WhatsApp, Signal, Telegram Verfassungsschutz warnt alle Abgeordneten vor gekaperten Messenger-Konten

Offenbar ist es zur »Übernahme von Benutzerkonten von hochrangigen politischen Personen« gekommen. So zumindest ist eine Warnung an alle Bundestagsabgeordneten überschrieben, die dem SPIEGEL vorliegt.
Plenarsitzung im Bundestag: »Leichter das Vertrauen weiterer potentieller Betroffener erschleichen«

Plenarsitzung im Bundestag: »Leichter das Vertrauen weiterer potentieller Betroffener erschleichen«

Foto: Christian Spicker / IMAGO

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz wissen von einer »Social-Engineering-Kampagne, die sich insbesondere gegen hochrangige politische Personen richtet«. So steht es in einem Warnhinweis, der nach SPIEGEL-Informationen an alle Abgeordneten des Bundestags verschickt wurde. Ziel ist demnach die »Übernahme von Benutzerkonten«, wie es in der Überschrift des fünfseitigen Dokuments heißt.

Die offenbar schon mehrfach erfolgreiche Masche der unbekannten Täter läuft so: Zunächst kontaktieren sie die Zielperson zum Beispiel per SMS und geben sich dabei selbst als hochrangige Vertreter aus der Politik aus. Dann bitten sie darum, für ein angeblich sicheres oder vertrauliches Gespräch auf einen Messenger wie Signal, WhatsApp oder Telegram zu wechseln.

Die Betroffenen sollen dazu gebracht werden, sich bei diesen Diensten ein neues Konto anzulegen, wofür sie ihre Mobilfunknummer angeben müssen. Im nächsten Schritt erfragen die Täter unter einem Vorwand den Authentifizierungscode der jeweiligen betroffenen Person, der zum Anlegen eines neuen Benutzerkontos benötigt wird. Offenbar setzen sie darauf, dass ihre Opfer nicht genau wissen, wofür dieser Code gut ist – nämlich ausschließlich zur Verifikation, dass man eine im neuen Account angegebene Nummer wirklich selbst kontrolliert. Andere Personen als die Accountinhaber sollten eigentlich keinen Zugriff auf diesen Authentifizierungscode bekommen.

Keine Angaben zum Motiv

Wer seinen Code dennoch an die Angreifer gibt, gibt ihnen die Möglichkeit, damit den neuen Account direkt zu kapern. Voraussetzung dafür wäre, dass die Opfer dieselbe Handynummer für den Messenger benutzen, über die schon die initiale Kontaktaufnahme erfolgte.

»Prinzipiell handelt es sich hierbei um ein bereits seit langem bekanntes Vorgehen, vor dem das BSI auch in der Vergangenheit bereits entsprechend gewarnt hat«, heißt es in dem Dokument, das dem SPIEGEL vorliegt. Woher die Täter die Mobilfunknummer für die erste Kontaktaufnahme haben, geht daraus nicht hervor. Auch zum Motiv der Täter schreiben die Behörden in der Warnung nichts.

Ist eine erste Attacke erfolgreich, sind weitere Zielpersonen in ihrem Umfeld umso leichter zu täuschen: Befindet sich die Nummer des ersten Opfers bereits in ihrem Adressbuch, bekommen sie nach der Einrichtung eines neuen Messenger-Kontos einen Hinweis wie »[Vorname + Name der Person] nutzt jetzt Telegram«. In der Warnung heißt es dazu: »Da die Angreifenden dann von einem authentifizierten Account aus kommunizieren, können sie sich leichter das Vertrauen weiterer potentieller Betroffener erschleichen.«

Das BSI teilte am Nachmittag mit: »Das Vorgehen der Täter ist grundsätzlich nicht neu und bedarf keines technischen Know-hows. Die Warnung dient der Sensibilisierung möglicher Zielpersonen.«

pbe/mgb
Die Wiedergabe wurde unterbrochen.