Im Januar 2023 wurde der SPD-Parteivorstand Ziel einer erfolgreichen Cyberattacke. Zwar war »[v]on dem Angriff [...] eine einstellige Zahl von E-Mail-Postfächern« betroffen, wie der Vorwärts aus dem Parteivorstand berichtete, und es kam zu einem Datenabfluss. Doch ob es auch zu einer »Verletzung der Vertraulichkeit der betroffenen Daten« gekommen sei, wusste man zunächst nicht. Vorsorglich veröffentlichte das Willy-Brandt-Haus auf der SPD-Webseite im Juni 2023 eine »Information über eine mögliche Datenschutzverletzung«, gerichtet an alle, die mit der SPD-Zentrale »per E-Mail kommuniziert haben oder anderweitig Sorge haben, von dem Vorfall betroffen zu sein«. Es erfolgte auch eine Meldung an die zuständige Datenschutzbehörde, wie es bei Sicherheitsvorfällen, bei denen personenbezogene Daten betroffen sind, üblich – und für den Verantwortlichen für die Datenverarbeitung ein Obligo – ist.
Der Angriff, bei dem eine damals noch unbekannte Microsoft-Sicherheitslücke von den Hackern ausgenutzt wurde, um in die E-Mail-Systeme zu gelangen, wurde nicht von den hauseigenen Systemen zur Angriffserkennung der Parteizentrale aufgespürt. Der Parteivorstand erfuhr von dem Angriff »im April 2023 durch einen Hinweis der deutschen Sicherheitsbehörden«. Auch wurden von den Sicherheitsexperten der SPD »das Bundesamt für Sicherheit in der Informationstechnik und das Bundesamt für Verfassungsschutz zurate gezogen«. So verwunderte es wenig, als im Mai 2024 nicht die Partei, sondern das Bundesinnenministerium die Ergebnisse der Attribution der Attacke zu einem bestimmten Cyberakteur verkündete. Der Angriff wurde nachträglich auf Dezember 2022 zurückdatiert und APT 28 zugeschrieben – einer dem russischen Militärgeheimdienst zuzuordnenden Gruppierung, der u. a. Angriffe auf die Energieversorgung im Bereich der kritischen Infrastrukturen oder auf staatliche Institutionen, wie den Cyberangriff auf den Deutschen Bundestag im Jahr 2015, zugeschrieben werden.
Wie das Bundesamt für Sicherheit in der Informationstechnik und das Bundesamt für Verfassungsschutz – bei denen sich das BMI explizit für die Zusammenarbeit bedankte – konkretisierten, nutzten die Angreifer eine Schwachstelle in Microsofts beliebtem E-Mail-Client Outlook. Diese, ergänzte das BMI, ermöglichte es den Angreifern, direkt »maliziöse Zugriffe etwa auf E-Mail-Konten« durchzuführen und »bei zu geringer Passwortkomplexität auch das Passwort des jeweiligen Opfers zu erraten«.
Scharfe politische Reaktion
Eine Reaktion der Politik erfolgte prompt: Außenministerin Annalena Baerbock, die damals im australischen Adelaide gastierte, bezeichnete den Angriff als »inakzeptabel« und kündigte Konsequenzen an. Das ihr unterstellte Auswärtige Amt hat den amtierenden Geschäftsträger der russischen Botschaft einbestellt. Der damalige Generalsekretär der SPD, Kevin Kühnert, zeigte sich indes von den Erkenntnissen nicht überrascht: »Putin greift die SPD an, weil wir in besonderer Weise die wehrhafte Demokratie in Deutschland verkörpern«, sagte er gegenüber dem Vorwärts und bekräftigte, dass man sich »von solchen Attacken nicht einschüchtern« lasse.
Zuerst der Bundestag, dann die SPD-Parteizentrale: Wurden etwa nur »echte« Demokraten mit einer »unmissverständlichen Haltung gegenüber dem russischen Angriffskrieg gegen die Ukraine« Opfer der Cyberangriffe? Das scheint nicht immer der Fall zu sein. Kurz nach der Bekanntmachung der Ermittlungsergebnisse zum Angriff auf die SPD – aber noch vor der Europawahl im Juni 2024 – wurde die CDU Opfer eines Cyberangriffs, bei dem vermutlich sensible Daten abflossen. Die Urheberschaft des Angriffs wurde vorläufig »einer Gruppe im Auftrag der chinesischen Regierung« zugeordnet. Auch in diesem Fall haben das Bundesamt für Sicherheit in der Informationstechnik und das Bundesamt für Verfassungsschutz Ermittlungen aufgenommen.
