Zum Wochenende: Phishing im Bundestag

  Ralf Hersel   Lesezeit: 4 Minuten  🗪 10 Kommentare Auf Mastodon ansehen

Die Angriffswelle auf Nutzer von Messengern zieht weitere Kreise – auch deutsche Spitzenpolitiker wie Julia Klöckner sind betroffen. Es herrscht Verunsicherung: Wurden die US-Dienste gehackt? Oder liegt der Fehler bei den Opfern?

zum wochenende: phishing im bundestag

Seit Tagen lesen wir über die Phishing-Angriffe auf Mitglieder des Deutschen Bundestages. Dabei hat es unter anderem auch die Bundestagspräsidentin Julia Klöckner erwischt. Die Angriffe richteten sich quer durch die Bank und parteiübergreifend auf viele Mitglieder des Deutschen Bundestages. Es sollen mehr als 300 Personen betroffen sein.

Bereits letzten Monat haben Medien berichtet, dass US-Messenger von hochrangigen Regierungsbeamten über einen gross angelegten Phishing-Angriff gekapert wurden. Unterdessen hat sich herausgestellt, dass die Reichweite des Angriffs grösser als angenommen ist und zu den Opfern auch deutsche Spitzenpolitiker zählen. Die Lage ist so ernst, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Woche einen Leitfaden für Anwender:innen veröffentlicht hat.

Im Gegensatz zur allgemeinen Berichterstattung in den Medien, wurden dabei nicht die verwendeten Messenger angegriffen, sondern die Person selbst. Deshalb ist die Nennung von bestimmten Messengern irreführend, weil damit eine Verschiebung von Verantwortlichkeit induziert wird.

A Fool with a Tool is still a Fool.

Die Angreifer geben sich in einem Messenger-Post als Support-Mitarbeitende aus und bringen ihre Opfer unter Vorspiegelung falscher Tatsachen dazu, einen Verifikationscode preiszugeben. Mit diesem Code können sie anschliessend die Benutzerkonten ohne weitere Schritte übernehmen. Weil es sich nicht um Hacking handelt und die Verschlüsselung der Messenger intakt ist, folgern einige Kommentatoren, dass die Schwachstelle die Opfer sind und das Problem ausschliesslich bei ihrem Verhalten liegt.

Von Banking-Apps kennen wir das Verfahren, dass ein Kontakt zum Kunden nur schriftlich oder über interne Systeme aufgenommen wird. Keine E-Mail, keine SMS, kein Telefonkontakt. Bei den aktuellen Phishing-Fällen wurde der Kontakt innerhalb des Messengers aufgenommen, was eine Vertrauenswürdigkeit vorspiegelt. Doch dieses Vertrauen hätte spätestens an der Stelle enden müssen, als nach Zugangscodes gefragt wurde.

Nach meiner Meinung liegt die überwiegende Fahrlässigkeit bei den Nutzern der Messenger. Auch wenn die Kontaktaufnahme innerhalb der App erfolgt, ist die Preisgabe von PIN oder Passwort ein Signal, auf welches niemand hereinfallen sollte.

Diese Einschätzung greift jedoch zu kurz. Der aktuelle Vorfall zeigt anschaulich, dass die Sicherheit eines Systems nicht mit der Stärke seiner Verschlüsselung zusammenfällt, sondern von weiteren Faktoren – insbesondere der Architektur – abhängt.

Zwei Grundprobleme:

Telefonnummer

Systeme, welche die Telefonnummer als Identifizierungsmerkmal verwenden, haben zwar den Vorteil, dass sich Nutzer einfach gegenseitig auffinden können, dieser Ansatz verunmöglicht aber nicht nur von vornherein anonyme Nutzung, sondern weist auch eine inhärente Schwachstelle auf.

Um nachzuweisen, dass ein Nutzer nicht eine beliebige, sondern seine eigene Telefonnummer registriert, muss er in der App den Verifikationscode eingeben, welcher per SMS zur Bestätigung an die betreffende Nummer geschickt wird. Auch wenn der Nutzer diesen Code niemandem weitergibt: Der Kommunikationskanal, über den er ihn erhalten hat, kann nicht als sicher gelten. SMS-Nachrichten sind nicht durchgängig verschlüsselt, und dass sich Angreifer oder staatliche Akteure Zugriff auf das Mobilfunknetz verschaffen, liegt im Bereich des Möglichen.

Daher ist dieser Weg nicht geeignet, um die Kontoidentität zu etablieren, ganz besonders nicht bei Personen, die potenziell im Fokus zielgerichteter Cyberangriffe stehen. Somit sind Messenger, die eine Telefonnummer bei der Registrierung des Accounts zwingend verlangen, immer abzulehnen.

