Phishing-Falle für Ministerinnen: Wenn die Regierung an simpelsten Tricks scheitert

Es ist eine Geschichte, die in jedem anderen Kontext als Schenkelklopfer durchginge – wäre sie nicht so brandgefährlich. Ausgerechnet jene politischen Köpfe, die uns Bürgern täglich erklären wollen, wie wir mit dem Internet umzugehen haben, fallen offenbar reihenweise auf die plumpsten Tricks digitaler Betrüger herein. Nach Berichten des Spiegel sollen die Bundesministerinnen Karin Prien (CDU, Bildung) und Verena Hubertz (SPD, Bauen) Opfer einer Phishing-Kampagne über den Messengerdienst Signal geworden sein. Ihre Konten gelten als kompromittiert.

Die Affäre wandert in die Spitze der Großen Koalition

Was als technisches Problem einzelner Nutzer begann, hat sich binnen weniger Wochen zu einem handfesten sicherheitspolitischen Skandal entwickelt. Eine offizielle Bestätigung der betroffenen Häuser bleibt bislang aus. Eine Sprecherin Priens erklärte lediglich, man wolle „zu Kommunikationsmitteln der Bundesregierung keine Auskunft geben". Aus dem Bauministerium verwies man auf nicht näher beschriebene „klare Grundsätze" – ein bemerkenswert auskunftsfreudiges Schweigen, wenn man es so nennen darf.

Beim Signal-Konto von Bundeskanzler Friedrich Merz seien hingegen keine Auffälligkeiten festgestellt worden. Mitarbeiter des Bundesamtes für Verfassungsschutz hätten den Kanzler persönlich informiert. Besonders pikant: Bereits in dieser Woche war bekannt geworden, dass auch Bundestagspräsidentin Julia Klöckner ins Visier geraten sei. Da Klöckner dem CDU-Präsidium angehört – einem Gremium, das Berichten zufolge über einen gemeinsamen Signal-Gruppenchat samt Kanzler kommuniziert – fragt man sich unwillkürlich, was dort eigentlich besprochen wird, dass die Sicherheitsbehörden derart nervös werden.

Phishing für Anfänger – und Minister

Die Methode der Angreifer ist alles andere als raffiniert. Es handle sich, so die Behörden, eben gerade nicht um einen Bruch der berühmten Signal-Verschlüsselung. Vielmehr setzten die Täter auf banalste Phishing-Tricks: Sie geben sich als Support-Dienst aus, verschicken täuschend echte Nachrichten und fordern Nutzer auf, PIN-Codes einzugeben, Links anzuklicken oder QR-Codes zu scannen. Wer darauf hereinfällt, öffnet seinen Account weit für fremde Augen – Kontakte, Chats, Dateien, Gruppenchats inklusive.

Mit anderen Worten: Wir reden hier nicht von einer hochgerüsteten Cyberwaffe, gegen die nur die NSA gewappnet wäre. Wir reden von einem Trick, vor dem jede halbwegs aufmerksame Sparkasse ihre Rentnerkundschaft warnt. Wer hier hereinfällt, dem mangelt es an digitaler Grundkompetenz – und exakt diese Personen entscheiden über Digitalgesetze, Chatkontrolle und Datenregulierung in Deutschland. Eine Pointe, die schmerzhafter kaum sein könnte.

Russland als Standardverdächtiger

Der Vorsitzende des Parlamentarischen Kontrollgremiums, Marc Henrichmann, machte Russland für die Angriffe verantwortlich. Offiziell bestätigt sei diese Zuordnung bislang nicht, doch hätten auch niederländische Sicherheitsbehörden und das FBI ähnliche Attacken russischen Geheimdiensten zugerechnet. Sicherheitsbehörden gingen davon aus, dass ein „staatlich gesteuerter Cyberakteur" hinter der Kampagne stehe. Der Generalbundesanwalt in Karlsruhe ermittelt seit Februar wegen des Anfangsverdachts der geheimdienstlichen Agententätigkeit.

