EN

Cybersecurity
Cyberhygiene für Politiker: Ein unverzichtbarer Schutz im digitalen Zeitalter

Patricia Egger von Proton gibt Einblicke, welche Maßnahmen Politiker ergreifen sollten, um sich in der digitalen Welt effektiv zu schützen.
Patricia Egger, Head of Security bei Proton, referiert beim IPAC Summit 2024 in Taipeh über Cyberrisiken in politischen Institutionen.

Patricia Egger, Head of Security bei Proton, referiert beim IPAC Summit 2024 in Taipeh über Cyberrisiken in politischen Institutionen.

© IPAC

Überrascht hat es nicht, dass Cybersecurity beim diesjährigen Gipfel der Interparlamentary Alliance on China (IPAC) ein großes Thema war. Die Koalition von Parlamentariern, die kritisch gegenüber der chinesischen Regierung eingestellt ist, war selbst Ziel eines Cyberangriffs geworden. Im März 2024 hatte die Hackergruppe APT31, der eine Nähe zur chinesischen Regierung nachgesagt wird, über 1.000 Phishing-E-Mails an Mitglieder von IPAC gesendet. Seither hat sich hat die Vereinigung dafür ausgesprochen, dringend die Unterstützung für Cybersicherheit für Politiker zu verbessern und die institutionelle Widerstandsfähigkeit gegen Cyberattacken zu stärken. Patricia Egger, Head of Security bei Proton, hat deshalb beim IPAC Summit zu Verschlüsselung und Cybersecurity für Politiker gesprochen und klar gemacht, dass die Lage ernst sei.

"18 Prozent aller Cyberangriffe zielen auf Regierungen und Politiker ab", betont Patricia Egger. Cyberangriffe auf politische Institutionen setzen häufig auf Malware oder den Missbrauch legitimer Zugänge, um ihre Opfer auszuspionieren, vertrauliche Daten zu stehlen oder interne Abläufe zu sabotieren. Insbesondere im Superwahljahr 2024, mit zahlreichen anstehenden Wahlen, sei es von größter Bedeutung, dass sich Politiker schützen. Schließlich steht nichts Geringeres als die Glaubwürdigkeit der demokratischen Prozesse auf dem Spiel.

Doch wie können sich Politikerinnen und Politiker verhalten, um Sicherheitsrisiken zu minimieren? Patricia Egger hat uns Auskunft gegeben.

Trennung von privaten und beruflichen Aktivitäten

Zunächst empfiehlt Egger, private und berufliche Aktivitäten sowie Geräte so weit wie möglich zu trennen. Dies verringert das Risiko, dass Sicherheitslücken aus dem privaten Bereich die berufliche Sphäre beeinflussen. Zudem sollten berufliche Geräte und Systeme von spezialisierten Fachleuten kontrolliert und überwacht werden, was in der Regel zu einem höheren Sicherheitsniveau führt als bei persönlichen Geräten. Außerdem sollten offizielle E-Mail-Konten für Drittanwendungen, die nicht mit den beruflichen Aufgaben zusammenhängen, vermieden werden.

Dabei verweist Egger auf eine im Mai von Proton in Zusammenarbeit mit Constella Intelligence veröffentlichte Studie. Diese zeigt, dass E-Mail-Adressen und weitere sensitive Informationen wie Passwörter von 44 Prozent aller Abgeordneten des Europaparlaments im Darknet auffindbar sind.

Auf den ersten Blick mag die Veröffentlichung von E-Mail-Adressen harmlos erscheinen. Doch dass diese Adressen in Datenbanken im Darknet zu finden sind, zeigt auf, dass offizielle E-Mail-Konten genutzt wurden, um Profile auf Plattformen wie beispielsweise LinkedIn oder Adobe zu erstellen, die später einem Datenleck zu Opfer fielen. Besonders besorgniserregend ist, dass für einige dieser Konten auch Passwörter im Darknet aufgetaucht sind. Wenn Politiker die selben Passwörter für ihren Regierungsaccount wiederverwenden würden, könnten man sich so unbefugten Zugriff in ein Regierungssystem schaffen. Diese Ergebnisse verdeutlichen die gravierenden Bedenken hinsichtlich der Cybersicherheitspraktiken in der Politik, da bereits ein einziger Leak eine ernsthafte Bedrohung für die nationale Sicherheit darstellen kann.

