Politik am Haken: Wie Hacker die Demokratie gefährden - und wie wir uns  schützen können 

⁎⁎⁎

Die vier Motivationen zum Hacken

Angriffe auf die Politik lassen sich grob in vier Kategorien einteilen: 

• Verkauf und Sammeln (Big Data) 
• Erpressung (zumeist Ransomware) 
• Datenmissbrauch (bspw. Unterschrift) 
• Direktangriff (Social Engineering) 

Die allermeisten Angriffe zielen nicht konkret auf die Angegriffenen ab. Vielmehr geht es darum, möglichst viele gleichzeitig anzugreifen, um selbst bei geringer Trefferquote etwa Kreditkartendaten zu erhalten. Das bedeutet aber nicht in jedem Fall, dass Angreifende hier auch Geld vom Konto abbuchen. Mittlerweile hat eine abgefischte Kombination aus einer E-Mail-Adresse, einem Passwort und weiteren Elementen wie Wohnhaft, Bankinformationen und Geburtsjahr einen Wert an sich. Diese Daten werden von Kriminellen zusammen mit Informationen über tausende andere Angegriffene vielmehr als Datenpaket verkauft - an wen und warum ist oftmals gar nicht klar und zunächst auch gar nicht wichtig.

Diese Daten können dann auf Webseiten für mitunter kleinste Beträge erworben werden. Häufig wird anschließend das Ziel verfolgt, mit diesen Informationen mehr Vertrauen aufzubauen. So wirkt eine E-Mail etwa von einer vermeidlichen Bank viel vertrauenserweckender, wenn neben dem Namen auch Angaben zu Adresse oder Kreditkartennummer stimmen. Es verführt mitunter sogar zu der Annahme, dass die E-Mail korrekt sein muss, selbst wenn Merkmale wie eine suspekte Absende-Adresse oder Rechtschreibfehler eigentlich etwas anderes sagen. 

Ein häufiges Ziel dabei ist, anschließend Schadsoftware unbemerkt auf dem Endgerät zu installieren, also etwa auf dem Laptop oder PC. Die derzeit häufigste Form davon ist eine sogenannte “Ransomware” (Ransom = Englisch für “Lösegeld”). Es werden dabei alle Dateien verschlüsselt, gedownloadet oder gelöscht und es wird ein Lösegeld verlangt, um wieder Zugang dazu zu bekommen. Manchmal folgt dann noch einmal die Forderung nach Geld, damit die erhaltenen Daten nicht zur Konkurrenz gehen. In Deutschland haben sich die Schäden vor allem durch Ransomware zuletzt auf mehr als 220 Mrd. € pro Jahr verdoppelt. 

Für Vereine, Parteien oder politische Organisationen kommt hinzu, dass Unterschriften oder E-Mail-Postfächer dazu genutzt werden, bspw. Überweisungen vom Vereinskonto im Namen eines Schatzmeisters anzuordnen oder eine Kontoeröffnung durch eine Kreisgeschäftsführerin zu veranlassen. Nicht zuletzt kommt es zudem mittlerweile auch immer häufiger vor, dass politisch Aktive direkt das Ziel sind. Diese zumeist sehr aufwendig erdachten Angriffe, sozusagen “sozial konstruiert” (“social engineered”), richten besonders hohen Schaden an und sind mittlerweile bis in Rathäuser kleinster Ortschaften zu erleben. 

⁎⁎⁎

Gegen Hacker helfen Notfallpläne

Werden politisch Aktive direkt angegriffen, erleben sie nicht nur fehlenden Zugang zu Daten oder ein Missbrauch ihrer Profile in den sozialen Medien. Vielmehr werden sie in ihrem politischen Handeln eingeschränkt. Denn: Den Schaden aufzuarbeiten und sich verbessert zu schützen nimmt viel Zeit ein. Der Ausfall von Erreichbarkeit schneidet zudem den Weg zu wichtigen Informationen und zu Teilhabe ab. Und nicht zuletzt können private bis intimste Daten öffentlich werden, welche das politische Handeln beeinträchtigen. 

Wenn Bürgermeister:innen zurücktreten, weil sie um die Sicherheit ihrer Familie bangen oder Engagierte für etwas nicht kandidieren, weil sie Leaks über private Vorlieben fürchten, wird Demokratie angegriffen. Gerade Frauen werden im Zusammenhang mit Cyberangriffen in der Politik zusätzlich Opfer von Cybermobbing. Das passiert auch vor allem dann, wenn keine ausreichende Hilfe vorhanden ist. Oftmals fühlen und erleben sich Angegriffene vollkommen allein gelassen. Auch das Wissen darum, woher sie Hilfe bekommen könnten, fehlt ihnen. 

