Hackerattacken Angriffsziel Politik

Hacker nehmen verstärkt die deutsche Politik ins Visier. Parteien und die Fraktionen im Bundestag machen es den Angreifern zu leicht. Ausländische Geheimdienste beschäftigen immer mehr Cyber-Agenten.

Angriff auf den Bundestag
Michael Walter / DER SPIEGEL

Angriff auf den Bundestag

Von und


Wenig Zeit? Am Textende gibt's eine Zusammenfassung.


Deutschland hat wohl noch einmal Glück gehabt. Die Bundestagswahl ist ohne großen Hackerangriff über die Bühne gegangen, auch wenn am Wahlabend eine Software eingesetzt wurde, die mit ihren Sicherheitslücken geradezu dazu einlud. Bislang tauchten auch keine gehackten E-Mails aus dem Bundestag auf, obwohl Angreifer im Jahr 2015 16 Gigabyte an Daten aus Abgeordnetenbüros absaugen konnten. Und doch: Es herrscht Alarmstimmung.

Später als in anderen Ländern ist in Deutschland auch der politische Betrieb ins Visier von Hackern und derer geraten, die durch Informationsoperationen gezielt die politische Debatte manipulieren wollen. Die Angriffe nehmen zu - und die Verwundbarkeit wird größer. Denn auch die Politik digitalisiert sich weiter rasant, was die Abläufe schneller, flexibler, aber auch angreifbarer macht.

Zur neuen Normalität gehört, dass es Tag für Tag Dutzende Angriffe auf das Regierungsnetz gibt:

  • So richten zum Beispiel Unbekannte im Baltikum eine Adresse namens cdu-webmail.de ein. Sie sollte Funktionäre der Union dazu verleiten, dort ihre Anmeldedaten einzutippen.
  • Die Gruppe, die für den spektakulären Angriff auf die US-Demokraten verantwortlich ist, attackierte auch hierzulande Fraktionen, Landesparteien und politische Stiftungen.
Der digitale Kontrollverlust
  • Michael Walter / DER SPIEGEL
    Dieser Artikel ist Teil der Serie "Der digitale Kontrollverlust" rund um die IT-Sicherheit von Privatnutzern, Firmen und Behörden. Lesen Sie alle Texte dazu auf unserer Themenseite.

Nach den Angriffen auf Hillary Clintons Wahlkampfteam und ihre Partei setzte im vergangenen Jahr in Berlin eine hektische Aufrüstung ein. Alle Parteien zogen Experten zu Rate. Sie investierten in ihre IT-Systeme, die meisten empfahlen ihren Spitzenkandidaten im Wahlkampf, seltener E-Mails und SMS zu schreiben und häufiger verschlüsselte Messengerdienste wie WhatsApp oder Threema zu benutzen. Auch der Chaos Computer Club (CCC) hat festgestellt, dass sich das Bewusstsein geändert hat. "Niemand in der Politik nimmt Risiken mehr auf die leichte Schulter", sagt CCC-Sprecher Frank Rieger. "Aber alle hadern damit, technisch sinnvolle Lösungen zu finden."

"Parteien werden extrem gefährdet bleiben"

Denn die IT-Systeme der Parteien sind bis heute sehr anfällig, auch weil hinter ihnen ein Chaos an Infrastruktur steckt: Es gibt Tausende E-Mail-Adressen bis hinunter in die Kreisverbände, in denen oftmals nur Freiwillige für IT-Sicherheit sorgen oder es eben auch nicht tun. Dazu: ständig E-Mails mit großen Anhängen, Sitzungsprotokolle, Plakatentwürfe. "Es ist illusorisch, das sichern zu wollen. Je größer die Datenmenge ist, die in ein System eingebracht wird, desto größer ist die Angriffswahrscheinlichkeit", sagt CCC-Experte Rieger. "Parteien werden extrem gefährdet bleiben."

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht man die größte Verwundbarkeit an der "Schnittstelle zwischen Verwaltung und Politikbetrieb". Das ist nicht einmal neu. Als der US-Geheimdienst NSA Angela Merkel ins Visier nahm, tat er dies nicht über ihr Regierungshandy, sondern über ihr Fraktionshandy.

