Es gibt Neuigkeiten aus dem Berliner Kompetenzzentrum. Bundestagspräsidentin Julia Klöckner – protokollarisch die Nummer zwei im Staat – hat auf eine Nachricht eines angeblichen «Signal-Supports» reagiert, ihre PIN eingegeben und damit ihr Konto an Unbekannte übergeben. Bildungsministerin Karin Prien hat dasselbe getan. Bauministerin Verena Hubertz ebenfalls. Drei Spitzenpolitikerinnen, drei PINs, eine Methode, die so alt ist wie das Internet selbst und so simpel, dass man sie in jedem Aufklärungsvideo für Senioren erklärt findet. Willkommen im digitalen Deutschland.
Zunächst zur technischen Klarstellung, die die meisten Medien verschämt umgehen: Signal selbst wurde nicht geknackt — die Ende-zu-Ende-Verschlüsselung ist weiterhin intakt. Was hier stattfand, war kein Hack. Es war Phishing. Das ist der Unterschied zwischen einem Einbrecher, der das Schloss knackt, und jemandem, der einfach klingelt, sagt «Ich bin von der Schlüsselgilde, bitte den Schlüssel kurz reingeben» — und dem man den Schlüssel gibt. Freiwillig. Mit beiden Händen.
Die Angreifer schicken eine Nachricht, in der sie den Nutzer auffordern, eine PIN einzugeben. Als Absender erscheint dabei etwa «Signal-Support». Das war es. Das war der gesamte Angriff. Kein Exploit, keine Zero-Day-Lücke, keine ausgefeilte Schadsoftware. Eine gefälschte Nachricht mit der Aufforderung, die PIN einzugeben. Klassischstes Social Engineering, das bereits in den 1990ern als Angriffsmethode beschrieben wurde – damals noch per Fax.
Der Vorgang ist ein klassischer Layer-8-Angriff: Der Mensch ist das Ziel. Weshalb fast jede Firma, die mehr als zwei Mitarbeiter hat, inzwischen auch Phishingangriffe simulieren lässt. Fast jede Firma. Nicht der Deutsche Bundestag. Nicht das Bundesbildungsministerium. Nicht das Bundesbauministerium. Denn dort herrscht, wie Heise online trocken feststellt, kein gesteigertes Problembewusstsein. Das ist eine höfliche Umschreibung für einen Befund, der sich in einer Zeile zusammenfassen lässt: Die Leute, die über Cybersicherheit in Deutschland mitentscheiden, können einen Phishing-Versuch nicht erkennen.
Nach bisherigem Kenntnisstand sind mindestens 300 Fälle in Deutschland bekannt – darunter Abgeordnete aller Fraktionen, NATO-Militärs, Beamte, Diplomaten und Investigativjournalisten. Dreihundert. Das Bundesamt für Verfassungsschutz geht von einer deutlich höheren Dunkelziffer aus. Dreihundert Menschen in Schlüsselpositionen des deutschen Staates, die auf eine gefälschte «Hallo, bitte PIN eingeben»-Nachricht hereingefallen sind. Das ist keine Panne. Das ist ein Zustand.
Die Reaktion der Betroffenen auf Anfragen der Presse ist dabei von jener Würde, die man von Menschen erwartet, die gerade beim digitalen Erstsemesterfehler ertappt wurden. Eine Sprecherin von Prien erklärte: «Zu Kommunikationsmitteln der Bundesregierung können wir keine Auskunft geben.» Ein Sprecher von Hubertz verwies auf die geltenden Grundsätze für die Kommunikation des Ministeriums und erklärte, man äussere sich grundsätzlich nicht zu möglichen oder tatsächlichen Sicherheitsvorfällen. Klare Grundsätze. Man äussert sich nicht. Das ist die institutionelle Version von «ich sage nichts dazu, und wenn doch, dann auch nicht».
Nun aber zum eigentlichen Kern der Angelegenheit, dem Widerspruch, der so gross ist, dass man ihn eigentlich nicht übersehen kann – und der trotzdem von der Mehrheit der Berichterstattung so behandelt wird, als wäre er nicht vorhanden. Diese Klasse von Politikern – Klöckner, Prien und ihre Gesinnungsgenossen quer durch die Fraktionen – ist dieselbe, die mit ernstem Gesicht über die Regulierung des digitalen Raums redet. Über Plattformverbote. Über Netzsperren. Über die Notwendigkeit, soziale Medien zu kontrollieren, zu überwachen, einzuschränken. Die EUdSSR hat den Digital Services Act verabschiedet. Deutschland bastelt fleissig an Zensurgesetzen. Das Schlagwort «Hass im Netz» dient als Universalschlüssel für jeden Eingriff in die freie Kommunikation.