Doch wird der Angriff in der Öffentlichkeit anders als die Attacke auf die SPD wahrgenommen. Denn die CDU »hat auch einiges dafür getan, keine Hilfe aus der äußerst fähigen Zivilgesellschaft [...] zu bekommen«, so die taz. Gemeint ist der Hinweis der Sicherheitsforscherin Lilith Wittmann, die im Jahr 2021 Sicherheitslücken in der Wahlkampf-App der Partei, CDU Connect, öffentlich gemacht hatte. Die Christdemokraten erstatteten daraufhin Anzeige gegen die Forscherin (s. NG/FH 1/2/2022). Obwohl die Koalitionsparteien auf die Kritik am sogenannten Hackerparagrafen, der diese Art von Sicherheitsforschung kriminalisiert, reagieren wollten und im Koalitionsvertrag vereinbarten, das Identifizieren, Melden und Schließen von Sicherheitslücken »in einem verantwortlichen Verfahren« (sogenannte Responsible Disclosure) wieder zu legalisieren, bleibt der Hackerparagraf auch nach mehreren Jahren Ampelregierung unverändert.
Geändert hat sich jedoch die Haltung der Sicherheitsforscher, die bisher unentgeltlich und auf freiwilliger Basis Schwachstellen und Sicherheitslücken aufgespürt haben. Die Anzeige nahm die CDU schließlich zurück, doch der Schaden war bereits eingetreten: Die Sicherheitsszene, in Deutschland beispielsweise durch den Chaos Computer Club und seine Experten repräsentiert, stellte sich hinter Lilith Wittmann, unterstützte sie während der Anzeige und kündigte an, keine Sicherheitslücken mehr an die Partei zu melden. »Wer bekommt schon gerne Anzeigen?«, fragte die taz und überschrieb den Bericht zum Angriff auf die CDU passend mit »selber schuld«.
Die Daten hätten ungeschützt im Netz gestanden.
Die Linke-Abgeordnete Anke Domscheit-Berg ging mit ihrer Bewertung des Datenlecks beim Bündnis Sahra Wagenknecht noch weiter. Das Medienhaus Correctiv gab im August 2024 bekannt, seiner Redaktion lägen 70.000 Personendaten, inklusive Mitglieder- und Unterstützerlisten vom BSW, vor. Die Partei erwiderte, dass es sich nach eigener Einschätzung um einen Datenabfluss infolge eines Hackerangriffs handele, habe folglich Gegenmaßnahmen eingeleitet, die Betroffenen informiert und die Staatsanwaltschaft eingeschaltet. Zudem versicherte man, dass alle Daten »ordentlich gesichert sind«. Während man davon ausging, dass die Dateien nicht offen im Internet abrufbar waren, sondern ein Cyberangriff nötig gewesen wäre, um sie zu erbeuten, meldete Correctiv gegenteilig, die Daten hätten ungeschützt im Netz gestanden und seien einfach herunterzuladen gewesen. Und benannte BSW kurzerhand in »Bündnis Sahra Datenleck« um: »Wenn man rudimentäre IT-Sicherheit nicht in den Griff bekommt, zum zweiten Mal innerhalb weniger Monate Tausende ungeschützte personenbezogene Datensätze von der eigenen Webseite herunterladbar sind und man dann behauptet, das sei ein Cyberangriff...«, kommentierte daraufhin auf X (ehemals Twitter) Anke Domscheit-Berg. Bereits im März 2024 war schon einmal eine Sicherheitslücke bei BSW bekannt geworden, von der laut Spiegel bis zu 35.000 Menschen betroffen gewesen sein sollten, darunter 5.000 Spender mit E-Mail-Adressen und Beträgen sowie 30.000 Newsletter-Abonnenten mit ihren E-Mail-Adressen. Die Vermutung lag also nahe, dass die Lücke nach wie vor nicht geschlossen war und zu einem weiteren Datenabfluss führte.
