Hacker greifen nicht an – sie loggen sich ein

Der Daten­schutz Dude über den Signal-Angriff auf den Bun­des­tag und was das mit dir zu tun hat:

Ich muss euch was geste­hen. Als die ers­ten Mel­dun­gen über den “Signal-Hack” auf Bun­des­tags­ab­ge­ord­ne­te und Bun­des­tags­prä­si­den­tin Julia Klöck­ner auf­popp­ten, hab ich erst mal tief durch­ge­at­met. Nicht wegen Signal. Signal ist tech­nisch nach wie vor das Rich­ti­ge. Ende-zu-Ende-ver­schlüs­selt, Open Source, kein zen­tra­ler Schlüs­sel­spei­cher. Da beißt sich auch ein gut aus­ge­stat­te­ter Geheim­dienst die Zäh­ne aus.

Nein, ich hab durch­ge­at­met, weil die Über­schrif­ten mal wie­der so taten, als wäre die App das Problem.

“ ‘Dude. Kur­ze Unter­bre­chung!’ — ‘Cipher?’ — ‘Kön­nen wir kurz über das eigent­li­che Pro­blem reden?’ ”

Was wirk­lich pas­siert ist

Die Angrei­fer – mut­maß­lich rus­si­sche Nach­rich­ten­diens­te, das BSI und Ver­fas­sungs­schutz­be­hör­den aus den USA und den Nie­der­lan­den sind sich da ziem­lich einig – haben kei­ne ein­zi­ge Zei­le Signal­code geknackt. Sie haben statt­des­sen gefälsch­te Signal-Grup­pen auf­ge­setzt, die aus­sa­hen wie inter­ne CDU-Kom­mu­ni­ka­ti­ons­ka­nä­le. Wer tipp­te, hat­te die Tür selbst auf­ge­macht. Die Nach­rich­ten konn­ten anschlie­ßend “nahe­zu unbe­merkt” aus­ge­le­sen wer­den. Der Gene­ral­bun­des­an­walt ermit­telt inzwi­schen wegen Spionageverdachts.

Klas­si­sches Phis­hing. Kein Zau­ber. Kein Hol­ly­wood. Nur Geduld, eine glaub­wür­di­ge Fäl­schung und die Gewiss­heit, dass irgend­wer klickt.

“Ich sag’s kurz: Das ist kein Signal-Pro­blem. Das ist ein Men­schen-Pro­blem. Und Men­schen-Pro­ble­me löst man nicht mit bes­se­rer Technik.”

Cipher hat wie immer recht.

Es gibt die­sen hart­nä­cki­gen Glau­ben, dass star­ke Ver­schlüs­se­lung = Sicher­heit. Ist sie aber nicht. Allein. Ver­schlüs­se­lung schützt die Lei­tung zur Daten­über­tra­gung oder dem Ort, an dem die Daten dann spä­ter gespei­chert sind. Phis­hing umgeht die Lei­tung. Das ist, als wür­dest du eine stäh­ler­ne Haus­tür ein­bau­en und dann dem net­ten Typen die Tür öff­nen, der sagt, er kommt vom Strom­ver­sor­ger im Auf­trag von Frau Lob­by-Vert­re… äh Minis­te­rin Reiche.

Signal schützt dei­ne Nach­rich­ten auf dem Weg von A nach B per­fekt. Es schützt dich nicht davor, dass du B für das hältst, was es gar nicht ist.

“Tech­ni­sche Sicher­heit ohne Awa­re­ness ist wie ein Tre­sor ohne Schloss. Schaut gut aus. Hilft nicht.”

Was das für dich bedeu­tet – auch wenn du nicht im Bun­des­tag sitzt

Jetzt könn­te man sagen: “Na ja, Poli­ti­ker sind halt inter­es­san­te und geeig­ne­te unbe­darf­te Zie­le. Ich bin doch nicht inter­es­sant.” Das ist der zweit­be­lieb­tes­te Irr­tum in mei­nem Job. Der belieb­tes­te ist übri­gens: “Wir haben doch nichts zu verbergen.”

Phis­hing-Angrif­fe auf Signal, Whats­App, Teams und E‑Mail tref­fen Mit­ar­bei­ten­de in Kom­mu­nen, Arzt­pra­xen, Kanz­lei­en und mit­tel­stän­di­schen Unter­neh­men täg­lich. Der Unter­schied zum Bun­des­tag: Der Ver­fas­sungs­schutz schreibt dar­über kei­nen Brief oder eine Pres­se­mel­dung. Die Dun­kel­zif­fer ist ent­spre­chend hoch.

“Und falls jemand denkt, sein Unter­neh­men sei zu klein für soweit das: Ran­som­wa­re-Grup­pen haben Soft­ware für voll­au­to­ma­ti­sche Phis­hing-Kam­pa­gnen. Die fra­gen nicht nach der Unternehmensgröße.”

Was tun?

Drei Din­ge. Kein Raketenwissen.

• Ers­tens: Veri­fi­zie­ren, bevor man klickt. Wer dich in eine neue Grup­pe ein­lädt oder um einen Link bit­tet – ruf kurz an. Über einen ande­ren Kanal. Das sind 30 Sekun­den, die einen Unter­schied machen.
• Zwei­tens: Secu­ri­ty Awa­re­ness ist kei­ne ein­ma­li­ge Schu­lung, die man abhakt. Es ist ein lau­fen­der Pro­zess. Wer das A‑Team des Daten­schut­zes (also uns) fragt, sagt das übri­gens schon seit Jah­ren. Unse­re Schu­lungs­flat­rate über die a.s.k. Aka­de­mie exis­tiert nicht ohne Grund.
• Drit­tens: Zwei­ter Fak­tor. Über­all wo mög­lich. Signal hat eine Regis­trie­rungs­sper­re mit PIN – die soll­te ein­ge­schal­tet sein. Punkt. Nein, kei­ne Dis­kus­si­on. Kei­ne Rake­ten-Wis­sen­schaft. Nein, auch nicht, wenn euer IT-Lei­ter etwas ande­res behauptet.
• Cipher: “Ich füge noch einen vier­ten Punkt hin­zu: Doku­men­tiert nicht nur eure Maß­nah­men. Lebt sie auch. Docu­men­ted ist not done.”

Signal ist sicher. Men­schen sind es manch­mal nicht. Und das ist kei­ne Belei­di­gung – das ist eine Auf­ga­be. Tech­nik und Awa­re­ness gehö­ren zusam­men wie Kaf­fee und Ver­stand. Das eine macht ohne das ande­re kei­nen Sinn.

“Ich über­set­ze das noch­mal in Klar­text: Wenn dein Sicher­heits­kon­zept davon abhängt, dass nie­mand auf eine Fäl­schung her­ein­fällt – hast du kein Sicherheitskonzept.”

Dan­ke, Cipher. Chill dabei.