Nach der SPD: Auch die CDU wurde gehackt

Als Video ansehen
Bereitgestellt über YouTube

Nach der SPD: Auch die CDU wurde gehackt

Politik-News, Videobeitrag DMW007

Die CDU hat sich Hacken lassen und zwar auf gewisse Weise gleich doppelt. Das erinnert an den Angriff auf die SPD, der einige Monate zuvor durch schwere, unzureichend sowie langsam korrigierte Sicherheitsmängel in Microsoft Outlook ermöglicht wurde. Was bisher in allen drei Fällen bekannt ist, zeigt dieser Beitrag. Außerdem werfen wir einen Blick darauf, wie es generell um IT-Kompetenz und vor allem Sicherheit bei den Parteien, insbesondere der CDU, bestellt ist.

Der „Cyberangriff“ auf die CDU

Am 01.06.2024 informierte das Bundesministerium des Innern und für Heimat (BMI) über einen „schwerwiegenden Cyberangriff auf das Netzwerk der CDU“.1 Was genau passiert ist, bleibt unklar. Andere Medien ergänzen, man schweige wegen laufender Ermittlungen.2 Das BMI ergänzt lediglich, dass man eine Warnung an alle im Bundestag ansässigen Parteien heraus geben möchte. Neben dem BSI ist ebenfalls der Verfassungsschutz in die Ermittlungen involviert. Außerdem habe man „alle Schutzmaßnahmen“ hochgefahren. Eine Woche vor der EU-Wahl verwundert das: Wieso erst jetzt?

Eine Sprecherin der Partei ergänzte, man hätte die IT-Infrastruktur in Teilen vom Netz genommen. Damit dürfte es sich wahrscheinlich um einen der Ransomware-Angriffe handeln, die seit Jahren regelmäßig Windows Umgebungen zusammenbrechen lassen. Für gewöhnlich ist das eine Monokultur von schlecht abgesicherten Microsoft-Netzwerken. Das häuft sich so stark, dass es inzwischen kaum mehr berichtenswert ist – außer, große Unternehmen sind betroffen. Oder politische Parteien, wie in diesem Falle die CDU.

SPD ebenfalls gehackt – dank Microsoft

Im Januar 2023 machte sich die SPD angreifbar.3 Sie setzte für ihre E-Mails auf Microsoft, in denen (völlig überraschend!) Sicherheitslücken gefunden wurden. Oder anders gesagt: Microsoft war die Sicherheit ihrer Kunden nicht so wichtig, wie sie das in der Werbung gerne behaupten. Die SPD nutzt MS Exchange und wer da noch halbwegs auf Sicherheit wert legt, wird wohl wenigstens einigermaßen zeitnah patchen. Am 10.01.2023 veröffentliche MS Fehlerkorrekturen für insgesamt vier Schwachstellen.4 Als Marktführer hat MS in diese wichtigen Sicherheitsupdates natürlich gleich satte fünf neue Fehler eingebaut.5

Die SPD hat die Patche wohl erst am 16.01. eingespielt, also fast eine Woche später Das ist sportlich, wenn man sich die CVSS-Werte anschaut: Die gefährlichste Lücke kommt dabei auf 8/10 und man kann damit Windows Authentifizierungshashes klauen. Man stelle sich vor, die Feuerwehr würde so arbeiten, eine Woche nach dem Notruf kommt ein Feuerwehrauto. Würden wir wohl kaum akzeptieren und das aus gutem Grunde. Insbesondere, wenn die Erklärung, warum die Feuerwehr nichts getan hat, auch noch Fehler enthält. Die SPD behauptet, erst ab dem 11.01. verwundbar zu sein. MS hat die Sicherheitsupdates jedoch bereits am 10.01. veröffentlicht.6

Die Qualität vom Marktführer

Und selbst dieses Datum wäre in diesem Kontext falsch: Die Lücken sind ja nicht erst am 10.01. entstanden, sondern waren schon vorher vorhanden. Wochen? Monate? Jahre? Das weiß bei proprietärer Software lediglich der Hersteller. Außerdem kam später heraus, die Angreifer nutzten CVE-2023-23397.7 Eine ältere Lücke, die seit mindestens März 2022 in Outlook steckt. Bekannt ist die Ausnutzung durch Angreifer seit April 2022. Der Konzern ließ sich satte zwei Monate Zeit für ein Update – ist ja nur eine 9.8/10, mit der man Schadcode ausführen kann. Dafür ist keine Nutzerinteraktion nötig! Es genügt, wenn Outlook eine präparierte E-Mail empfängt. Als Krönung bekommt es MS nicht einmal hin, diesen Totalschaden zu korrigieren. Die Schwachstelle bleibt trotzdem offen.8

Selbst wenn man es wohlwollend sehen will, ist die IT Sicherheit bei der SPD mindestens katastrophal: Die Infos sind so falsch, dass sie nicht mal zu anderen falschen Daten passen. Wie will man Themen wie Digitalisierung für ein ganzes Land in den Griff bekommen, wenn man MS Exchange nutzt und den auch noch nicht mal wenigstens akribisch patcht?

