D
Politik

Was haben Behörden aus dem Datenklau gelernt?

Alle Bundesministerien waren Anfang des Jahres vom Datenklau betroffen, im Netz standen sensible Informationen zu nahezu jedem Minister und Parlamentarischen Staatssekretär. Doch welche Konsequenzen haben die Behörden daraus gezogen?

von Jan Lindenau

Natürlich zeigte Horst Seehofer sich ausgelassen, als er am Nachmittag des 8. Januars vor die Presse trat. Ein Datendiebstahl hatte die Bundesre­publik tagelang in Atem gehalten, jetzt zog der Bundesinnenminister die Mundwinkel nach oben, lobte die Sicherheitsbehörden, der Täter war schließlich rasch gefasst worden und sei sogar geständig. Die Betroffenen seien informiert worden, für die Zukunft soll das Cyber-Abwehrzentrum weiterentwickelt werden. Alles in Ordnung also?

Tatsächlich waren Medienberichte der ersten Stunde, als noch vom "größten Hackerangriff Deutschlands" geredet wurde, bei einem genauen Blick auf die Daten nicht mehr zu halten. Der Vorfall erhielt bei Sicherheitsbehörden den Namen "Adventskalender", dazu passte auch, dass es kein elaborierter Hack war, sondern das Werk eines 20-jährigen Schülers mit viel Zeit. Das sogenannte Doxing, also das Zusammentragen und Veröffentlichen von personenbezogenen Daten, ist eine Praxis, die unter Influencern schon seit Jahren bekannt ist.

Der Vorfall legt jedoch eine entscheidende Schwachstelle offen: Jeder Politiker bewegt sich auch als Privatperson im Internet. Denn es wurden nicht nur You­tuber gedoxt, sondern eben auch die mächtigsten Politiker Deutschlands: Hunderte Landes- und Bundespolitiker waren betroffen, vor allem aber standen personenbezogene Daten von 14 Bundesministern und 30 Parlamentarischen Staatssekretären und Staatsministern offen im Internet. Beim Durchklicken der Textdateien dürfte den Mitarbeitern des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Brisanz schnell bewusst geworden sein: Sie fanden nicht nur Handynummern aus dem Kabinett, sondern auch E-Mail-Adressen, Wohnanschriften, sogar den Skype-Namen einer Ministerin.

Von 50 Personen mit Regierungsverantwortung waren 44 betroffen. politik&kommunikation hat jedes Bundesministerium sowie das Bundeskanzleramt gefragt, wie es mit den veröffentlichten Daten umgegangen ist und welche Konsequenzen es langfristig aus dem Vorfall gezogen hat. Die federführende Behörde, das Bundesinnenministerium, antwortete als erstes: Das Bundeskriminalamt habe noch in der Nacht vom 3. zum 4. Januar die Bundesbehörden informiert, also auch die Ministerien. Wer persönlich betroffen war, habe sich an das BSI wenden und beraten lassen können, um die Möglichkeit zu haben, "bei Bedarf" entsprechende Maßnahmen zu ergreifen. Darüber, ob und wie dieses Angebot genutzt wurde, gibt das BMI keine Auskünfte.

Die meisten angefragten Ministerien übernahmen die Antwort von Seehofers Behörde. Einige wichen jedoch davon ab: Eine Sprecherin des Justizministeriums erklärt, dass die betroffenen Daten als Reaktion auf die Veröffentlichung "soweit möglich" geändert worden seien. Und das Verkehrsministerium antwortet: "Grundsätzlich können nur die Eigentümer der Daten beurteilen, ob die bekanntgewordenen Daten eine dienstliche Relevanz haben." Heißt: Der Schutz der eigenen Daten ist auch auf oberster staatlicher Ebene Privatsache. Ein Minister ist eben auch nur ein Mensch, an dem neben 20-jährigen Kinderzimmerhackern auch Cyberkriminelle und ausländische Nachrichtendienste interessiert sind.

