Gruppendiskussion Diskussion Austausch Besprechung Meeting Negotiations concept, different businesspeople discussing deal details at group meeting, young and senior partners team thinking talking consulting about contract sitting at conference office table
© fizkes / shutterstock.com
SERIE: Sicherheit 4.0

Mehr als übliche Bewältigungsrhetorik und stereotype Antworten?

Hackerangriff auf Politik und Medien, Teil 5: Konsequenzen

Gleich zu Jahresbeginn erschütterte „einer der größten Hackerangriffe der deutschen Geschichte“ die Republik. Die Daten von über 1.000 Personen aus der Politik und dem öffentlichen Leben waren im Internet veröffentlicht worden. Der fünfte Teil dieses Beitrags gibt einen Ausblick auf die Lehren und Konsequenzen, die die Politik angekündigt hat.

Politische Befassung

Der Politikbetrieb hat unmittelbar nach Bekanntwerden der Veröffentlichungen alle Register gezogen und den Vorfall in allen zuständigen Gremien im Bundestag zum Thema gemacht: Sondersitzung des Innenausschusses, Befragung von Bundesinnenminister Horst Seehofer sowie der Präsidenten von BSI und BKA, Sondersitzung des Ausschusses für Digitale Agenda, Sitzung der für IT-Fragen zuständigen Kommission des Ältestenrates des Bundestages für den Einsatz neuer Informations- und Kommunikationstechniken und -medien (IuK-Kommission) usw. Auch parteiintern fanden Krisensitzungen und Telefonkonferenzen statt, Rundschreiben forderten zur Passwortänderung auf, es wurden Handreichungen und Schulungen vorbereitet, IT-Systeme überprüft und die Ausbildung weiterer Sicherheitsbeauftragter angestoßen.

Reaktionen, Lehren, Konsequenzen

Die übliche Bewältigungsrhetorik, mit der die Politik ein ums andere Mal auf ein Phänomen reagiert, das sie noch immer vernachlässigt und nur in Teilen versteht, belächeln Digitalfachleute seit Jahren. Aber auch die stereotypen Antworten helfen nicht wirklich: Die Sicherheitsbehörden wollen weitergehende Befugnisse. Die Digitalpolitiker fordern mehr Geld für die Digitalpolitik. Datenschützer mahnen, den Datenschutz ernster zu nehmen. Social-Media-Kritiker empfehlen, Twitter und Co. zu verlassen. Und wer es sich recht leicht macht, verweist auf manchen Leichtsinn der Opfer, macht sie zumindest mitverantwortlich und verkennt, dass es Teilen der Bevölkerung schlichtweg an der erforderlichen technischen Versiertheit fehlt – worauf es angesichts der Alternativlosigkeit gesamtgesellschaftlich an einer Antwort mangelt.

Das Recht auf Privatsphäre

Immer, wenn es um die Lockerung von Datenschutzbestimmungen geht, um den Sicherheitsbehörden zusätzliche Ermittlungs- und Überwachungsbefugnisse zu geben, kommt das Argument auf, dass es doch nicht so schlimm sei, wenn man nichts zu verbergen habe. Der aktuelle Hackerangriff hingegen zeigt, dass jeder etwas zu verbergen hat – selbst wer keine Geheimnisse im engeren Sinne zu haben meint, verfügt über Daten, die Dritte interessieren und die entsprechend zu schützen sind. Es reicht schon deren Veröffentlichung, um den Betroffenen viel Ärger zu bereiten – ganz zu schweigen von Phishing-Mails, Onlinebetrug, Übernahme von digitalen Identitäten, Erpressung, gestohlenen Kundenkonten oder unautorisierten Datenweitergaben durch Online-Dienstleister.

Bewusstsein für Datenschutz

Bundesjustizministerin Katharina Barley machte deutlich, dass bei den Menschen ein höheres Bewusstsein nötig sei, wie kostbar Daten sind. Die ehemalige Bundesdatenschutzbeauftragte Andrea Voßhoff forderte eine bessere Aufklärung über die Gefahren der Digitalisierung und machte deutlich, dass mit der Digitalisierung zwingend ein hohes Maß an Datensicherheit und Datenschutz einhergehen müsse, dass der Datenschutz nicht aus ökonomischen Gründen oder Angst vor Bürokratisierung geschliffen werden dürfe und dass die Bürger sich nur selbst gut schützen könnten, wenn sie gut aufgeklärt seien. Ihrem gerade seit 7. Januar 2019 neu im Amt befindlichen Nachfolger Ulrich Kelber zufolge müsse Datenschutz schon „selbstverständlicher Bestandteil des Schulunterrichts werden“; zugleich appellierte er an alle Eltern, ihre Kinder zu einem verantwortungsvollen Umgang damit zu erziehen. Auch Netzexperten wiesen darauf hin, dass die Politik die Bürger nicht mit dem Problem allein lassen dürfe; es sei mehr digitale Kompetenz und mehr Personal auf Seiten der Datenschützer nötig. Als weitere Konsequenz aus dem Hackerangriff forderte der neue Bundesdatenschutzbeauftragte eine frühere Information der Datenschutzbehörden durch die Sicherheitsbehörden.

