Cyberattacke auf CDU: Selber schuld
Die CDU ist Opfer einer Cyberattacke geworden. Auch wenn Opfer-Täter-Umkehrungen daneben sind: Die Partei hat selbst einiges dafür getan.
E s gibt einen unangenehmen Mechanismus, wenn eine Organisation einen Cyberangriff abbekommt und nicht abwehren kann: die reflexartige Erwiderung, dass ebenjene Partei, Institution oder Firma auch ein bisschen selbst schuld sei. Die haben ihre Datensicherheit eben nicht im Griff!
Es ist eine Opfer-Täter-Umkehr, die wir in anderen Lebensbereichen klar verurteilen. Nein, der Rock ist nicht zu kurz. Nein, ein Land darf nicht angegriffen werden, nur weil es sich Richtung Westen orientiert. Nein, Oma hat die Einbrecher nicht mit dem gehorteten Bargeld in der Besteckschublade angelockt. Manchmal aber ist es schwer, den Opfern von Cyberangriffen keine Schuld zu geben. Jetzt etwa der CDU. Denn die hat in der Vergangenheit helfende Hände zur Seite geschlagen.
Am Wochenende wurde bekannt, dass die CDU einer Cyberattacke ausgesetzt war, kurz vor der Europawahl. Wie groß der Schaden ist, ist bisher nicht öffentlich bekannt. Der Spiegel berichtet unter Berufung auf Sicherheitskreise, dass kritische Daten ausgelesen worden seien. Mehrere Medien und Expert*innen mutmaßen, dass eine Gruppe im Auftrag der chinesischen Regierung dahintersteckt. Der Verfassungsschutz und das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Ermittlungen aufgenommen.
Auch andere Parteien kennen Angriffe dieser Art. Erst im Mai ist bekannt geworden, dass ein Jahr vorher, im Januar 2023, eine einstellige Zahl von E-Mail-Konten des SPD-Parteivorstandes angegriffen wurden. Die mutmaßlichen Täter: eine Gruppe, die dem russischen Militärgeheimdienst zugeordnet wird. Für politische Inhalte wird also nicht nur die CDU angegriffen. Aber: Sie hat auch einiges dafür getan, keine Hilfe aus der äußerst fähigen Zivilgesellschaft mehr zu bekommen.
Daten lagen einfach rum
Im Mai 2021 untersuchte Lilith Wittmann, Aktivistin für Datensicherheit, die Wahlkampf-App der CDU und fand gravierende Sicherheitslücken im System, in dem die Partei Daten von Wahlhelfer*innen ebenso sammelte wie Daten von Menschen, die die CDU an der Haustür aufsuchte. Wittmann meldete die Lücke an die Partei, das BSI und die Datenschutzbeauftragte und bekam dafür: eine Anzeige von der CDU. Die kündigte damit eine Art inoffizielle Abmachung.
Denn beim Responsible Disclosure suchen IT-Expert*innen nach Sicherheitslücken bei Parteien, Firmen, Bundesanstalten, melden diese, warten ab, bis die Lücken gestopft sind und veröffentlichen danach, wie sie die Lücken gefunden haben. Dafür bekommen sie keinen Ärger vom Staat, sondern Anerkennung bei den Peers. Es ist ein Rätselspiel und es ist wertvoll für unsere Gesellschaft und Sicherheit.
Angezeigt werden können sie aber trotzdem manchmal. Dafür sorgt der sogenannte Hackerparagraf. Der wurde 2007 – unter Angela Merkel und getragen von der CDU – im Bundestag verabschiedet und macht es strafbar zu versuchen, an zugangsgeschützte Daten heranzukommen. Wegen des großen Medienechos um die Wahlkampf-App wurde die Anzeige gegen Wittmann zurückgezogen. Bei den Ermittlungen kam ohnehin raus, dass die IT-Expertin nichts falsch gemacht hatte. Die Daten lagen nämlich einfach so rum.
Belohnung für Hacker
Der Schaden liegt seitdem bei der CDU. Denn der Chaos Computer Club (CCC), die Instanz im Finden von Sicherheitslücken, hat sich hinter Wittmann gestellt und bekanntgegeben, dass er „CDU-Schwachstellen künftig nicht mehr melden“ wird. Wer bekommt schon gerne Anzeigen?
Ob der CCC trotzdem weiter nach Sicherheitslücken bei der CDU sucht? Ob die Expert*innen die aktuelle Schwachstelle gefunden hätten? Vielleicht. Sicher ist: Die CDU hat zuerst ein Gesetz mitgetragen, das ethisches Hacking gefährdet, und danach auch noch eine Person angezeigt, die helfen wollte und konnte. Also doch ein bisschen selbst schuld.
In anderen Kontexten funktioniert das mit der responsible disclosure übrigens. Apple hat etwa 2019 ein 1,5-Millionen-Dollar-Preisgeld ausgelobt für das Finden von schlimmsten Sicherheitslücken beim damaligen iPhone.
Und auch andere Länder können es besser als Deutschland: Die Niederlande haben eine eigene Seite, auf der sie erklären, wie man Sicherheitslücken ordentlich melden kann. Und belohnt solche Meldungen mit einem Shirt. Darauf steht übersetzt: „Ich habe die niederländische Regierung gehackt und alles, was ich dafür bekommen habe, ist dieses lausige T‑Shirt.“ Der Spruch ist peinlich oldschool, aber lange nicht so altbacken wie die CDU.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Magdeburg nach dem Anschlag
Atempause und stilles Gedenken
Analyse der US-Wahl
Illiberalismus zeigt sein autoritäres Gesicht
Biden hebt 37 Todesurteile auf
In Haftstrafen umgewandelt
Jahresrückblick Erderhitzung
Das Klima-Jahr in zehn Punkten