu befürchten zu hätten. Pure Spekulation. Bellingcat ist auch wieder im Spiel. Die Organisation, dessen Gründer enge Verbindungen [9] etwa zum Atlantic Council hat, weist [10] auf ein angeblich gefälschtes Dokument hin. Das soll nicht auf das Macron-Team zurückgehen, sondern auf APT28. Eine kurze Bemerkung reich der NYT, um das Narrativ witerzuspinnen.

Waren es die Russen? Handelten sie im Auftrag des Kreml? Waren es rechte Aktivisten oder Trump-Anhänger? Ähnlich wie die Entlassung von Comey das Lager von Donald Trump erst recht verdächtig macht, wird man angesichts dieses im luftleeren Raum schwebenden Narrativs erst einmal skeptisch bleiben müssen.


URL dieses Artikels:
http://www.heise.de/-3711374

Links in diesem Artikel:
[1] https://www2.fireeye.com/WEB-2017-RPT-APT28.html
[2] https://www.armed-services.senate.gov/hearings/17-05-09-united-states-cyber-command
[3] https://en-marche.fr/article/communique-presse-piratage
[4] https://www.nytimes.com/2017/05/09/world/europe/hackers-came-but-the-french-were-prepared.html
[5] https://www.heise.de/tp/features/Wer-steht-hinter-MacronLeaks-3704753.html
[6] http://www.bbc.co.uk/news/blogs-trending-39845105
[7] https://www.forbes.com/sites/thomasbrewster/2017/05/08/macron-emails-leaked-and-russia-is-the-chief-suspect/#2bf8f0c268f4
[8] https://www.washingtonpost.com/politics/after-comeys-ouster-democrats-press-for-independent-probe-of-russias-meddling-in-election/2017/05/10/88c45624-3529-11e7-b373-418f6849a004_story.html
[9] http://www.atlanticcouncil.org/about/experts/list/eliot-higgins
[10] https://twitter.com/peterjukes/status/862139799670595584