Warum Politiker derzeit so viel Angst vor Spionage haben wie noch nie
»Es ist davon auszugehen, dass zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden.« Der Satz braucht einen Moment, bis er in seiner Tragweite einsickert: Unbekannte lesen offenbar mit, was im politischen Berlin zwischen Abgeordneten ausgetauscht wird.
Der Satz steht in einem 20-seitigen Sicherheitshinweis an die Fraktionsvorsitzenden und Bundesgeschäftsstellen der Parteien, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) vergangenen Dienstag verschickt haben. Er liegt der ZEIT vor. Mehrere hochrangige Betroffene von Phishing-Angriffen auf dem Messengerdienst sind inzwischen bekannt geworden. Laut einem Bericht des SPIEGEL zählt dazu auch die Bundestagspräsidentin Julia Klöckner. Die Bundesanwaltschaft hat in dem Fall Ermittlungen aufgenommen. Diese seien bereits Mitte Februar wegen des Anfangsverdachts der Spionage eingeleitet worden, bestätigte eine Sprecherin der Karlsruher Behörde der ZEIT.
Die Phishing-Kampagne läuft bereits seit einigen Monaten. Nachdem im Januar zahlreiche Angriffe über Signal auf Journalisten und Vertreter der Zivilgesellschaft bekannt geworden waren, veröffentlichte das BfV Anfang Februar eine ausführliche Anleitung, in der erklärt wird, wie man feststellen kann, ob man gehackt wurde und was dann zu tun ist. Die Behörde wandte sich auch an die Geschäftsstellen der Parteien im Bundestag. Darin heißt es, durch die »generell hohe Akzeptanz von Signal in sicherheitsrelevanten Kommunikationskontexten« hätten Angriffe im politischen Raum eine »erhöhte Wirksamkeit«.
Wie sicherheitsrelevant die Infiltrationsversuche sein können, zeigte sich Mitte März. Da wurde bekannt, dass auch das Konto des ehemaligen BND-Vizepräsidenten Arndt Freytag von Loringhoven gehackt wurde. Angreifer hatten Zugriff auf seine Kontakte in der Signal-App erlangt.
Deutschland im Visier ausländischer Angreifer
Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag, sagt: »Wir sehen seit vielen Jahren gezielte Angriffe auf die kommunikative Infrastruktur.« 2015 wurde das interne Netz des Bundestags attackiert, Sicherheitsdienste ordneten auch diesen Angriff russischen Akteuren zu. Wie viele Informationen die Angreifer damals erbeuten konnten, ist bis heute nicht bekannt. »Die zunehmende Nutzung von Messengerdiensten ist ein Stück weit auch eine Konsequenz daraus«, so von Notz.
Tatsächlich sind Ende-zu-Ende-verschlüsselte Messengerdienste wie Signal oder Threema im politischen Berlin weit verbreitet. Einige Abgeordnete nutzen sie für Absprachen in Arbeitsgemeinschaften oder in Büros. Das berichten Abgeordnete unterschiedlicher Fraktionen. Auch zur Kommunikation zwischen Politikern und Journalisten werden Messengerdienste oft verwendet. Sie gelten eigentlich als besonders sicher: Durch die Verschlüsselung können Nachrichten nicht oder nur sehr schwer von Zwischenstationen wie Internetanbietern, den Betreibern selbst oder Nachrichtendiensten ausgelesen werden.
Bundestagspräsidentin Julia Klöckner soll laut SPIEGEL unter anderem in einer Chatgruppe mit Bundeskanzler Friedrich Merz Mitglied gewesen sein. Das Konto des Kanzlers sei jedoch nicht kompromittiert. Wie lange ausländische Akteure mitlesen konnten und welche Informationen sie dabei erlangten, ist noch nicht bekannt.
»Mit jedem Tag, an dem in Signal-Gruppen mitgelesen wird, steigt die Wahrscheinlichkeit, dass auch wichtige Informationen in falsche Hände geraten«, warnt Johannes Schätzl, digitalpolitischer Sprecher der SPD. Nicht nur die geteilten Inhalte, auch die Gesprächsmuster, also wer überhaupt mit wem wie oft interagiert und welche Gruppen existieren, seien von Interesse für die Angreifer.
