Blog Politik
Politikhaltung

Wenn der Schlüssel im Schloss steckt, ist nicht das Schloss schuld

· David Krcek · 8 min Lesezeit
Wenn der Schlüssel im Schloss steckt, ist nicht das Schloss schuld

Ein Kommentar zur Signal-Phishing-Affäre, zur Reflexreaktion einer Bundestagsvizepräsidentin – und zum sehr lauten Schweigen des Digitalministers

Es gibt Augenblicke, in denen die deutsche Politik den Vorhang lüftet und uns einen Blick auf das gewährt, was sich hinter den Sonntagsreden zur “digitalen Souveränität” verbirgt. Die vergangenen Tage waren so ein Augenblick. Bundestagspräsidentin Julia Klöckner, Bildungsministerin Karin Prien, Bauministerin Verena Hubertz – allesamt Opfer einer Phishing-Kampagne über den Messenger Signal. Mehr als 300 Personen aus Politik, Militär und Journalismus, sagen die Behörden, sind im Visier. Mutmaßlich russisch gesteuert. Mutmaßlich seit September 2025 aktiv. Der Verfassungsschutz hatte Bundestag und Kabinett bereits am 6. Februar gewarnt. Geholfen hat es offensichtlich nicht.

Was war passiert? Nichts Spektakuläres. Nichts, was eine Auslandsspionage-Sondersendung rechtfertigen würde. Die Angreifer schickten Nachrichten, die so aussahen, als kämen sie vom “Signal Support”. Bitte hier den PIN eintippen, bitte da auf den Link klicken, bitte den QR-Code scannen, um Ihr Konto zu verifizieren. Das ist – und es schmerzt fast, das einer Bundestagspräsidentin ins Stammbuch schreiben zu müssen – die digitale Variante des Mannes mit dem Klemmbrett, der an der Haustür klingelt und vorgibt, vom Energieversorger zu sein. Wer ihm die Kontodaten gibt, hat nicht ein Problem mit der Tür. Er hat ein Problem mit sich selbst.

Das Problem sitzt nicht im Messenger. Es sitzt davor.

An dieser Stelle betritt Andrea Lindholz, Bundestagsvizepräsidentin der CSU, die Bühne. Natürlich tut sie das. Wenn in der Bundesrepublik irgendwo jemand auf eine technische Frage mit einem politischen Verbot antwortet, ist die CSU selten weit. Ihre Diagnose: Signal muss weg. Ihr Rezept: Auf den Diensthandys von Abgeordneten und Mitarbeitern soll der Messenger verboten werden. Stattdessen empfiehlt sie Wire, einen Konkurrenten mit Servern in der Schweiz und der EU. Begründung: Wire benötige keine Telefonnummer, sondern lediglich eine E-Mail-Adresse, sei daher für Phishing-Angriffe weniger anfällig.

Wer das liest, reibt sich die Augen. Nicht, weil Wire kein vernünftiges Produkt wäre – über Messenger lässt sich diskutieren, über Architekturen, Metadaten, Jurisdiktionen. Sondern weil der vorgeschlagene Wechsel das Problem nicht im Ansatz berührt. Phishing ist technologieneutral. Das ist keine Petitesse, das ist der Kern der Sache. Wer auf einen gefälschten Link klickt, wer einen QR-Code scannt, ohne zu prüfen, woher er stammt, wer einen Code an einen freundlichen Fremden weiterreicht, der wird das auf Wire genauso tun. Auf Threema. Auf Element. Auf einer hauseigenen, BSI-zertifizierten, in der Eifel gehosteten Lösung mit Cobertura-Verschlüsselung und Quanten-Resistenz – egal. Die Schwachstelle ist nicht die App. Die Schwachstelle ist die Annahme, dass jede Nachricht, die “Support” im Absender trägt, auch von einem Support stammt.

Dass eine Bundestagsvizepräsidentin diese banale Tatsache nicht zu kennen scheint – oder, schlimmer, sie kennt und trotzdem den Plattformwechsel als Lösung verkauft – ist an IT-Inkompetenz schwer zu überbieten. Es ist die politische Fortsetzung jener Logik, nach der man die Kriminalität bekämpft, indem man die Tür austauscht, durch die der Einbrecher höflich hereingebeten wurde. Es ist Sicherheitspolitik im Modus “Trotzkopf”: Wenn ich es nicht verstehe, gehört es verboten.

