piwik no script img

taz zahl ich

Cyberattacke auf CDUSelber schuld

Johannes Drosdowski
Kommentar von Johannes Drosdowski

Die CDU ist Opfer einer Cyberattacke geworden. Auch wenn Opfer-Täter-Umkehrungen daneben sind: Die Partei hat selbst einiges dafür getan.

Ein Wahlplakat der CDU zur Europawahl 2024 mit der Aufschrift: Sicherheit.
Kurz vor der Europawahl war die CDU einer Cyberattacke ausgesetzt Foto: imago

E s gibt einen unangenehmen Mechanismus, wenn eine Organisation einen Cyberangriff abbekommt und nicht abwehren kann: die reflexartige Erwiderung, dass ebenjene Partei, Institution oder Firma auch ein bisschen selbst schuld sei. Die haben ihre Datensicherheit eben nicht im Griff!

Es ist eine Opfer-Täter-Umkehr, die wir in anderen Lebensbereichen klar verurteilen. Nein, der Rock ist nicht zu kurz. Nein, ein Land darf nicht angegriffen werden, nur weil es sich Richtung Westen orientiert. Nein, Oma hat die Einbrecher nicht mit dem gehorteten Bargeld in der Besteckschublade angelockt. Manchmal aber ist es schwer, den Opfern von Cyberangriffen keine Schuld zu geben. Jetzt etwa der CDU. Denn die hat in der Vergangenheit helfende Hände zur Seite geschlagen.

Am Wochenende wurde bekannt, dass die CDU einer Cyberattacke ausgesetzt war, kurz vor der Europawahl. Wie groß der Schaden ist, ist bisher nicht öffentlich bekannt. Der Spiegel berichtet unter Berufung auf Sicherheitskreise, dass kritische Daten ausgelesen worden seien. Mehrere Medien und Ex­per­t*in­nen mutmaßen, dass eine Gruppe im Auftrag der chinesischen Regierung dahintersteckt. Der Verfassungsschutz und das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Ermittlungen aufgenommen.

Auch andere Parteien kennen Angriffe dieser Art. Erst im Mai ist bekannt geworden, dass ein Jahr vorher, im Januar 2023, eine einstellige Zahl von E-Mail-Konten des SPD-Parteivorstandes angegriffen wurden. Die mutmaßlichen Täter: eine Gruppe, die dem russischen Militärgeheimdienst zugeordnet wird. Für politische Inhalte wird also nicht nur die CDU angegriffen. Aber: Sie hat auch einiges dafür getan, keine Hilfe aus der äußerst fähigen Zivilgesellschaft mehr zu bekommen.

Daten lagen einfach rum

Im Mai 2021 untersuchte Lilith Wittmann, Aktivistin für Datensicherheit, die Wahlkampf-App der CDU und fand gravierende Sicherheitslücken im System, in dem die Partei Daten von Wahl­hel­fe­r*in­nen ebenso sammelte wie Daten von Menschen, die die CDU an der Haustür aufsuchte. Wittmann meldete die Lücke an die Partei, das BSI und die Datenschutzbeauftragte und bekam dafür: eine Anzeige von der CDU. Die kündigte damit eine Art inoffizielle Abmachung.

Die CDU stimmte für ein Gesetz gegen ethisches Hacking und zeigte eine Person an, die helfen wollte

Denn beim Responsible Disclosure suchen IT-Expert*innen nach Sicherheitslücken bei Parteien, Firmen, Bundesanstalten, melden diese, warten ab, bis die Lücken gestopft sind und veröffentlichen danach, wie sie die Lücken gefunden haben. Dafür bekommen sie keinen Ärger vom Staat, sondern Anerkennung bei den Peers. Es ist ein Rätselspiel und es ist wertvoll für unsere Gesellschaft und Sicherheit.

