Die US-amerikanischen Sicherheitsbehörden FBI und CISA haben ihre gemeinsame Warnung vor Angriffen vom russischen Geheimdienst auf Messenger-Konten von hohen Beamten und Politikern aktualisiert. Die Masche setze weiterhin auf angebliche Support-Nachrichten der genutzten Plattform. Jetzt sind jedoch die Wiederherstellungsschlüssel für Backups im Visier der Angreifer.

Die IT-Sicherheitsbehörde CISA kündigt das gemeinsam mit dem FBI erstellte Dokument an. In der öffentlichen Bekanntmachung schreiben die Behörden, dass sie mehrere Cluster russischer Geheimdienste ausgemacht haben, die weiterhin für Phishing-Kampagnen auf kommerzielle Messenger-Anbieter gegen für Spionage interessante Individuen verantwortlich sind. Angriffe laufen auf ehemalige und aktuelle internationale und US-Regierungsbeamte, Militärpersonal, politische Persönlichkeiten, Journalisten und Schlüsselpersonen in der Ukraine.

Konten unterwandert, aber nicht die Messenger-Apps und -Plattformen

Dabei haben die Geheimdienstler individuelle Messenger-Konten kompromittiert, nicht jedoch die Plattformen oder die Anwendungen selbst, erklären die Behörden. Die Angreifer geben sich weiterhin als automatische Support-Konten in den neueren Phishing-Kampagnen aus, haben es nun jedoch auf die Wiederherstellungsschlüssel für Backups abgesehen. Zudem versuchen sie weiterhin, an die Bestätigungscodes und Konto-PINs ihrer Opfer zu gelangen.

Sofern Opfer ihren Backup-Wiederherstellungsschlüssel an die Angreifer gesendet haben, bleibt der auch dann gültig, wenn sie nach der Kompromittierung ein neues Konto mit derselben Telefonnummer einrichten. Dadurch können die Angreifer auch das neu angelegte Konto übernehmen. Um das zu verhindern, müssen Betroffene in den Einstellungen einen neuen Backup-Wiederherstellungsschlüssel erzeugen. Das invalidiere den vorherigen Key für künftige Backup-Downloads. Das schützt jedoch nicht davor, dass Angreifer bereits ein Backup aus dem originalen Konto heruntergeladen haben können.

Die CISA betont, dass die Kampagnen der Angreifer in unbefugte Zugriffe auf tausende individuelle Messenger-Konten mündeten. Dabei haben sie die Nachrichten und Kontaktlisten der Opfer eingesehen, Nachrichten geschickt und weitere Phishing-Angriffe gegen weitere Messenger-Konten gestartet.

Auch deutsche Politikerinnen und Politiker waren und sind Ziel solcher Angriffe. Etwa Bundestagspräsidentin Julia Klöckner wurde Opfer solch eines Angriffs, wie im April bekannt wurde.

(dmk)

Eine eSIM ist eine einfache Lösung, um möglicherweise teures Daten-Roaming zu verhindern, wenn damit eine lokale Verbindung genutzt werden kann. Es gibt aber auch Risiken, warnt die zu Taiwans Digitalministerium gehörende Cybersicherheitsbehörde. Insbesondere zu niedrigen Preisen angebotene eSIMs weitgehend unbekannter Anbieter könnten Mobilfunkdaten durch die Netze von Drittanbietern leiten, einschließlich chinesischer Telekommunikationsnetze. Das berge die Gefahr von Überwachung.

Eine eSIM kann nützlich sein und hat zahlreiche Vorteile. Sie ersetzt die physische SIM-Karte durch eine fest im Gerät eingelötete und enthält die gleichen Daten wie eine konventionelle SIM-Karte. eSIMs lassen sich über eine Internetverbindung herunterladen, auf dem entsprechenden Chip speichern und dann genau wie in einer herkömmlichen SIM-Karte verwenden. Wer eine eSIM für den Urlaub erwirbt, kann die heimatliche SIM deaktivieren und das eSIM-Profil eines Netzes vor Ort verwenden.

Vorsicht bei eSIM-Apps und Berechtigungen

Allerdings werden dabei nicht ausschließlich lokale Netze verwendet, wie Taiwans Cybersicherheitsbehörde laut lokaler Medien im Vorfeld der Sommerferien erklärt. Vor allem billige eSIMs könnten die Daten auch durch chinesische Netze leiten. Hier wird Taiwans Misstrauen gegenüber China deutlich. Denn die Abteilung des Digitalministeriums warnt, dass unverschlüsselte Daten in Netzen, die überwacht werden können, abgegriffen werden könnten. Damit könnten etwa der Browser-Verlauf oder Zugangsdaten abgefangen werden.