Rechtsrahmen

Ich halte Meredith Whittaker für sehr vertrauenswürdig. Ihr grösstes Problem ist nicht die Qualität ihres Messengers, sondern der Standort ihrer Stiftung:

LLC 650 Castro Street
Suite 120-223
Mountain View
USA-CA 94041

Eine US-amerikanische Organisation muss per Gesetz lügen. Über diese Tatsache habe ich schon x-mal geschrieben. Wer die entsprechenden Gesetzestexte (Cloud Act, Patriot Act, FISA) lesen möchte, findet sie in den Quellen.

Abschwächende Massnahmen

Selbst wenn ein System die Telefonnummer als Identifizierungsmerkmal verwendet, gibt es Mechanismen, um derartige Phishing-Attacken zu verhindern oder zumindest zu erschweren. Als Beispiel soll hier der Messenger Threema dienen.

In Threema zeigen Vertrauensstufen an, mit welcher Art von Kontakt es ein Nutzer zu tun hat: unbekannt, bekannt oder verifiziert. Versucht sich ein unbekannter Kontakt als Threema-Support auszugeben, scheitert der Täuschungsversuch im Idealfall daran, dass der Kontakt nicht verifiziert ist und die falsche Vertrauensstufe aufweist (ein roter Punkt statt drei grüne wie die offizielle Threema-Support-ID).

Eine noch wirksamere Massnahme ist, eine Option zum Blockieren unbekannter Kontakte anzubieten. Wenn Angreifer potenzielle Zielpersonen gar nicht erst kontaktieren können, wird der Angriffsvektor effektiv eliminiert.

Abgesehen davon stellt sich die Frage, ob Dienste für Privatanwender bei hochsensibler Kommunikation im institutionellen Kontext die richtige Wahl sind. In einem solchen Setting kann es sinnvoll sein, eine dedizierte Lösung für Unternehmen einzusetzen, die Nutzerverwaltung, Governance und Policy Enforcement bietet. In staatlichen Kontexten eignet sich eine selbstgehostete Lösung mit kompletter Datenhoheit und voller Kontrolle, um neben Phishing-Angriffen auch ein breites Spektrum weiterer Sicherheitsrisiken abzudecken.

In diesem Sinne ist der Wechsel der Bundestagsverwaltung von Signal auf Wire verständlich. Als Alternativen hätte es den Matrix-basierten BundesMessenger gegeben oder Threema-Work in der OnPrem-Variante.

Titelbild: https://pixabay.com/photos/grey-heron-bird-fish-hunting-heron-4353038/

Quellen:

https://www.heise.de/news/Signal-Phishing-Angriffe-BfV-und-BSI-aktualisieren-Warnung-11268017.html

https://www.heise.de/news/Signal-Phishing-Warnung-Ausloeser-wohl-Angriff-auf-Julia-Kloeckner-11268708.html

https://www.heise.de/news/Signal-Angriffe-Signal-raet-zu-Obacht-und-Registrierungssperre-11274258.html

https://www.heise.de/news/Digitale-Souveraenitaet-Wire-soll-Signal-als-Standard-im-Bundestag-abloesen-11275640.html

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Signal-Support/signal-support_node.html

Cloud Act: https://de.wikipedia.org/wiki/CLOUD_Act

Patriot Act: https://www.govinfo.gov/content/pkg/PLAW-107publ56/pdf/PLAW-107publ56.pdf

FISA: https://sgp.fas.org/crs/intel/IF11451.pdf

https://wire.com/de/

https://threema.com/de/products/work

https://bundesmessenger.de/

https://threema.com/de/blog/theres-more-to-security-than-encryption-de-1

Tags

Bundestag, Phishing, Signal

Lioh Möller
Geschrieben von Lioh Möller am 1. Mai 2026 um 17:23

Für solche Anwendungsfälle eignet sich Snikket super. Es ist verschlüsselt, anonym und besonders auf kleine geschlossene Gruppen (sogenannte Circles) ausgelegt. Wie das ganze funktioniert, erkläre ich hier: https://gnulinux.ch/snikket-chat-einfach-sicher-und-privat

werschreibt
Geschrieben von werschreibt am 1. Mai 2026 um 18:17

@Ralf Ähm, viele Sätze aus deinem Artikel kommen mir so bekannt vor, z. B.:

> (…) herrscht Verunsicherung: Wurden die US-Dienste gehackt? Oder liegt der Fehler bei den Opfern?

und:

> Selbst wenn ein System die Telefonnummer als Identifizierungsmerkmal verwendet, gibt es Mechanismen, um derartige Phishing-Attacken zu verhindern oder zumindest zu erschweren.

Den Abschnitt „Abschwächende Massnahmen“ hast du beinahe 1:1 aus dem gestrigen Threema-Artikel Cyberangriff auf Politiker: Sicherheit ist mehr als Verschlüsselung übernommen, ohne ihn als Quelle zu nennen.