Angezeigt werden können sie aber trotzdem manchmal. Dafür sorgt der sogenannte Hackerparagraf. Der wurde 2007 – unter Angela Merkel und getragen von der CDU – im Bundestag verabschiedet und macht es strafbar zu versuchen, an zugangsgeschützte Daten heranzukommen. Wegen des großen Medienechos um die Wahlkampf-App wurde die Anzeige gegen Wittmann zurückgezogen. Bei den Ermittlungen kam ohnehin raus, dass die IT-Expertin nichts falsch gemacht hatte. Die Daten lagen nämlich einfach so rum.

Belohnung für Hacker

Der Schaden liegt seitdem bei der CDU. Denn der Chaos Computer Club (CCC), die Instanz im Finden von Sicherheitslücken, hat sich hinter Wittmann gestellt und bekanntgegeben, dass er „CDU-Schwachstellen künftig nicht mehr melden“ wird. Wer bekommt schon gerne Anzeigen?

Ob der CCC trotzdem weiter nach Sicherheitslücken bei der CDU sucht? Ob die Ex­per­t*in­nen die aktuelle Schwachstelle gefunden hätten? Vielleicht. Sicher ist: Die CDU hat zuerst ein Gesetz mitgetragen, das ethisches Hacking gefährdet, und danach auch noch eine Person angezeigt, die helfen wollte und konnte. Also doch ein bisschen selbst schuld.

In anderen Kontexten funktioniert das mit der responsible disclosure übrigens. Apple hat etwa 2019 ein 1,5-Millionen-­Dollar-Preisgeld ausgelobt für das Finden von schlimmsten Sicherheitslücken beim damaligen iPhone.

Und auch andere ­Länder können es besser als Deutschland: Die ­Niederlande haben eine eigene Seite, auf der sie erklären, wie man Sicherheits­lücken ordentlich melden kann. Und belohnt solche Meldungen mit einem Shirt. Darauf steht übersetzt: „Ich habe die ­nieder­ländische Regierung gehackt und alles, was ich dafür bekommen habe, ist dieses lausige T‑Shirt.“ Der Spruch ist peinlich ­oldschool, aber lange nicht so altbacken wie die CDU.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Johannes Drosdowski

Johannes Drosdowski

 Redakteur Medien/Digitales
Redakteur für Medien und Digitales. Ansonsten freier Journalist und Teamer zum Thema Verschwörungserzählungen und Fake News. Steht auf Comics, Zombies und das Internet. Mastodon: @drosdowski@social.anoxinon.de
Themen #Chaos Computer Club #Hacker #Cybersicherheit #Cyberattacke #CDU #Social-Auswahl
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Ein Mensch tippt auf einer Tastatur im Dunkeln

Russische Cyber-Angriffe

Kriegsführung aller Art

Russland führt Krieg – auch im digitalen Raum. Nato, EU und die Bundesregierung verurteilen die Cyberangriffe scharf. Die Gegenmaßnahmen sind dünn.
Von Tanja Tricarico
Eine Weltkarte auf einem Computerbildschirm auf der Russland und Deutschland hervorgehoben sind

Hackerangriff aus Russland?

Auswärtiges Amt aktiviert

2023 griffen Hacker E-Mail-Konten der SPD an. Baerbock macht Russland dafür verantwortlich. Das Außenamt hat den Geschäftsträger der russischen Botschaft einbestellt.
Hände blättern durch Karteikarten in einem Aktenschrank

Versichertendaten in Gefahr

Cyberattacke auf Krankenkassen

Einer der größten IT-Dienstleister der gesetzlichen Krankenkassen muss nach einem digitalen Angriff Systeme abschalten. Das Ausmaß ist unklar.
Von Manuela Heim

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

22 Kommentare

 / 
  • BI

    Das BSI meldet heute im Tageslagebericht ein Datenleck bei einem CDU-Jobportal (auch Heise & Golem berichten): 4870 Bewerber-Datensätze lagen ungeschützt herum.



    Selber schuld. Wer sich bei der Neuland-Partei bewirbt.

  • BI

    Die Christenparteien fremdeln halt immer noch mit diesem Neuland. Genau wie ihre Wähler.