Der CSU-Reflex: Verbieten, was man nicht versteht

Es lohnt, kurz innezuhalten und sich zu vergegenwärtigen, aus welcher Ecke dieser Vorschlag kommt. Andrea Lindholz, langjähriges Mitglied im Innenausschuss, gehört zu jener Partei, die seit anderthalb Jahrzehnten unermüdlich für die Vorratsdatenspeicherung trommelt – ein Instrument, das das Bundesverfassungsgericht 2010 kassiert hat, das der Europäische Gerichtshof 2014, 2016, 2020 und 2022 für unionsrechtswidrig erklärt hat, das in seiner deutschen Variante seit Jahren in der juristischen Reanimation liegt und das die CSU dennoch in jeder Innenministerkonferenz wiederbelebt wie ein zur Sucht gewordenes Ritual. Es ist die Partei, die sich für die anlasslose Speicherung der Verbindungsdaten von 80 Millionen Menschen einsetzt, weil sie vielleicht nützlich sein könnten, und die im selben Atemzug Bundestrojaner, Online-Durchsuchung, automatisierte Gesichtserkennung im öffentlichen Raum und – über die EU-Schwesterpartei – die Chatkontrolle als ehernen Kompromiss zwischen Freiheit und Sicherheit anpreist.

Mit anderen Worten: Eine politische Strömung, deren Markenkern aus dem systematischen Mitlesen fremder Kommunikation besteht, fordert nun, einen Messenger zu verbieten, weil ihre eigene Spitze nicht in der Lage war, eine Phishing-Nachricht zu erkennen. Das wäre Komik in Reinform, gäbe es nicht zugleich diesen unangenehmen Beigeschmack: Die Selbstverständlichkeit, mit der hier wieder einmal das Werkzeug zum Schuldigen erklärt wird. Verschlüsselte Kommunikation der Bürger? Bedrohungsszenario, gehört regulierbar gemacht. Verschlüsselte Kommunikation der Vizepräsidentin? Wenn sie nicht funktioniert, wie wir sie verstehen, gehört sie verboten. Datenschutzrechtliche Geländer für staatliches Überwachen? Lästig. Datenschutzrechtliche Geländer für die Diensthandys einer Ministerin? Plötzlich oberste Priorität, sofern man “Datenschutz” mit “Plattformwechsel” verwechselt.

Es ist, mit Verlaub, der wiederholte Beweis, dass ein erheblicher Teil der CSU-Sicherheitspolitik nicht aus Erkenntnis schöpft, sondern aus Reflex. Der Reflex lautet: Wenn etwas digital schiefgeht, schreiben wir ein Gesetz dagegen. Nicht: Wir schauen, was eigentlich schiefgegangen ist. Eine Partei, die sich seit fünfzehn Jahren am eigenen Vorratsdatenspeicherungs-Trauma abarbeitet, ist konditioniert darauf, jede digitale Frage als ordnungspolitische Frage misszuverstehen. Phishing als Fortbildungslücke? Zu leise, zu langweilig, zu wenig pressefähig. Phishing als App-Verbot? Endlich wieder ein Schlagwort fürs Wahlkampf-Wochenende.

Dass ausgerechnet diese Partei nun beanspruchen will, die digitale Sicherheitsarchitektur des Bundestags zu definieren, ist nicht nur peinlich. Es ist der politische Beleg dafür, dass IT-Inkompetenz und Überwachungsverlangen zwei Seiten derselben Medaille sind. Wer das Internet nicht versteht, will es entweder regulieren oder verbieten – nur nicht ernsthaft begreifen.

Eine Lehrstunde in Realitätsverweigerung

Die Affäre selbst wäre verschmerzbar. Phishing-Opfer gibt es überall, auch in den USA, auch in den Vorstandsetagen, auch unter Sicherheitsforschern. Niemand ist davor gefeit. Was die Angelegenheit jedoch zu einem Lehrstück macht, ist die Reaktion. Sie verläuft in drei Akten, und alle drei sind eine Dokumentation der Ahnungslosigkeit.

Erster Akt: Die Ministerien schweigen. Die Sprecherin von Prien lässt mitteilen, man wolle “keine Auskunft über Regierungskommunikation” geben. Das Bauministerium verweist auf “klare Grundsätze”. Was das heißt, weiß niemand. Vermutlich nicht einmal das Ministerium selbst.

Zweiter Akt: Lindholz fordert das Signal-Verbot. Damit schreibt sie politisch fest, was technisch falsch ist – und vermittelt der Öffentlichkeit, der eigentliche Skandal sei die Wahl der App, nicht der Umstand, dass Personen mit Zugang zu sensibelster Information offenbar nicht ausreichend geschult sind, um eine Phishing-Nachricht zu erkennen, deren Strickmuster seit den späten 1990er Jahren bekannt ist.

