Niemand hat die Absicht, die Bundestagswahl 2017 zu hacken. Die russische Regierung hat Berichte und Befürchtungen über eine mögliche, wie auch immer geartete Einmischung als "völligen Unsinn" bezeichnet. Also alles gut, Thema abgehakt. Die Wahl ist sicher.

So sicher wie die Rente. Das haben die Hacks gegen politische Institutionen in den USA gezeigt. Gegen das Democratic National Committee (DNC) und die Schwesterorganisation Democratic Congressional Campaign Committee (DCCC), gegen den Leiter des Wahlkampfteams von Hillary Clinton, John Podesta, und seinen Mitarbeiter William Rinehart sowie gegen den ehemaligen US-Außenminister Colin Powell. Wie praktisch immer bei Hackerangriffen gilt: Attribution is hard – es ist sehr schwer, zweifelsfrei zu bestimmen, wer für die Taten verantwortlich ist. Aber die Indizien deuten auf russische Geheimdienste hin.

Die New York Times hat diese Indizien am Dienstag noch einmal zusammengetragen und einige bisher unbekannte Details zum Ablauf der Hacks veröffentlicht. Manche mögen haarsträubend erscheinen, aber letztlich beruht der Erfolg der Angreifer auf ungenügenden Sicherheitsvorkehrungen und menschlichen Fehleinschätzungen, wie sie überall auftreten könnten. Politische Institutionen in Deutschland jedenfalls, die im Jahr der Bundestagswahl fest mit ähnlichen Attacken rechnen müssen, können daraus lernen.

Wenn das FBI zweimal klingelt

Das beginnt schon mit der Kommunikation. Das FBI hatte bereits im Herbst 2015 bemerkt, dass jemand in die Rechner des DNC eingedrungen war. Nach Ansicht der Ermittler war es eine Hackergruppe, die wahlweise The Dukes oder APT29 (die Abkürzung steht für Advanced Persistent Threat) genannt wird und schon damals nicht nur der US-Bundespolizei, sondern auch Sicherheitsfirmen wie FireEye und F-Secure bekannt war. Alle drei ordneten die Hacker dem russischen Geheimdienstumfeld zu, weil es entsprechende Spuren in der von ihnen eingesetzten Spionagesoftware gab und weil die angegriffenen Ziele allesamt die außen- und sicherheitspolitischen Interessen Russlands berührten.

Der FBI-Agent Adrian Hawkins rief daraufhin beim DNC an – und wurde an den Helpdesk verwiesen. Er landete letztlich bei Yared Tamene, dem Mitarbeiter eines externen Dienstleisters für den Techsupport. Tamene nahm, so schreibt es die New York Times unter Berufung auf ein internes Memo, den ersten und alle folgenden Anrufe von Hawkins nicht allzu ernst, weil er sich nicht sicher war, ob sich jemand nur einen Telefonscherz erlaubte. Er googelte zwar den Namen "The Dukes" und warf einen oberflächlichen Blick auf die Logdateien des DNC-Systems, aber weil er nichts Beunruhigendes fand, rief er Hawkins nicht zurück.

Der für Technikangelegenheiten zuständige DNC-Direktor Andrew Brown wusste von den Anrufen. Aber weil Tamene nicht mit Sicherheit sagen konnte, ob der Anrufer wirklich ein FBI-Agent war und weil er keine Spuren eines Hackerangriffs fand, kümmerte sich Brown nicht weiter um die Angelegenheit. Er hatte schlicht genug andere Sorgen.

FBI-Mann Hawkins wiederum schrieb keine E-Mail ans DNC, weil er fürchtete, die Hacker damit zu warnen. Er rief aber auch niemand anderen im Komitee an. Und er kam auch nicht persönlich vorbei, obwohl sein Büro nur einen kurzen Spaziergang von dem des DNC entfernt liegt. Das Resultat: Die Dukes konnten sich monatelang im DNC-Netzwerk ausbreiten, obwohl sie eigentlich schon entdeckt worden waren.

Lektion 1 für deutsche Parteien und ihre Landesverbände, für Politiker und Behörden: Stellen Sie sicher, dass das Bundesamt für Verfassungsschutz, das Bundesamt für Sicherheit in der Informationstechnik und Ihr Internetprovider einen festen Ansprechpartner in Ihrem Team haben, der jederzeit erreichbar ist. Einen, der Warnungen vor Angriffen ernst nimmt und sofort darauf reagiert.