  • S

    Ob "OMA" Geld im Wäscheschrank versteckt oder unter der Matratze ist ihr überlassen.



    Das sie aber nur ein Buntbartschloss an der Wohnungstür hat, im Erdgeschoss die Fenster auflässt wenn Sie einkaufen geht, ...das ist ihr vorzuwerfen.



    "Datenklau" ist mögluch wenn "Hacker in System reinkommen, DORT Rechte "erbeuten" können & dort liegen meistens die Schachstellen!



    Btw. Wenn ich mich so umschaue, wäre ich für einen Straftatbestand "fahrlässige Datenspeicherung!", denn wenn ich einen PKW unverschlossen, mit steckenden Schlüssel abstelle, uvam. ungesichert rumliegen lasse, geht DAS auch nicht ohne "Konsequenzen" für mich aus!



    Brummt Sikasuu



    Ps. Der Trend, alles zu speichern was "bei drei nicht widersprochen hat" könnte damit wohl etwas gedämpft werden! :-((

    • WJ
      @Sikasuu:

      Das PS trifft nicht wirklich zu. Diesmal hat es zwar ein prominentes Opfer getroffen, verfolgt man jedoch aufmerksam die Lage, wird man schnell feststellen, daß sogar ziemlich häufig Daten "befreit" werden, auch von diversen Datenkraken, jedoch der Trend in Richtung Anhäufung diverser Daten ohne Rücksicht auf Verluste geht.

      • S
        @Wurstfinger Joe:

        Das PS trifft nicht wirklich zu. (...) jedoch der Trend in Richtung Anhäufung diverser Daten ohne Rücksicht auf Verluste geht.



        ---



        Habe ich jetzt Verständnisprobleme, oder widersprichst du dir selbst?



        Daten die nicht "gespeichert sind", können auch nicht befreit werden :-)

        • WJ
          @Sikasuu:

          Ich meinte damit, daß trotz der Häufigkeit dieser Vorfälle eben nicht von der Praxis des Datensammelns abgewichen wird, weil "Daten sind das neue Öl!".

  • HK

    Danke für den Artikel.



    Ich gebe es zu: Ich kann mir die Schadenfreude nicht verkneifen.

  • FZ

    Schöne Bebilderung übrigens. ;-)

  •

    "Einfach mal (- nicht mehr -) machen."



    /



    "Der Schaden liegt seitdem bei der CDU. Denn der Chaos Computer Club (CCC), die Instanz im Finden von Sicherheitslücken, hat sich hinter Wittmann gestellt und bekanntgegeben, dass er „CDU-Schwachstellen künftig nicht mehr melden“ wird. Wer bekommt schon gerne Anzeigen?"

  • V

    Opfer-Täter-Umkehrungen sind daneben. Ja. Punkt.

  • E

    Der Hackerparagraph war ein Frontalangriff und er hat verbrannte Erde hinterlassen: Waehrend in den USA ein Teil der Szene auch fuer den Staat arbeitet ist das in Deutschland sehr lange verpoent gewesen bzw ist es noch.

  • HH

    Es geht sogar noch weiter:



    Das Gesetz (federführend: Wolfgang 'keine Ahnung wo das Geld herkommt' Schäuble) verbietet sehr pauschal 'die Herstellung und den Gebrauch von Werkzeugen' zur Beschaffung von fremden Daten - also im Zweifel auch von jeglicher Software zum Testen von System.



    Was aber machen IT-Forscher*Innen im Bereich Security ziemlich ausführlich? Sie stellen Software zum Testen der Sicherheit von Computersystemen her und gebrauchen sie.



    Die Folge: Solche Leute arbeiten eher nicht mehr so gern an deutschen Hochschulen (bzw. mit einem Bein dort und mit dem anderen in einem deutschen Knast)...