Starke Passwörter: Die Grundlage einer guten Cyberhygiene

Patricia Egger betont, dass gute Cyberhygiene die Verwendung starker Zugangsdaten (z.B. Passwörter) erfordert, die für jedes Konto einzigartig sind. Ebenso wichtig ist eine Multi-Faktor-Authentifizierung (MFA), welche den Zugang verhindert, auch wenn ein Passwort geknackt wurde. Um den Umgang mit komplexen Passwörtern zu erleichtern und sicherzustellen, dass diese nicht mehrfach verwendet werden, empfiehlt sich die Nutzung eines Passwortmanagers. Diese Anwendung hilft dabei, sichere Passwörter zu generieren, zu speichern und automatisch auszufüllen. Das ermöglicht den Nutzern deutlich sicherere Passwörter zu verwenden, als wenn sie sich diese merken müssten.

Ende-zu-Ende-Verschlüsselung

Egger empfiehlt die Nutzung von Anwendungen, die Ende-zu-Ende-Verschlüsselung bieten, wie beispielsweise der E-Mail-Dienst ProtonMail und die Messaging-App Signal. Diese Verschlüsselungstechnologie stellt sicher, dass nur die Kommunikationspartner Zugriff auf die Nachrichten haben. Sollte beispielsweise Gmail gehackt werden, die keine Ende-zu-Ende-Verschlüsselung bieten, könnten theoretisch E-Mail-Daten von Nutzern geleakt werden. Bei einem verschlüsselten Service wäre das nicht möglich, da die Nachrichten nur für die beteiligten Parteien lesbar sind und selbst der Dienstanbieter keinen Zugriff darauf hat.

Apps auf Regierungsgeräten: der Black- und der Whitelist-Ansatz

Und was sagt Egger zu den Verboten von TikTok oder Kaspersky  auf Regierungsgeräten in den USA? „Jedes installierte Programm vergrößert die Angriffsfläche“. Das Installieren von Anwendungen sollte daher möglichst beschränkt werden. Sie weist darauf hin, dass es zwei verschiedene Ansätze zur Verwaltung von auf Geräten installierten Anwendungen gibt: Blacklists und Whitelists. "Auf Regierungsgeräten sollte nichts installiert sein, was nicht für die Arbeit erforderlich ist. Der Blacklist-Ansatz blockiert spezifische Apps wie TikTok. Dieser Ansatz ist grundsätzlich fehlerhaft, da ständig neue Apps auf den Markt kommen und weniger bekannte Anwendungen genauso riskant sein können, auch wenn sie weniger Beachtung finden. Wo Sicherheit wichtiger ist als Bequemlichkeit, sollten wir den Whitelist-Ansatz verfolgen und nur Anwendungen zulassen, die für die Arbeit unerlässlich sind." Weiter sollte der Zugriff von Anwendungen auf Daten des Geräts wie Fotos oder das Mikrofon eingeschränkt werden. Das ist ein effektiver Schutz, sollten diese Apps gehackt werden oder sogar Malware enthalten.

Schutz gegen Sypware: Maßnahmen gegen Pegasus und Co.

Spyware ist eine wachsende Sorge, insbesondere für Politiker. Beispielsweise hat Pegasus das Gerät von Emmanuel Macron ins Visier genommen. Egger betont, dass es zwar einige Maßnahmen gibt, um das Risiko durch Spyware wie Pegasus zu verringern, man sich jedoch nicht vollständig dagegen immunisieren kann. Sie erklärt: „Spionagesoftware wie Pegasus ist hochgradig zielgerichtet und äußerst raffiniert.“ Der Ursprung einer solchen Infektion kann von einer sogenannten Zero-Click-Attacke kommen, bei der das Gerät infiziert wird, ohne dass der Benutzer einen Link öffnet, etwa durch eine SMS-Nachricht. Wenn man also eine verdächtige SMS von einer unbekannten Nummer erhält, sollte man diese melden, den Absender blockieren und das betroffene Gerät neu starten.

Cyberhygiene: Schlüsselkompetenz im öffentlichen Dienst

Sei es die Attacke von APT31 auf IPAC oder die kürzliche Attacke auf die CDU vor den Europawahlen - es gibt zahlreiche Beispiele, die die angespannte Bedrohungslage verdeutlichen. Patricia Eggers Einblicke machen unmissverständlich klar, dass der kompetente Umgang mit digitalen Risiken zu einer Schlüsselkompetenz für alle wird, die öffentliche Ämter bekleiden. Wie sie betont, ist keine Sicherheitsmaßnahme unfehlbar, aber durch die Schichtung von Verteidigungen wird es für Angreifer exponentiell schwieriger, erfolgreich zu sein. Das Ziel sollte es sein, die Arbeit der Angreifer so schwierig wie möglich zu machen, insbesondere wenn es um die Integrität demokratischer Prozesse geht.