Vorsicht im Internet

Mehr eigene Vorsicht im Internet ist unabdingbar. Man muss ja nicht gleich wie Robert Habeck, der Bundesvorsitzende der Grünen, Facebook und Twitter vollends den Rücken kehren – wobei in seinem Fall auch noch andere Umstände eine Rolle spielten. Aber die Frage, welche Daten wirklich online abgespeichert werden, die Verschlüsselung digitaler Datenflüsse, die Rückverlagerung sensibler Kommunikation in persönliche Gespräche, die Änderung von Zugangsdaten in neue, weniger leicht zu erratende Passwörter und Antworten auf Sicherheitsfragen, die Nutzung der Zwei-Faktor-Authentifizierung, die Software-Aktualisierung auf neueste Versionen, das Nichtöffnen von E-Mail-Anlagen und Links unbekannter Absender – all das sind eigentlich Selbstverständlichkeiten, die zum kleinen Einmaleins der Internet-Nutzung gehören sollten. Wer Daten ins Netz legt, muss auch damit rechnen, dass sich schlimmstenfalls Dritte Zugriff darauf verschaffen können. IT-Sicherheitsexperten wiesen darauf hin, dass es bekannt sei, dass Daten furchtbar schlecht geschützt sind oder unbedacht herausgegeben werden. Bundesinnenminister Horst Seehofer betonte die Wichtigkeit „risikobewussten Handelns“, die persönliche Verantwortung eines Jeden für den sicheren Umgang mit sensiblen Daten und machte deutlich, dass Sorglosigkeit „vollständig fehl am Platze“ sei. IT-Sicherheitsexperten plädierten gar dafür, so viele Systeme wie möglich, vor allem militärische Computer und kritische Infrastrukturen, vom Internet zu entkoppeln und zu separieren, denn nur so ließen sie sich vor Cyberangriffen schützen.

Besondere Vorsicht im politischen Raum

Die Sensibilisierung sollte auch mehr Vorsicht im Bundestag umfassen: Aufmerksame Beobachter stellten fest, dass in frei zugänglichen Garderoben Handys in den Jackentaschen vergessen werden, dass Entsperrcodes auf Telefonen vermerkt sind, dass Passwörter gut zu beobachten in Tablets eingetippt werden – ganz zu schweigen von tatsächlichen Angriffen auf die Netzwerke des Bundestags wie im Mai 2015. IT-Sicherheitsexperten schlagen etwa eine „behördenübergreifende permanente Task Force zum Schutz der Wahlen, Parteien und Politiker“ und höhere IT-Sicherheitsstandards für Parteien und beruflich genutzte Accounts von Politikern vor – doch der beste Schutz der Bundestags-IT nützt nichts, wenn private Konten zu sensible Daten enthalten und unzureichend geschützt sind. Das BSI bietet Politikern Expertenwissen an, die Fraktionen bieten regelmäßige Schulungen an – doch alle scheuen sich vor einer Antwort auf die Frage, wie viele Abgeordnete diese denn in Anspruch nehmen. Zugleich wurde aus der Politik ein stärkeres Bewusstsein dafür angemahnt, dass die Frage der IT-Sicherheit für eine Demokratie im Zeitalter der Digitalisierung konstituierend sei.