Man darf die Zuordnung an Moskau für plausibel halten – muss sich aber zugleich fragen, warum es überhaupt so weit kommen konnte. Nach Informationen des Spiegel sollen Abgeordnete praktisch aller Bundestagsfraktionen betroffen sein. Öffentlich bestätigt wurden Fälle bislang nur von SPD und Linken. Das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik hatten bereits im Februar öffentlich vor genau dieser Kampagne gewarnt. Geholfen hat es offenkundig wenig.

Eine Regierung im digitalen Blindflug

Es ist diese Mischung aus Anmaßung und Inkompetenz, die fassungslos macht. Da werden Bürgern unter dem Stichwort „Chatkontrolle" pauschale Eingriffe in die Privatsphäre angedroht, da werden ständig neue Regulierungen für Plattformen, Messenger und soziale Netzwerke verkündet – und gleichzeitig fallen die Verantwortlichen auf Tricks herein, vor denen jeder durchschnittliche IT-Sicherheitsbeauftragte eines Mittelständlers seine Mitarbeiter schon vor zehn Jahren gewarnt hat. Wer Politik im Vertrauen auf einen kommerziellen Messenger machen will, dabei aber die Grundregeln digitaler Selbstverteidigung ignoriert, der disqualifiziert sich nicht nur als Cyber-Stratege, sondern als Hüter sensibler Staatsinformationen.

Besonders brisant ist der Vorgang, weil Signal in politischen Kreisen lange als besonders sicherer Kommunikationskanal galt. Gerade bei sensiblen Themen sei intern häufig auf den Messenger ausgewichen worden – ein Verfahren, das nun in Trümmern liegt. Dass für klassifizierte Regierungskommunikation eigentlich gesicherte, behördlich kontrollierte Systeme bereitstehen, scheint dem ein oder anderen Kabinettsmitglied bei der Bequemlichkeit der Smartphone-App entfallen zu sein.

Was bleibt: Vertrauensverlust und ein offenes Scheunentor

Die Signal-Affäre hat damit eine neue Eskalationsstufe erreicht. Vom Angriff auf einzelne Nutzer ist sie zu einem sicherheitspolitischen Problem im Zentrum der Bundesregierung geworden. Ob die kompromittierten Konten dazu missbraucht wurden, weitere Ziele zu attackieren, ob fremde Geheimdienste mittlerweile in fortgeschrittenen Netzwerkkarten der deutschen Politik schwelgen – all das bleibt unklar. Klar ist nur eines: Das Vertrauen der Bürger in die Kompetenz ihrer Regierung dürfte einen weiteren erheblichen Knacks bekommen haben.

In Zeiten, in denen geopolitische Spannungen zunehmen, in denen die Welt unsicherer wird und in denen Vermögenssicherung längst kein Randthema mehr ist, lohnt der Blick auf bewährte Konstanten. Während digitale Strukturen sich als anfällig erweisen und politische Entscheidungsträger ihre Handlungsfähigkeit selbst untergraben, behalten physische Edelmetalle wie Gold und Silber ihre stille, wertbeständige Funktion. Sie sind nicht hackbar, nicht phishbar – und unabhängig davon, ob ein Minister einen QR-Code scannt, den er besser nicht hätte scannen sollen.

Hinweis: Dieser Beitrag stellt keine Anlageberatung dar. Die hier geäußerten Einschätzungen geben ausschließlich die Meinung der Redaktion auf Grundlage der vorliegenden Informationen wieder. Jeder Leser ist verpflichtet, eigene Recherchen anzustellen und trägt für seine Anlageentscheidungen die alleinige Verantwortung. Eine Haftung für Verluste oder Schäden, die aus der Nutzung dieser Informationen entstehen könnten, wird ausdrücklich ausgeschlossen.