Sollte etwas Ungewöhnliches oder Verdächtiges am Endgerät erlebt werden, dann helfen zunächst einmal grundsätzlich diese vier Schritte: 

1. Ruhe bewahren, Endgerät eingeschaltet lassen 
2. Vom Internet trennen, letzte Anwendung speichern 
3. Nichts löschen, nichts klicken, Gerät wechseln 
4. Kontakt aufnehmen mit IT-Expertise und Meldung machen 

Häufig ist gerade der letzte Schritt für viele eine Herausforderung: Wer hilft mir denn im Schadensfall? Auch haben viele Angst vor hohen Rechnungen für IT-Dienste, welche gerade kleinere politische Gruppierungen nicht zahlen können. Hier können jedoch auch staatliche Einrichtungen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) helfen. Sich zudem im Umfeld umzuhören, wo Expertise vorliegt, wer vielleicht bereits gut vernetzt ist, oder wo es Schulungen gibt, ist ein weiterer Schritt. Dass es derzeit nicht die eine günstige Hilfe auf Abruf gibt, ist Grund, sich der Sache nun entschieden zu widmen. Denn Vorfälle müssen aufgearbeitet und gelöst werden. 

⁎⁎⁎

Ein neues Bewusstsein für IT-Sicherheit

Die meisten Organisationen widmen sich einer sicheren IT-Struktur zumeist erst nach einem heftigeren Angriff. Das ist auch normal, priorisieren wir Angriffe doch grundsätzlich nach der Wahrnehmung von Gefahren. Allerdings fehlt uns auch kulturell eine Selbstverständlichkeit zum IT-Schutz, den wir in anderen Bereichen haben. Mag es beispielsweise für so manch Touristen etwa aus kanadischen Vororten total aufwendig wirken, wie wir jeden Tag alle Türen und Fenster verschließen, gleich mehrere Schlüssel mit uns umhertragen und noch dazu mitunter Alarmanlagen und Kamerasysteme pflegen: Für uns ist es selbstverständlich. Dennoch gab es über 50.000 Einbrüche in Deutschland allein in 2021. 

Im IT-Sicherheitsbereich sind wir dabei noch wesentlich unvorsichtiger. Wir versenden E-Mails fast ausschließlich unverschlüsselt, was einem Versenden von für alle einsehbare Postkarten gleichkommt. Das beliebteste Passwort in Deutschland ist “123456”, welches zudem viel zu oft nicht durch einen zweiten Faktor geschützt ist. Daten liegen ungeschützt auf Festplatten, gerne auch mal in einem Café mit offenem W-LAN angelegt. 

Dabei haben wir eine verschobene Wahrnehmung: Während Einbrüche in private Wohnungen Wellen bis ins Nachmittagsfernsehen schlagen, erleben wir Cyberangriffe als einzelne, unabhängige und zumeist nicht weiter öffentliche Ereignisse. Dabei haben wir es nicht mehr mit individuellem Versagen zu tun. Vielmehr sind immer mehr Angriffe die nüchterne Konsequenz aus einer permanent wachsenden Cyberkriminalität. 

Wie auch beim Schutz der Immobilie muss es daher viel eher darum gehen, dass wir es Angreifenden so schwer wie möglich machen. Da die allgemeine IT-Sicherheit weiterhin in Deutschland sehr niedrig ist, sind Ziele automatisch deutlich weniger attraktiv für Cyberkriminelle, wenn sie sich wenigstens den Grundlagen wie Zwei-Faktor-Authentifizierung und Cloud-Diensten widmen. Denn, offen gesagt, machen wir es den meisten Angreifenden - auch in der Politik! - noch viel zu einfach.

⁎⁎⁎

Mythos Einzelschuld: Hacker greifen Systeme an

Viel zu oft ist zu erleben, dass nach Angriffen die Schuld Einzelner gesucht wird. Dabei gehören Unachtsamkeit, fehlende Information und auch Überforderung schlichtweg zum Menschsein dazu. Gerade in der Politik, die sich dieser Tage vermehrt im dauerhaften Krisenmodus befindet und in der schon immer zu wenig Zeit für alles war, sind ungewollte Fehler der Normalfall. Zunächst ist es daher wichtig, dass IT-Sicherheit von Parteien, Fraktionen und anderen politische Organisationen als gemeinsame Aufgabe verstanden wird. Das bedingt zunächst ein gemeinsames Verständnis auf eine neue Fehlerkultur: Es muss schlimmer sein, einen Vorfall nicht zu melden, als für einen eventuellen Mitanteil bestraft zu werden. Generell sollten Bestrafungen gar nicht mehr stattfinden.

Oft genug ist zudem zu erleben, dass Einzelne verunsichert sind. Sie denken, dass nur sie etwas nicht verstehen und zögern, etwa eine fehlende Kompetenz zu offenbaren. Zudem haben sie selten jemanden, der sich Zeit für sie nimmt, ihnen hilft aber auch mal etwas erklärt. Sie wollen keinen Ärger und melden dann lieber gar nichts, verwischen unter Umständen noch potenzielle Spuren – Spuren, die womöglich bei der Aufklärung und Verbesserung auf Kriminelle und Schwachstellen hätten deuten können (die das natürlich längst erkannt haben und bewusst nach der schwächsten Stelle im einer Gruppe suchen). 