Lachnummer CDU: Kein Danke für die Hilfe, Anzeige ist raus

Die CDU hat es geschafft, sich in IT-Kreisen bemerkenswert unbeliebt zu machen. Der größte Griff ins Klo war „CDU-connect“: Eine App, mit der Wahlkampfhelfer alles dokumentieren sollen, was sie an der Haustüre bekommen: Alter, Geschlecht, politische Einstellung, „Meinung zur CDU“ und mehr. Manche Wähler fanden das hinsichtlich Datenschutz zweifelhaft. Doch die Partei behauptete dreist, es seien überhaupt keine personenbezogenen Daten enthalten. Dummerweise war das falsch und die APP ziemlich schlecht gesichert, wodurch jeder Zugriff auf Daten von 100.000 Personen aus dem Haustürwahlkampf, persönlichere Infos von 1.000 CDU-Unterstützern und als Bonus gab es die von 18.000 Wahlkampfhelfern oben drauf.9

Selbst das ist nur ein Auszug aus dem Desaster: Die App gibt es seit 2017 und wurde 1:1 für CSU sowie „Die neue Volkspartei“ in Wien kopiert.10 2019 hat sie ein Bitcoin & Cloud Professor11 bei den Aspekten Datensicherheit und Datenschutz als „gut“ beurteilt. In einer Branche, in der die Crypto-Bros selbst von 95% Betrügern sprechen,12 erübrigen sich wohl weitere Fragen. Da haben sich zwei gefunden.

Hier ist die Katastrophe nach wie vor nicht zuende, die CDU setzt noch eines drauf: Lilith Wittmann meldete diese ganzen gravierenden Mängel an die Partei. Responsible Disclosure nennt sich das unter ethischen Hackern. Die CDU macht damit erneut das dämlichste, was man in der ohnehin schon peinlichen Situation machen kann: Anzeige erstatten.13 Und sich später damit raus reden, dass es ein Versehen war. Selbst für konservative Parteien ist das ein Beispielloses Verhalten.

Der Chaos Computer Club (CCC) hat daraufhin beschlossen, keine Sicherheitsmängel mehr an die CDU zu melden.14 Immerhin machen ehrenamtliche auf Fehler aufmerksam und statt eines Dankes sehen sie sich mit einer Strafverfolgung konfrontiert. Man stelle sich vor, der Nachbar macht auf die offenstehende Haustür aufmerksam und wird für seine Hilfe angezeigt. Würdet ihr jemandem, der sich so asozial verhält, noch mal helfen? Sicher nicht. Beim nächsten mal bleibt die Tür offen und das Risiko für Einbrüche/Schäden steigt.

Wie hat sich die CDU hacken lassen?

Ob es sich bei der CDU um die üblichen Microsoft-Kollateralschäden handelt, ist bislang nicht endgültig klar. Brandaktuell behaupten Insider, die CDU hat sich mit einer Schwachstelle in „Check Point Network Security Gateways“ hacken lassen.15 Für die gab es letzten Donnerstag ein Update. Betroffen sollen nur wenige sein, die noch auf reine Passwortanmeldung setzen.16 Das würde ja gut passen. Auf deren Homepage wird man von „AI-Powered Security Gateways“ begrüßt. 99,8% 0-Day Schutz. Da kann es der menschlichen Intelligenz schon mal passieren, dass man vor lauter „KI“ die grundlegenden Sicherheitsregeln vergisst – etwa 2-Faktor Authentifizierung.

Weitere Details kommen nur langsam ans Licht. Aktuell etwa, dass „die Sicherheitssoftware“ schuld sein soll.17 Das könnte eine Bestätigung für Checkpoint sein – oder Antivirensoftware. Entgegen der Werbeversprechen ist sie ein großes Einfallstor.18 Dies sind nur einige Beispiele von vielen.19 Darüber hinaus lassen sich die oft schlampig programmierten Virenscanner oft umgehen.20

Jedenfalls konnten die Angreifer mindestens zwei Wochen lang unentdeckt im Netzwerk der Partei operieren. Friedrich Merz spricht gar vom „schwersten Angriff auf eine IT-Struktur“ im Zusammenhang mit politischen Parteien.