Reisende sollten besonders vorsichtig sein, wenn eine eSIM eine gesonderte App zur Aktivierung benötigt. Ein eSIM-Profil speichert nur die Nummer sowie verschlüsselte Telekommunikationszugangsdaten und kann selbst keine auf dem Smartphone gespeicherten Daten lesen. Apps, die Zugriff auf Kontakte, Bilder, Bluetooth oder den Standort verlangen, sollten genau geprüft und nur über Googles Play-Store oder Apples App-Store heruntergeladen werden.

Alternative: Roaming des eigenen Vertrags

Auch sollten eSIMs nur von Plattformen bezogen werden, die Kontaktinformationen deutlich darstellen, einen Kunden-Support bieten und einen guten Ruf besitzen. Wenn möglich, sollten Kunden nach dem Mobilfunk-Provider fragen, der das Netz betreibt. Grundsätzlich empfiehlt die taiwanische Cybersicherheitsbehörde das internationale Roaming über den heimischen Mobilfunkvertrag, was beim lokalen Provider angemeldet und erworben werden kann. Falls eine eSIM trotzdem gewünscht ist, sollte diese einen großen Mobilfunkbetreiber im Zielland nutzen.

Im Ausland sollten Nutzer wie üblich darauf achten, nur gesicherte HTTPS-Verbindungen zu verwenden. Zu den Anzeichen einer Überwachung oder des Datenverlusts zählen demnach deutlich zugenommener Datenverkehr, fehlende Chats, Log-in-Warnungen von unbekannten Standorten oder Meldungen über Kennwort-Änderungen. In diesen Fällen sollten Anwender die eSIM und Roaming abschalten, das eSIM-Profil und eine damit verbundene App löschen, erteilte Berechtigungen widerrufen, den Cache löschen, wichtige Passwörter ändern und alle Geräte vorsorglich ausloggen.

(fds)

Bereits im Juni 2025 hatte Bundesinnenminister Alexander Dobrindt (CSU) zur Stärkung der Abwehr von Cyberangriffen einen Cyberdome für Deutschland gefordert. Doch auch ein Jahr später ist selbst in Fachkreisen wenig Konkretes bekannt, wie der Cyberdome ausgestaltet sein soll.

Erst Ende dieses Jahres plant das Bundesinnenministerium (BMI) ein Realisierungskonzept vorzulegen. Etwas Licht ins Dunkel sollte nun ein Panel auf der Potsdamer Konferenz für Nationale Cybersicherheit am Hasso-Plattner-Institut bringen.

Im März 2026 hatte das BSI die operative Umsetzung der Strategie vorangetrieben, indem eine erweiterte Datensensorik in den IT-Systemen von zehn Bundesländern Anomalien in Echtzeit erkennen soll. „Der Cyberdome muss der verschärften Bedrohungslage technologieneutral für die Zukunft Rechnung tragen und nicht nur für die nächsten zwei Jahre. Wir brauchen daher ein offenes Konzept“, sagte Andreas Reisen, Referatsleiter für Cybersicherheit und Leiter der Arbeitsgruppe Cyberdome im BMI, auf der Potsdamer Podiumsdiskussion. Er wolle „mit dem Gerücht aufräumen, man stelle ein IT-System ins BSI nach dem Vorbild eines anderen Staates“, sondern „es ist ein Programm, das ein offenes Ökosystem realisiert, das auf maximale Automatisierung setzt“.

Man müsse in Echtzeit auf Bedrohungen reagieren. „Wir müssen in der Lage sein, im Rahmen eines nationalen Monitorings zu erkennen, wenn ein Angriff oder Vorfall zum Beispiel bei einer Bank erfolgt und dann in Echtzeit alle anderen Banken zu informieren und auch über die Hintergrundsysteme schützen zu können.“ Man warte im BMI auch nicht auf das Konzept, das man zu Jahresende vorlegen werde, sondern handle schon jetzt. Das gelte zum Beispiel im Rahmen von NIS2 für das BSI, das den nationalen Adressraum auf Schwachstellen scannen und den Betreiber der betroffenen Website auffordern könne, die Schwachstelle abzustellen. Für die Automatisierung und das nationale Monitoring werde das BSI im Haushalt 2027 mit 200 Millionen Euro ausgestattet.

