Cyberangriff auf Politiker: Sicherheit ist mehr als Verschlüsselung
Die Angriffswelle auf Signal- und WhatsApp-Nutzer zieht weitere Kreise – auch deutsche Spitzenpolitiker wie Julia Klöckner sind betroffen. Vielerorts herrscht Verunsicherung: Wurden die US-Dienste gehackt? Oder liegt der Fehler bei den Opfern? Weder noch. Wir ordnen ein.
Bereits letzten Monat haben Medien berichtet, dass Signal- und WhatsApp-Benutzerkonten von hochrangigen Regierungsbeamten über einen gross angelegten Phishing-Angriff gekapert wurden.
Unterdessen hat sich herausgestellt, dass die Reichweite des Angriffs grösser als angenommen ist und zu den Opfern auch deutsche Spitzenpolitiker zählen – allen voran Bundestagspräsidentin Julia Klöckner. Die Lage ist so ernst, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Woche einen Leitfaden für Signal-User veröffentlicht hat.
In Medienberichten ist häufig von einem «Signal-Hack» die Rede. Das ist jedoch nicht nur irreführend, sondern falsch. Die Angreifer – mutmasslich russische Staatsakteure – haben Signal nicht gehackt: Sie geben sich als Signal-Support aus und bringen ihre Opfer unter Vorspiegelung falscher Tatsachen dazu, einen Verifikationscode preiszugeben. Mit diesem Code können sie anschliessend die Benutzerkonten ohne weitere Schritte übernehmen.
Weil es sich nicht um Hacking handelt und die Verschlüsselung von Signal intakt ist, folgern einige Kommentatoren, dass die Schwachstelle die Opfer sind und das Problem einzig und allein bei ihnen bzw. ihrem Verhalten liegt.
Diese Einschätzung greift jedoch zu kurz. Der aktuelle Vorfall zeigt anschaulich, dass die Sicherheit eines Systems nicht mit der Stärke seiner Verschlüsselung zusammenfällt, sondern von weiteren Faktoren – insbesondere der Architektur – abhängt.
Grundproblem: Die Telefonnummer ist kein solides Fundament
Systeme, welche die Telefonnummer als Identifizierungsmerkmal verwenden, haben zwar den Vorteil, dass sich Nutzer einfach gegenseitig auffinden können, dieser Ansatz verunmöglicht aber nicht nur von vornherein anonyme Nutzung, sondern weist auch eine inhärente Schwachstelle auf.
Um nachzuweisen, dass ein Nutzer nicht irgendeine beliebige, sondern seine eigene Telefonnummer registriert, muss er in der App den Verifikationscode eingeben, welcher per SMS zur Bestätigung an die betreffende Nummer geschickt wird.
Selbst wenn der Nutzer diesen Code niemandem weitergibt: Der Kommunikationskanal, über den er ihn erhalten hat, kann nicht als sicher gelten. SMS-Nachrichten sind nicht durchgängig verschlüsselt, und dass sich Angreifer oder staatliche Akteure Zugriff auf das Mobilfunknetz verschaffen, liegt durchaus im Bereich des Möglichen (z.B. durch Ausnutzung von Schwachstellen in Protokollen wie SS7).
Daher ist dieser Weg nicht geeignet, um die Kontoidentität zu etablieren, ganz besonders nicht bei Personen, die potenziell im Fokus zielgerichteter Cyberangriffe stehen.
Bei Threema dient anstelle der Telefonnummer eine zufällige, achtstellige Zeichenfolge ohne Bezug zum Inhaber als Identifizierungselement. Mit dieser sogenannten «Threema-ID» lässt sich zwecks Auffindbarkeit durch Kontakte optional eine Telefonnummer verknüpfen. Doch auch in diesem Fall ist es nicht möglich, via Telefonnummer eine Threema-ID wiederherzustellen bzw. zu kapern.
Mitigierende Massnahmen
Selbst wenn ein System die Telefonnummer als Identifizierungsmerkmal verwendet, gibt es Mechanismen, um derartige Phishing-Attacken zu verhindern oder zumindest zu erschweren.
In Threema zeigen z.B. Vertrauensstufen an, mit welcher Art von Kontakt es ein Nutzer zu tun hat: unbekannt, bekannt oder verifiziert. Versucht sich ein unbekannter Kontakt als Threema-Support auszugeben, scheitert der Täuschungsversuch im Idealfall daran, dass der Kontakt nicht verifiziert ist und die falsche Vertrauensstufe aufweist (ein roter Punkt statt drei grüne wie die offizielle Threema-Support-ID).
Eine noch wirksamere Massnahme ist, eine Option zum Blockieren unbekannter Kontakte anzubieten. Wenn Angreifer potenzielle Zielpersonen gar nicht erst kontaktieren können, wird der Angriffsvektor effektiv eliminiert.
Abgesehen davon stellt sich die Frage, ob Dienste für Privatanwender bei hochsensibler Kommunikation im institutionellen Kontext die richtige Wahl sind. In einem solchen Setting kann es sinnvoll sein, eine dedizierte Lösung für Unternehmen einzusetzen, die Nutzerverwaltung, Governance und Policy Enforcement bietet. In staatlichen Kontexten eignet sich eine selbstgehostete Lösung mit kompletter Datenhoheit und voller Kontrolle, um neben Phishing-Angriffen auch ein breites Spektrum weiterer Sicherheitsrisiken abzudecken.