Konservativ im wahrsten Sinne des Wortes

Eine andere Quelle spricht davon, das BSI empfehle anderen Kunden dringend, die Updates des Herstellers einzuspielen.21 Offensichtlich stehen also Fehlerkorrekturen zur Verfügung. Mindestens hat die Partei aber auf 2-Faktor Authentifizierung verzichtet, was laut Hersteller den Totalschaden verhindert hätte. Das wäre nicht verwunderlich: Die CDU ist schon mehrfach mit katastrophaler „Digitalkompetenz“ aufgefallen. Beispielsweise 2021, als sie auf Microsoft Exchange setzten und noch dazu eine uralte 2010 Version.22 Die wird bereits seit 2020 vom Hersteller nicht mehr unterstützt. Kein Grund für die CDU, zu reagieren: Das uralte Outlook war bis Mitte Mai 2024 erreichbar.23 Im besten Falle hat der 3,5 Jahre keine Updates gesehen – mehr als gewagt bei einer Software, die nahezu monatlich durch schwere Sicherheitsmängel auffällt.

Erzkonservativ ist die CDU auch bei ihrer NextCloud.24 Dort hatten sie Version 20 laufen, die bereits seit November 2021 ihr Lebensende erreicht hat.25 Getan wurde erst was, als Günter Born im Mai 2024 auf diese vergammelte Software aufmerksam wurde und die Partei anschrieb.

Noch ein Datenleck!

Auch das ist noch längst nicht alles. Unter jobs.CDU.de betreibt die Partei ein Portal für Stellenangebote. Das ist jedoch ähnlich schlampig entwickelt worden, wie „CDU connect“ viele Jahre zuvor: Persönliche Informationen aller Bewerber, die sich bei der Partei beworben hatten, waren darüber öffentlich einsehbar – ohne jeglichen Schutz. 4.870 Einträge sind betroffen, der älteste stammt aus dem Jahre 2016 und ist somit 8 Jahre alt.26

Die Liste ließe sich noch weiter führen. Ebenfalls jüngst hat die CDU eine Umfrage zum von der EU geplanten Zulassungsverbot von Fahrzeugen mit Verbrennermotor gestartet. Jeder konnte anonym abstimmen, was für eine halbwegs repräsentative Umfrage schon mal keine gute Idee ist. Das Ergebnis passte der Partei gar nicht: Etwa 85% stimmten für ein Verbot fossiler Autos, bis die Umfrage von der Partei kurzerhand abgeschaltet wurde. Der Generalsekretär erhob schwere Vorwürfe: Es sei „traurig, wie hier mit krimineller Energie manipuliert wird“.27 Noch ein CDU-Politiker, der das Internet nicht verstanden hat und die Schuld lieber auf andere schiebt, statt die eigenen Mitarbeiter zu schulen, die das offensichtlich dringend nötig haben.

Fazit

Datenschutz spielt bei der CDU offensichtlich ebenfalls keine Rolle – was wenig verwunderlich ist, wenn man bei der Sicherheit schon derart katastrophal schlechte Arbeit abliefert. Obwohl die Umstände des aktuellen Angriffs noch nicht alle geklärt bzw. bekannt sind: Bereits mit den öffentlich verfügbaren Informationen strotzt die CDU überhaupt nicht mit digitaler Kompetenz – im Gegenteil. Seit Jahren missachtet die Partei offensichtlich gezielt das kleine Einmaleins der IT Sicherheit.

Dieses Defizit hält die CDU keineswegs davon ab, sensible Daten wie den Ausweis auf Cloud-Systeme ins Internet schieben zu wollen.28 Als Bürger eine Horrorvorstellung. Ich hoffe, keiner von euch ist so lebensmüde, denen auch noch bei der EU-Wahl am Wochenende eine Stimme zu geben. Auch nicht als Protest, das geht voll nach hinten los. Wer damit meint protestieren zu wollen, findet genug Parteien, die weit weniger Schaden anrichten – beispielsweise Die Partei. Selbst so eine Satirepartei hat mehr Digitalkompetenz, als die CDU!

Und ja, der Verdacht liegt natürlich nahe, dass der Zeitpunkt nicht zufällig gewählt wurde. Das spielt allerdings keine entscheidende Rolle. Die CDU hat IT-Sicherheit schon vor der Wahl massivst vernachlässigt. Sogar die Zivilgesellschaft wurde angezeigt, als diese ihr ein wenig bei den selbst verschuldeten Mängeln helfen wollte. Dieses Unterirdische Verhalten hat absolut nichts mit dem Zeitpunkt zu tun. Die Partei hat sich seit Jahren als volle Katastrophe erwiesen, wenn es um IT-Themen geht – insbesondere Sicherheit. In diesem Artikel ist nur ein Auszug genannt, es gibt noch genug weitere Beispiele. Daran ändert der aktuelle Hack wenig. Genau so wenig spielt es eine Rolle, ob die Angreifer aus China, Russland, den USA oder Frankfurt am Main kommen. Das sind alles Nebelkerzen, mit denen die CDU von sich ablenkt – wie sie es immer tut: Wer ihr Sicherheitsmängel meldet ist ein böser Hacker und gehört angezeigt, wer bei ihrer schlecht abgesicherten Umfrage mehrfach abstimmt ist voller „Krimineller Energie“ usw. Ein Teil greift das dankenswert auf und regt sich nun über den Bote auf. Achtet mal darauf, das hat System.