Vom Reden zum Handeln

Der Twitter-Account, der im Zentrum der Veröffentlichungen stand, gehörte bis zum Sommer 2017 nach dessen Darstellungen dem Youtuber Yannick Kromer; dann sei sowohl sein Twitter-Zugang, als auch sein mit Twitter verbundenes E-Mail-Konto bei AOL gehackt worden, er sei aus seinen eigenen Accounts ausgesperrt worden – und es sei ihm trotz Kontaktaufnahmen zu Twitter und AOL nicht gelungen, diese wiederzuerlangen. Seine erstattete Anzeige sei aus Mangel an Beweisen fallengelassen worden. Jetzt war dieser Twitter-Account die Drehscheibe für die Datenveröffentlichungen. Davon betroffen war auch ein Bundestagsabgeordneter, dessen Facebook-Zugang und privates E-Mail-Konto im November 2018 gehackt wurden. Auch er wurde aus seinen Accounts ausgesperrt – dann hat Facebook die Seite gesperrt. Aus seinem E-Mail-Konto waren unterdessen Handynummern und Wohnadressen zahlreicher Fraktionskollegen kopiert worden – sie wurden im Dezember 2018 veröffentlicht, ebenso wie weitere Kontaktdaten, seine Geburtsurkunde und eine Mitgliederliste seines Ortsverbandes. Betroffene hoffen, dass die große Aufmerksamkeit für das Thema hilft, um sich künftig gegen Doxxing wehren zu können – zumal die Bundesregierung noch im Dezember befand, dass Doxxing kein Cybercrime und die entsprechende Cybercrime-Behörde demzufolge nicht zuständig sei.

Digitaler Gegenschlag

Bleibt die Frage des Wie. Thorsten Frei ist stellvertretender Vorsitzender der CDU/CSU-Bundestagsfraktion. Seine exponierte Funktion machte ein wenig ratlos angesichts einer Äußerung kurz nach Bekanntwerden der Veröffentlichungen, mit der er sich in der „Stuttgarter Zeitung“ zitieren ließ. Demnach gehe es „nicht mehr nur um defensive Datenabwehr, sondern um die Möglichkeit zu einem aktiven Gegenangriff, der auch dazu führen kann, Server im Ausland, die die abgegriffenen Daten speichern, aktiv zu zerstören.“ – im aktuellen Fall etwa die von US-Konzernen wie Twitter oder Google. Ganz abgesehen von der Frage der Erfolgsaussichten – in diesem Fall hatte der Täter die Datensätze auf dutzende Server bei verschiedensten Anbietern hochgeladen, wo sie jedermann umgehend wieder downloaden konnte – möchte man sich die möglichen Konsequenzen einer solchen Forderung lieber nicht vorstellen.

Datenlöschung

Dass die veröffentlichten Daten so schnell und so weit wie möglich aus dem Internet gelöscht werden sollten, war indessen klar – nur eben mit rechtlich zulässigen Mitteln, unter Ansprache der richtigen Adressaten und ohne einen Cyberkrieg zu riskieren. Dass der Aufruf des BSI an über 50 internationale Hoster, die Daten zu löschen, ohne rechtliche Handhabe erfolgte, ist ein anderes Thema. Google hat den zur Verbreitung der Veröffentlichung benutzten Blog auf blogspot.com/blogger.com recht schnell entfernt. Hingegen dauerte es bis zum 04.01.2019, bis der Twitter-Account gesperrt wurde, über den die Veröffentlichungen bis zum 28.12.2018 verbreitet wurden – verknüpfte Accounts waren zu diesem Zeitpunkt noch immer online. Neben den Links zu den Daten wurden zwar auch Pastebin-Seiten gelöscht; allerdings wäre es ein Irrglaube anzunehmen, dass sich alle veröffentlichten Daten aus dem Internet entfernen lassen und eine weitere Verbreitung unterbunden werden kann. Angesichts der aktuellen Rechtslage rief der Vorsitzende der CDU/CSU-Bundestagsfraktion, Ralph Brinkhaus, ein wenig hilflos dazu auf, „verantwortungsvoll mit den Daten umzugehen. Damit die, die diese privaten Informationen öffentlich machen, nicht gewinnen“.

Viel zu tun

Es wurden auch eine Reihe ganz konkreter Überlegungen angestellt und Vorschläge unterbreitet, welche Lehren aus dem Hackerangriff zu ziehen sind.

Die diskutierten bzw. angekündigten Konsequenzen hinsichtlich

  • Strafrechtslücken und Strafmaßverschärfungen
  • Aufgabenspektrum und Struktur der Sicherheitsbehörden und
  • Gesetzlichen Rahmenbedingungen für IT- und Plattform-Anbieter

werden in separaten Artikeln beschrieben.