Hochrangige Beamte in Berlin erkennen zudem eine "Entwicklung, dass verstärkt schwächere Glieder wie die Privataccounts von Politikern und deren Familienangehörigen angegriffen werden". Passiere dies, würden die Betroffenen nur selten die Sicherheitsbehörden einbeziehen. Zu groß ist wohl die Sorge, die Beamten könnten heikle Einblicke erlangen. Dabei ist die informelle Kommunikation von Funktionsträgern ein besonders attraktives Ziel für Hacker, die aus politischen Motiven agieren und Personen diskreditieren wollen - indem sie tatsächlich oder vermeintlich kompromittierende Daten veröffentlichen.

In einer vertraulichen Analyse der Sicherheitsbehörden heißt es, Cyberangriffe böten ausländischen Nachrichtendiensten gegenüber konventionellen Methoden den Vorteil, zu jeder Zeit von jedem Ort aus spionieren zu können. Zudem seien sie vergleichsweise günstig und machten es daher auch ärmeren Staaten möglich, den politischen Betrieb reicherer Industrienationen auszuspähen. "Ernsthafte strafrechtliche Risiken" bestünden für die Geheimdienste dabei kaum, weil ihre Attacken kaum von "normaler" Cyberkriminalität zu unterscheiden seien. Teilweise nutzen kriminelle Organisationen und ausländische Nachrichtendienste dieselbe Infrastruktur für ihre Kampagnen. Vor allem Russen und Chinesen sollen nach Erkenntnissen des Verfassungsschutzes in ganz erheblichem Ausmaß versuchen, via Internet zu spionieren.

Häufig geht den Attacken ein geschicktes "Social Engineering" voraus, eine Phase der individuellen Informationsgewinnung über Funktionsträger im politischen Betrieb. Dadurch können diese gezielt angeschrieben werden, um ihnen Trojaner unterzujubeln.

Hacker hatten auch Merkels Berater beim Gipfel im Visier

So gaukelten etwa im September 2013 verschickte Mails ihren Empfängern in Berlin einen Informationsaustausch unter den wirtschaftspolitischen Beratern der mächtigsten Politiker der Welt vor, unmittelbar vor dem Gipfeltreffen der G20-Staaten im russischen St. Petersburg. Die sogenannten Sherpas waren gerade in der heißen Phase der Konferenzvorbereitung. Doch die E-Mails enthielten keine Informationen, die bei ihren Verhandlungen halfen.

Die Nachrichten war nach Erkenntnissen deutscher Sicherheitsbehörden gefälscht - statt Informationen enthielten sie Spionagesoftware, die die Rechner der Empfänger infizieren sollte. Nach SPIEGEL-Informationen gingen diese und ähnliche E-Mails an hochrangige Entscheidungsträger in mehreren Bundesministerien und bei Banken. Offenbar gehörte auch der wirtschaftspolitische Berater von Kanzlerin Angela Merkel zu jenen, die der Spionageangriff treffen sollte. Nach internen Erkenntnissen des Verfassungsschutzes kann die Attacke "nachrichtendienstlichen Urhebern zugeordnet" werden. Die Spähsoftware sollte ihre Ergebnisse nach China liefern.

Ein weiteres Beispiel für einen solchen Angriff ist eine E-Mail an die Außenministerien von fünf EU-Mitgliedstaaten - ebenfalls im Vorfeld des G20-Treffens in St. Petersburg. Darin erhielten die Diplomaten einen Anhang "US military options in Syria". Bei dem Gipfel sollte tatsächlich über einen möglichen Militärschlag gegen den syrischen Diktator Baschar al-Assad geredet werden. Der Titel des Anhangs sollte die Empfänger wohl verleiten, die Schadstoffsoftware zu öffnen und so zu aktivieren. Auf ähnliche Weise sind nach Erkenntnissen der deutschen Sicherheitsbehörden auch deutsche Botschaften im Ausland, Entscheidungsträger in deutschen Ministerien und Ministerien anderer europäischer Regierungen angegriffen worden.

Besonders häufig werden die staatlichen Hacker aus Fernost im Umfeld von internationalen Gipfeln aktiv. Es geht ihnen offenbar nicht nur darum, die Vorbereitungen der Staaten auf die Treffen auszuspionieren - sie wollen allgemein Spähsoftware in die Ministerien einschleusen. "Der Anlass Gipfeltreffen dient vorrangig dazu, die niedrige Aufmerksamkeitsschwelle im Vorfeld auszunutzen", sagt ein Sicherheitsexperte. Dann herrscht Stress - und Thema und Absender erscheinen zu wichtig, um an Spione zu denken.

Auch im Bundestag waren Hacker vor zwei Jahren auf ähnliche Weise erfolgreich - eine peinliche Schlappe für das Parlament, das anschließend aufrüstete. Es lässt sich nun vom BSI mit Informationen über Server versorgen, die für IT-Angriffe genutzt werden. Abgeordnete und Mitarbeiter wurden geschult, müssen längere Passwörter benutzen.

