Kommentar: Kein Hack, nur Ignoranz
Spitzenpolitiker sind auf eine Phishing-Attacke hereingefallen, die über Signal ausgeführt wird. So kann es nicht weitergehen, meint Falk Steiner.
Wer schneller klickt, wird früher gephisht.
(Bild: Katya Rekina / Shutterstock.com, Bearbeitung: heise medien)
Bundestagspräsidentin Julia Klöckner, Bundesbildungsministerin Karin Prien, Bundesbauministerin Verena Hubertz – sie alle sollen betroffen sein von einem Phishing-Angriff, der seit zwei Monaten im politischen Berlin für Unruhe sorgt. Signal selbst ist – trotz anderslautender Überschriften in Publikumsmedien – nicht gehackt worden. Die Angreifer haben sich etwas anderes zunutze gemacht: Naivität, Ignoranz und eine Besonderheit der politischen Realität.
Während Bundestagspräsidentin Julia Klöckner zwar großen Wert auf ihre Social-Media-Auftritte legt, ist vergleichbares Engagement für die IT-Sicherheit nicht überliefert. Und auch bei anderen nun betroffenen Politikern und anderen Akteuren ist kein gesteigertes Problembewusstsein bekannt. Der Vorgang ist ein klassischer Layer-8-Angriff: Der Mensch ist das Ziel. Weshalb fast jede Firma, die mehr als zwei Mitarbeiter hat, inzwischen auch Phishingangriffe simulieren lässt. Und auch im Bundestag ist Phishing spätestens seit der Ghostwriter-Kampagne 2021 alles andere als eine unbekannte Größe.
Die Welt der Politik ist voller großer und kleiner Geheimnisse. Kleine Absprachen, von denen vorher keiner wissen soll, Überlegungen zu börsenrelevanten Änderungen an Gesetzen, zu anstehenden und ausbleibenden Kuhhandeln, persönliche Beziehungen von Politikern und Dritten. Das gilt vor allem für jene, die Regierungen angehören, die als relevante Abgeordnete Regierungsfraktionen angehören, die Ämter bekleiden oder an der Politikgestaltung mitwirken. Sei es als Mitarbeiter, als Bediensteter in Ministerien, als Beamter in Behörden oder in der Bundestagsverwaltung.
Und die Politik ist noch etwas: ein Ziel. Von Wirtschaftsspionage, politischer Spionage, um Kompromat gegen Akteure zu finden, um einen Wissensvorsprung für Verhandlungen zu bekommen. Wissen, was andere wissen, von dem sie aber nicht wissen, dass die andere Seite es weiß: seit der Antike ein wesentlicher Faktor der Politik. In Zeiten, in denen nicht ausgeschlossen ist, dass auch Deutschland in einen Krieg verwickelt werden kann, wäre es um so wichtiger, Funkdisziplin zu wahren, wie hochrangige Bundeswehrangehörige vor zwei Jahren lernen mussten.
Loose clicks sink ships
Ja, Fehler lassen sich nicht vollständig vermeiden. Auch Politiker, Minister, Ministeriale, Mitarbeiter und das sonstige Umfeld sind keine IT-Sicherheitsgötter. Und doch ist dieser Fall anders gelagert: In einem Umfeld, in dem in teils schrillen Tönen vor IT-Sicherheitsproblemen, vor Angriffsszenarien, vor Kriegsgefahr gewarnt wird, gibt es einen Teil der IT-Infrastruktur, der weit jenseits aller professionellen Sicherheitsstandards genutzt werden kann. Und das hat etwas mit der Organisation von Politik zu tun.
Denn auf der einen Seite sind Verantwortungsträger wie Julia Klöckner als Bundestagspräsidentin genau dies: Teile einer strukturierten Organisation. Ob das ein Ministerium, das Kanzleramt, der Bundestag oder eine andere ist, ist dabei fast egal. Dort gibt es überall IT-Sicherheitsvorgaben und Richtlinien.
Bring your own device als Default
Und dann gibt es die zweite Realität: die der Politik als Parteien. Diese sind Zusammenschlüsse vieler einzelner Menschen, die meinen, dass sie gemeinsam etwas verändern wollen und an der politischen Willensbildung dafür mitwirken wollen. Das meint IT-organisatorisch in erster Linie: Jeder bringt sein eigenes Endgerät mit zur Party – und die Interoperabilität wird nur durch Hilfsmittel hergestellt.
Videos by heise
Wenn der Bundeskanzler, die Bundestagspräsidentin, der CDU-Generalsekretär und die Parteipräsidiumskollegen miteinander etwas zu klären haben, werden Akteure aus Dutzenden unterschiedlichen Infrastrukturen verbunden – über einen Messenger auf ihrem Endgerät. Und weil Signal längst nicht in jeder Infrastruktur zugelassen ist und Parteipolitik auch gar nicht mit Mitteln von Parlamentsverwaltung oder Regierungsstellen in Bund und Ländern betrieben werden darf – selbst wenn das oft real nicht so trennscharf handhabbar ist – heißt das statt kryptierten, gesicherten Umgebungen meist: Es wird das private Telefon genutzt.
Allein dadurch ist zwar noch keine Kompromittierung der Institutionen verbunden. Dieses Telefon ist aber nach keinem BSI-Standard gesichert. Und seine Integrität hängt komplett von zwei Dingen ab: der Sicherheits-Awareness der Nutzer – und ihrem konsequenten Verhalten. Zugespitzt gefragt: Wer würde Julia Klöckner als Admin für seine IT-Sicherheitsinfrastruktur einstellen?
Fehlende Awareness bei Politikern ist kein Softwareproblem
Nun ist das Problem selbst keinerlei Neuigkeit. Nicht im Jahr 2026. Und nicht für die Spitzenpolitik. Wer als Verantwortungsträger die Wehrfähigkeit des Landes für essenziell erklärt, muss selbst so handeln. Derzeit aber senden die Betroffenen klare Signale: Die deutsche Spitzenpolitik ist nur sehr bedingt abwehrbereit, wenn es um IT-Sicherheit geht.
Egal wie gut die technischen Lösungen sind: Natürlich ist und bleibt der Mensch als Einfallstor ein Kernproblem. Und auch Signal könnte hier vermutlich noch bessere Sicherheitsmechanismen ermöglichen als jene, die es bislang anbietet. Aber Anbieter können das Problem vor dem Bildschirm nicht lösen, wenn dieses sich nicht für Grundsätze der IT-Sicherheit interessiert.
(nie)
