"Es ist ein Fall von Spionage"Ex-BND-Mann offenbart, wie er Opfer der Signal-Attacke wurde
Ein Interview von Frauke Niemeyer
Die Spuren weisen Richtung Kreml: Mutmaßliche Spione haben in Deutschland Hunderte Signal-Accounts zeitweilig übernommen. Der ehemalige BND-Vizechef Loringhoven erklärt, was bei ihm passierte und wie gefährlich die Attacke ist.
ntv.de: Herr Freytag von Loringhoven, wer von der Phishing-Attacke gegen Signalnutzer betroffen ist, braucht eine gewisse Chuzpe, um seine gesamten Kontakte von der Panne zu informieren. Sie haben sich sogar öffentlich dazu bekannt. Was hat Sie dazu bewegt?
Arndt Freytag von Loringhoven: Tatsächlich habe ich einen Moment lang überlegt, ob ich das lieber für mich behalten soll. Es ist ja auch peinlich, dass jemand wie ich, der Vizepräsident des BND war und ein Buch über russische Desinformation geschrieben hat, selbst Opfer wurde. Dann dachte ich aber, dass sicher viele betroffen sind. Ausschlaggebend war für mich der Wunsch, zur Aufklärung beizutragen, und das hat auch recht gut geklappt. Medien wie zunächst der "Spiegel" und auch Correctiv haben meine präzisen Informationen für ihre Recherchen nutzen können, um herauszufinden, wer hinter der Kampagne steckt.
Bevor wir über die Drahtzieher sprechen, wüsste ich noch gern: Sie werden in vielen Berichten über den Angriff als Beispiel-Opfer genannt. War auch das Ihr Ansinnen?
Ich glaube, dass es wirklich sehr wichtig ist, die Menschen zu informieren. Darum habe ich schnell meine Kontakte privat gewarnt und das, was ich über die Attacke weiß, danach auch öffentlich verbreitet. Überrascht hat mich allerdings, dass ein Medium daraufhin behauptete, ich hätte den Skandal losgetreten. Mein Bestreben war aber gerade nicht, den Skandal loszutreten, sondern ihn einzudämmen. Ich konnte hoffentlich dadurch etwas zur Aufklärung und Warnung beitragen.
Wie lief die Attacke bei Ihnen ab? Was ließ Sie Verdacht schöpfen?
In der Signal-App erhielt ich eine Nachricht eines vermeintlichen "Signal Support". Sie besagte, mein Account sei gefährdet, und forderte mich auf, einen parallel auf SMS zugesandten Registrierungscode einzugeben sowie meine Signal-Pin, was ich leider auch tat. Dann funktionierte alles wieder, aber am Tag darauf meldeten sich drei meiner Kontakte bei mir, die komischerweise auf Whatsapp eine Gruppeneinladung über meinen Signal-Account erhalten hatten. Sie wollten nachfragen, ob die Einladung echt sei und sie beitreten sollten. Ich kannte diese Einladung gar nicht und habe gesagt: "Tut das bitte auf keinen Fall!" In dem Moment habe ich Verdacht geschöpft und alle meine Signalkontakte vor dieser falschen Gruppeneinladung gewarnt.
Haben Sie die Dimension des Angriffs zu dem Zeitpunkt schon erahnt?
Ich habe mich bei Experten aus dem Sicherheitsbereich erkundigt, und die haben meinen Verdacht bestätigt. Bei der Phishing-Attacke sind offensichtlich meine Signal-Kontakte abgerufen worden. Ich habe daraufhin bei Signal alle meine Daten, die Chatverläufe, meinen Account und die App sofort gelöscht. Inzwischen weiß ich durch die Correctiv-Recherche, dass nach dem Abgreifen meiner Daten ein Klon meines Signal-Accounts erstellt worden sein könnte. Von diesem Klon könnte auch die Whatsapp-Einladung verschickt worden sein. Falls das so war, könnte der Betrug theoretisch auch noch weitergehen.
Es könnten erneut falsche Nachrichten in Ihrem Namen verschickt werden?
Wenn tatsächlich ein Klon meines Accounts existiert, wäre das möglich, das muss man im Kopf behalten. Bislang habe ich nichts Derartiges bemerkt, aber vielleicht passiert das auch erst in zwei Jahren. Man muss mit allem rechnen. Diese Whatsapp-Gruppe, die unter meinem Namen eingerichtet werden sollte, war ein zweiter Phishing-Versuch. Hätte jemand positiv darauf reagiert, hätte er oder sie den Datendieben ebenso Zugang zu den eigenen Kontakten gewährt.
Man wollte Ihre Identität also nicht für eine Desinformationskampagne missbrauchen, sondern um weitere Daten zu sammeln?
