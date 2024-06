Cyberattacke auf CDU : Selber schuld

Die CDU ist Opfer einer Cyberattacke geworden. Auch wenn Opfer-Täter-Umkehrungen daneben sind: Die Partei hat selbst einiges dafür getan.

Es gibt einen unangenehmen Mechanismus, wenn eine Organisation einen Cyberangriff abbekommt und nicht abwehren kann: die reflexartige Erwiderung, dass eben jene Partei, Institution oder Firma auch ein bisschen selbst schuld sei. Die haben ihre Datensicherheit eben nicht im Griff!

Es ist eine Opfer-Täter-Umkehr, die wir in anderen Lebensbereichen klar verurteilen. Nein, der Rock ist nicht zu kurz. Nein, ein Land darf nicht angegriffen werden, nur weil es sich Richtung Westen orientiert. Nein, Oma hat die Einbrecher nicht mit dem gehorteten Bargeld in der Besteckschublade angelockt. Manchmal aber ist es schwer, den Opfern von Cyberangriffen keine Schuld zu geben. Jetzt etwa der CDU. Denn die hat in der Vergangenheit helfende Hände zur Seite geschlagen.

Am Wochenende wurde bekannt, dass die CDU einer Cyberattacke ausgesetzt war, kurz vor der Europawahl. Wie groß der Schaden ist, ist bisher nicht öffentlich bekannt. Der Spiegel berichtet unter Berufung auf Sicherheitskreise, dass kritische Daten ausgelesen worden seien. Mehrere Medien und Ex­per­t*in­nen mutmaßen, dass eine Gruppe im Auftrag der chinesischen Regierung dahintersteckt. Der Verfassungsschutz und das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Ermittlungen aufgenommen.

Auch andere Parteien kennen Angriffe dieser Art. Erst im Mai ist bekannt geworden, dass ein Jahr vorher, im Januar 2023, eine einstellige Zahl von E-Mail-Konten des SPD-Parteivorstandes angegriffen wurden. Die mutmaßlichen Täter: eine Gruppe, die dem russischen Militärgeheimdienst zugeordnet wird. Für politische Inhalte wird also nicht nur die CDU angegriffen. Aber: Sie hat auch einiges dafür getan, keine Hilfe aus der äußerst fähigen Zivilgesellschaft mehr zu bekommen.

Daten lagen einfach rum

Im Mai 2021 untersuchte Lilith Wittmann, Aktivistin für Datensicherheit, die Wahlkampf-App der CDU und fand gravierende Sicherheitslücken im System, in dem die Partei Daten von Wahl­hel­fe­r*in­nen ebenso sammelte wie Daten von Menschen, die die CDU an der Haustür aufsuchte. Wittmann meldete die Lücke an die Partei, das BSI und die Datenschutzbeauftragte und bekam dafür: eine Anzeige von der CDU. Die kündigte damit eine Art inoffizielle Abmachung.

Die CDU stimmte für ein Gesetz gegen ethisches Hacking und zeigte eine Person an, die helfen wollte

Denn beim Responsible Disclosure suchen IT-Expert*innen nach Sicherheitslücken bei Parteien, Firmen, Bundesanstalten, melden diese, warten ab, bis die Lücken gestopft sind und veröffentlichen danach, wie sie die Lücken gefunden haben. Dafür bekommen sie keinen Ärger vom Staat, sondern Anerkennung bei den Peers. Es ist ein Rätselspiel und es ist wertvoll für unsere Gesellschaft und Sicherheit.

Angezeigt werden können sie aber trotzdem manchmal. Dafür sorgt der sogenannte Hackerparagraf. Der wurde 2007 – unter Angela Merkel und getragen von der CDU – im Bundestag verabschiedet und macht es strafbar zu versuchen, an zugangsgeschützte Daten heranzukommen. Wegen des großen Medienechos um die Wahlkampf-App wurde die Anzeige gegen Wittmann zurückgezogen. Bei den Ermittlungen kam ohnehin raus, dass die IT-Expertin nichts falsch gemacht hatte. Die Daten lagen nämlich einfach so rum.

Belohnung für Hacker

Der Schaden liegt seitdem bei der CDU. Denn der Chaos Computer Club (CCC), die Instanz im Finden von Sicherheitslücken, hat sich hinter Wittmann gestellt und bekanntgegeben, dass er „CDU-Schwachstellen künftig nicht mehr melden“ wird. Wer bekommt schon gerne Anzeigen?

Ob der CCC trotzdem weiter nach Sicherheitslücken bei der CDU sucht? Ob die Ex­per­t*in­nen die aktuelle Schwachstelle gefunden hätten? Vielleicht. Sicher ist: Die CDU hat zuerst ein Gesetz mitgetragen, das ethisches Hacking gefährdet, und danach auch noch eine Person angezeigt, die helfen wollte und konnte. Also doch ein bisschen selbst schuld.

In anderen Kontexten funktioniert das mit der responsible disclosure übrigens. Apple hat etwa 2019 ein 1,5-Millionen-­Dollar-Preisgeld ausgelobt für das Finden von schlimmsten Sicherheitslücken beim damaligen iPhone.

Und auch andere ­Länder können es besser als Deutschland: Die ­Niederlande haben eine eigene Seite, auf der sie erklären wie man Sicherheits­lücken ordentlich melden kann. Und belohnt solche Meldungen mit einem Shirt. Darauf steht übersetzt: „Ich habe die ­nieder­ländische Regierung gehackt und alles was ich dafür bekommen habe, ist dieses lausige T‑Shirt.“ Der Spruch ist peinlich ­oldschool, aber lange nicht so altbacken wie die CDU.