Nach Cyberangriffen auf Abgeordnete aller Fraktionen warnen Behörden vor weiteren Attacken. Im Raum steht der Verdacht auf einen staatlich gesteuerten Akteur.
In den vergangenen Tagen ist es im Umfeld des Bundestags wiederholt zu Phishing-Angriffen gekommen. Nach Informationen von Der Spiegel waren Abgeordnete aller Fraktionen betroffen – darunter auch Bundestagspräsidentin Julia Klöckner sowie die Bundesministerinnen Karin Prien und Verena Hubertz. Sprecher der Ministerinnen wollten die Angriffe dem Medium jedoch nicht bestätigen.
WERBUNG
WERBUNG
Besonders brisant: Klöckner ist Mitglied im CDU-Präsidium. Das Gremium, dem auch Bundeskanzler Friedrich Merz angehört, kommuniziert dem Bericht zufolge über einen Gruppenchat beim Messenger Signal.
Mitarbeiter des Bundesamt für Verfassungsschutz (BfV) sollen den Kanzler deshlab persönlich aufgesucht haben. Auffälligkeiten an seinem Signal-Konto wurden demnach nicht festgestellt.
Die Generalbundesanwaltschaft ermittelt bereits, die Ermittlungen wurden demnach schon im Februar eingeleitet.
Doch wer steckt dahinter? Was wir bislang wissen.
Hinweise auf staatliche Akteure
Angriffe über Signal sind nicht neu. Bereits im Februar hatten das BfV und das Bundesamt für Sicherheit in der Informationstechnik öffentlich davor gewarnt. Im Zuge der jüngsten Vorfälle erneuerten die Behörden ihre Warnung.
Demnach senden die Angreifer Nachrichten, in denen Nutzer aufgefordert werden, eine PIN einzugeben oder Links beziehungsweise QR-Codes zu öffnen.
Gelingt dies, erhalten die Täter Zugriff auf Chats, Gruppen sowie dort geteilte Fotos und Dateien. Zudem können sie sich als die betroffene Person ausgeben.
Der Verfassungsschutz geht davon aus, dass die Angriffe auf einen "staatlich gesteuerten Cyberakteur" zurückgehen.
Der CDU-Politiker Marc Henrichmann, Vorsitzender des Parlamentarischen Kontrollgremiums (PKGr), geht noch einen Schritt weiter. Er vermutet Russland hinter den Attacken. "Der jüngste Phishingversuch aus Russland gegen deutsche Politiker und Journalisten ist ein Weckruf für uns alle", sagte er im Gespräch mit dem ZDF.
Mittlerweile geht auch die Bundesregierung davon aus, dass hinter den Angriffen Russland steckt.
Die Phishing-Kampagne gegen den Messenger-Dienst Signal sei "mutmaßlich aus Russland gesteuert worden", erfuhr die Nachrichtenagentur AFP aus Regierungskreisen.
Moskau weist jede Beteiligung an solchen Aktivitäten zurück.
Bundestag warnt Abgeordnete
In dieser Woche wandte sich zudem ein Leiter der Bundestagsverwaltung der Abteilung Digitalisierung mit einem Sicherheitshinweis an alle Abgeordneten, wie die Berliner Morgenpost berichtet. Die Behörden gehen also von einer anhaltenden Bedrohungslage aus.
Insgesamt sind nach Angaben aus Sicherheitskreisen mindestens 300 Fälle in Deutschland bekannt. Betroffen sind neben hochrangigen Politikern auch Militärangehörige der NATO, Wirtschaftsvertreter und Journalisten.
Der stellvertretende Vorsitzende des Parlamentarischen Kontrollgremiums, Konstantin von Notz (Grüne), bezeichnete das Ausmaß als "durchaus sehr besorgniserregend". Es müsse davon ausgegangen werden, "dass die Dunkelziffer an Betroffenen in den kommenden Tagen weiter steigen wird", sagte er der Nachrichtenagentur AFP.
Debatte über Konsequenzen
Der Bundestag ringt nun um den Umgang mit den Vorfällen. Bundestagsvizepräsidentin Andrea Lindholz (CSU) lehnt ein Verbot von Signal jedoch ab. Abgeordnete seien grundsätzlich frei in ihrer Entscheidung, erklärte sie dem Portal Politico.
Geprüft werde allerdings, ob es zumindest Einschränkungen bei der Nutzung der Desktop-Version auf Bundestagsrechnern geben soll.
Nach Angaben des deutschen Magazins Der Spiegel, das sich auf Regierungskreise beruft, sind insgesamt etwa 300 Signal-Konten von Personen aus dem politischen Umfeld Ziel der Angriffe geworden und kompromittiert worden.
Offiziell bestätigt wurden die Namen der Betroffenen bislang nicht.
Dem Bericht zufolge erhielten die Zielpersonen Nachrichten von einem manipulierten Signal-Sicherheits-Chatbot. Dieser warnte vor angeblich verdächtigen Aktivitäten auf ihren Konten und drängte zu sofortigem Handeln. Wer den Anweisungen folgte – etwa eine PIN eingab oder einen QR-Code scannte – verknüpfte sein Signal-Konto mit einem externen Gerät, das von den Angreifern gesteuert wurde.
Auf diese Weise konnten die Hacker sowohl frühere Nachrichten einsehen als auch laufende Unterhaltungen mitverfolgen und Zugriff auf Adressbücher sowie weitere gespeicherte Daten erhalten.
Die deutsche Regierung hat die Angriffe bislang noch nicht offiziell Russland zugeschrieben.