Genau das war wohl das Ziel hinter dem Anschlag. In diesem Sinne handelt es sich um einen Fall von Spionage. Es sind vertrauliche Informationen von mir gestohlen worden, auch mit dem Ziel, noch weitere Informationen zu stehlen. Dahinter steht wahrscheinlich auch die Absicht, Ängste in der Gesellschaft zu schüren, was ein typisches Merkmal der hybriden Kriegsführung ist. Nutzbar sind vertrauliche Daten aber für alle möglichen Zwecke. Häufig versucht man auch, damit Leute zu erpressen.
Inzwischen wird die Attacke auch von der Bundesregierung russischen Urhebern zugeordnet. Der Generalbundesanwalt ermittelt.
Die Recherche von Correctiv hat ergeben, dass für die Attacke ein russischer Hosting-Dienstleister namens Aeza genutzt wurde. Dieser Anbieter ist schon seit Jahren bekannt. Er steuert russische Propaganda-Kampagnen und verbreitet andere kriminelle Aktivitäten. In den USA und Großbritannien ist Aeza bereits sanktioniert, nicht aber in der Europäischen Union. Allein die Tatsache, dass Aeza hier als Dienstleister in Erscheinung tritt, ist ein Indiz für einen russischen Hintergrund.
Welche weiteren Hinweise gibt es?
Das Phishing Tool, also das Werkzeug, das für den Angriff verwendet wurde, ist ein spezielles Programm namens Defisher. Über dieses Programm wird die Attacke gesteuert, und exakt dieses Tool hat man auch bei Phishing-Attacken in Moldau und in der Ukraine identifiziert. In den letzten Jahren wurde es in russischen Hackerforen beworben und für umgerechnet 600 Euro zum Kauf angeboten. Zunächst wurde das Programm offenbar für Cyberkriminelle entwickelt. Inzwischen wird es wahrscheinlich im Dienste des Kremls auch für Spionagezwecke eingesetzt.
Signal galt eigentlich als besonders sicherer Messenger - eine Non-Profit-Initiative, die kein Wissen über Nutzerinnen und Nutzer generiert und standardmäßig den Inhalt zwischen Senderin und Empfänger verschlüsselt. Manch einer fragt sich: Warum haben die Spione gerade Signal ins Visier genommen?
Ich glaube nicht, dass das Zufall ist. Mir scheint es eher besonders clever oder perfide zu sein, weil viele Nutzer Signal im Vergleich mit Whatsapp als sicherer wahrnehmen. Das macht ein Stück weniger misstrauisch, wenn so eine vermeintliche Nachricht des Anbieters ankommt, die vor einem Sicherheitsproblem warnt.
Seit einigen Tagen wird viel über die Attacke berichtet, dabei läuft sie schon seit vielen Wochen. Hätte es bei Bekanntwerden des Phishing-Angriffs eine größere Infokampagne geben müssen?
Es ist sehr wichtig, die Bevölkerung frühzeitig zu warnen. Das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik haben bereits im Februar vor den Phishing-Versuchen gewarnt und der niederländische Geheimdienst schrieb die Angriffe russischen "Staats-Hackern" zu. Die Amerikaner und Briten haben den russischen Dienstleister Aeza sanktioniert. Es war also einiges bekannt, aber wahrscheinlich nicht in der Breite der Gesellschaft wahrgenommen worden.
Nun sind auch etliche Abgeordnete des Bundestags und sogar Ministerinnen betroffen.
Es wird sicher eine Lehre sein, so früh und so breit wie möglich vor einer Attacke zu warnen. Und nicht so lange zu warten, bis alle Details der Ermittlungen aufgeklärt sind. Gut finde ich, dass sich die deutschen Sicherheitsorgane dazu durchgerungen haben, Russland als Urheber klar zu benennen. In der Vergangenheit war man mit solchen Einschätzungen oft zurückhaltend. Diese Erkenntnis öffentlich zu machen, war der richtige Schritt.
Sicherheitsvorkehrungen werden ständig verbessert, aber auch Spione und gegnerische Mächte entwickeln ihre Techniken weiter. Wie mache ich eine Gesellschaft möglichst resilient?
In diesem Fall lagen Verdachtsfälle aus den Niederlanden, aus Moldau und der Ukraine vor. Da sollte man recherchieren: Nach welchen Mustern lief das ab? Die Verbindung, die in meinem Fall von Signal zu Whatsapp gezogen wurde, erwartet man zunächst nicht. Der Angriff als Nachricht des Anbieters getarnt, da muss man auch erstmal drauf kommen. Diese Methoden waren aber schon bekannt und vor ihnen hätte man vielleicht schon früher gezielt warnen können. Der Bedarf in der Gesellschaft ist enorm. Zur Resilienz gehört aber mehr als staatliche Aufklärung. Vor allem eine breite Bildungsoffensive
Mit Arndt Freytag von Loringhoven sprach Frauke Niemeyer