Die Chefs der großen Parteien erhielten im März einen Brief von der Fraunhofer-Gesellschaft, der es in sich hatte. Athene, das zur Gesellschaft gehörende Nationale Forschungszentrum für angewandte Cybersicherheit, hatte die IT der großen deutschen Parteien untersucht und war auf „zahlreiche schwerwiegende Schwachstellen“ gestoßen. In dem Brief heißt es weiter: „E-Mails können abgefangen, Daten gestohlen, gelöscht oder gefälscht werden“ – und das teilweise wohl ohne großen Aufwand. „Sogar die komplette Umleitung des Datenverkehrs zum Angreifenden ist denkbar.“ Die Sicherheitsmängel machten Desinformationskampagnen möglich und versetzten Angreifer in die Lage, einzelne Parteien oder das demokratische System in Deutschland dauerhaft zu beschädigen, so das Nationale Forschungszentrum.
Der Leiter des Instituts Athene, Michael Waidner, erklärt, die IT-Sicherheit der politischen Parteien sei von besonderer Bedeutung „für die Stabilität unserer Demokratie.“ Deshalb verdiene sie besondere Aufmerksamkeit. Aus diesem Grund habe das Institut die Untersuchung Ende 2020 auf eigene Initiative gestartet.
Zunächst analysierte Athene, mit welchen Methoden politische Akteure in der Vergangenheit von Hackern angegriffen wurden: „Hierbei ergaben sich bestimmte Muster“, so Waidner. Das Team habe dann die über das Internet zugängliche IT-Landschaft der Parteien auf Schwachstellen untersucht, die zu diesen Angriffsmethoden passten. Seien solche Schwachstellen erst einmal identifiziert, halte sich der Aufwand des eigentlichen Hacker-Angriffs sehr in Grenzen, sagt Waidner. In diesem Fall hätten alle Parteien „detaillierte Informationen zu den konkreten, in ihrer IT gefundenen Schwachstellen“ erhalten, sowie Hinweise, „wo kurzfristiger und dringender Handlungsbedarf besteht.“ Die Probleme seien teilweise die Folge einer über Jahre oder Jahrzehnte gewachsenen IT-Struktur.
Wie die WirtschaftsWoche vor einigen Wochen berichtete, wurde die CDU im vergangenen Jahr von Profis erfolgreich angegriffen. Russische Hacker, die auch für den dortigen Geheimdienst tätig sein sollen, verschafften sich Zugang zu einem Webserver der Partei. Sie wollen dabei auch Einblick in interne, persönliche Daten von registrierten Mitgliedern genommen haben. Die Staatsanwaltschaft Berlin ermittelt in der Sache.
Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind in den vergangenen zwölf Monaten fünf gezielte Attacken auf Parteien, Abgeordnete und parteinahe Stiftungen bekannt geworden. Die Brisanz liegt auf der Hand: Politiker können mittels gestohlener Informationen diskreditiert oder erpresst, die Arbeit der Parteien sabotiert und Falschinformationen gestreut werden. Das BSI warnt davor, dass es in diesem Jahr mehr Angriffe als üblich geben könnte: „Wir befinden uns in einem Superwahljahr. Pandemiebedingt finden zahlreiche Veranstaltungen und Treffen virtuell statt“, sagt eine Sprecherin. „Nicht nur Parteizentralen und Spitzenkandidaten könnten daher attraktive Ziele für Cyberspionageangriffe sein.“
Ein Sprecher der Grünen sagte, sie seien besorgt, dass der Bundestagswahlkampf von Cyberangriffen beeinträchtigt werden könnte. „Wir erhalten vermehrt Hinweise, dass wir als Partei, aber auch unsere Kandidat*innen, als Ziel von Cyberangriffen und Fake News besonders in den Blick genommen werden.“ Aus der Fraunhofer-Untersuchung hätten sie bereits Maßnahmen abgeleitet.
Die SPD erklärte: „Für die Bedrohungslagen durch Hacker-Angriffe besteht in der SPD eine hohe Sensibilität. Wir investieren deutlich mehr Ressourcen in den Bereich IT-Sicherheit als in der Vergangenheit und beraten mit dem BSI, aber auch weiteren Institutionen über Maßnahmen zur Verbesserung unseres Schutzniveaus.“ CDU, AfD, FDP und Die Linke äußerten sich nicht zu dem Fraunhofer-Brief.
Die CDU hatte auf den Bericht der WirtschaftsWoche über den Angriff aus dem vergangenen Jahr hin entgegnet, dass „eine Partei nicht das Budget habe, Systeme so abzusichern, dass ganz sicher niemand reinkomme“. Das mag ein Vorwand sein: Laut Thomas Tschersich, Vorstandsvorsitzender vom Verband Deutschland sicher im Netz, handelt es sich nicht nur eine Geld-, sondern auch eine Kompetenzfrage: „Ein gutes Sicherheitsniveau klappt heutzutage schon mit Bordmitteln, ohne dass es ein Vermögen kostet“ – die meisten Attacken seien dem Schlendrian geschuldet. Der IT-Experte, der im Hauptberuf die Sicherheit der Deutschen Telekom verantwortet, warnt, das Risiko im Superwahljahr 2021 sei „real“ und müsse ernst genommen werden. Immerhin kommt der Sicherung der Demokratie Deutschlands zugute, dass das Wahlsystem selbst komplett analog läuft: „Zumindest brauchen wir uns keine Sorgen zu machen, dass der Abstimmungsprozess als solcher angegriffen wird. Obwohl man das auch digital sicher darstellen kann – etwa mit Hilfe des digitalen Personalausweises“, so Tschersich.
Mehr zum Thema: Hacker aus Russland kaperten einen Server der CDU und wollen etwa auf persönliche Daten registrierter Mitglieder zugegriffen haben. Ein unzufriedener Anhänger aus dem Ruhrgebiet soll hinter der Attacke stecken. Eine Parteiposse – und ein Lehrstück über die Verletzbarkeit demokratischer Institutionen.