Doch ob es sich um 70.000 oder 35.000 Datensätze, wie beim BSW, oder um »eine einstellige Zahl von E-Mail-Postfächern des SPD-Parteivorstandes«handelt, man darf nicht vergessen, dass es sich bei diesen Personendaten um sensible Informationen handelt und es dabei um Menschen geht, die Rechte haben. Insbesondere Informationen zu politischen Meinungen oder Parteizugehörigkeit zählen zu den besonders schützenswerten Daten, die nach dem Willen des europäischen Gesetzgebers grundsätzlich nicht verarbeitet werden dürfen. Diese personenbezogenen Daten besonderer Kategorien sind in Art. 9 DSGVO geregelt. Erfolgt die Verarbeitung dennoch, so ist dies nur in Ausnahmefällen und unter besonders strengen Auflagen bezüglich IT-Sicherheit und Verschlüsselung zulässig. Um es mit Ari Ezra Waldman zu sagen: »Wenn die Privatsphäre ein Menschenrecht ist, kann sie nicht vom Wohlwollen eines Unternehmens, eines Datenschutzbeauftragten, eines Chief Privacy Officer oder eines Datenschutzjuristen abhängen, der Formulare ausfüllt.« Der Gesetzgeber wollte mit der Regulierung dem Umstand Rechnung tragen, dass die Verarbeitung besonders sensibler Daten höhere Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen birgt.
Auswirkungen auf demokratische Strukturen
Es scheint jedoch, dass Maßnahmen wie die Bewertung der Cyberangriffe durch das BMI als »schwerwiegenden Angriff auf demokratische Strukturen«, die Erstattung von Anzeigen durch BSW oder CDU oder auch das Ändern von Passwörtern den hohen Anforderungen nicht gerecht werden. Gewiss ist die Unterstützung durch Behörden wie das Bundesamt für Verfassungsschutz bei der Aufklärung der Angriffe wichtig und vielleicht sogar notwendig, insbesondere dann, wenn die Parteien keine eigenen forensischen Abteilungen haben. Aber hat es nicht auch Auswirkungen auf die »demokratischen Strukturen«, wenn Behörden wie diese Einblick in die Systeme und Daten der Parteien erhalten?
»Für die Bedrohungslagen durch Hacker-Angriffe besteht in der SPD eine hohe Sensibilität«, versicherte Kühnert nach dem Angriff auf die SPD-Zentrale. Welche konkreten Sicherheitsmaßnahmen – abgesehen vom Passwortwechsel – ergriffen wurden, erklärte er jedoch nicht. Möglicherweise bedürfen Parteien, die den gleichen Cyberbedrohungen ausgesetzt sind wie Betreiber kritischer Infrastrukturen – etwa Energieanbieter oder die Wasserversorgung – und die, im Sinne des NIS-2-Umsetzungsgesetzes, als essentielle Elemente demokratischer Strukturen gelten, einer vergleichbaren Regulierung.
Diese würde sie zur Einhaltung von Mindestanforderungen an IT-Sicherheit und Datenschutz verpflichten. Sicherheitsschwachstellen sind nicht gottgegeben – sie können aufgedeckt und geschlossen werden. Es sind Risiken, denen man mit geeigneten – technischen oder eben politischen – Maßnahmen begegnen kann. Andernfalls könnten sich die Warnungen des US-amerikanischen Terrorexperten Richard Clarke bewahrheiten: Wenn man mehr für Kaffee ausgibt als für IT-Sicherheit, wird man gehackt. Mehr noch, man verdient es, gehackt zu werden. Sinngemäß.
Während der Schutz von Mandatsträgern und Funktionären durch die Regierung immer weiter ausgebaut wird, sind es mehrheitlich die einfachen Mitglieder, Unterstützer oder Sympathisanten, deren Daten bei den Cyberangriffen auf die Parteien betroffen sind. Sie verdienen es, ebenfalls besser geschützt zu werden.
Kommentare (0)
Keine Kommentare gefunden!