Auf Mastodon ansehen
Seit Tagen lesen wir über die Phishing-Angriffe auf Mitglieder des Deutschen Bundestages. Dabei hat es unter anderem auch die Bundestagspräsidentin Julia Klöckner erwischt. Die Angriffe richteten sich quer durch die Bank und parteiübergreifend auf viele Mitglieder des Deutschen Bundestages. Es sollen mehr als 300 Personen betroffen sein.
Bereits letzten Monat haben Medien berichtet, dass US-Messenger von hochrangigen Regierungsbeamten über einen gross angelegten Phishing-Angriff gekapert wurden. Unterdessen hat sich herausgestellt, dass die Reichweite des Angriffs grösser als angenommen ist und zu den Opfern auch deutsche Spitzenpolitiker zählen. Die Lage ist so ernst, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Woche einen Leitfaden für Anwender:innen veröffentlicht hat.
Im Gegensatz zur allgemeinen Berichterstattung in den Medien, wurden dabei nicht die verwendeten Messenger angegriffen, sondern die Person selbst. Deshalb ist die Nennung von bestimmten Messengern irreführend, weil damit eine Verschiebung von Verantwortlichkeit induziert wird.
A Fool with a Tool is still a Fool.
Die Angreifer geben sich in einem Messenger-Post als Support-Mitarbeitende aus und bringen ihre Opfer unter Vorspiegelung falscher Tatsachen dazu, einen Verifikationscode preiszugeben. Mit diesem Code können sie anschliessend die Benutzerkonten ohne weitere Schritte übernehmen. Weil es sich nicht um Hacking handelt und die Verschlüsselung der Messenger intakt ist, folgern einige Kommentatoren, dass die Schwachstelle die Opfer sind und das Problem ausschliesslich bei ihrem Verhalten liegt.
Von Banking-Apps kennen wir das Verfahren, dass ein Kontakt zum Kunden nur schriftlich oder über interne Systeme aufgenommen wird. Keine E-Mail, keine SMS, kein Telefonkontakt. Bei den aktuellen Phishing-Fällen wurde der Kontakt innerhalb des Messengers aufgenommen, was eine Vertrauenswürdigkeit vorspiegelt. Doch dieses Vertrauen hätte spätestens an der Stelle enden müssen, als nach Zugangscodes gefragt wurde.
Nach meiner Meinung liegt die überwiegende Fahrlässigkeit bei den Nutzern der Messenger. Auch wenn die Kontaktaufnahme innerhalb der App erfolgt, ist die Preisgabe von PIN oder Passwort ein Signal, auf welches niemand hereinfallen sollte.
Diese Einschätzung greift jedoch zu kurz. Der aktuelle Vorfall zeigt anschaulich, dass die Sicherheit eines Systems nicht mit der Stärke seiner Verschlüsselung zusammenfällt, sondern von weiteren Faktoren – insbesondere der Architektur – abhängt.
Zwei Grundprobleme:
Telefonnummer
Systeme, welche die Telefonnummer als Identifizierungsmerkmal verwenden, haben zwar den Vorteil, dass sich Nutzer einfach gegenseitig auffinden können, dieser Ansatz verunmöglicht aber nicht nur von vornherein anonyme Nutzung, sondern weist auch eine inhärente Schwachstelle auf.
Um nachzuweisen, dass ein Nutzer nicht eine beliebige, sondern seine eigene Telefonnummer registriert, muss er in der App den Verifikationscode eingeben, welcher per SMS zur Bestätigung an die betreffende Nummer geschickt wird. Auch wenn der Nutzer diesen Code niemandem weitergibt: Der Kommunikationskanal, über den er ihn erhalten hat, kann nicht als sicher gelten. SMS-Nachrichten sind nicht durchgängig verschlüsselt, und dass sich Angreifer oder staatliche Akteure Zugriff auf das Mobilfunknetz verschaffen, liegt im Bereich des Möglichen.
Daher ist dieser Weg nicht geeignet, um die Kontoidentität zu etablieren, ganz besonders nicht bei Personen, die potenziell im Fokus zielgerichteter Cyberangriffe stehen. Somit sind Messenger, die eine Telefonnummer bei der Registrierung des Accounts zwingend verlangen, immer abzulehnen.
Rechtsrahmen
Ich halte Meredith Whittaker für sehr vertrauenswürdig. Ihr grösstes Problem ist nicht die Qualität ihres Messengers, sondern der Standort ihrer Stiftung:
LLC 650 Castro Street
Suite 120-223
Mountain View
USA-CA 94041
Eine US-amerikanische Organisation muss per Gesetz lügen. Über diese Tatsache habe ich schon x-mal geschrieben. Wer die entsprechenden Gesetzestexte (Cloud Act, Patriot Act, FISA) lesen möchte, findet sie in den Quellen.
Abschwächende Massnahmen
Selbst wenn ein System die Telefonnummer als Identifizierungsmerkmal verwendet, gibt es Mechanismen, um derartige Phishing-Attacken zu verhindern oder zumindest zu erschweren. Als Beispiel soll hier der Messenger Threema dienen.
In Threema zeigen Vertrauensstufen an, mit welcher Art von Kontakt es ein Nutzer zu tun hat: unbekannt, bekannt oder verifiziert. Versucht sich ein unbekannter Kontakt als Threema-Support auszugeben, scheitert der Täuschungsversuch im Idealfall daran, dass der Kontakt nicht verifiziert ist und die falsche Vertrauensstufe aufweist (ein roter Punkt statt drei grüne wie die offizielle Threema-Support-ID).
Eine noch wirksamere Massnahme ist, eine Option zum Blockieren unbekannter Kontakte anzubieten. Wenn Angreifer potenzielle Zielpersonen gar nicht erst kontaktieren können, wird der Angriffsvektor effektiv eliminiert.
Abgesehen davon stellt sich die Frage, ob Dienste für Privatanwender bei hochsensibler Kommunikation im institutionellen Kontext die richtige Wahl sind. In einem solchen Setting kann es sinnvoll sein, eine dedizierte Lösung für Unternehmen einzusetzen, die Nutzerverwaltung, Governance und Policy Enforcement bietet. In staatlichen Kontexten eignet sich eine selbstgehostete Lösung mit kompletter Datenhoheit und voller Kontrolle, um neben Phishing-Angriffen auch ein breites Spektrum weiterer Sicherheitsrisiken abzudecken.
In diesem Sinne ist der Wechsel der Bundestagsverwaltung von Signal auf Wire verständlich. Als Alternativen hätte es den Matrix-basierten BundesMessenger gegeben oder Threema-Work in der OnPrem-Variante.
Titelbild: https://pixabay.com/photos/grey-heron-bird-fish-hunting-heron-4353038/
Quellen:
https://www.heise.de/news/Signal-Phishing-Angriffe-BfV-und-BSI-aktualisieren-Warnung-11268017.html
Cloud Act: https://de.wikipedia.org/wiki/CLOUD_Act
Patriot Act: https://www.govinfo.gov/content/pkg/PLAW-107publ56/pdf/PLAW-107publ56.pdf
FISA: https://sgp.fas.org/crs/intel/IF11451.pdf
Für solche Anwendungsfälle eignet sich Snikket super. Es ist verschlüsselt, anonym und besonders auf kleine geschlossene Gruppen (sogenannte Circles) ausgelegt. Wie das ganze funktioniert, erkläre ich hier: https://gnulinux.ch/snikket-chat-einfach-sicher-und-privat