Nach dem geleakten Signal-Chat einiger der wichtigsten angehörigen der US-Regierung um Trump, stellen sich einige Fragen. Wie sicher sind regierungsinterne Gespräche noch? Kann man Signal noch sorglos nutzen und könnte eine solch gefährliche Sicherheitspanne auch in Deutschland passieren?

Unsere Redaktion hat den IT-Security Experten, Frederik Möllers, vom Zentrum für Recht und Digitalisierung in Saarbrücken gefragt, wie es um die Cybersicherheit ganz oben steht.

Herr Möllers, wie beurteilen Sie das, was in den USA passiert ist?

Auf mich wirkt das wie ein klassischer Benutzerfehler. Nach allen Informationen, die so öffentlich sind und die man bisher hat, gehe ich ganz stark davon aus, dass der Fehler auf der Benutzerseite war. Der US-Sicherheitsberater Mike Waltz hat aus Versehen jemanden zu dieser Unterhaltung hinzugefügt, der da eigentlich nicht drin sein sollte.

Darf so etwas passieren?

Natürlich nicht. In so einem wichtigen Umfeld ist das ja eigentlich das Schlimmste, was passieren kann. Man kann ja froh sein, dass es in diesem Fall „nur“ ein rechtschaffener Journalist war, der da hinzugefügt wurde und nicht jemand, der mit den Informationen etwas Schlimmeres gemacht hat.

Cybersicherheits-Skandal: So gefährlich war der Fehler

Was sagt das über die Cybersicherheit der US-Regierung aus?

Der Vorfall zeugt davon, dass da wohl zumindest in der Etage der Leute, die da beteiligt waren, kein tiefes Bewusstsein für Cybersicherheit vorherrscht. Die Expertise fehlt da einfach. Der größte Hebel bei der Cybersicherheit ist das Bewusstsein der Nutzer dafür.

Das wäre sicherlich auch in Trumps Kabinett ein Punkt gewesen, den man hätte gewährleisten müssen. Außerdem hätte man auch etwas von technischer und administrativer Seite her machen können, indem man zum Beispiel per Richtlinie erlässt, dass solche Kommunikationen nicht über frei zugängliche Kommunikationskanäle stattfinden, sondern über spezielle Plattformen, die nur von der Trump-Regierung benutzt werden dürfen.

In den USA spielt Trump das Ganze ziemlich runter. Wäre das in Deutschland auch so oder würden hier Köpfe rollen?

Der Aufschrei wäre größer. Hier wäre auch anders damit umgegangen worden, denke ich. Wenn so etwas in Deutschland passiert wäre, hätte man sich relativ schnell eingestehen müssen, dass da ein massiver Fehler passiert ist. Das hätte auch personelle Konsequenzen gehabt.

Wie sicher ist Deutschland?

Ist die Deutsche Bundesregierung fitter im Thema Cybersicherheit?

Mein Eindruck ist, dass die amerikanische Regierung gerade aus Leuten besteht, die insgesamt von dem, was sie auf ihrem Posten tun, gar nicht so viel verstehen.

In Deutschland gibt es auch eine aktive Kooperation zwischen Datenschutzbeauftragten und der Regierung, wohingegen man seit Trump ja eher gegenseitig misstraut. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) ständig aktiv in der Cybersicherheit der Regierung.

Wie sind die Kommunikationskanäle in Deutschland?

Vom Bund gibt es zwei Messenger-Plattformen, die extra für die öffentliche Verwaltung und damit wohl auch für Regierungsmitglieder entwickelt wurden und stetig weiterentwickelt und angepasst werden.

Der Messenger „wire Bund“ ist, soweit ich weiß, eine abgeschottete Version nur für Mitglieder der öffentlichen Verwaltung. Das zweite ist der „Bundes-Messenger“. Das ist eine Art Eigenentwicklung des Bundes und basiert auf bereits existierender Technologie, also auf Open-Source-Software. Auch er ist nur von Mitgliedern der öffentlichen Verwaltung benutzbar. Das basiert auf dem sogenannten Matrix-Protokoll.

Darf man Signal überhaupt noch nutzen?

Lange galt Signal ja als relativ abhör- und hackssicher. Kurz vor dem Leak hatte das US-Verteidigungsministerium aber eine Sicherheitslücke ausgemacht. Für wie sicher halten Sie Signal noch?

Mein Kenntnisstand ist, dass Signal von technischer Seite als sehr sicher gilt. Sie bietet sich auch grundsätzlich gut für solche streng geheimen Unterhaltungen an. Es gibt nur dieses administrative Problem. Also, dass da alle im Adressbuch, die auch Signal haben, zu so einer Unterhaltung hinzugefügt werden können. Das wird nicht administrativ verhindert, aber das ist kein Fehler von der Software.

Es ging wohl bei dem Memo der NSA und des Verteidigungsministeriums tatsächlich um eine Funktion, über die unbefugte Dritte Zugriff auf Unterhaltungen bekommen können. Das ist jedoch kein Fehler der Software, sondern ein Angriff über Phishing-Mails. Im Fall „Signal-Gate“ war es wohl auch nicht diese Funktion, die genutzt wurde.

Jeffrey Goldberg wurde als ganz regulärer Teilnehmer zur Unterhaltung hinzugefügt, während das Memo sich auf die Funktion der „Verbundenen Geräte“ bezieht. Ich halte es daher für ausgeschlossen, dass die beiden Themen etwas miteinander zu tun haben.