Nein, wir haben uns nicht in „Cryptonews“ umbenannt, wir schreiben jetzt auch nicht auf Englisch über Bitcoins oder Ähnliches – und unsere Grundfarbe ist auch nicht schwarz geworden: Ein neuer Hackerangriff hat am Donnerstagmorgen unsere Internetzeitung Mainz& lahmgelegt. Ab den frühen Morgenstunden wurde die gesamte Adresse www.mainzund.de auf eine externe Homepage umgeleitet, die mit Mainz& nicht das Geringste zu tun hatte. Seit Wochen verzeichnet Mainz& Hackerangriffe, bei denen es immer wieder Hinweise auf russische Fake-Seiten gibt – reagiert haben die Behörden bisher nicht.
Der Angriff begann um 5.15 Uhr in der Frühe, die Angreifer spielten rund 40 Fake-Artikel bei Mainz& ein – und sie leiteten die Hauptadresse www.mainzund.de auf eine dubiose Seite namens „Cryptonews“ um. Auf der Startseite sahen die Besucher dann keinen Mainz&-Artikel mehr, sondern lauter Fake-Artikel zum Thema Bitcoins und Crypto-Währungen, und zwar alles auf Englisch. Auch das Layout der Seite war ein völlig anderes, die Hintergrundfarbe schwarz – nichts deutete mehr auf Mainz& hin.
Mainz&-Artikel waren zwar teilweise noch aufrufbar – etwa über Links aus den sozialen Netzwerken, doch erschienen sie dann ebenfalls in dem „neuen“ Layout mit schwarzem Hintergrund und völlig verändertem Design. Unnötig zu sagen, aber sicherheitshalber dennoch: Mainz& hatte mit diesen Veränderungen nichts, aber auch gar nichts zu tun. Weder berichten wir über Bitcoins oder Crypto-Währungen, noch haben wir irgendwelche Verbindungen zu dubiosen Fakenews- Seiten, was immer diese bezwecken.
Tatsächlich ist es in diesem Jahr bereits der vierte konzertierte Hackerangriff auf Mainz&. Die Serie – falls es denn eine ist – begann Ende Januar 2022, bereits damals wurden massenhaft Symbolbilder in das System von Mainz& hochgeladen, die alle verborgene Links enthielten. Diese Links führten zu Fakenews-Seiten, die teilweise zu russische-sprachigen Seiten führten, teilweise zu Fakenews-Seiten, auf denen die Gefahr durch das Coronavirus geleugnet und Corona-Impfungen verunglimpft wurden.
Links zu russischen Fakenews-Seiten – und zu RT Today
Auf manchen Seiten öffnete sich sogar ein Livestream zum inzwischen in Deutschland verbotenen russischen Propaganda-Sender Russia Today oder RT News. Diese Seiten wurden speziell massenhaft bei dem zweiten Hackerangriff verlinkt, der Anfang Februar stattfand – kurz vor dem Überfall Russlands auf die Ukraine.
Auffällig ist zudem: Der heutige Hackerangriff geschah unmittelbar, nachdem wir bei Mainz& einen Artikel ausgespielt hatten, in dem das Wort „Ukraine“ und der dortige Krieg ebenfalls vorkamen – es ist der Artikel zur „Friedenstaube“ auf einem Mainzer Balkon. Es war der erste Artikel zum Thema Hilfsaktionen für die Ukraine auf Mainz& seit dem 24. März – ebensolange hatte es auch keinen Hackerangriff auf Mainz& gegeben. Zuvor war bereits im Februar 2022 ein Artikel über eine Friedensdemo in Mainz gegen den krieg in der Ukraine auf Mainz& bei einem Hackerangriff gelöscht worden.
Mainz& hat alle Hackerangriffe bei den Behörden zur Anzeige gebracht – geschehen ist: nichts. Von Seiten der Ermittlungsbehörden wurde sogar bestritten, dass es überhaupt Hackerangriffe auf unserer Internetzeitung gibt. „Hinsichtlich eines angeblichen Hackerangriffs liegen uns keine Anhaltspunkte vor“, heißt es allen Ernstes in einem Schreiben der Staatsanwaltschaft Mainz von Ende März auf unsere Anzeige hin.
Innenminister Lewentz: Gefahr für Cyberangriffe aus Russland
Dabei hatte Innenminister Roger Lewentz (SPD) noch am 23. März 2022 auf einer Pressekonferenz verkündet, es gebe eine erhöhte abstrakte Gefährdungslage für Cyber-Angriffe: „Es solcher krieg kann auch Auswirkungen auf Rheinland-Pfalz haben“, sagte der Innenminister: „Auch Rheinland-Pfalz kann Ziel von Cyberangriffen sein.“ Kriegsbegleitend sei von bestimmten Stellen zu Cyberangriffen aufgerufen worden, und Lewentz bestätigte auch: Betroffen von der erhöhten Gefährdungslage seien die Bereiche Energie, Gesundheit, Wasserwirtschaft, Finanzwesen – und der Bereich Medien und Kultur.