Neben der individuellen Sensibilisierung braucht es daher auch umfangreiche Sicherheitssysteme. Viele Angriffe folgen einer sogenannten “kill chain”, also einer Verkettung von Eingriffen. Gerade, wenn besonders wichtige Daten gut geschützt sind, suchen sich Angreifende zunächst Ziele im schwächer geschützten Umfeld. Dieses kann auch nur ein erster Schritt zum eigentlichen Ziel sein. Es braucht also gesamtheitlichen Schutz. 

⁎⁎⁎

Alleingänge in der Cybersicherheit sind kaum noch bezahlbar

Für einen gesamtheitlichen Schutz braucht es auch das Durchspielen möglicher Angriffsszenarien: 

• Wer kann angegriffen werden 
• Wie kann angegriffen werden 
• Was kann angegriffen werden 
• Wann kann angegriffen werden 

Dies einmal pro Jahr im Team durchzuspielen und dabei Schwachstellen aufzudecken, kann wichtige Erkenntnisse bringen. Selbst wenn erst einmal nur der Bedarf erkannt wird, ist das eine gute Grundlage, um sich Schritt für Schritt zu verbessern. 

Es gehört zur Ehrlichkeit aber auch dazu, dass ohne die Unterstützung starker Partner der Schutz nicht mehr umfangreich gegeben werden kann. So setzen einige in puncto Datensicherheit auf eigene, private Server. Das ist nicht nur teuer (auch wenn es weiterhin gute Gründe dafür geben mag), sondern mit den Hochsicherheits-Servern der großen Cloudanbieter können diese schlichtweg nicht mithalten. 

Dadurch, dass diese Anbieter ihre Dienste aber sehr vielen Menschen gleichzeitig anbieten können, sind diese immer günstiger. Gerade im Ehrenamt, wo oft nicht viel Geld zur Verfügung steht, ist der Trend zu immer mehr “Software as a Service” (SaaS) zu immer günstigeren Konditionen eine gute Gelegenheit, entsprechend bisherige Strukturen umzustellen. Denn das Geld wird anderswo gebraucht: Gerade für kritische Infrastrukturen rund um Personal-, Strategie- und Finanzdaten ist aktuelle Hardware mittlerweile unerlässlich. Dabei gilt es eben auch den Wandel in der IT zu beachten, bei dem jüngere Systeme die Sicherheit von Anfang an mitgedacht haben und so einsetzen, dass sie einfach und intuitiv anzuwenden sind. 

⁎⁎⁎

Sicherheit vor Hacking muss den Alltag verbessern

Es ist schlichtweg eine Tatsache, dass der Mensch nicht für eine dauerhafte Wachsamkeit geschaffen ist. IT-Sicherheit hat daher nur eine Chance, wenn es überzeugend und wie selbstverständlich im Alltag integriert ist. Vielmehr ist festzuhalten: Wenn Sicherheit bedeutet, dass alles länger, umständlicher und weniger überzeugend ist, dann wird sie nicht angenommen werden. 

Dabei lassen sich durch Cybersicherheit viele Prozesse sogar parallel vereinfachen, besser koordinieren, transparenter gestalten und so für alle besser machen. Wenn eine umfangreiche Bedarfsanalyse so weit geht, dass sie spürbare Verbesserungen der Prozesse umfassen, kann sie ein echter Erfolg werden. Wir vom Projekt “PolisiN” begleiten politisch Aktive dabei auf kommunaler, Landes- sowie Bundesebene umfangreich und kostenfrei.

Hacking ist mittlerweile eine Kompetenzbündelung aus IT-Expertise, tiefenpsychologischer Manipulation und kreativem Angriffs-Design. Es ist ein Zusammenspiel vieler Kompetenzen, die Expertise in Programmierung nimmt dabei einen immer kleineren Teil ein. Cyberkriminalität gibt es mittlerweile auch “as a Service” (CaaS) und kann daher von allen Seiten kommen, günstig eingekauft werden und findet mitunter in mehreren, zeitlich entzerrten Etappen statt. Davor muss sich Politik umfangreich schützen, individuell und gesamtheitlich. 

Nicht wenige sprechen im Zusammenhang mit Hacking aber mittlerweile auch von einer Form digitaler Kunst. Oftmals fühlen sich vor allem Menschen mit einem Wunsch, alles aufzuschrauben, alles zu verstehen, alles beeinflussen zu können davon besonders angezogen. Diese Kompetenz auch in die Politik verstärkt einzubinden und für die Demokratie zu nutzen, kann viele spannende Entwicklungen eröffnen.