Dritter Akt – und dies ist der eigentlich beunruhigende: Karsten Wildberger, Digitalminister, schweigt. Der Mann, der das neu geschaffene Bundesministerium für Digitales und Staatsmodernisierung führt, der Ex-Manager, der mit dem Versprechen angetreten ist, die Verwaltung ins 21. Jahrhundert zu schleppen, der über digitale Souveränität referiert, sobald ein Mikrofon in seiner Nähe steht – ausgerechnet dieser Minister bleibt stumm, während eine Kabinettskollegin nach der anderen in eine Falle tappt, für die der Verfassungsschutz drei Monate vorher schriftlich gewarnt hatte.

Warum schweigt Wildberger?

Die Antwort ist unangenehm, aber sie liegt auf der Hand. Würde Wildberger den Mund aufmachen, müsste er sagen, was Sache ist: Die Affäre ist kein Beleg für ein Versagen von Signal. Sie ist ein Beleg für das Versagen einer Sicherheitskultur, in der Spitzenfunktionäre Diensthandys mit privaten Apps mischen, in der Schulungen offenbar Powerpoint-Folien aus dem Jahr 2014 sind, in der Warnungen des Verfassungsschutzes zwischen Postausgang und Posteingang versickern. Er müsste der Vizepräsidentin des Bundestags öffentlich widersprechen – einer einflussreichen Stimme der eigenen Schwesterpartei. Er müsste erklären, dass das Problem nicht im App-Store lebt, sondern in den Köpfen, die das Diensthandy bedienen. Er müsste, kurz gesagt, der Politik zumuten, die Wahrheit über die Politik zu hören. Und das tut, wer als Quereinsteiger gerade erst gelernt hat, wie der Beamtenapparat funktioniert, lieber nicht.

Stattdessen schweigt der Digitalminister, lässt den IT-Diskurs Politikerinnen führen, die Phishing für ein Plattformproblem halten, und überlässt der Öffentlichkeit den Eindruck, die Lösung deutscher Cybersicherheitsprobleme bestehe in der Migration zu einem anderen Anbieter. Das ist nicht nur ein verpasster Moment. Das ist eine Bankrotterklärung der digitalen Aufklärung.

Was tatsächlich helfen würde

Wer die Affäre ernst nimmt, müsste das Gegenteil tun von dem, was gerade geschieht. Verpflichtende, regelmäßige, keineswegs einmalige Schulungen zu Social Engineering – nicht in Form einer Mailanlage, sondern als ressortübergreifender Dauerprozess. Ein klares Trennungsregime zwischen Dienst- und Privatkommunikation, technisch erzwungen und nicht der Disziplin des Ministers überlassen. Hardware-Sicherheitsschlüssel als zweiter Faktor, die ein Phishing-Codeklau ins Leere laufen lassen. Eine Kultur, in der ein Anruf beim IT-Support vor dem Klick die Norm ist, nicht die Ausnahme. Und – das wäre die anspruchsvollste Übung – eine politische Klasse, die akzeptiert, dass digitale Mündigkeit Teil des Berufsbildes geworden ist, so wie das Lesen von Akten oder das Reden vor laufender Kamera.

All das ist anstrengender, als ein Verbot zu fordern. Es lässt sich schlechter in eine Pressemitteilung packen. Es liefert kein knackiges “Wir handeln”. Aber es ist der einzige Weg, der nicht beim nächsten Phishing-Versuch über einen anderen Messenger – oder per E-Mail, per SMS, per Anruf, per gefälschter Webseite – wieder im selben Loch landet.

Schlussbild

Ein Land, in dem die Bundestagspräsidentin auf einen QR-Code hereinfällt, die Vizepräsidentin daraufhin den Messenger verbieten will und der Digitalminister es vorzieht, im Hintergrund die Aktenlage zu studieren, hat kein Cybersicherheitsproblem. Es hat ein Bildungsproblem. Und solange es das nicht erkennen will, wird es bleiben, was es seit Jahren ist: ein Land, das sich digital bewegt wie jemand, der zum ersten Mal eine Rolltreppe betritt – mit einem mulmigen Gefühl, mit fester Hand am Geländer und in der vagen Hoffnung, dass am Ende oben jemand wartet, der weiß, was zu tun ist.

Spoiler: Da wartet niemand.

Quellen: netzpolitik.org, taz, Spiegel, basicthinking.de, heise online (April 2026)

David
David
AI, Apple Silicon, Coding-Experimente, SwiftUI und Haltung.
Weiterlesen