Russische Cyber-Angriffe
Kriegsführung aller Art
Russland führt Krieg – auch im digitalen Raum. Nato, EU und die Bundesregierung verurteilen die Cyberangriffe scharf. Die Gegenmaßnahmen sind dünn.
Hackerangriff aus Russland?
Auswärtiges Amt aktiviert
2023 griffen Hacker E-Mail-Konten der SPD an. Baerbock macht Russland dafür verantwortlich. Das Außenamt hat den Geschäftsträger der russischen Botschaft einbestellt.
Versichertendaten in Gefahr
Cyberattacke auf Krankenkassen
Einer der größten IT-Dienstleister der gesetzlichen Krankenkassen muss nach einem digitalen Angriff Systeme abschalten. Das Ausmaß ist unklar.
Alle Artikel zum Thema
Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.
Haben Sie Probleme beim Kommentieren oder Registrieren?
Dann mailen Sie uns bitte an kommune@taz.de.
B. Iotox
Das BSI meldet heute im Tageslagebericht ein Datenleck bei einem CDU-Jobportal (auch Heise & Golem berichten): 4870 Bewerber-Datensätze lagen ungeschützt herum.
Selber schuld. Wer sich bei der Neuland-Partei bewirbt.B. Iotox
Die Christenparteien fremdeln halt immer noch mit diesem Neuland. Genau wie ihre Wähler.
Sikasuu
Ob "OMA" Geld im Wäscheschrank versteckt oder unter der Matratze ist ihr überlassen.
Das sie aber nur ein Buntbartschloss an der Wohnungstür hat, im Erdgeschoss die Fenster auflässt wenn Sie einkaufen geht, ...das ist ihr vorzuwerfen.
"Datenklau" ist mögluch wenn "Hacker in System reinkommen, DORT Rechte "erbeuten" können & dort liegen meistens die Schachstellen!
Btw. Wenn ich mich so umschaue, wäre ich für einen Straftatbestand "fahrlässige Datenspeicherung!", denn wenn ich einen PKW unverschlossen, mit steckenden Schlüssel abstelle, uvam. ungesichert rumliegen lasse, geht DAS auch nicht ohne "Konsequenzen" für mich aus!
Brummt Sikasuu
Ps. Der Trend, alles zu speichern was "bei drei nicht widersprochen hat" könnte damit wohl etwas gedämpft werden! :-((Wurstfinger Joe
@Sikasuu Das PS trifft nicht wirklich zu. Diesmal hat es zwar ein prominentes Opfer getroffen, verfolgt man jedoch aufmerksam die Lage, wird man schnell feststellen, daß sogar ziemlich häufig Daten "befreit" werden, auch von diversen Datenkraken, jedoch der Trend in Richtung Anhäufung diverser Daten ohne Rücksicht auf Verluste geht.
Sikasuu
@Wurstfinger Joe Das PS trifft nicht wirklich zu. (...) jedoch der Trend in Richtung Anhäufung diverser Daten ohne Rücksicht auf Verluste geht.
---
Habe ich jetzt Verständnisprobleme, oder widersprichst du dir selbst?
Daten die nicht "gespeichert sind", können auch nicht befreit werden :-)Wurstfinger Joe
@Sikasuu Ich meinte damit, daß trotz der Häufigkeit dieser Vorfälle eben nicht von der Praxis des Datensammelns abgewichen wird, weil "Daten sind das neue Öl!".
Heinz Kuntze
Danke für den Artikel.
Ich gebe es zu: Ich kann mir die Schadenfreude nicht verkneifen.Frauke Z
Schöne Bebilderung übrigens. ;-)
Martin Rees
![]()
"Einfach mal (- nicht mehr -) machen."
/
"Der Schaden liegt seitdem bei der CDU. Denn der Chaos Computer Club (CCC), die Instanz im Finden von Sicherheitslücken, hat sich hinter Wittmann gestellt und bekanntgegeben, dass er „CDU-Schwachstellen künftig nicht mehr melden“ wird. Wer bekommt schon gerne Anzeigen?"Vigoleis
Opfer-Täter-Umkehrungen sind daneben. Ja. Punkt.
elektrozwerg
Der Hackerparagraph war ein Frontalangriff und er hat verbrannte Erde hinterlassen: Waehrend in den USA ein Teil der Szene auch fuer den Staat arbeitet ist das in Deutschland sehr lange verpoent gewesen bzw ist es noch.
Hannes Hegel
Es geht sogar noch weiter:
Das Gesetz (federführend: Wolfgang 'keine Ahnung wo das Geld herkommt' Schäuble) verbietet sehr pauschal 'die Herstellung und den Gebrauch von Werkzeugen' zur Beschaffung von fremden Daten - also im Zweifel auch von jeglicher Software zum Testen von System.
Was aber machen IT-Forscher*Innen im Bereich Security ziemlich ausführlich? Sie stellen Software zum Testen der Sicherheit von Computersystemen her und gebrauchen sie.