EU-weite Lösung

Die EU-Kommission hat den Hackerangriff zum Anlass genommen, zu mehr Zusammenarbeit der europäischen Sicherheitsbehörden aufzurufen. Zwar seien die nationalen Regierungen für die Bearbeitung individueller Vorfälle wie dem in Deutschland verantwortlich, „aber der erfolgreiche Kampf gegen solche Bedrohungen als Ganzes kann nicht von einem einzelnen Land allein geführt werden“, hieß es aus Brüssel. Beispielsweise seien relevante Daten oft in anderen Ländern gespeichert und für die Rechtsdurchsetzung ein „schneller und effizienter Zugang zu elektronischen Beweismitteln in anderen Rechtssystemen nötig“. Konkret hieß es, „Wir müssen Wahlen besser schützen, indem wir mit den Mitgliedstaaten mit Blick auf cyberbasierte Bedrohungen zusammenarbeiten“ – und Bundesinnenminister Horst Seehofer präzisierte, gerade mit Blick auf die Ende Mai anstehende Europawahl müsse man sich entsprechend wappnen.

Aktueller Ausblick

Man sollte meinen, die Politik sei sich des Ernstes der Lage bewusst. Es wurden erste Maßnahmen angestoßen, weitere angekündigt und noch viele mehr gefordert. Doch ist Deutschland seitdem sicherer geworden? – Gut einen Monat nach dem Hackerangriff hat der hessische Radiosender FFH die Probe aufs Exempel gemacht und festgestellt, dass sich insbesondere geheime Handynummern und private E-Mail-Adressen auch ganz ohne Hacking im Internet finden lassen. Die Lösung sind spezielle Online-Tools aus den USA, wie sie Headhunter nutzen – sie sammeln massenweise Informationen über alle möglichen Personen und legen sie vollautomatisch in Datenbanken ab. Die Recherchen des Senders brachten Daten des halben Bundeskabinetts zutage. Als man die CDU-Bundesvorsitzende Annegret Kramp-Karrenbauer per WhatsApp auf die Sicherheitslücke aufmerksam machte, meldete sich umgehend das zuständige Landeskriminalamt – um zu erfragen, wie die Nummer herausgefunden wurde. Doch wie kommen die Daten in die Tools? Zum einen durch die Sammlung frei verfügbarer Informationen im Internet. Zum anderen aber auch durch den Datenkauf von Webseiten und offenbar auch von App-Anbietern, die oft einen vollen Zugriff auf sämtliche Daten eines Smartphones haben.

Der Beitrag über den Hackerangriff auf Politik und Medien besteht aus fünf Teilen:

  • Teil 1: Die Tat und ihre Folgen
  • Teil 2: Die Ermittlungen, der Täter und seine Vorgehensweise
  • Teil 3: Motivation des Täters und Einordnung der Tat
  • Teil 4: Kritik

 

SERIE: Sicherheit 4.0

„Straftatbestand Digitaler Hausfriedensbruch erforderlich“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 3: Strafrechtslücken und Strafmaßverschärfungen

SERIE: Sicherheit 4.0

„Zur Mithilfe verpflichtet“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 2: Gesetzliche Rahmenbedingungen für IT- und Plattform-Anbieter

SERIE: Sicherheit 4.0

„Digital Streife fahren“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 1: Aufgabenspektrum und Struktur der Sicherheitsbehörden

SERIE: Sicherheit 4.0

Mehr als übliche Bewältigungsrhetorik und stereotype Antworten?

Hackerangriff auf Politik und Medien, Teil 5: Konsequenzen

SERIE: Sicherheit 4.0

„Vollkommen inakzeptabel“ oder eine Frage der Aufgabenstellung?

Hackerangriff auf Politik und Medien, Teil 4: Kritik

SERIE: Sicherheit 4.0

Handlungsleitfaden Informationssicherheit

Für die kommunale Praxis: IT-Dienstleister ITEOS kooperiert mit Studenten

SERIE: Sicherheit 4.0

Generalprobe für die Bedrohungen des 21. Jahrhunderts

Hackerangriff auf Politik und Medien, Teil 3: Motivation des Täters und Einordnung der Tat

SERIE: Sicherheit 4.0

Ermittlungserfolg oder Selbstentlarvung?

Hackerangriff auf Politik und Medien, Teil 2: Die Ermittlungen, der Täter und seine Vorgehensweise

SERIE: Sicherheit 4.0

Ein Hacker, der als Gott im Orbit schwebte

Hackerangriff auf Politik und Medien, Teil 1: Die Tat und ihre Folgen

SERIE: Sicherheit 4.0

Technologie als Treiber der Sicherheitspolitik

Teil 1: Überwachung

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.