„Wir wollen im Ökosystem Cyberdome IT-Produkte Cyberdome-ready am Markt etablieren. Das heißt, es geht um Automatisierung und Konnektivität. Jedes IT-Sicherheitsprogramm, das im Markt angeboten wird, soll zukünftig das Label ‚Cyberdome-ready‘ tragen können“, sagte der BMI-Referatsleiter. Informationsaustausch und Reaktionen in den mit dem Cyberdome vernetzten Produkten sollen in Echtzeit möglich werden. „Wir sammeln die Daten nicht zum Selbstzweck für uns, sondern stellen sie in einer verarbeitbaren Form der Wirtschaft und den Anwendern zur Verfügung.“

Grünen-Politiker warnt vor „Cyber-Bullshitting“

Konstantin von Notz, der stellvertretende Fraktionsvorsitzende der Grünen im Bundestag, kritisierte als Oppositionspolitiker die politischen Aspekte des geplanten Schutzschilds. „Der Begriff Cyberdome verlockt zu Cyber-Bullshitting. Er läuft in den Medien super und gibt ein gutes Gefühl, aber wir brauchen klare Zuständigkeiten.“ Seit Jahrzehnten seien die Zuständigkeiten zwischen den Behörden, aber auch zwischen Bund und Ländern oft unklar. Dem stimmte Johannes Schätzl, der digitalpolitische Sprecher der SPD-Bundestagsfraktion, zu. Vielfach gebe es Überlappungen, zum Beispiel zwischen Bundeswehr, BKA und BSI. „Bei einem Angriff fehlt uns aber die Zeit zur Klärung der Zuständigkeit“. Vom Gesetzentwurf zur Stärkung der Cybersicherheit, über den gleichzeitig im Parlament beraten wurde, verspricht er sich Abhilfe und Klärung in der Frage der Zuständigkeiten. Der Cyberdome verwirkliche einen ganzheitlichen Ansatz. „Wir müssen aufhören, immer in einzelnen Projekten zu denken“, so Schätzl.

Eine „falsche Botschaft“ befürchtet Vizeadmiral Thomas Daum, Inspekteur des Cyber- und Informationsraums der Bundeswehr, nämlich „dass man meint, unter dem Dom bin ich geschützt und kann mich zurücklehnen. Der Dom wirkt wie eine Verteidigungsglocke. Das wird der Cyberdome aber nicht leisten können.“ Er griff in seiner Stellungnahme ein kontroverses Thema in der Cybersicherheit auf. „Wir brauchen auch die Fähigkeit, auf malicious Servern zu intervenieren. Ohne Offensive können wir einen Konflikt nicht gewinnen.“ Der geplante Gesetzentwurf sieht vor, dass BKA und BSI künftig aktiv in IT-Systeme eingreifen und Server im Ausland lahmlegen dürfen. Dem schloss sich Reisen an. „Wir wollen Angriffe mitigieren und werden dazu Informationen aus dem Cyberdome nutzen.“

Bundesinnenministerium erwartet Halbierung der Cyberschäden

Mit Blick auf die laut Lagebericht des BKA durch Cyberangriffe entstandenen Schäden von 202 Milliarden Euro im vergangenen Jahr gab er sich optimistisch: „Ich behaupte, dass wir durch eine hohe Konnektivität an den Cyberdome sicherstellen, dass wir diese Schäden drastisch reduzieren, deutlich über 50 bis 60 Prozent.“

Von Notz warnte generell, man befinde sich in einem „brutalen geopolitischen Umbruch“. Neben dem russischen Angriffskrieg und dem Irankrieg drohe in den nächsten Jahren auch eine chinesische Invasion auf Taiwan mit erheblichen weltweiten Auswirkungen. „Wir müssen raus aus unserer Komfortzone.“ Er plädierte für ein wöchentliches Sicherheitslagebild, damit die Bevölkerung die bedrohliche Gesamtlage besser verstehe.

Der Moderator Professor Christian Dörr, Vorsitzender der Potsdamer Cybersicherheitskonferenz, zog abschließend das Resümee: „Ich bin nicht ganz schlau geworden, was der Cyberdome ist“ und bekam dafür viel Beifall im Publikum.

(vza)