Doch bietet die Struktur zahllose offene Flanken. Denn das Netz reicht bis in die Wahlkreisbüros, in denen sich Mitarbeiter der Abgeordneten mit ihren Laptops einwählen können. Auch hier wird genau jene Art von Office-Dateien, in die Hacker gern ihre Schadsoftware pflanzen, massenhaft hin- und hergeschickt. "Jede Mail müsste eigentlich individuell überprüft werden, aber das in der Praxis nicht machbar", sagt Sven Herpig, IT-Sicherheitsexperte und einer der Autoren von Deutschlands Cybersicherheitsstrategie. "Der Bundestag ist und bleibt prädestiniert dafür, angegriffen zu werden."

Manches ist indes auch besser geworden, dafür hat unter anderem das BSI gesorgt. In diesem Jahr hat die Bonner Behörde die IT-Systeme der großen Parteien mit Penetrationstests abgeklopft. Und sie hat in Zusammenarbeit mit Facebook und Twitter dafür gesorgt, dass die Accounts von Politikern zusätzlich gesichert werden.

Mehr als 4000 Cyber-Agenten in Russlands Geheimdiensten

"Deutschland dürfte aufgrund seiner geopolitischen Lage, seiner Wirtschaftskraft, seines wissenschaftlichen und technischen Entwicklungsstands und seiner zunehmenden internationalen Bedeutung ein bevorzugtes Ausforschungsziel fremder Nachrichtendienste sein und bleiben", heißt es in einem als Verschlusssache eingestuften Verfassungsschutzpapier. Es sei daher auch weiterhin mit elektronischen Angriffen auf Computer von Regierungsstellen zu rechnen.

Die deutschen Sicherheitsbehörden gehen davon aus, dass die drei russischen Geheimdienste FSB, GRU und SWR derzeit mehr als 4000 Cyber-Agenten befehligen. Sie würden damit aktuell über eine ähnlich große Streitmacht wie die USA verfügen, die ihrerseits angekündigt haben, ihr Personal für "Cyber-Missionen" bis 2018 auf mehr als 6000 Spezialisten aufzustocken.

Die Social-Media-Plattformen sind zum zentralen Schauplatz der halbwahren und -garen Debatte geworden, auch im US-Wahlkampf, in dem die gehackten Informationen bei der Veröffentlichung mit Gerüchten und Lügen vermischt wurden. Hacken, Leaken, Faken: Auf Facebook und Twitter wird gut verschleiert und mit erheblichem Aufwand versucht, die politische Debatte zu hacken.

Facebook - laut Gründer Mark Zuckerberg eine Kraft des Guten in der Welt - musste einräumen, dass die Plattform eine zentrale Rolle bei modernen Desinformationsoperationen spielt. Zehntausende Fake-Accounts löschte Facebook bereits.


Zusammengefasst: Fast täglich gibt es Dutzende Angriffe von Hackern auf das deutsche Regierungsnetz. Sicherheitsbehörden sind alarmiert, weil die IT-Systeme der Parteien immer noch sehr anfällig für Attacken von Cyber-Kriminellen oder Agenten ausländischer Geheimdienste sind. Denn schon auf der untersten Ebene in kleinen Wahlkreisbüros können sie leicht eindringen. Aber auch der Bundestag wird nach Ansicht der Experten ein Angriffsziel bleiben.

insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
ronald1952 30.11.2017
1. Zum Aufrüsten der Sicherheit
gegen Cyberkriminelle gehört nicht nur der Willen dazu, sondern auch noch jede Menge Geld das dafür fließen müßte. Anscheinend ist unsere Bundesregierung nicht bereit dazu, dann müssen diese Herrschaften eben damit leben und weiter rumheulen. schönen Tag noch,
omanolika 30.11.2017
2. IT-Unsicherheitsdebatte?
Wenn man ja die IT-Sicherheitsmaßnahmen vergleicht, merkt man, die Politik macht es den Hackern zu leicht, weil man schon vor langer Zeit sehr große Lücken fand, und die Bundesregierung aus IT-Sicht gleicht einem Entwicklungsland, ist es doch schon klar, seit nun wirklich geraumer Zeit, dass es in der deutschen Politik gehen sollte um die IT-Unsicherheit... Es könnte vielleicht ansonsten echt passieren, dass jene, die Hacken quasi das Land regieren.
wasistlosnix 30.11.2017
3. Angreifer
sind immer einen Schritt vorraus. Auf einen Angriff kann man immer nur reagieren. Man kann sich noch gut positionieren das ein Angriff erschwert wird aber am Ende wird ein Angriff kommen und dann kann man nur noch reagieren. Eine 100%ige Sicherheit im Netz kann es nicht geben.
st.esser 30.11.2017
4. Schutz gegen Angreifer
Zitat von wasistlosnixsind immer einen Schritt vorraus. Auf einen Angriff kann man immer nur reagieren. Man kann sich noch gut positionieren das ein Angriff erschwert wird aber am Ende wird ein Angriff kommen und dann kann man nur noch reagieren. Eine 100%ige Sicherheit im Netz kann es nicht geben.
Ich möchte teilweise zustimmen, aber auch deutlich widersprechen: Ja, 100% Sicherheit gibt es nicht, nicht im Netz und nicht in der realen Welt. Daran sind wir aber gewöhnt und die Menschheit (und Natur insgesamt) hat trotz vieler Widrigekeiten bisher überlebt. Aber ich möchte widersprechen, dass man nur reagieren kann. Es gibt eine Reihe guter und praktikabler Möglichkeiten, das Risiko oder die Folgen eines Angriffs zu reduzieren. Wie weit man dabei geht, hängt vor allem von den befürchteten Folgen eines erfolgreichen Angriffs ab, aber auch davon, ob man gezielt oder nur zufällig angegriffen wird. Der Vorteil des Angreifers besteht darin, dass er nur 1 Weg finden muss, der ihn zum Ziel führt. Dagegen muss der Verteidiger versuchen, *alle* relevanten Wege zu blockieren - was viel mehr Nachdenken und Aufwand bedeutet. Denn wenn der Verteidiger 1 funktionierenden Angriffspfad gefunden hat und diesen geschlossen hat, dann kann er sich gleich auf die Suche nach dem nächsten machen, auch den schließen usw. Welche potentiellen Angriffspfade relevant sind, ist nicht einfach abzuschätzen, denn man kennt die Motivation und verfügbaren Mittel des Angreifers meist nicht (und sie können sich über die Zeit ändern). EIn früherer Kollege hat es mal so formuliert: "Man muss nicht das schnellste Zebra in der Herde sein, die der Löwe jagt, bloß nicht das langsamste ..." Die Kunst besteht darin, soviel Aufwand für die Sicherheit zu betreiben (nicht nur technisch, sondern z.B. auch durch Arbeitsvorschriften und sicheres Verhalten), dass ein potentieller Angreifer eher ein anderes Ziel wählt oder aufgibt, bevor er Erfolg hat. Für einen Privatanwender dürfte die günstigste Lösung sein, regelmäßige Backups aller wichtigen Daten anzulegen (USB-Festplatte für 50 Euro) und generell vorsichtig mit Daten aus unsicheren Quellen zu sein. Ein Unternehmen bei dem der Ausfall der IT-Systeme Millionen pro Tag kostet, sollte da schon sehr viel mehr tun ...
Referendumm 30.11.2017
5.
Zitat von wasistlosnixsind immer einen Schritt vorraus. Auf einen Angriff kann man immer nur reagieren. Man kann sich noch gut positionieren das ein Angriff erschwert wird aber am Ende wird ein Angriff kommen und dann kann man nur noch reagieren. Eine 100%ige Sicherheit im Netz kann es nicht geben.
Das ist doch absoluter Quark! Wie ich schon bereits beim SPON-IT-Sicherheitsthema Unternehmen schrieb, ist dieser Spruch: "Eine 100%ige Sicherheit im Netz kann es nicht geben" einfach nur dumm, da dieser Spruch von vornherein impliziert, dass es eh keine 100%-ige Sicherheit gibt und man somit auch gar nix für mehr Sicherheit zu tun braucht. Der richtige Ansatz sollte lauten: "Wir schaffen 100%-ige Sicherheit!"; egal, ob diese überhaupt jemals erreicht werden kann oder doch "nur" zu 99,999% oder lediglich zu 98%. Aber der Ansatz ist dann schon ein komplett anderer als: 100%-ige Sicherheit gibt es nicht. Das sind eben die kleinen Feinheiten. Schönen Abend noch! P.S.: Es gibt in der Automobilindustrie das Ziel von "Null Fehler" bei der Produktion. Und Sie werden eventuell drüber lachen, aber einige Automobilzulieferer haben das tatsächlich erreicht.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.