„Geben Sie Ihre PIN ein“: Da überlegt der normale Mensch sich doch sehr genau, ob er dieser unerwartet aufploppenden Aufforderung in einer Messenger-Nachricht nachkommen sollte, oder? Nun, deutsche Politiker tun dies nicht. Der schreckliche „Cyberangriff“ auf Mitglieder der Bundesregierung, der als russische Spionageattacke durch sämtliche Medien getrieben wird, war eine Phishing-Kampagne, auf die kein halbwegs internetaffiner Bürger mehr hereinfällt. Politiker schon. Und zwar dieselben, die die sozialen Medien einschränken wollen und mehr „Medienkompetenz“ fordern.
Ein Kommentar von Vanessa Renner
Im März blies Familienministerin Karin Prien (CDU) zum Angriff auf das freie Internet, forderte Social-Media-Verbote für junge Menschen und fabulierte von „Medienkompetenz“. Am Wochenende wurde nun publik, dass Prien – ebenso wie Bundestagspräsidentin Julia Klöckner (CDU) und Ministerin Verena Hubertz (SPD) – „Opfer“ einer Phishing-Attacke über den Messenger Signal wurden. „Opfer“ muss man hier tatsächlich in Anführungszeichen setzen, denn die Masche ist alt, Politiker und Militärs werden seit Monaten vor der Kampagne gewarnt und auch beim Chaos Computer Club kam man gerade nicht umhin, von einem „erheblichen individuellen Versagen“ zu sprechen.
Während die Bundesanwaltschaft längst wegen Spionageverdachts ermittelt – die „Attacke“ soll aus Russland kommen – hält sich das Verständnis für die deutschen Politiker und andere Betroffene online in engen Grenzen. Das Konzept der Angriffe ist nämlich hinlänglich bekannt: Man bekommt eine Nachricht eines angeblichen Support-Accounts, in der von einer Sicherheitsgefahr fabuliert wird. Der Nutzer soll seinen Sicherheitspin oder eine Verifizierungs-SMS übermitteln, um sein Gerät zu schützen. Nur schützt er sich natürlich nicht, sondern erlaubt den Angreifern in Wahrheit Zugriff auf seinen Account.
Solche Attacken sind einer der Gründe, warum in Messengern standardmäßig Warnungen vor unbekannten Kontakten eingeblendet werden. Jeder Depp kann nämlich „Support“ als Benutzernamen wählen. Heise.de zeigte Screenshots solcher Phishing-Nachrichten: Der vermeintliche „Signal Support“ ist so hochoffiziell, dass Signal unter der Message standardmäßig erfragt, ob „‚Signal Support‘ dir Nachrichten schreiben und deinen Namen und dein Foto sehen“ darf. „Die Person weiß nicht, dass du ihre Nachricht gesehen hast, bis du die Anfrage annimmst“, heißt es da weiter. Das klingt doch ganz klar nach dem echten Support des Messengers, oder? Nicht.
Im Februar warnten das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik bereits gemeinsam vor derartigen Phishingversuchen eines „mutmaßlich staatlichen oder staatlich gesteuerten Angreifers“. Im Fokus stünden demnach hochrangige Ziele aus Politik, Militär und Diplomatie und auch Investigativjournalisten. Das Memo wurde aber offensichtlich nicht von allen gefährdeten Personen gelesen. Neben den genannten Politikerinnen sollen übrigens auch der Ex-BND-Vizepräsident (!) Arndt Freytag von Loringhoven und mehrere Journalisten von der Attacke betroffen sein.
Ein User auf X wurde sehr deutlich: „Mal im Ernst: diese Leute wollen uns Social Media verbieten, etwas über Cybersecurity erzählen und sind so bescheuert, dass sie nicht mal einen ordinären Phishing-Versuch erkennen?“
Politisch und medial steht nun natürlich der böse Russe im Fokus, der sensible Informationen abgegriffen haben könnte. Der Bürger indessen muss sich fragen, wie viel er sich von Personalien gefallen lassen sollte, die trotz scharfer Warnungen der Behörden so nachlässig mit ihrer Kommunikation und potenziell sensibelsten Daten umgehen.
Wir schließen uns an dieser Stelle zur Abwechslung vollumfänglich einer Einschätzung des „Standard“ an: „Das Problem sitzt vor dem Bildschirm“, titelte man damals über die „Signal-Affäre“ der US-Regierung. Das größte Sicherheitsrisiko der Beteiligten sei deren IT-Dilettantismus.
Eben. Von diesen Personalien wollen die Menschen dann aber auch nichts mehr über IT-Themen, Social Media, Medienkompetenz und Cybersicherheit hören. Sie scheinen nämlich unqualifiziert, diesbezüglich die Bürger zu belehren und in ihren Rechten einzuschränken.