 |
# taz.de -- Cyberattacke auf CDU: Selber schuld |
|
|
|
> Die CDU ist Opfer einer Cyberattacke geworden. Auch wenn |
|
> Opfer-Täter-Umkehrungen daneben sind: Die Partei hat selbst einiges dafür |
|
> getan. |
|
|
 |
Bild: Kurz vor der Europawahl war die CDU einer Cyberattacke ausgesetzt |
|
|
|
Es gibt einen unangenehmen Mechanismus, wenn eine Organisation einen |
|
Cyberangriff abbekommt und nicht abwehren kann: die reflexartige |
|
Erwiderung, dass ebenjene Partei, Institution oder Firma auch ein bisschen |
|
selbst schuld sei. Die haben ihre Datensicherheit eben nicht im Griff! |
|
|
|
Es ist eine Opfer-Täter-Umkehr, die wir in anderen Lebensbereichen klar |
|
verurteilen. Nein, der Rock ist nicht zu kurz. Nein, ein Land darf nicht |
|
angegriffen werden, nur weil es sich Richtung Westen orientiert. Nein, Oma |
|
hat die Einbrecher nicht mit dem gehorteten Bargeld in der Besteckschublade |
|
angelockt. Manchmal aber ist es schwer, den Opfern von Cyberangriffen keine |
|
Schuld zu geben. Jetzt etwa der CDU. Denn die hat in der Vergangenheit |
|
helfende Hände zur Seite geschlagen. |
|
|
|
[1][Am Wochenende wurde bekannt, dass die CDU einer Cyberattacke ausgesetzt |
|
war], kurz vor der Europawahl. Wie groß der Schaden ist, ist bisher nicht |
|
öffentlich bekannt. [2][Der Spiegel berichtet] unter Berufung auf |
|
Sicherheitskreise, dass kritische Daten ausgelesen worden seien. Mehrere |
|
Medien und Expert*innen mutmaßen, dass eine Gruppe im Auftrag der |
|
chinesischen Regierung dahintersteckt. Der Verfassungsschutz und das |
|
zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) haben |
|
die Ermittlungen aufgenommen. |
|
|
|
Auch andere Parteien kennen Angriffe dieser Art. Erst im Mai ist bekannt |
|
geworden, dass ein Jahr vorher, [3][im Januar 2023, eine einstellige Zahl |
|
von E-Mail-Konten des SPD-Parteivorstandes angegriffen wurden]. Die |
|
mutmaßlichen Täter: eine Gruppe, die dem russischen Militärgeheimdienst |
|
zugeordnet wird. Für politische Inhalte wird also nicht nur die CDU |
|
angegriffen. Aber: Sie hat auch einiges dafür getan, keine Hilfe aus der |
|
äußerst fähigen Zivilgesellschaft mehr zu bekommen. |
|
|
|
## Daten lagen einfach rum |
|
|
|
[4][Im Mai 2021 untersuchte Lilith Wittmann, Aktivistin für |
|
Datensicherheit, die Wahlkampf-App der CDU und fand gravierende |
|
Sicherheitslücken im System], in dem die Partei Daten von |
|
Wahlhelfer*innen ebenso sammelte wie Daten von Menschen, die die CDU an |
|
der Haustür aufsuchte. Wittmann meldete die Lücke an die Partei, das BSI |
|
und die Datenschutzbeauftragte und bekam dafür: eine Anzeige von der CDU. |
|
Die kündigte damit eine Art inoffizielle Abmachung. |
|
|
|
Denn beim Responsible Disclosure suchen IT-Expert*innen nach |
|
Sicherheitslücken bei Parteien, Firmen, Bundesanstalten, melden diese, |
|
warten ab, bis die Lücken gestopft sind und veröffentlichen danach, wie sie |
|
die Lücken gefunden haben. Dafür bekommen sie keinen Ärger vom Staat, |
|
sondern Anerkennung bei den Peers. Es ist ein Rätselspiel und es ist |
|
wertvoll für unsere Gesellschaft und Sicherheit. |
|
|
|
Angezeigt werden können sie aber trotzdem manchmal. Dafür sorgt der |
|
sogenannte Hackerparagraf. Der wurde 2007 – unter Angela Merkel und |
|
getragen von der CDU – im Bundestag verabschiedet und macht es strafbar zu |
|
versuchen, an zugangsgeschützte Daten heranzukommen. Wegen des großen |
|
