Phishing im Bundestag: : Kein Amt schützt vor simplen Maschen
Eine altbekannte Phishing-Masche hat die Signal-Konten von Spitzenpolitikern in Deutschland kompromittiert – und das, obwohl der Verfassungsschutz seit Februar ausdrücklich davor warnt. Ein Kommentar von Tim Berghoff, Security Evangelist bei G DATA CyberDefense.
Dass es in beruflichen Gruppenchats zwischen Parteimitgliedern, Führungsverantwortlichen und Experten, Lobbyisten sowie Meinungsführern nicht um Kochrezepte, Katzenvideos oder die Verabredung zum Feierabendbier geht, dürfte sich jeder denken können.
Gerade deshalb hat die Übernahme des Signal-Kontos der Bundestagspräsidentin Julia Klöckner durch einen mutmaßlich russischen Geheimdienst bei den Fachleuten des Verfassungsschutzes vermutlich nicht eben für Freudensprünge gesorgt. Inzwischen wurde bekannt, dass nicht nur Klöckners Signal-Account erfolgreich gekapert wurde, sondern – laut Recherchen der Zeitschrift Spiegel – auch das mindestens eines Bundestagsabgeordneten der CDU sowie das Signal-Konto des ehemaligen Vizepräsidenten des Bundesnachrichtendienstes. Insgesamt ist von rund 300 hochrangigen Betroffenen in Deutschland die Rede – plus Dunkelziffer.
Suche nach Gründen
Viele stellen nun die berechtigte Frage: „Warum sind diese Personen auf eine altbekannte Phishing-Masche hereingefallen?“ Eine Warnung des Bundesamts für Verfassungsschutz (BfV) zu genau diesem Thema stammt von Anfang Februar 2025 und ist damit zum Veröffentlichungszeitpunkt dieses Kommentars ein knappes Vierteljahr alt. Die betroffenen Personen hätten also durchaus wissen können, worum es geht.
So weit, so bekannt – und vielleicht auch ein Stück weit langweilig.
Warnung vor Angriffen
Hinweise auf aktuelle Phishing-Kampagnen gibt es mehrmals pro Woche. Deshalb ist die Mitteilung des Verfassungsschutzes vermutlich im allgemeinen Grundrauschen untergegangen. Darin wird vor einer Masche gewarnt, die sich gegen die Nutzer von Signal und auch WhatsApp richtet – vor allem, wenn sie politische Ämter bekleiden oder als Journalisten arbeiten.
Das BfV riet dringend davon ab, auf Nachrichten zu reagieren, die vermeintlich vom offiziellen Support von Signal beziehungsweise Meta stammen und die Empfänger dazu auffordern, einen „Verifikationsprozess“ zu durchlaufen, in dessen Verlauf tatsächlich ein neues Gerät den Zugriff auf den Signal-Account erhält.
Auf diese Weise können Täter einen Account vollständig übernehmen, den ursprünglichen Inhaber aussperren und in dessen Namen Nachrichten versenden. Für Signal selbst sieht es so aus, als hätte der Nutzer lediglich die Telefonnummer gewechselt – was durchaus üblich ist und als solches keinen besonderen Verdacht erregt. Die um ihren Account gebrachten Nutzer werden anschließend aufgefordert, ein neues Konto zu erstellen.
Eine weitere Variante beinhaltet ebenfalls die Registrierung eines Zweitgeräts. Hier kommt derselbe Mechanismus zum Einsatz, den viele Anwender schon kennen, wenn sie etwa WhatsApp oder andere Messenger über den Browser am Rechner oder Laptop nutzen. Im Unterschied zur vollständigen Übernahme des Accounts erhalten Täter bei der Registrierung eines Zweitgeräts Zugriff auf alle Inhalte, die in den vergangenen 45 Tagen gesendet oder empfangen wurden. Dass jemand mitliest, merken die Betroffenen jedoch nicht.
Zur Erinnerung: Wir sprechen hier über Inhalte, die einen tiefen Einblick hinter die Kulissen nationaler Politik geben. Es bedarf keiner großen Transferleistung, um den nachrichtendienstlichen Wert dieser Informationen zu erkennen.
Dass Menschen auf Phishing-Nachrichten hereinfallen, ist nicht weiter überraschend. Aus Tätersicht handelt es sich um eine altbekannte und bewährte Methode, die wenig Aufwand erfordert und zugleich eine hohe Erfolgsaussicht hat. Umgekehrt fallen Menschen aus den unterschiedlichsten Gründen auf Phishing herein – sei es aus Neugier, weil sie genervt sind, sich etwas davon versprechen oder weil sie unter Druck gesetzt werden.
Suche nach Lösungen
Auch Politiker sind Menschen, die sich ungerne Dinge vorschreiben oder verbieten lassen – vor allem dann, wenn es um so alltägliche Dinge geht wie Messenger. Letztlich funktioniert Politik darüber, dass Leute miteinander kommunizieren. Wenn das auf dem Dienstgerät nicht klappt, bleibt noch immer das private Endgerät, das keiner ministerialen IT-Abteilung unterliegt und auf dem jeder schalten und walten kann, wie er möchte. Was liegt da näher, als einfach auf ein anderes Gerät umzuschwenken, wenn’s mit dem einen nicht geht?
Hier sind selbst hochrangige Politiker nicht besser als der Rest der Bevölkerung. Zum Apologeten der Nachlässigkeit werde ich deshalb dennoch nicht: Jeder Person, die ein hohes Amt bekleidet, muss zwingend klar sein, dass sie einem komplett anderen Bedrohungsszenario ausgesetzt ist als die meisten Menschen in diesem Land. Ihre hervorgehobene Stellung ist hier kein Schutzschild gegen Angriffe, sondern Zielscheibe. Das gilt für Politiker, Behördenleiter und Bundeswehroffiziere genauso wie für Vorstände, Entwicklungsleiter und viele andere mit Führungs- und Entscheidungsverantwortung hierzulande.
Ein hohes Amt bedeutet weder automatisch Immunität vor allen Arten von Angriffen noch automatisch Sachkenntnis. Auch nach Feierabend bleiben Bundestagspräsidentinnen, Minister und Bundeskanzler weiterhin Amtsträger – mit allen Konsequenzen. Manche bringen hinsichtlich ihrer Gefährdungslage zwar ein gesundes, vielfach jedoch unangebrachtes Selbstvertrauen mit. Gezielte Aufklärung und praxisnahe Unterweisungen in Sachen Cybersicherheit tun also offensichtlich besonders Not.
Ob das so stattfinden wird, darf bezweifelt werden – unter anderem die Bundestagsvizepräsidentin machte sich zuletzt für ein Verbot von Signal auf Dienstgeräten stark, was am eigentlichen Problem vorbeigeht. Das Missverständnis deutet eher darauf hin, dass es am grundlegenden Verständnis für die Risiken digitaler Kommunikation fehlt.