Bundestags-Vize-Präsidentin Andrea Lindholz von der CSU hat es offenbar noch nicht ganz verstanden. Sie forderte nach dem breiteren Bekanntwerden der Phishing-Angriffe über die App Signal auf Po­li­ti­ke­r*in­nen und weiteren kurzerhand ein Verbot. Abgeordnete und Verwaltungen sollten stattdessen vollständig auf den europäischen Messenger-Dienst Wire umsteigen.

Sie hätte auch die Abschaffung von Telefonen fordern können, weil Betrüger beim Enkeltrick häufig anrufen. Oder sie hätte sagen können: Wer keinen Autounfall bauen will, soll am besten nicht Autofahren. Blöd ist halt, wenn man seinen Autoschlüssel, sein Bankkonto oder eben seinen Messenger-Account einem Betrüger oder gleich russischen Hackern zur Verfügung stellt und seit Februar kursierende behördliche Sicherheitshinweise verpasst hat.

Am Wochenende war bekannt geworden, dass mehrere hochrangige Po­li­ti­ke­r:in­nen Opfer von Phishing-Angriffen wurden. Um Zugriff auf ihre Adressbücher und Daten zu erhalten, verschickten die An­grei­fe­r*in­nen getarnt als „Signal Support“ eine Nachricht mit der Aufforderung, eine PIN einzugeben beziehungsweise Links oder einen QR-Code anzusteuern. Wird dem Folge geleistet, können die An­grei­fe­r*in­nen nicht nur vorhandene Chats mitlesen, sondern sich auch unter falscher Identität in internen Chat-Gruppen bewegen.

Signal selbst aber bleibt eine sichere und verschlüsselte App. Zwar hätte der Dienst selbst besser über laufende Angriffe informieren können oder müssen, aber dennoch bleibt die Schwachstelle hier vor allem der Mensch – oder im Gruppenchat des Bundestagspräsidiums eben: Julia Klöckner (CDU), die sich von einer Nachricht des dubiosen „Signal Supports“ hinters Licht hat führen lassen. Die Masche heißt „Social Engineering“ und setzt gezielt auf Gutgläubigkeit der User.

Für die Angreifer dürften danach Klöckners Kontakte, Chats und der Chatverlauf des Bundestagspräsidiums sichtbar gewesen sein und sogar die Nachrichten der letzten 45 Tage. Über einen längeren Zeitraum werden die Nachrichten bei Signal nicht lokal gespeichert. Klöckner ist ebenfalls Teil des CDU-Präsidiums, das offenbar über Signal kommunizierte.

Deswegen könnten ebenfalls Chats mit Bundeskanzler Friedrich Merz (CDU) betroffen sein. Gut möglich also, dass im nächsten Wahlkampf sensible Infos über hochrangige Politiker geleakt werden – wie es russische Stellen bereits beim Taurus-Leak mit einem mitgeschnittenen Gespräch zweier Bundeswehr-Offiziere über die Einsatzmöglichkeiten des Marschflugkörpers im Ukraine-Krieg getan haben.

Union bleibt intransparent

Das dicke Ende der Phishing-Kampagne könnte also durchaus noch kommen – zumal insgesamt laut Behörden mindestens 300 Personen betroffen sein sollen: darunter Journalist*innen, Diplomat*innen, Militärs und hochrangige Be­am­t*in­nen

Die bekannten Betroffenen sind neben Klöckner und dem CDU-Präsidium und dem Gruppenchat des Bundestagspräsidiums ebenfalls Justizministerin Verena Hubig (SPD) sowie Bildungsministerin Karin Prien (CDU).

Die Union bleibt auf taz-Anfrage äußerst intransparent darüber, welche Abgeordneten und Mit­ar­bei­te­r*in­nen der Fraktion auf den Trick hereinfielen. Man äußere sich dazu grundsätzlich nicht, heißt es weiter von einem Sprecher, man sensibilisiere aber fortlaufend und empfehle Alternativen.

Wie viele Menschen genau betroffen sind, ist von außen also schwer nachzuvollziehen – Putins Geheimdienste werden es am besten wissen. Zumal Abgeordnete die Angelegenheit auch einfach für sich behalten könnten, obwohl sie eigentlich verpflichtete wären, alle ihre Kontakte zu informieren. Von einem Sprecher heißt es, dass bestimmte Infos von der Fraktionsführung künftig nur noch auf „Wire“ geteilt würden – um die Abgeordneten zu einem Umstieg zu bewegen.

Bei der SPD heißt es weiter, dass „einige wenige Abgeordnete“ betroffen seien. Wie viele genau, wollte die Fraktion nicht mitteilen, ebenso wenig, ob sämtliche Kontakte der Betroffenen informiert wurden. Auch hier setzt man eher auf Intransparenz.