Die Folge: Solche Leute arbeiten eher nicht mehr so gern an deutschen Hochschulen (bzw. mit einem Bein dort und mit dem anderen in einem deutschen Knast)...Wolfgang Wilhelm
@Hannes Hegel Nicht nur dort. Versuchen Sie mal, aus dem Rechtsgeschwurbel, das in Verträgen für "penentration testing" - also der Beauftragung einer Überprüfung auf Sicherheitslücken steht, in verständliches Deutsch zu übersetzen. Die wenigen Rechtsanwälte, die das Thema gut kennen, sind auch nicht gerade billig. Das macht man dann doch lieber ohne die Anwaltskosten von der anderen Seite der Grenze aus...
Desdur Nahe
"Hackerparagraf. Der wurde 2007 – unter Angela Merkel und getragen von der CDU – im Bundestag verabschiedet"
2007 hatten RotRotGrün übrigens 53% im Bundestag. So ganz ohne deren Zustimmung kann es wohl nicht gelaufen sein...B. Iotox
@Desdur Nahe Und wieder einmal kommt von Ihnen nichts als Desinformation: Es gab im Bund noch nie eine rot-rot-grüne Regierung, auch nicht 2007.
Minion68
@Desdur Nahe Es gab da aber eine große Koalition aus CDU (222 Sitze) und SPD (221 Sitze). Dies nun mit RotRotGrün in einen Topf zu hauen, passt wohl nicht so richtig. Diese Koalition gab es 2007 nicht.
Thorsten Gorch
![]()
@Desdur Nahe Natürlich, auch Rot-Grün sollte man beim Cyber-Cyber nicht helfen.
Daneben stehen und einfach genießen.
Ja das ist ein schlechter Charakterzug von mir. Aber - speziell in diesen Fällen - stehe ich dazu.
Minion68
@Thorsten Gorch Bringt uns übrigens kein Stück weiter. Eine großes Maß an Kooperationsbereitschaft brauchen wir dringend.
Thorsten Gorch
![]()
@Minion68 Nun, das soll jeder für sich entscheiden, ich bin da nicht "wir". Ich kann es - in diesem und ähnlich gelagerten Fällen - nicht empfehlen dort helfen zu wollen, gab ja Leute auf die dann der StA gehetzt wurde.
Wie weiter unten von Tomás Zerolo schon angemerkt wurde: Der CDU geht es doch nicht ums lernen sondern nur darum daraus politisches Manna zu saugen. Sozusagen das IT Äquivalent zur Bilder liefernden Gummistiefel-Betroffenheitstour in Flutgebieten.
Minion68
@Thorsten Gorch Ja, die CDU zeigt auch gerne auf Andere, um selbst besser dazustehen. Das ist ein altes eingeübtes Spiel.
B. Iotox
@Thorsten Gorch Natürlich war der Angriff auf die CDU der schlimmste Angriff, den je eine deutsche Partei erlitten hat - sagt Christen-Chef Merz. Und der muss es ja wissen.
Opfer können sie einfach, die Rechten.
tomás zerolo
Tatsächlich tut mir die CDU am wenigsten Leid.
Die aufgeblasene Art, auf die sie sich jetzt wichtig machen und BSI und Verfassungsschutz anrufen ist auch ein wenig kindisch. Was kommt als nächstes: GSG9?
Man wird den Eindruck nicht los, dass die selbst aus diesem Schaden lieber politisches Kapital als Lehren ziehen wollen.
Die, die sonst den Mund so voll nehmen, dass jede*r für sich sorgen soll, anstatt auf Kosten anderer... verplempern jetzt meine Steuergelder, weil sie ihre Webplattform nicht selber fit halten können.
Sowas von.
SUV überfährt Passantinnen in Nürtingen
Tödliches Recht auf Tempo
Wieder sind Menschen durch ein SUV ums Leben gekommen. Technisch wäre es längst möglich, tödliche Unfälle wie diesen zu verhindern.
Luisa Neubauer über Europawahl
„Viele kleine Hebel bewirken große Dinge“
Geiselbefreiung im Gazastreifen
„Unser Überleben hatte Priorität“
Russlands ganz eigener Friedensplan
Nicht mitmachen und dann stören
Bücherverbote in den USA
Amerikas schlechte Seiten
Cyberattacke auf CDU: Selber schuld
Die CDU ist Opfer einer Cyberattacke geworden. Auch wenn Opfer-Täter-Umkehrungen daneben sind: Die Partei hat selbst einiges dafür getan.
Kurz vor der Europawahl war die CDU einer Cyberattacke ausgesetzt Foto: imago
Es gibt einen unangenehmen Mechanismus, wenn eine Organisation einen Cyberangriff abbekommt und nicht abwehren kann: die reflexartige Erwiderung, dass ebenjene Partei, Institution oder Firma auch ein bisschen selbst schuld sei. Die haben ihre Datensicherheit eben nicht im Griff!
Es ist eine Opfer-Täter-Umkehr, die wir in anderen Lebensbereichen klar verurteilen. Nein, der Rock ist nicht zu kurz. Nein, ein Land darf nicht angegriffen werden, nur weil es sich Richtung Westen orientiert. Nein, Oma hat die Einbrecher nicht mit dem gehorteten Bargeld in der Besteckschublade angelockt. Manchmal aber ist es schwer, den Opfern von Cyberangriffen keine Schuld zu geben. Jetzt etwa der CDU. Denn die hat in der Vergangenheit helfende Hände zur Seite geschlagen.