Ralf Hersel Admin
Geschrieben von Ralf Hersel am 1. Mai 2026 um 19:23

Danke für den Hinweis. Vor lauter Quellenangaben habe ich den Auslöser vergessen. Ist jetzt drin.

mozarella
Geschrieben von mozarella am 1. Mai 2026 um 18:36

Das Problem ist jetzt nicht unbedingt der Messenger. Deshalb sind alternative Messenger auch oft nicht die Lösung. Außerdem, wer in irgendwelcher Weise auch immer ein Familien-Leben führt, kann um WhatsApp keinen Bogen machen. Ja, ist mir bewußt, daß ich das Böse Wort genannt habe. Aber angefangen im Kindergarten, über die Schule und div. Vereine, die sich alle in WA-Gruppen organisieren, wie soll das ohne WA gehen? Auch Klassentreffen werden heut zu Tage über WA organisiert, wenn man schon mal soweit ist und alle in die Gruppe aufgenommen hat. Das war bei mir zum 30 jährigen Abschluss der Wirtschaftsschule schon eine ordentliche Gruppe, 3 Klassen. Wie würde man das sonst in eine Gruppe schaffen? Ich spüre zwar durchaus, daß viele meiner Kontakte auch bei Telegram sind, aber nicht alle. Ich hab auch mal Delta-Chat ausprobiert. Verschlüsselt und nutzt E-Mail-Sever (SMTP und IMAP). Eigentlich ein elegantes System, nutzt leider ansonsten keiner.

Nick
Geschrieben von Nick am 2. Mai 2026 um 12:33

> "Das Problem ist nicht unbedingt der Messenger. Wer in irgendwelcher Weise ein Familien-Leben führt, kann um WhatsApp keinen Bogen machen."

...Sorry, ..aber ...I beg to differ!... :D

Selbstverständlich kann –und sollte– man um "WhatsApp" und allem, wo "Zuckerberg/ Meta" drauf steht, einen möglichst großen Bogen machen. Zur Not gibt es E-Mail-Server u.a.

Auch in meiner Familie dürfte WA verwendet werden, aber bis auf jmd. in Spanien und einen Onkel, verwenden alle Signal - Ja, der "richtige" Messenger löst nicht alle Probleme, (s.o.).

PS: Irgendwelche "WA-Gruppen" ignoriere ich. - Zu was? Zu Recht!

Hoschl
Geschrieben von Hoschl am 4. Mai 2026 um 13:54

Da stimme ich @Nick vollkommen zu. Hab vor Jahren WA den Rücken gekehrt und habe Signal und Telegram. Und siehe da, Jeder, der mich wirklich erreichen wollte, hat das auch geschaft. Für nebenbei geposte habe ich eh keinen Bock und Lebenszeit ist für mich ein hohes Gut. Ich würde jetzt mal denken, das die da oben doch bestimmt Dienst-Smartphones haben. Da sollte jeglicher Blödsinn von vornherein verboten sein. Was in Firmen funktioniert, funktioniert dort auch. Es erschreckt mich, das es so viele DAU's da oben gibt.

Bernd
Geschrieben von Bernd am 4. Mai 2026 um 08:58

Ich empfinde es sehr irritierend, das solche Leute mit ihren Handys machen dürfen, was sie wollen. Das sind alles Geheimnisträger, die alle entsprechend vom Verfassungsschutz überprüft und unterrichtet wurden, da erwarte ich, dass deren ganze IT von der IT-Verwaltung des Bundestages eingerichtet wird und auch nur bestimmte Wege und Kanäle zulässig sind. Wenn ich bei der Arbeit so eine Nachricht bekommen hätte, wäre mein erste Weg zur IT gewesen, die haben sich um solche Dinge zu kümmern. Und auf der Arbeit gibt es bei uns tatsächlich eine Schulungsmaßnahme "IT-Sicherheit", wo genau auf solche Dinge eingegangen wird. Warum werden unsere Poilitker denn nicht geschult und für solche Szenarien sensibiliesiert? Ich vermute, dass einige nur den Einschaltknopf am Rechner finden...

kamome
Geschrieben von kamome am 4. Mai 2026 um 17:16

Danke für den ausgewogenen Bericht, volle Zustimmung! Absurd, wenn es nun Wire werden soll, da es den Bundesmessenger doch schon gibt!

kamome
Geschrieben von kamome am 4. Mai 2026 um 17:28

Neben Whittaker sind allerdings auch die Hindergründe der anderen Verwaltungsmitglieder interessant (WEF, Apple, Facebook, Twitter, Oracle, Google …) – da sehe ich einige Probleme, um denen nun mein Vertrauen zu schenken (wobei man der Verschlüsselung zum Glück kein Vertrauen „schenken“ muss – aber dem System (auch Software) und den Aussagen außen rum eben schon (bzw. das mMn nicht tun sollte)).

Kurt
Geschrieben von Kurt am 5. Mai 2026 um 00:06

Ganz ehrlich? Wer oder was auf billige Phishing-mails hereinfällt hat m.E. im Bundestag nichts verloren. I.e.: Die Bundestagspräsidentin. Die Bundesbauministerin. Die Bundesbildungsministerin (!).

Wie viele Andere noch mag man gar nicht wissen. Ist aber kein großes Thema hierzulande.

Schönen Gruß aus 'Neuland'.