Um die Sicherheit der Bundes-IT ist es schlecht bestellt, wie aus einem vertraulichen Bericht des Bundesrechnungshofs hervorgeht, über den der Spiegel schreibt. Demnach würden weniger als zehn Prozent der 100 Rechenzentren des Bundes die Mindeststandards erfüllen, bei vielen sei nicht einmal der Notstrom garantiert. Das Sicherheitsniveau der Rechenzentren sei insgesamt „unzureichend“, urteilen die Prüfer.

Ein weiterer Faktor sei, dass kritische IT-Dienste oft nicht georedundant aufgebaut wären, also nicht auf Infrastruktur an mehr als einem Ort fußten. Ohne derartige Resilienz ließen sich staatliche Kernfunktionen wie Sozialleistungen im Krisenfall aber nicht aufrechterhalten, warnten die Prüfer laut Spiegel in ihrem Bericht an den Haushaltsausschuss des Bundestags. Ihr Fazit: „Die IT des Bundes ist nicht auf die aktuellen Bedrohungen vorbereitet.“ Die Bundesregierung solle deshalb die gesamte „Cybersicherheitsstrategie neu ausrichten“.

Dschungel an Zuständigkeiten

Als einen Problemfaktor hat der Bundesrechnungshof einen „Dschungel von Institutionen und Zuständigkeiten“ für die Cybersicherheit ausgemacht. Derzeit seien es 77 staatliche Behörden und Institutionen, wobei das Feld der Akteure seit Jahren stetig wachse. Zugleich hätten die Prüfungen des Rechnungshofs aber „eine fehlende oder unzureichende Zusammenarbeit“ zwischen all diesen Institutionen festgestellt.

Unter anderem stellt die Prüfbehörde das 2011 gegründete nationale Cyber-Abwehrzentrum infrage. Es gebe keinen Nachweis, dass dieses einen Mehrwert erbringe. Den durch die Bezeichnung geweckten Erwartungen werde es jedenfalls „bisher nicht gerecht“.

Erfolg der Cybersicherheitsstrategie „unklar“

Überdies lassen die Prüfer kein gutes Haar an der Cybersicherheitsstrategie des Bundesinnenministeriums. Diese hatte 2021 der damalige Bundesinnenminister Horst Seehofer (CSU) vorgestellt und seine Amtsnachfolgerin Nancy Faeser (SPD) hatte sie erweitert.

Weder seien dabei bestehende Defizite analysiert worden, noch habe die Bundesregierung den Personal- und Ausgabenbedarf ermittelt. Es sei „unklar“, ob die Strategie etwas zur Verbesserung der deutschen Sicherheitslage beigetragen habe.

Von der neuen Bundesregierung fordern die Prüfer eine Analyse und Verschlankung der bisherigen Cybersicherheitsarchitektur. Die Regierung solle ihre Maßnahmen „zentral steuern“ und für ein besseres Ausgabencontrolling sorgen. Durch die Ausnahmen in der Schuldenbremse möglich gewordene Milliardeninvestitionen sollen auch der Cybersicherheit zugutekommen – ein „Mehr an Geld“ führe aber nicht automatisch zu mehr Sicherheit, mahne der Rechnungshof an.

Ministerien stimmen „im Wesentlichen“ zu

Stellungnahmen des Bundesinnenministeriums sowie des neu eingerichteten Ministeriums für Digitales und Staatsmodernisierung auf Anfrage der iX-Redaktion stehen zur Stunde noch aus. Laut dem Spiegel hätten beide Ministerien in Vorabstellungnahmen, die Teil des Rechnungshofberichts sind, dem Befund mangelnder Krisenresilienz „im Wesentlichen zugestimmt“. Die vielen verteilten Zuständigkeiten, die der Rechnungshof moniert, seien auch auf europäische Vorgaben zurückzuführen. Und das kritisierte Cyber-Abwehrzentrum sei eine Kooperationsplattform ohne Befugnisse, die man aber „fortentwickeln“ wolle.

Der Bundesrechnungshof bestätigte lediglich, dass man dem Haushaltsausschuss des Deutschen Bundestags einen entsprechenden Beratungsbericht zugeleitet habe. Da es sich um eine Verschluss-Sache „nur für den Dienstgebrauch“ handele, könne man keine weiteren Kommentare abgeben.

(axk)

Hamburg, zweiter Juli 2025, sechs Uhr morgens. Harte Schläge an seine Wohnungstür reißen Arnd Klinkhart aus dem Schlaf. Sein erster Gedanke gilt seinem Telefon, erzählt er. Er greift es, entsperrt es, schaut darauf. Dann macht er sich auf den Weg zur Tür, um nachzuschauen, wer dagegen hämmert. Durch den Spion ist nichts zu sehen, er wird blockiert. Also öffnet Klinkhart und steht, barfuß und nur mit Unterhose bekleidet, vier Polizist*innen gegenüber. „Das war ein schreckliches Gefühl“, sagt er später gegenüber netzpolitik.org.