Am Wochenende wurde bekannt, dass die CDU einer Cyberattacke ausgesetzt war, kurz vor der Europawahl. Wie groß der Schaden ist, ist bisher nicht öffentlich bekannt. Der Spiegel berichtet unter Berufung auf Sicherheitskreise, dass kritische Daten ausgelesen worden seien. Mehrere Medien und Expert*innen mutmaßen, dass eine Gruppe im Auftrag der chinesischen Regierung dahintersteckt. Der Verfassungsschutz und das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Ermittlungen aufgenommen.
Auch andere Parteien kennen Angriffe dieser Art. Erst im Mai ist bekannt geworden, dass ein Jahr vorher, im Januar 2023, eine einstellige Zahl von E-Mail-Konten des SPD-Parteivorstandes angegriffen wurden. Die mutmaßlichen Täter: eine Gruppe, die dem russischen Militärgeheimdienst zugeordnet wird. Für politische Inhalte wird also nicht nur die CDU angegriffen. Aber: Sie hat auch einiges dafür getan, keine Hilfe aus der äußerst fähigen Zivilgesellschaft mehr zu bekommen.
Daten lagen einfach rum
Im Mai 2021 untersuchte Lilith Wittmann, Aktivistin für Datensicherheit, die Wahlkampf-App der CDU und fand gravierende Sicherheitslücken im System, in dem die Partei Daten von Wahlhelfer*innen ebenso sammelte wie Daten von Menschen, die die CDU an der Haustür aufsuchte. Wittmann meldete die Lücke an die Partei, das BSI und die Datenschutzbeauftragte und bekam dafür: eine Anzeige von der CDU. Die kündigte damit eine Art inoffizielle Abmachung.
Die CDU stimmte für ein Gesetz gegen ethisches Hacking und zeigte eine Person an, die helfen wollte
Denn beim Responsible Disclosure suchen IT-Expert*innen nach Sicherheitslücken bei Parteien, Firmen, Bundesanstalten, melden diese, warten ab, bis die Lücken gestopft sind und veröffentlichen danach, wie sie die Lücken gefunden haben. Dafür bekommen sie keinen Ärger vom Staat, sondern Anerkennung bei den Peers. Es ist ein Rätselspiel und es ist wertvoll für unsere Gesellschaft und Sicherheit.
Angezeigt werden können sie aber trotzdem manchmal. Dafür sorgt der sogenannte Hackerparagraf. Der wurde 2007 – unter Angela Merkel und getragen von der CDU – im Bundestag verabschiedet und macht es strafbar zu versuchen, an zugangsgeschützte Daten heranzukommen. Wegen des großen Medienechos um die Wahlkampf-App wurde die Anzeige gegen Wittmann zurückgezogen. Bei den Ermittlungen kam ohnehin raus, dass die IT-Expertin nichts falsch gemacht hatte. Die Daten lagen nämlich einfach so rum.
Belohnung für Hacker
Der Schaden liegt seitdem bei der CDU. Denn der Chaos Computer Club (CCC), die Instanz im Finden von Sicherheitslücken, hat sich hinter Wittmann gestellt und bekanntgegeben, dass er „CDU-Schwachstellen künftig nicht mehr melden“ wird. Wer bekommt schon gerne Anzeigen?
Ob der CCC trotzdem weiter nach Sicherheitslücken bei der CDU sucht? Ob die Expert*innen die aktuelle Schwachstelle gefunden hätten? Vielleicht. Sicher ist: Die CDU hat zuerst ein Gesetz mitgetragen, das ethisches Hacking gefährdet, und danach auch noch eine Person angezeigt, die helfen wollte und konnte. Also doch ein bisschen selbst schuld.
In anderen Kontexten funktioniert das mit der responsible disclosure übrigens. Apple hat etwa 2019 ein 1,5-Millionen-Dollar-Preisgeld ausgelobt für das Finden von schlimmsten Sicherheitslücken beim damaligen iPhone.
Und auch andere Länder können es besser als Deutschland: Die Niederlande haben eine eigene Seite, auf der sie erklären, wie man Sicherheitslücken ordentlich melden kann. Und belohnt solche Meldungen mit einem Shirt. Darauf steht übersetzt: „Ich habe die niederländische Regierung gehackt und alles, was ich dafür bekommen habe, ist dieses lausige T‑Shirt.“ Der Spruch ist peinlich oldschool, aber lange nicht so altbacken wie die CDU.
Fehler auf taz.de entdeckt?
Wir freuen uns über eine Mail an fehlerhinweis@taz.de!
Inhaltliches Feedback?
Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.
Schwerpunkt Chaos Computer Club
Kommentar von
Johannes Drosdowski
Redakteur Medien/Digitales
Redakteur für Medien und Digitales. Ansonsten freier Journalist und Teamer zum Thema Verschwörungserzählungen und Fake News. Steht auf Comics, Zombies und das Internet. Mastodon: @drosdowski@social.anoxinon.de
Themen