Uli Blumenthal: Auf der Cybersecurity-Konferenz in Berlin diskutieren zurzeit Sicherheitsverantwortliche aus Wirtschaft und Behörden über Bedrohung durch Cyberangriffe. Am Rande der Tagung hat Verfassungsschutzpräsident Hans-Georg Maaßen die kommende Bundestagswahl und die damit zu erwartenden Cyberattacken ins Spiel gebracht. Vor Ort in Berlin ist mein Kollege Peter Welchering. Peter, wer soll denn vor oder bei der Bundestagswahl gehackt, angegriffen oder desinformiert werden?
Peter Welchering: Parteizentralen, Politiker und Unterstützergruppen. Dabei geht es übrigens nicht nur ums hacken, um Politiker und Parteizentralen auszuspähen, sondern es geht auch um Desinformation, die Verbreitung von Falschinformation und um das, was Verfassungsschutzpräsident Hans-Georg Maaßen die Sabotage der politischen Meinungsbildung genannt hat. Beides hängt zusammen.
Blumenthal: Dann lassen Sie uns diesen Zusammenhang doch mal genauer aufdröseln. Wie soll denn die politische Meinungsbildung sabotiert werden?
Welchering: Zum einen Propaganda-Roboter, sogenannte Social Bots. Die machen automatisch Propaganda auf sozialen Plattformen und sorgen dafür, dass eine Meinung sehr weit verbreitet, dass der politische Gegner lächerlich gemacht wird. Was da konkret möglich ist, haben wir im Präsidentschaftswahlkampf der USA gesehen. Und diese Bot-Propaganda soll besonders durch das Leaken von vertraulichen Informationen unterstützt werden. Bei Hillary Clinton waren das etwa ihre Reden vor Wall-Street-Bankern, die auf sogenannten Leak-Plattformen veröffentlicht wurden.
"Der Angreifer muss etwas Peinliches über einen Politiker herausfinden"
Blumenthal: Wie lassen sich diese Ereignisse des amerikanischen Wahlkampfs denn auf Deutschland übertragen?
Welchering: Der Angreifer muss etwas Peinliches über einen Politiker oder eine Partei herausfinden. Denn Propaganda-Roboter können dann besonders gut manipulieren, wenn ihre Propaganda einen wahren Kern hat, aber dieser Kern übertrieben werden kann. Der Kern kann noch so klein sein. Wie kommt der Angreifer an solche Peinlichkeiten einzelner Politiker oder Parteien? Er hackt sich in die Server der Parteizentrale.
Blumenthal: Nun sind Server der Parteizentralen ja nicht gerade weit geöffnete Systeme. Die sind ja mit den üblichen Sicherheitsprogrammen geschützt. Meinen die Experten, dass diese Schutzvorrichtungen nicht ausreichen?
Welchering: Die reichen nicht aus, und bei bestimmten Informationen ist den Verantwortlichen nicht so klar, wie sensibel die sind, also etwa auf welchen Websites ein bestimmter Politiker gesurft, mit wem er sich wann und wo verabredet hat. Das kann für politische Erpressung, aber auch zum Bloßstellen missbraucht werden. Und die Informationstechnik der Parteien ist nun nicht gerade auf dem Stand, dass sie es Hackern schwer machen würde.
Blumenthal: Wie käme denn ein Hacker in den Server einer deutschen Partei? Gibt es da bestimmte Angriffswege, die auf der Konferenz diskutiert wurden?
"Nicht wenige Abgeordnete misstrauen den Sicherheitsbehörden"
Welchering: Ein Angriffsweg hat mich wirklich erschüttert. Sebastian Schreiber, Sicherheitsberater aus Tübingen, hat den demonstriert. Der würde nämlich den Vortrag eines Politikers besuchen und schauen, ob der für eine Präsentation einen Vortrags-Laptop oder seinen eigenen nutzt. Nutzt der seinen eigenen, dann nutzt er vermutlich auch einen sogennanten Presenter. Das ist eine Art abgespeckte Funkmaus, mit der die nächste Folie aufgerufen werden kann. Der Presenter sendet Funksignale an einen USB-Empfänger. Und diesen USB-Empfänger behandelt der Laptop wie eine Tastatur. Jetzt kann ein Hacker zunächst ausspionieren, wie Presenter und USB-Empfänger kommunizieren, unverschlüsselt in der Regel. Und dann kann er auf der gleichen Frequenz Tastaturbefehle an den Laptop senden, etwa den Befehl, eine bestimmte Schadsoftware herunterzuladen, sobald Netzanschluss möglich ist. Nimmt der Politiker diesen Laptop mit in die Parteizentrale oder in sein Abgeordnetenbüro überträgt sich die Schadsoftware auf die dortigen Server, kann weitere Spionagesoftware installieren und den Politiker ausspähen.
Blumenthal: Was können Parteizentralen und Abgeordnete dagegen tun?
Welchering: Die Systeme sicher machen. Und das ist schwierig, weil da in der Vergangenheit ziemlich gesündigt wurde. Außerdem misstrauen nicht wenige Abgeordnete den Sicherheitsbehörden, weil sie mit denen in der politischen Auseinandersetzung um Überwachung schlechte Erfahrungen gemacht haben. Hans-Georg Maaßen wollte zwar zu den operativen Maßnahmen des Verfassungsschutzes in dieser Hinsicht nichts sagen. Aber er betonte, dass beides bekämpft werden muss, nämlich Sicherheitslücken in den IT-Systemen der Politik und Desinformation.
Blumenthal: Gibt es da konkrete Pläne des Verfassungsschutzes?
Welchering: Dazu hat Maaßen sich nicht geäußert. Er sprach von Aufklärung. Und in Sachen Propaganda-Roboter war er ein bisschen hilflos. Da müsse man den Bürgern sagen, was Propaganda-Roboter machen, wie sie funktionieren. Wie diese Propaganda funktioniert. Eine konkrete Strategie der Sicherheitsbehörden hat sich da auch auf dieser Tagung nicht gezeigt. Aber dass im kommenden Bundestagswahlkampf Wahlhacks, Desinformation und Spähattacken als Cyberattacken mit ganz konkreten politischen Wirkungen zu erwarten sind, da sind sich eigentlich alle einig.