Medienechos um die Wahlkampf-App wurde die Anzeige gegen Wittmann |
|
zurückgezogen. [5][Bei den Ermittlungen kam ohnehin raus, dass die |
|
IT-Expertin nichts falsch gemacht] hatte. Die Daten lagen nämlich einfach |
|
so rum. |
|
|
|
## Belohnung für Hacker |
|
|
|
Der Schaden liegt seitdem bei der CDU. Denn der Chaos Computer Club (CCC), |
|
die Instanz im Finden von Sicherheitslücken, hat sich hinter Wittmann |
|
gestellt und bekanntgegeben, dass er „[6][CDU-Schwachstellen künftig nicht |
|
mehr melden“] wird. Wer bekommt schon gerne Anzeigen? |
|
|
|
Ob der CCC trotzdem weiter nach Sicherheitslücken bei der CDU sucht? Ob die |
|
Expert*innen die aktuelle Schwachstelle gefunden hätten? Vielleicht. |
|
Sicher ist: Die CDU hat zuerst ein Gesetz mitgetragen, das ethisches |
|
Hacking gefährdet, und danach auch noch eine Person angezeigt, die helfen |
|
wollte und konnte. Also doch ein bisschen selbst schuld. |
|
|
|
In anderen Kontexten funktioniert das mit der responsible disclosure |
|
übrigens. [7][Apple hat etwa 2019 ein 1,5-Millionen-Dollar-Preisgeld |
|
ausgelobt] für das Finden von schlimmsten Sicherheitslücken beim damaligen |
|
iPhone. |
|
|
|
Und auch andere Länder können es besser als Deutschland: Die Niederlande |
|
haben [8][eine eigene Seite], auf der sie erklären, wie man |
|
Sicherheitslücken ordentlich melden kann. Und belohnt solche Meldungen mit |
|
einem Shirt. Darauf steht übersetzt: „Ich habe die niederländische |
|
Regierung gehackt und alles, was ich dafür bekommen habe, ist dieses |
|
lausige T‑Shirt.“ Der Spruch ist peinlich oldschool, aber lange nicht so |
|
altbacken wie die CDU. |
|
|
|
4 Jun 2024 |
|
|
|
## LINKS |
|
|
 |
[1] /Cyberangriff-auf-CDU/!6014271 |
|
[2] https://www.spiegel.de/politik/hackerangriff-auf-die-cdu-schuld-war-die-sic… |
|
[3] /Russische-Cyber-Angriffe/!6008364 |
|
[4] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119 |
|
[5] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205 |
|
[6] https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-… |
|
[7] https://www.forbes.com/sites/daveywinder/2019/12/20/apple-confirms-iphone-h… |
|
[8] https://www.government.nl/topics/cybercrime/fighting-cybercrime-in-the-neth… |
|
|
|
## AUTOREN |
|
|
|
Johannes Drosdowski |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Chaos Computer Club |
|
Hacker |
|
Cybersicherheit |
|
Cyberattacke |
|
CDU |
|
Social-Auswahl |
|
CCC-Kongress |
|
Schwerpunkt Krieg in der Ukraine |
|
Cybersicherheit |
|
Cybersicherheit |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Kongress der Hacker: Geregeltes Chaos |
|
|
|
Der Chaos Communication Congress in Hamburg vereint Technik und Aktivismus. |
|
Dieses Jahr ging es vor allem um eins: Solidarität. |
|
|
|
Russische Cyber-Angriffe: Kriegsführung aller Art |
|
|
|
Russland führt Krieg – auch im digitalen Raum. Nato, EU und die |
|
Bundesregierung verurteilen die Cyberangriffe scharf. Die Gegenmaßnahmen |
|
sind dünn. |
|
|
|
Hackerangriff aus Russland?: Auswärtiges Amt aktiviert |
|
|
|
2023 griffen Hacker E-Mail-Konten der SPD an. Baerbock macht Russland dafür |
|
verantwortlich. Das Außenamt hat den Geschäftsträger der russischen |
|
Botschaft einbestellt. |
|
|
|
Versichertendaten in Gefahr: Cyberattacke auf Krankenkassen |
|
|
|
Einer der größten IT-Dienstleister der gesetzlichen Krankenkassen muss nach |
|
einem digitalen Angriff Systeme abschalten. Das Ausmaß ist unklar. |
