Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Ende vergangener Woche aufgekommene Kritik zurückgewiesen, es habe zu spät auf die Hackerangriffe reagiert, bei denen deutschen Politikern und Prominenten teilweise hochsensible Daten entwendet wurden. Die Behörde betonte, sie habe die Vorfälle von Anfang sehr ernst genommen und erst am 3. Januar die Informationen erhalten, die es erlaubt hätten, einen Zusammenhang zwischen im Lauf des Jahres 2018 bekannt gewordenen Hackerangriffen herzustellen.
Auslöser der Kritik war eine Stellungnahme eines betroffenen Bundestagsabgeordneten, der nach eigenen Angaben das BSI Anfang Dezember informierte. Einer Pressemitteilung der Behörde zufolge hatte der Abgeordnete „fragwürdige Bewegungen auf privaten und personalisierten E-Mail- und Social-Media-Accounts festgestellt“.
Man habe den Angriff in das Nationale Cyber-Abwehrzentrum eingebracht und den Betroffenen vor Ort mit einem Mobile Incident Response Team unterstützt. Zu dem Zeitpunkt seien aber alle Beteiligten von einem Einzelfall ausgegangen.
Erst nachdem bekannt geworden sei, dass Daten von anderen Politikern, Künstlern und Journalisten durch das Twitter-Konto „@_0rbit“ veröffentlicht wurden, sei das BSI in der Lage gewesen, diesen Vorfall sowie vier weitere im Lauf des Jahres 2018 gemeldete Attacken zueinander in Verbindung zu setzen.
„Anfang Dezember 2018 war in keiner Weise absehbar, dass es weitere Fälle gegeben hat“, heißt es weiter in der Stellungnahme des BSI. „Ein Zusammenhang der oben genannten Einzelfälle konnte erst im Nachhinein durch die Analyse der Gesamtheit der aktuell im Ganzen veröffentlichten Datensätze festgestellt werden.“
Die Sicherheitsbehörde verweist zudem auf ihre eigentliche Zuständigkeit: den operativen Schutz der Regierungsnetze, die jedoch nicht das Ziel der Angriffe waren. Bei der Absicherung parteilicher oder gar privater Kommunikation „von Mandatsträgern“ könne das BSI nur „beratend und auf Anfrage unterstützend tätig werden“.
Die Angriffe haben auch außerhalb Deutschlands für Aufsehen gesorgt, zumal der oder die Täter anscheinend nach Belieben hochrangige Politiker hacken konnten. Allerdings ist noch nicht in allen Fällen geklärt, welche veröffentlichten Daten echt und welche gefälscht sind – und in welchen Fällen letztlich nur öffentlich verfügbare Daten zusammengetragen und als Beute eines Angriffs dargestellt wurden. Letztlich legen die Vorfälle vor allem die Vermutung nahe, dass einige exponierte Persönlichkeiten möglicherweise ihre E-Mail- und Social-Media-Konten unzureichend vor unbefugten Zugriffen geschützt hatten und haben.
In diesem Zusammenhang wiederholte das BSI gestern seine Empfehlungen zum Schutz vor Datendiebstählen. „Dieser Vorfall zeigt erneut eindrücklich, wie wichtig es ist, dass wir unsere Daten im Internet schützen“, heißt es dort einleitend.
So rät das BSI zum Einsatz von starken und vor allem individuellen Passwörtern und, falls verfügbar, einer Authentifizierung in zwei Schritten. Auch ein sensibler Umgang mit E-Mails sei von großer Bedeutung, um sich vor Phishing, Spam und auch Schadsoftware zu schützen. Vor allem vor einem Doppelklick auf einen Dateianhang sei eine genaue Prüfung einer E-Mail in Bezug auf Inhalt und Plausibilität erforderlich. Darüber hinaus mahnt das BSI an, Software und Betriebssysteme stets mit den verfügbaren Updates zu versorgen, was für Computer und Mobilgeräte gelte. Eine weitere Maßnahme sei die Verschlüsselung von lokal und in der Cloud gespeicherten Daten, um im Fall eines Passwortverlusts den Missbrauch persönlicher Daten zu verhindern.
Report: State of Digital Transformation EMEA 2019
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Neueste Kommentare
1 Kommentar zu Hackerangriff auf Politiker und Prominente: BSI weist Kritik zurück
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Leider meinen so ziemlich alle Seiten an dieser Sache ihr politisches Eisen schmieden zu müssen solange es noch heiß ist. Es scheint nicht möglich zu sein, die Sache gründlich zu untersuchen dann daraus wohklüberlegte Schlüsse zu ziehen.
Obwohl noch keine Täter sicher ermittelt sind und nicht klar ist ob das das überhaupt gelingen wird, kommt von CDU-Seite wieder mal die Forderung zurück zu schlagen. Wie soll das gehen, wenn man die Täter nicht kennt? Auch dieser Versuch das BSI zu schädigen kommt wohl aus der gelichen Richtung. Vom BSI wird ja immerhin hin und wieder auf den Widerspruch hingewiesen, wenn der Staat einerseits sagt, er sei für sichere IT-Systeme aber sich selbst überall reinhacken können will.
Ich kann m mir vorstellen, dass da einige eine überwachungsstaatsgeneigteren BSI-Präsidenten installieren wollen oder aber das BSI zugunsten des BKA zu beschneiden wollen.
Aber auch jetzt schon dem Innenminister Seehofer die Schuld zu geben, halte ich für voreilig.
Und wenn sich ein Grünen-Politiker aus den sozialen Medien verabschiedet ist das zwar menschlich verständlich, aber einen Angrff, der eine rechtsextreme Partei verschont zum Anlass zu nehmen eine Stimme weniger gegen solche politische Strömungen im Netz zu haben, ist politisch nicht unbedingt weise Denn damit könnten die Angreifer schon einen Erfolg verbuchen.
Auch die dabei auch noch geäußerte Idee, eine 2-Faktor-Authentifizierung zwingend vorzuschreiben, scheint mir nicht wirklich durchdacht zu sein. Der 2. Faktor ist oft eine Telefonnummer. Mit einer Telefonnummer kann ein Angreifer evtl. erst die Identität des Opfers feststellen und damit wirklich zielgerichtet die Person angreifen. Auch können damit Daten aus mehren Quellen zusammengeführt werden. Das ist zumindest ein zwiespältiger Vorschlag und jemand der gerade gezeigt hat, dass er nicht der absolute IT-Sicherheitsexperte ist, sollte nicht anderen – also auch solchen die darin teilweise kompetenter sind – sein Sicherheitskonzept aufzwingen.