Und die Architekten dieser Regulierungsvorhaben können eine Phishing-Nachricht nicht von einer echten Support-Meldung unterscheiden. Sie geben ihre PIN ein, wenn eine gefälschte Nachricht es verlangt. Sie vertrauen einem «Signal-Support», der kein Signal-Support ist. Sie sind, in der präzisen Sprache der IT-Sicherheit, die schwächste Stelle im System – der Mensch als Einfallstor.
Zugespitzt gefragt: Wer würde Julia Klöckner als Admin für seine IT-Sicherheitsinfrastruktur einstellen? Niemand. Absolut niemand. Und trotzdem erklärt sie als Bundestagspräsidentin – zweithöchstes Staatsamt der Republik – Millionen Deutschen, wie sie das Internet zu nutzen haben. Welche Inhalte zulässig sind. Welche Plattformen reguliert werden müssen. Was Desinformation ist und was nicht.
CDU-Abgeordneter Marc Henrichmann, Vorsitzender des Parlamentarischen Kontrollgremiums, erklärte: «Der jüngste Phishingversuch aus Russland gegen deutsche Politiker und Journalisten ist ein Weckruf für uns alle.» Ein Weckruf. Für uns alle. Wonach die Lösung, man ahnt es, nicht in mehr Medienkompetenz der eigenen Fraktion bestehen wird, sondern in mehr Befugnissen für Behörden, mehr Überwachung, mehr Kontrolle – über das Netz, über Plattformen, über Kommunikation. Der Phishing-Vorfall als Begründung für den nächsten Regulierungsschub. Das Versagen der Nutzer als Argument für die Einschränkung aller anderen.
Das ist das eigentliche Muster. Nicht die Dummheit – die ist menschlich und verzeihlich. Das eigentliche Muster ist die Unverfrorenheit, mit der Menschen, die auf «PIN eingeben»-Nachrichten hereinfallen, anderen erklären, wie das Internet zu funktionieren hat. Man sollte meinen, das erzeugt wenigstens ein Minimum an Scham. Aber Scham setzt Selbstwahrnehmung voraus…
«Dravens Tales from the Crypt» bezaubert seit über 15 Jahren mit einer geschmacklosen Mischung aus Humor, seriösem Journalismus – aus aktuellem Anlass und unausgewogener Berichterstattung der Presse Politik – und Zombies, garniert mit jeder Menge Kunst, Entertainment und Punkrock. Draven hat aus seinem Hobby eine beliebte Marke gemacht, welche sich nicht einordnen lässt.
Mein Blog war niemals darauf ausgelegt Nachrichten zu verbreiten, geschweige denn politisch zu werden, doch mit dem aktuellen Zeitgeschehen kann ich einfach nicht anders, als Informationen, welche sonst auf allen anderen Kanälen zensiert werden, hier festzuhalten. Mir ist dabei bewusst, dass die Seite mit dem Design auf viele diesbezüglich nicht «seriös» wirkt, ich werde dies aber nicht ändern, um den «Mainstream» zu gefallen. Wer offen ist, für nicht staatskonforme Informationen, sieht den Inhalt und nicht die Verpackung. Ich habe die letzten 2 Jahre genügend versucht, Menschen mit Informationen zu versorgen, dabei jedoch schnell bemerkt, dass es niemals darauf ankommt, wie diese «verpackt» sind, sondern was das Gegenüber für eine Einstellung dazu pflegt. Ich will niemandem Honig ums Maul schmieren, um auf irgendwelche Weise Erwartungen zu erfüllen, daher werde ich dieses Design beibehalten, denn irgendwann werde ich diese politischen Statements hoffentlich auch wieder sein lassen können, denn es ist nicht mein Ziel, ewig so weiterzumachen 
Ich überlasse es jedem selbst, wie er damit umgeht. Gerne dürfen die Inhalte aber auch einfach kopiert und weiterverbreitet werden, mein Blog stand schon immer unter der WTFPL-Lizenz.
Es fällt mir schwer zu beschreiben, was ich hier eigentlich tue, DravensTales wurde im Laufe der Jahre Kulturblog, Musikblog, Schockblog, Techblog, Horrorblog, Funblog, ein Blog über Netzfundstücke, über Internet-Skurrilitäten, Trashblog, Kunstblog, Durchlauferhitzer, Zeitgeist-Blog, Schrottblog und Wundertütenblog genannt. Was alles etwas stimmt… – und doch nicht. Der Schwerpunkt des Blogs ist zeitgenössische Kunst, im weitesten Sinne des Wortes.
Um den Betrieb der Seite zu gewährleisten könnt ihr gerne eine Spende per Kreditkarte, Paypal, Google Pay, Apple Pay oder Lastschriftverfahren/Bankkonto zukommen lassen. Vielen Dank an alle Leser und Unterstützer dieses Blogs!