Der Umweg übers Parlament als Angriffsweg

Schon eine geleakte Handynummer kann ein Sicherheitsrisiko darstellen: Die meisten Nutzer werden an Spam-Nachrichten per SMS oder Whatsapp oder unterdrückte Anrufe mitten in der Nacht denken. Nervig, aber zunächst ungefährlich. Dass eine Mobilnummer jedoch die Tür zur digitalen Identität sein kann, zeigt die seit Jahren bekannte Technik des sogenannten SIM-Swappings: Hacker geben sich gegenüber Telekommunikationsanbietern als Besitzer einer Mobilnummer aus und können so Zugriff auf diese Nummer erhalten. Von Szenarien mal abgesehen, in denen ein Hacker im Namen eines hochrangigen Politikers SMS verschickt, – die Methode wird vor allem verwendet, um bei Internetdiensten Passwörter zurückzusetzen, in einigen Fällen sogar die Zwei-Faktor-Authentifizierung auszuhebeln und damit Zugriff auf Social-­Media-Profile zu erhalten.

Wenn sich auf dem privaten Facebook-Profil einer Ministerin etwa die Bewertung ihres Stammrestaurants in Münster findet, mag das keine relevante Sicherheits­lücke sein. Übernehmen Hacker diese Accounts, haben sie Zugriff auf potenziell sensible Informationen. Wie sehr Politiker damit unter Druck gesetzt werden können, das zeigt der Fall des SPD-Politikers Helge Lindh: Seine Accounts wurden schon vor dem Datenklau gehackt, Unbekannte bestellten damals Hundekot-Attrappen und Korane auf Lindhs Rechnung an seine Privatadresse.

Nicht nur in den Ministerien, sondern auch im Bundestag war in den Tagen nach dem Vorfall "Adventskalender" die Aufregung groß. Die "Welt" hatte kurz danach bei den betroffenen Fraktionen angefragt, welche Konsequenzen aus dem Vorfall gezogen wurden. Der Erste Parlamentarische Geschäftsführer der SPD-Bundestagsfraktion, Carsten Schneider, hatte etwa mit einem internen Brief reagiert, in dem er die Abgeordneten dazu aufforderte, unverzüglich ihre Passwörter zu ändern. Die Linken-Fraktion wollte noch im Januar zusätzliche Mitarbeiter zu Sicherheitsbeauftragen schulen. Zudem schien die Kommunikation zwischen den Behörden nicht optimal verlaufen zu sein: Betroffene Abgeordnete berichteten, dass sie erst nach mehreren Tagen von den Sicherheitsbehörden kontaktiert worden waren.

Da die meisten Bundesminister und alle Parlamentarischen Staatssekretäre auch Mitglieder des Bundestags sind, kann der Umweg übers Parlament Hackern einen weiteren Angriffsweg bieten, um in die Ministerien zu gelangen. So sind etwa die E-Mail-Adressen der Abgeordneten im Bundestag nach dem gleichen Schema aufgebaut: Vorname und Nachname werden mit einem Punkt vor der Domain bundestag.de getrennt. Die Abgeordnetenadresse der Bundeskanzlerin lautet folglich "angela.merkel(at)bundestag.de". IT-Sicherheitsberater bieten Services, mit denen man überprüfen kann, ob eine E-Mail-Adresse schon Ziel von öffentlich bekannten Attacken war. Seiten wie der Identity Leak Checker des Hasso-Plattner-Instituts oder HaveIBeenPwned.com (Hackerslang, frei übersetzt: Hat es mich erwischt?) zeigen jedem Internetnutzer, ob eine bestimmte E-Mail-Adresse betroffen ist.

Überprüft man die Adressen der Minister und Parlamentarischen Staatssekretäre, dann fällt zunächst auf, dass fast alle Adressen in sogenannten Pastes auftauchen, Textdateien mit händisch gesammelten E-Mail-Adressen. Dies ist nicht weiter tragisch, Abgeordneten-Adressen sollen ja öffentlich sein, damit Bürger die Volksvertreter direkt kontaktieren können.