Die Polizist*innen wollen das Telefon, das Klinkhart in der Hand hält. Er gibt ihnen das entsperrte Gerät. „Ich war noch nicht richtig wach, sonst hätte ich das nicht gemacht“, sagt Klinkhart später.

Nun liegt das Telefon und damit das digitale Leben Klinkharts geöffnet bei der Polizei. „Das ist ein höchst unangenehmes Gefühl, denn da sind richtig intime Dinge drauf. Fotos, die nicht jeder sehen muss, sehr private Konversationen. Da sind auch Dritte betroffen“, sagt er.

Hausdurchsuchung wegen eines zwei Jahre alten Posts

Warum ist das passiert? Die Beamt*innen haben einen Durchsuchungsbeschluss dabei. Darin wird Klinkhart vorgeworfen, zu Straftaten aufgerufen zu haben, mittels eines Posts bei X. Den fraglichen Post hat er vor zwei Jahren abgesetzt. Im September 2023 fotografierte er auf dem Hamburger Schanzenfest ein Banner. Darauf ist ein brennendes Polizeiauto gemalt, darüber der Slogan: „Advent, Advent, die Wanne brennt“. Klinkhart teilte das Bild mit einem Kommentar: „Na sicher“.

„Das ist doch kein Aufruf zu einer Straftat“, sagt Klinkhart empört. „Mir läge nichts ferner, so bin ich nicht erzogen worden und so habe ich meine Kinder nicht erzogen. Ich zünde keine Autos an und greife keine Polizisten an.“

Aber die Polizei hat noch etwas gefunden: Auf der Stoßstange des gemalten Polizeitransporters steht klein „ACAT“. Laut Durchsuchungsbeschluss ist das ein Code für: All cops are target. Auf Deutsch: Alle Polizisten sind Zielscheibe. In der Kombination aus Bild, Slogan und Kürzel sieht die beschließende Richterin deshalb einen Aufruf, Polizeifahrzeuge in Brand zu setzen oder zu zerstören.

Den Post hatte er längst selbst gelöscht

Klinkhart sagt, dass auf der Stoßstange des Transporters ACAT stand, habe er erst wahrgenommen, als die Polizist*innen ihm einen Ausdruck des mutmaßlich strafbaren Posts zeigten. Die Bedeutung des Kürzels habe er bislang nicht gekannt und das strittige Foto überhaupt nicht mehr auf dem Schirm gehabt. X hat er bereits vor einer ganzen Weile wegen der Übernahme durch Elon Musk und „dem Blödsinn“ verlassen, seinen Account und damit auch den Post gelöscht.

Klinkhart sagt, er habe direkt zugegeben, der Urheber des Posts zu sein und stehe auch weiterhin dazu. Die Hausdurchsuchung sei also gar nicht nötig gewesen, die Beschlagnahme seiner Geräte erst recht nicht.

Klinkharts Smartphone war sein einziger Zugang zum Netz. Seinen Laptop haben die Beamt*innen ihm zwar gelassen, doch den nutzt er nur über den Smartphone-Hotspot. Plötzlich ist Klinkhart abgeschnitten von der Welt. Das macht ihm Angst. „Ich bin Herz-Lungen-Patient und hätte nichtmal einen Notruf absetzen können“, sagt er.

Bankkontozugang, Deutschlandticket: Alles weg

Klinkhart braucht also ein neues Smartphone. „Das ist im Bürgergeld-Regelsatz nicht eingeplant“, sagt er. Und auch mit dem neuen Gerät bleibt er von seinen Konten ausgeschlossen. Die Zwei-Faktor-Authentifizierung läuft über das alte Gerät, das nun bei der Polizei liegt. Die Wiederherstellungscodes kann er nicht finden.

Klinkhart kann keine Bankgeschäfte mehr abwickeln, nicht mit dem Jobcenter korrespondieren – was wichtig wäre, weil er gerade umziehen muss. Er kann sein Deutschlandticket nicht mehr nutzen und die Miles-App auch nicht. „Eigentlich müsste ich heute zu meinem Sohn, eine Waschmaschine installieren, aber das kann ich jetzt knicken“, sagt er. Alle seine Kontakte sind weg. Klinkhart versucht gerade, über Freunde von Freunden wieder an die wichtigsten Telefonnummern zu kommen.

Laut Gesetz droht ihm eine Freiheitsstrafe von bis zu fünf Jahren, doch zumindest in dieser Hinsicht ist Klinkhart sehr gelassen. „Ich bin sehr zuversichtlich, dass sie das wegen Geringfügigkeit einstellen“, sagt er.