Neben Cyberangriffen gehe „eine große Gefahr von Desinformationskampagnen aus“, sagte Lewentz weiter, dabei gehe es um den versuch, die Glaubwürdigkeit von Medien, aber auch der Demokratie als ganzes zu diskreditieren, solche Angriffe „gehören heute zu einer hybriden Kriegsführung hinzu“, betonte der Innenminister. Der Leiter des rheinland-pfälzischen Kriminalamtes, Johannes Kunz, bestätigte in derselben Pressekonferenz zudem: „Wir hatten in der Vergangenheit Attacken von aus Russland agierenden Hackergruppen, jetzt stellen wir fest, dass die auch politisch agieren.“
Von rund 50 solcher Angriffe in der Vergangenheit berichtete Kunz, diese kämen zum Teil aus Russland, zum Teil auch aus anderen Staaten. Vielfach handele es sich nach Angaben der Experten um sogenannte DDOS-Attacken, um Attacken mit Phishing Mails – aber auch um „Port Scan“-Attacken, bei denen quasi virtuell an der Eingangstür gerüttelt wird, um zu sehen, ob man hineinkommt. Solche Attacken weisen große Ähnlichkeit mit den Angriffen bei Mainz& auf – trotzdem sieht man beim Landeskriminalamt Rheinland-Pfalz bis heute keine Veranlassung, tätig zu werden: Unbefugte Logins oder eine Attacke auf Mainz& mochte man dort trotz Hunderten an hochgeladenen Fake-Fotos samt externer Links nicht erkennen.
Dabei bestätigte Innenminister Lewentz in der Pressekonferenz ausdrücklich: Im Visier stünden Unternehmen der „Kritis“, der kritischen Infrastruktur – und dazu gehören auch Medienunternehmen. Tatsächlich meldete die Funke Mediengruppe just im März massive Angriffe mit Spam-Kommentaren auf ihre Webseite – nach kritischer Ukraine-Berichterstattung. Auf Nachfrage dazu, antwortete Kunz, dazu könne man nichts sagen, der Vorgang sei nicht bekannt. Hackerangriffe, die russischen Cybergruppen zugeordnet werden könnten, habe man – Stand Ende März – „bisher in keinem Bundesland“ feststellen können.
Natürlich haben wir bei Mainz& auch nach dem heutigen Hackerangriff sofort reagiert: Unsere Seite ist wieder uneingeschränkt erreichbar, und das im gewohnten Layout, Fake-Artikel sind entfernt. Auch die Behörden haben wir von dem erneuten Vorfall informiert. Der Landesverband der Unternehmerverbände LVU warnt derweil explizit, auch in Rheinland-Pfalz werde die Wirtschaft angegriffen – vermutlich von russischen Hackern. Das sagte LVU-Sprecher Moritz Mergen dem SWR, und warnte vor einem Cyberkrieg, „um Wissen zu zerstören.“
Auch das Bundesamt für Verfassungsschutz warnt, im Zusammenhang mit dem Krieg in der Ukraine wachse „auch das Risiko für russische Cyberangriffe gegen deutsche Stellen einschließlich Unternehmen“, wie der SWR weiter schreibt. Es sei „möglich, dass sich Cyber-Sabotageakte nicht nur gegen Unternehmen der sogenannten kritischen Infrastruktur richteten, sondern auch gegen den politischen Raum sowie gegen militärische Einrichtungen“, heißt es in einem „Sicherheitshinweis für die Wirtschaft“. Russische Dienste verfügten über entsprechende Fähigkeiten und Werkzeuge, diese genannten Bereiche nachhaltig zu sabotieren.
Hackerangriffe gab es in den vergangenen Wochen unter anderem auf den Pumpenhersteller KSB in Frankenthal, zudem sollen weitere Unternehmen in der Pfalz in den vergangenen Wochen angegriffen worden seien, bestätigte Ende April ein Wirtschaftsvertreter dem SWR – viele wollen aus Angst vor negativer PR anonym bleiben.
Info& auf Mainz&: Mehr zum ersten Hackerangriff auf Mainz& könnt Ihr hier noch einmal nachlesen. Der mögliche Auslöser des jüngsten Angriffs war dieser Artikel über die „Mainzer Friedenstaube“ und die Mainzer Hilfsaktionen für die Ukraine:
“Friedenstaube” brütet auf Balkon in der Mainzer Neustadt – Tobias Mayer sammelt Spenden für Ukraine