Gefährlich wird es, wenn Bundestags­adressen bei Dienstleistern im Internet genutzt werden: Mindestens ein Parlamentarischer Staatssekretär ist mit seiner Bundestagsadresse beim Business-Netzwerk Linkedin angemeldet gewesen, ein anderer beim Bilderdienst Tumblr, mehrere beim Cloud-Service Dropbox. In der Vergangenheit wurden riesige Datenbanken dieser Dienste gehackt, E-Mails und Passwörter kamen in Umlauf. Auch wenn diese Hacks schon Jahre zurückliegen, die Passwörter (oft unzureichend) verschlüsselt vorlagen und die betroffenen Personen ihre Daten voraussichtlich wohl haben: Es ist nicht auszuschließen, dass Angreifer diese Sicherheitslücke schon vor Bekanntwerden nutzten.

Live-Hackings und Online-Tutorials sollen Mitarbeiter sensibilisieren

Und nicht nur Abgeordnete haben eine systematisierte Adresse, sondern auch ihre Mitarbeiter. So erreicht man die meisten Büroleiter per Mail, indem man ".ma01" an den Nachnamen des Abgeordneten hängt, also etwa "angela.merkel.ma01(at)bundestag.de". So ist zu sehen, dass der Mitarbeiter eines jetzigen Ministers mit der Bundestagsadresse ebenfalls bei Dropbox angemeldet war, als der Cloud-Service gehackt wurde.

In den Antworten auf die Anfrage von politik&kommunikation legen die Bundesministerien Wert darauf festzustellen, dass die eigenen IT-Systeme nicht befallen waren. Anders war das noch im vergangenen Jahr, als sich die russische Hackergruppe "Uroboros" über das Intranet zweier Bildungseinrichtungen des Bundes Zugang zum Auswärtigen Amt verschaffte. Der Hack fiel den Sicherheitsbehörden früh auf, man entschloss sich, die Angreifer zunächst zu beobachten – bis ein Pressebericht diese verschreckte.

Das Bundesministerium für Justiz und Verbraucherschutz hat ein Acht-Punkte-Papier veröffentlicht und verweist in der Anfrage darauf, dass es bestimmte Projekte fördert, die jeden Internetnutzer für Fragen der Cyber­sicherheit sensibilisieren sollen. Das Bundesfinanzministerium veranstaltet Live-Hackings, Sicherheitsworkshops für Führungskräfte, Online-Tutorials. Die Behörde von Olaf Scholz sieht die Vorgaben und Empfehlungen des BSI, das für den Schutz des Regierungsnetzes zuständig ist, "erfüllt und teils übertroffen".

Ein Sprecher des Verteidigungsministeriums verweist darauf, dass jede Dienststelle über einen IT-Sicherheitsbeauftragten und einen Datenschutzbeauftragten verfügt. Grundsätzlich werde so sichergestellt, dass jeder Mitarbeiter sich des Risikos seiner Daten bewusst sei – gerade im Umgang mit sozialen Medien. Auch das Umweltministerium führe regelmäßig Fortbildungen durch, erklärt eine Sprecherin, Teilnehmerlisten würden allerdings nicht geführt.

Das Verkehrsministerium antwortet, dass jeder Mitarbeiter mit einer obligatorischen Schulung für IT-Sicherheit sensibilisiert wird. Bei Auslandsreisen werde die Hausleitung außerdem vom IT-Sicherheitsbeauftragten darüber informiert, wo mögliche Gefahren lauern und wie man sich schützen kann.

Und wie ist es bei der federführenden Behörde, dem Bundesinnenministerium von Horst Seehofer? Hier sagt ein Sprecher, man plane derzeit eine nationale Informations- und Sensibilisierungskampagne zur IT-Sicherheit. Der Minister selbst scheint bereits sensibilisert zu sein: Denn obwohl er bei der Pressekonferenz angab, schon seit den 80er-Jahren im Internet zu surfen, scheint er seine Spuren recht gut verwischt zu haben: Er selbst wurde beim Vorfall "Adventskalender" – im Gegensatz zu seinen Ministerkollegen – gar nicht erst erwähnt.

 

Jan Lindenau (c) Martin U. K. Lengemann
Jan Lindenau

ist freier Journalist und berichtet vor allem über die Bereiche Cyber und Kriminalität. Für die "Welt" hat er die Kolumne "Neu im Bundestag" geschrieben. (Foto: Martin U. K. Lengemann)