In der Cyberszene ist man nicht überrascht über den jüngsten Angriff auf die CDU, berichtet Gabriel Rinaldi. „Die CDU hat wie alle anderen Parteien keinen Ciso, der sich für die Cybersicherheit verantwortlich zeichnet“, sagte der Cybersicherheitsexperte Manuel Atug SZ Dossier. Ciso steht für Chief Information Security Officer, also ein IT-Sicherheitschef. Es gebe keine Mindestanforderungen zur Cybersicherheit an Parteien, auch nicht bei der selbsternannten Partei der Sicherheit.
Welche Art der Attacke war es? Es sei deshalb nicht verwunderlich, dass Sicherheitsvorfälle bei Parteien geschehen. Denn während viele Unternehmen strengere Vorgaben bekommen, blieben Parteien so wie ein Großteil aller Behörden laut Atug außen vor. Ein Sprecher des Innenministeriums antwortete auf eine ausführliche Anfrage nur, dass es „einen schwerwiegenden Cyberangriff auf das Netzwerk der CDU“ gegeben habe. CDU-Chef Friedrich Merz sagte gestern Abend, die Attacke sei „der schwerste Angriff auf eine IT-Struktur, den jemals eine politische Partei in Deutschland erlebt hat.“
Phishing statt DDoS? Zu Spekulationen, wonach es sich um eine sogenannte DDoS-Attacke – einem Angriff, bei dem Server so lang mit Anfragen geflutet werden, bis sie zusammenbrechen – handeln soll, wollte sich das BMI nicht äußern. Heise berichtete gestern unter Berufung auf gut unterrichtete Kreise, eine kürzlich geschlossene Schwachstelle in einem IT-Sicherheitsprodukt sei das Einfallstor gewesen und habe in Kombination mit einer Phishing-Attacke zu den Vorfällen geführt. Laut Herstellerangaben seien nur Kunden angegriffen worden, bei denen zur Authentifizierung lediglich Passwörter genutzt wurden und nicht etwa eine Zwei-Faktor-Authentifizierung.
Professioneller Akteur: Aus dem Adenauerhaus kam nur die Mitteilung, dass die Meldung über einen Angriff stimme, darüber hinaus äußere man sich im Moment aber nicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verfassungsschutz sind „intensiv damit befasst, den Angriff abzuwehren, aufzuklären und weiteren Schaden abzuwenden“, hieß es aus dem BMI. Detailfragen ließ das Ministerium unbeantwortet, die „Art des Vorgehens“ deute aber auf einen „sehr professionellen Akteur“ hin. Das BSI wollte sich zu dem Vorfall nicht äußern.