Eine groß angelegte Malware-Kampagne setzt auf gefälschte Firefox-Erweiterungen. Die Täter versuchen damit, Zugangsdaten von Krypto-Wallets zu stehlen und diese leerzuräumen. Mehr als 40 solcher bösartigen Add-ons haben die IT-Sicherheitsforscher aufgespürt.

Das schreibt Koi Security in einer Analyse. Demnach imitieren die gefälschten Erweiterungen die legitimen Krypto-Wallets und -Tools von weiter verbreiteten Plattformen. Die IT-Forscher nennen als imitierte Marken Bitget, Coinbase, Ethereum Wallet, Exodus, Filfox, Keplr, Leap, MetaMask, MyMonero, OKX, Phantom und Trust Wallet. Haben Nutzerinnen und Nutzer die bösartigen Erweiterungen erst einmal installiert, leitet sie still die Wallet-Secrets aus und bringt damit die Inhalte der User-Wallets in Gefahr.

Malware-Kampagne noch aktiv

Mehr als 40 solcher Malware-Erweiterungen haben die IT-Forscher bislang entdeckt. Die Kampagne laufe noch weiter, einige der bösartigen Add-ons sogar noch im Marketplace von Firefox verfügbar. Ihren Anfang nahm die Kampagne laut Koi Security spätestens im April dieses Jahres. Neue bösartige Erweiterungen haben die Täter noch bis vergangene Woche in den Firefox-Add-on-Store hochgeladen. Da solche Uploads weiterhin erfolgen, deute das darauf hin, dass die Operation noch aktiv ist, nachhaltig und sich weiterentwickelnd, erörtern die IT-Forscher.

Die Erweiterungen extrahieren die Zugangsdaten der Wallets direkt von deren Ziel-Webseiten und schicken sie an einen Server im Netz, der unter der Kontrolle der Angreifer steht. Dabei übertragen die Add-ons auch die externe IP des Opfers, vermutlich zur Nachverfolgung.

Die Kampagne setze auf die üblichen Marktplatz-Mechanismen, um Vertrauen zu erschleichen. Die Bewertungen, Rezensionen, Branding und Funktionen sollen das Vertrauen von Nutzern wecken und die Zahl der Installationen hochtreiben. Die bösartigen Add-ons haben teils hunderte gefälschte Rezensionen mit 5-Sterne-Wertung erhalten, die die Zahl der Nutzer weit übersteigt. Das erweckt den Anschein, ein Add-on sei weitverbreitet und positiv bewertet. Zudem orientieren sich die kriminellen Drahtzieher am offiziellen Branding legitimer Wallet-Tools und nutzen identische Logos und Namen. Bei einigen Erweiterungen haben die Täter zudem deren Open-Source-Natur missbraucht und haben den Code einfach um Code zum Stehlen der Zugangsdaten ergänzt. Die scheinen wie gewünscht zu funktionieren und haben lediglich die unbemerkte Nebenfunktion, die Zugangsdaten zu stehlen. Eine Entdeckung der bösen Absichten erschwert das deutlich.

Da der Code einige russische Kommentare enthält, geht Koi Security von Akteuren aus Russland aus. Metadaten in einer PDF-Datei, die von einem Command-and-Control-Server stammt, deuten ebenfalls dorthin.

Schutz gestaltet sich schwieriger

Schutzmaßnahmen sind schwierig: Erweiterungen sollten nur von verifizierten Publishern installiert werden – aber selbst bei vielen guten Bewertungen gibt es keine Garantie, dass die Erweiterungen echt sind. Unternehmen sollten das Bedrohungspotenzial von Browser-Erweiterungen wie übliche Softwarepakete einstufen und sie überwachen und übliche Richtlinien darauf anwenden. Außerdem können Organisationen auf eine Liste erlaubter Erweiterungen setzen, sodass nur geprüfte Erweiterungen zum Einsatz kommen.

Die Analyse listet am Ende die Namen der bislang erkannten bösartigen Add-ons sowie einige etwa mit Command-and-Control-Servern verknüpfte Domains auf. Nutzer sollten die installierten Add-ons auf Übereinstimmungen prüfen und sicherstellen, die Add-ons vom echten Anbieter installiert zu haben.

Browser-Erweiterungen sind öfter Ziel von Cyberkriminellen. Anfang des Jahres wurden etwa zahlreiche Entwickler von Erweiterungen für Google Chrome offenbar Opfer von Phishing-Attacken. Die Angreifer missbrauchten die erlangten Zugänge, um bösartig manipulierte Versionen der Add-ons in den Chrome Web Store zu verfrachten und so Opfern unterzuschieben.

(dmk)