Die Bedrohung ist seit längerem bekannt. Schon im Februar hatten der Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) (externer Link) gewarnt: Im Fokus der Phishing-Angriffe stünden hochrangige Ziele aus Politik, Militär und Diplomatie sowie Investigativjournalistinnen und -journalisten in Deutschland und Europa, hieß es. Diese Warnung wurde am 17. April noch einmal aktualisiert und bekräftigt.
Nun ist Bundestagspräsidentin Julia Klöckner offenbar Opfer der Attacke geworden. Die entsprechende Meldung des „Spiegel“ (externer Link, möglicherweise Bezahlinhalt) wurde nicht dementiert. Womöglich wurde Klöckners Signal-Account auch schon vor der zweiten Warnung gehackt und ihr Fall als Anlass für die Aktualisierung genommen.
Hätte Klöckner das nicht verhindern können?
Es wirft erst einmal kein gutes Licht auf die prominente CDU-Politikerin, dass sie trotz expliziter Warnung in die Falle getappt ist. Christopher Kunz vom Fachblatt Heise Security sagt, Phishing-Angriffe wie hier seien grundsätzlich natürlich immer verhinderbar. Er gibt aber auch zu bedenken: „Wir haben in der IT-Sicherheit so diesen Spruch. Für jeden und jede kommt irgendwann mal der Moment, wo es einen erwischt.“ Es reicht eben ein kurzer Moment der Unachtsamkeit. Auch ausgewiesene Sicherheitsexperten sind auf solche Phishing-Angriffe reingefallen, so Kunz.
So können Hacker Signal „knacken“
Signal gilt als besonders sicherer Messenger. Das Unternehmen wirbt damit, dass es eine besonders starke Ende-zu-Ende-Verschlüsselung einsetzt und mit Daten sensibel umgeht. Anders als etwa bei WhatsApp sollen Accounts nicht für Marketingzwecke oder KI-Trainings verwendet werden.
Warum konnten sich die wahrscheinlich russischen Hacker trotzdem einschleichen? Nun, sie hatten es bei ihrer Attacke nicht einmal besonders schwer, wie Christopher Kunze erklärt. Die Hacker mussten nur Klöckners Handy-Nummer herausfinden und dann – getarnt als Systemadministrator – eine Warnmeldung verschicken. Dabei wird das Opfer aufgefordert, beispielsweise den persönlichen QR-Code einzuscannen, den Signal jedem User zuteilt. Mit diesem Code sind die Hacker in den Account gekommen.
Sind auch Normal-User betroffen?
Im Prinzip kann diese Masche jeden x-beliebigen User treffen. Berichten zufolge sind bislang 300 Fälle bekannt, in denen die Hacker Erfolg hatten. Allerdings stehen bei der aktuellen Attacke laut Behörden eben in erster Linie exponierte Personen, wie eben Klöckner, im Fokus der angeblich russischen Hacker.
Dennoch: Sicher fühlen sollte sich niemand, zumal es eben nicht sonderlich schwer ist, eine solche Phishing-Nachricht auf ein Smartphone zu schicken.
Das rät das BSI bei gehackten Accounts
Das Bundesamt für Sicherheit in der Informationstechnik hat eine eigene Seite eingerichtet, auf der es Tipps gibt, wie man auf eine Attacke reagieren sollte (externer Link). Die Seite sei allerdings mit heißer Nadel gestrickt worden, so die Einschätzung von Kunz. Ersehen liese sich das an dem sinnlosen Ratschlag, möglichst schnell seine Pin zu ändern, sollte der Account von den Hackern gesperrt worden sein.
Ansonsten seien die drei Handlungsanweisungen allerdings sinnvoll, so der Experte. Zusammengefasst unterscheidet das BSI drei Szenarien:
- Szenario 1: Man hat nicht auf die Phishing-Nachricht reagiert. Alles gut.
- Szenario 2: Man hat seine Zugangsdaten weitergegeben, aber noch Zugriff auf den Account. Dann schnellstens die Pin ändern, das Signal-Konto löschen und ein neues Konto anlegen.
- Szenario 3: Man hat keinen Zugriff mehr auf das Konto. Alle Kontakte per Mail oder Telefon informieren, dass man gehackt wurde und Nachrichten nicht mehr von einem selbst stammen.
Ist die Bundesregierung infiltriert?
Julia Klöckner hat nicht nur das zweithöchste Amt in Deutschland inne, sie ist auch Teil des CDU-Präsidiums, das ebenfalls Signal-Chatgruppen nutzt. In diesen Gruppen ist zum Beispiel auch Bundeskanzler Friedrich Merz (CDU) vernetzt. Merz wurde laut Spiegel vom Verfassungsschutz persönlich über den Vorgang unterrichtet. Die Untersuchung des Kanzler-Handys hat allerdings keine Auffälligkeiten ergeben.
Ob Mitglieder der Bundesregierung Opfer der Attacke geworden sind, ist bislang unklar. Unsere diesbezügliche Anfrage beantwortet das Bundesamt für Verfassungsschutz so: „Das BfV berichtet zu entsprechenden Themen insbesondere der Bundesregierung und den zuständigen, geheim tagenden Gremien des Deutschen Bundestages.“