Nicht bloß Signal-Nutzer aus Deutschland sind von den Phishing-Attacken betroffen. Es scheint sich vielmehr um einen breit angelegten Angriff zu handeln, auch Accounts in anderen Nato-Mitgliedsstaaten wurden kompromittiert. BSI und BfV schreiben in ihrem Papier von einer »koordinierten, internationalen Angriffswelle, in deren Fokus hochrangige Entscheidungsträger aus Politik, Militär und Verwaltung sowie Vertreter aus Journalismus und Wirtschaft stehen.«
»Meistattakierte Land der Welt«
Anfang März warnten niederländische Nachrichtendienste davor, dass Regierungsstellen des Landes Ziel solcher Angriffe seien. Sie gehen davon aus, dass staatliche Hacker aus Russland hinter der Aktion stehen. Wenig später sprachen auch US-amerikanische Geheimdienste über »Phishing-Kampagnen von Cyberakteuren, die mit den russischen Geheimdiensten in Verbindung stehen«.
Laut Konstantin von Notz sei Deutschland jedoch in besonderer Weise betroffen. »Bei allen Aktivitäten russischer Dienste steht Deutschland als wichtigster Unterstützer der Ukraine ganz besonders im Fokus«, sagt er, »wirklich überraschen können die Angriffe niemanden«. Deutschland sei ihm zufolge aktuell sogar das »meistattakierte Land der Welt«.
Um auf die Accounts der Signal-Nutzer zuzugreifen, bedienen sich die
Angreifer keiner Schadsoftware, sondern der Schwachstelle Mensch. Sie gehen auf zwei verschiedene Weisen vor. Entweder erhalten Nutzer eine Nachricht, die angeblich vom Signal-Support stammt, und werden dazu aufgefordert, ihren PIN-Code einzugeben. Geben die Nutzer die PIN ein, können Angreifer ihr Signal-Konto übernehmen. Die Nutzer verlieren dadurch Zugriff und Kontrolle über die Inhalte auf der App. Falls die Nutzer nicht die Funktion »selbstlöschende Nachrichten« aktiviert haben, können dazu auch Bilder, Videos, Dokumente und Sprachnachrichten gehören, warnen BSI und BfV. Zudem könnten die Angreifer sich als die Nutzer des Kontos ausgeben, in deren Namen kommunizieren, in Chatgruppen mitlesen und Kontakte einsehen.
In einer zweiten Methode werden Nutzer in eine Signal-Chat-Gruppe eingeladen und sollen dafür einen QR-Code scannen. Die Angreifer verschaffen sich so einen Zweitzugang zu den Accounts und können teilweise über Wochen hinweg unbemerkt Chats mitlesen.
»Phishing-Aktionen werden immer geschickter. Davor, auf sie reinzufallen, ist niemand gefeit«, sagt Konstantin von Notz. »Hier sieht man deutlich: Es handelt sich bei der hybriden Kriegsführung gegen uns um eine sehr reale Gefahr.« Laut von Notz sei wichtig, Zuständigkeiten deutlicher zu machen und so die Cybersicherheit insgesamt zu verbessern. Die Sicherheitsarchitektur in Deutschland sei ihm zufolge sehr komplex: Je nach Fall sind BSI, BfV oder die Verfassungsschutzämter der Bundesländer zuständig. Es brauche jetzt endlich ganzheitliche Konzepte und unter anderem eine Grundgesetzänderung zur Stärkung des Bundesamts für Sicherheit in der Informationstechnik, denn »die Zeitenwende darf nicht nur auf die Bundeswehr abzielen«.
Sicherheitsbehörden gehen davon aus, dass es allein in Deutschland eine dreistellige Zahl an Betroffenen gebe. Doch wie hoch die Zahl der gehackten Signal-Accounts tatsächlich ist, ist schwer feststellbar. Das liegt auch daran, dass noch nicht allen bewusst sein könnte, dass sie Opfer einer solchen Attacke wurden – die Angreifer aber schon Nachrichten mitlesen und weitere Kontaktdaten erbeuten. Die Dunkelziffer könnte demnach noch höher liegen.
Für den SPD-Abgeordneten Schätzl steht die Aufklärung der aktuellen Vorgänge nun an erster Stelle: »Im Nachgang muss man sehr genau prüfen, welche Behörde wann welche Information an welche Stelle über welchen Kanal weitergegeben hat.« Im jüngsten Schreiben an die Fraktionsvorsitzenden heißt es, das BfV rege an, dass die Parteispitzen »in Zusammenarbeit mit Ihren IT-Fachkräften die für Ihre Partei und Ihre Mandatstragenden getroffenen Sicherheitsmaßnahmen überprüfen«. Denn bis heute weiß niemand genau, wer eigentlich betroffen ist – außer den Angreifern selbst.
Dieser Artikel wurde um den Hinweis ergänzt, dass die Bundesanwaltschaft nach den Phishing-Attacken Ermittlungen aufgenommen hat.