Quellen

  1. https://x.com/BMI_Bund/status/1796911510876217568 ↩︎
  2. https://www.n-tv.de/politik/Cyber-Angriff-auf-CDU-Verfassungsschutz-eingeschaltet-article24982539.html ↩︎
  3. https://www.spd.de/aktuelles/detail/news/information-ueber-eine-moegliche-datenschutzverletzung/26/06/2023 ↩︎
  4. https://www.borncity.com/blog/2023/01/11/exchange-server-sicherheitsupdates-10-januar-2023-dringend-patchen/ ↩︎
  5. https://www.borncity.com/blog/2023/01/12/microsoft-exchange-januar-2023-patchday-nachlese-dienste-starten-nicht-etc/ ↩︎
  6. https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808 ↩︎
  7. https://www.heise.de/news/Cyberattacke-auf-SPD-und-andere-Russische-Angreifer-nutzten-Outlook-Luecke-9707712.html ↩︎
  8. https://www.borncity.com/blog/2023/03/28/leitfacen-von-microsoft-zur-outlook-schwachstelle-cve-2023-23397/ ↩︎
  9. https://netzpolitik.org/2021/sicherheitsluecken-in-wahlkampf-apps-karl-heinz-t-parteimitglied-hat-gerade-bauland-gekauft/ ↩︎
  10. https://lilithwittmann.medium.com/wenn-die-csu-und-die-volkspartei-digitalen-wahlkampf-machen-6d9e245efefc ↩︎
  11. https://www.cb.hs-mittweida.de/professoren-innen/forensik/prof-pawlaszczyk/ ↩︎
  12. https://de.beincrypto.com/doge-gruender-95-aller-kryptos-sind-scam-elon-musk-reagiert/ ↩︎
  13. https://netzpolitik.org/2021/cdu-connect-berliner-lka-ermittelt-gegen-it-expertin-die-sicherheitsluecken-in-partei-app-fand/#netzpolitik-pw ↩︎
  14. https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu ↩︎
  15. https://www.heise.de/news/CDU-Angriff-Luecke-in-Check-Point-Gateway-soll-Einfallstor-gewesen-sein-9745917.html ↩︎
  16. https://www.heise.de/news/Notfallpatch-Angreifer-attackieren-VPN-Verbindungen-von-Check-Point-Gateways-9741056.html ↩︎
  17. https://www.spiegel.de/politik/deutschland/news-des-tages-hochwasser-cyberangriff-auf-die-cdu-polizei-sucht-waffendepots-von-reichsbuergern-a-5c86c833-778f-4921-b8fa-9948e48675bd#ref=rss ↩︎
  18. https://www.bleepingcomputer.com/news/security/hackers-used-new-windows-defender-zero-day-to-drop-darkme-malware/ ↩︎
  19. https://www.bleepingcomputer.com/news/security/kasseika-ransomware-uses-antivirus-driver-to-kill-other-antiviruses/ ↩︎
  20. https://winfuture.de/news,138257.html ↩︎
  21. https://regionalheute.de/angreifer-nutzten-bei-cdu-hack-luecke-in-sicherheitssoftware-1717485123/ ↩︎
  22. https://blog.jakobs.systems/micro/20210809-digitalisierung-in-a-nutshell/ ↩︎
  23. https://www.borncity.com/blog/2024/05/15/cdu-erneut-gerettet-deren-nextcloud-server-ist-wieder-online-und-gepatcht/ ↩︎
  24. https://www.borncity.com/blog/2024/05/08/cyberspionage-cdu-betreibt-veralteten-nextcloud-server-offener-jitsi-server-der-grnen/ ↩︎
  25. https://github.com/nextcloud/server/wiki/Maintenance-and-Release-Schedule ↩︎
  26. https://www.heise.de/news/CDU-Liste-von-Bewerbern-stand-frei-zugaenglich-im-Netz-9747811.html?wt_mc=rss.red.ho.beitrag.rdf.beitrag.beitrag ↩︎
  27. https://www.n-tv.de/politik/CDU-zieht-bei-Verbrenner-Umfrage-den-Stecker-article24966699.html ↩︎
  28. https://www.heise.de/news/Online-Ausweis-CDU-CSU-will-die-eID-in-die-Cloud-bringen-9718306.html ↩︎

Leave a Reply