    • WW
      @Hannes Hegel:

      Nicht nur dort. Versuchen Sie mal, aus dem Rechtsgeschwurbel, das in Verträgen für "penentration testing" - also der Beauftragung einer Überprüfung auf Sicherheitslücken steht, in verständliches Deutsch zu übersetzen. Die wenigen Rechtsanwälte, die das Thema gut kennen, sind auch nicht gerade billig. Das macht man dann doch lieber ohne die Anwaltskosten von der anderen Seite der Grenze aus...

  • DN

    "Hackerparagraf. Der wurde 2007 – unter Angela Merkel und getragen von der CDU – im Bundestag verabschiedet"



    2007 hatten RotRotGrün übrigens 53% im Bundestag. So ganz ohne deren Zustimmung kann es wohl nicht gelaufen sein...

    • BI
      @Desdur Nahe:

      Und wieder einmal kommt von Ihnen nichts als Desinformation: Es gab im Bund noch nie eine rot-rot-grüne Regierung, auch nicht 2007.

    •
      @Desdur Nahe:

      Es gab da aber eine große Koalition aus CDU (222 Sitze) und SPD (221 Sitze). Dies nun mit RotRotGrün in einen Topf zu hauen, passt wohl nicht so richtig. Diese Koalition gab es 2007 nicht.

    •
      @Desdur Nahe:

      Natürlich, auch Rot-Grün sollte man beim Cyber-Cyber nicht helfen.

      Daneben stehen und einfach genießen.

      Ja das ist ein schlechter Charakterzug von mir. Aber - speziell in diesen Fällen - stehe ich dazu.

      •
        @Thorsten Gorch:

        Bringt uns übrigens kein Stück weiter. Eine großes Maß an Kooperationsbereitschaft brauchen wir dringend.

        •
          @Minion68:

          Nun, das soll jeder für sich entscheiden, ich bin da nicht "wir". Ich kann es - in diesem und ähnlich gelagerten Fällen - nicht empfehlen dort helfen zu wollen, gab ja Leute auf die dann der StA gehetzt wurde.

          Wie weiter unten von Tomás Zerolo schon angemerkt wurde: Der CDU geht es doch nicht ums lernen sondern nur darum daraus politisches Manna zu saugen. Sozusagen das IT Äquivalent zur Bilder liefernden Gummistiefel-Betroffenheitstour in Flutgebieten.

          •
            @Thorsten Gorch:

            Ja, die CDU zeigt auch gerne auf Andere, um selbst besser dazustehen. Das ist ein altes eingeübtes Spiel.

          • BI
            @Thorsten Gorch:

            Natürlich war der Angriff auf die CDU der schlimmste Angriff, den je eine deutsche Partei erlitten hat - sagt Christen-Chef Merz. Und der muss es ja wissen.



            Opfer können sie einfach, die Rechten.

  • TZ

    Tatsächlich tut mir die CDU am wenigsten Leid.

    Die aufgeblasene Art, auf die sie sich jetzt wichtig machen und BSI und Verfassungsschutz anrufen ist auch ein wenig kindisch. Was kommt als nächstes: GSG9?

    Man wird den Eindruck nicht los, dass die selbst aus diesem Schaden lieber politisches Kapital als Lehren ziehen wollen.

    Die, die sonst den Mund so voll nehmen, dass jede*r für sich sorgen soll, anstatt auf Kosten anderer... verplempern jetzt meine Steuergelder, weil sie ihre Webplattform nicht selber fit halten können.

    Sowas von.

meistkommentiert

1

Hype um Boris Pistorius

Fragwürdige Beliebtheit

2

James Bridle bekommt Preis aberkannt

Boykottieren und boykottiert werden

3

Russischer Angriff auf die Ukraine

Tausend Tage Krieg

4

BSW stimmt in Sachsen für AfD-Antrag

Es wächst zusammen, was zusammengehört​

5

Verfassungsklage von ARD und ZDF

Karlsruhe muss die unbeliebte Entscheidung treffen

6

CDU-Politiker Marco Wanderwitz

Schmerzhafter Abgang eines Standhaften