Gefährliches Neuland
CDU-Parteizentrale per Zero-Day-Sicherheitslücke gehackt
Mit der CDU wurde eine Partei nur wenige Tage vor den Europawahlen Opfer eines Angriffs auf ihre interne digitale Infrastruktur. Ausgerechnet über eine Schwachstelle in einem Cybersicherheitsprodukt stiegen die Täter ein. Das deutet auf viel größere Probleme hin als auf die IT-Sicherheit einer einzelnen Partei.
Ende Mai, kurz vor der Europawahl, kompromittierten Angreifer die IT-Infrastruktur des Konrad-Adenauer-Hauses, der Parteizentrale der Christlich-Demokratischen Union Deutschlands (CDU). Laut dem Parteivorsitzenden Friedrich Merz war es der „schwerste Angriff auf eine politische Partei in Deutschland“. Trotz des Superlativs ist das wohl keine unrealistische Einschätzung. Die CDU rief sowohl das für Spionageabwehr zuständige Bundesamt für Verfassungsschutz (BfV) als auch das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Hilfe. Beide Behörden unterstehen dem Bundesinnenministerium, das von einem „schwerwiegenden Angriff“ sprach.
Parteien als Hochwertziele
Unerwartet kam die Attacke nicht, handelte es sich doch weder um den ersten Angriff auf eine deutsche Partei noch um den ersten auf die CDU. Schon Anfang 2024 war die Partei Ziel einer Spear-Phishing-Attacke, mit der Angreifer versuchten, an Zugangsdaten zu gelangen. Solche Versuche wurden auch bereits 2016 und 2017 bei den Christdemokraten dokumentiert. Anfang Mai dieses Jahres protestierte die Bundesregierung diplomatisch gegen einen Angriff auf die SPD, den sie einer Einheit des russischen Militärgeheimdiensts GRU zuordnete. Bei dem Angriff Ende 2022 bis Anfang 2023 wurden SPD-Postfächer ausgespäht. Zum Einsatz kam eine bis dahin unbekannte Sicherheitslücke in Microsofts Outlook, ein sogenannter Zero-Day-Exploit.