Unter den Opfern auch Grüne und Linke

Bei den Grünen gebe es eine niedrige, einstellige Zahl von Betroffenen, wie aus der Fraktion zu hören ist. Offiziell teilt die Fraktion allerdings nicht mit, wer betroffen ist. Aber die erste parlamentarische Geschäftsführerin, Irene Mihalic, sagte der taz, dass sie froh sei, dass man zeitnah die eigene Fraktion gebrieft habe und die Sicherheitshinweise vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und vom Verfassungsschutz direkt an die Abgeordneten und Mitarbeiter weitergegeben hätte.

Ebenso habe mal alle empfohlenen Sicherheitsmaßnahmen durchgeführt und alle Kontakte der Betroffenen informiert. „So konnte es gelingen, die Schäden für unsere Abgeordneten und Mitarbeitenden eng zu begrenzen“, so Mihalic.

Grund zur Entwarnung gebe es laut Mihalic aber nicht: „Die laufenden Angriffe und Phishingversuche gegen Nutzer des Messengerdienstes Signal sind weiterhin sehr besorgniserregend. Sie zeigen einmal mehr, wie aggressiv und unverhohlen Dienste autokratischer Staaten gegen unseren Staat vorgehen.“

Aus Fraktionskreisen heißt es, dass die Grünen das Thema in den Fachausschüssen des Bundestags in der nächsten Sitzungswoche noch einmal auf der Tagesordnung setzen wollen. Auch im parlamentarischen Kontrollgremium dürften die wiederholten Angriffe auf das Regierungsviertel Thema sein.

Die Linksfraktion erklärte, das „einige wenige“ Abgeordnete betroffen seien – auch hier ist die Rede von einer niedrigen, einstelligen Zahl. Alle Betroffenen hätten sich am Leitfaden des BSI orientiert. Darüber hinaus gebe es im Fraktionsbetrieb keine Phishing-Vorfälle und auf Dienstgeräten sei die Nutzung von Messengern ohnehin untersagt.

Man nehme die Vorfälle sehr ernst und sensibilisiere weiter – „möglich wurden diese Hacks nicht aufgrund technischer Schwachstellen beim Messenger Signal selbst. Insofern erscheint fraglich, inwiefern ein möglicher Wechsel zu einem anderen Dienst an der Ursache des Problems etwas ändert“, heißt es von dort mit Blick auf den Lindholz-Vorschlag.

AfD passt nicht ins Beuteschema

Nicht betroffen ist offenbar die extrem rechte AfD. Kaum jemand nutze in der Fraktion Signal, heißt es von dort von mehreren Stellen. Fälle von erfolgreichen Phishing-Angriffen seien nicht bekannt, heißt es auch offiziell. Man verfolge aber die Entwicklung und rate bei der Verwendung von Messengern zur Vorsicht.

Nach taz-Informationen nutzen aber zumindest Alice Weidel und Tino Chrupalla ebenfalls Signal. Aus Kreisen der Fraktion heißt es, dass die meisten AfD-Abgeordneten Whatsapp oder Telegram nutzen – die russische Software von Telegram wiederum ist unverschlüsselt

Womöglich passt die AfD aber auch nicht in das Beuteschema: Die Nachrichtendienste gehen weiter davon aus, dass die Angriffe aus Russland kommen und nach Moskau hat die AfD ohnehin einen guten Draht. Ins Bild passt: Inhaltlich wollte die AfD die Attacken auf taz-Anfrage nicht bewerten, diesbezügliche Anfragen an Fraktion, Weidel und Chrupalla blieben ohne Antwort.

Die Angriffe sind dabei nicht überstanden. Mittels erbeuteter Adressbücher, Chatverläufe und Daten könnten sie sogar noch ausgeklügelter werden. So könnten auch verwendete Spitznamen in Chats, tatsächliche private Termine dabei helfen, weitere Kontaktpersonen zu täuschen. Das BSI spricht daher weiter von „laufenden Cyberangriffen auf hochrangige Ziele aus Politik, Militär und Diplomatie und Medien“ durch einen „wahrscheinlich staatlich gesteuerten Cyberakteur“. Ausländische Nachrichtendienste nennen das Kind auch beim Namen: Russland.

IT-Experten wie Dennis-Kenji Kipker gehen davon aus, dass die bisher bekannten Fälle weiter nur die Spitze des Eisbergs sein dürften und sprechen von mindestens 300 erfolgreiche Fällen. Sie schätzen, dass die Dunkelziffer der Betroffenen noch deutlich höher liegen dürfte und halten es für sehr wahrscheinlich, dass Russland dahinter steckt. Aus Behördenkreisen wird die Größenordnung von 300 erfolgreichen Zugriffen in etwa bestätigt.

Gefeit sind wenige vor solchen Angriffen: Einer der ersten prominenteren Fälle war Arndt Freytag von Loringhoven, ein Ex-Vizepräsident des Bundesnachrichtendienstes, der sogar ein Buch über russische Desinformation geschrieben hat. Er hatte damals aufgeklärt, alle Kontakte angeschrieben und öffentlich gewarnt. Nicht alle haben seine Warnungen gehört.