Bewertung Stimmung Emotion Zufriedenheit Mitarbeitezufriedenheit Customer satisfaction survey and questionnaire concept. Giving feedback with multiple choice form. Pen, paper and emotion smiley face icons
© Tero Vesalainen / shutterstock.com
SERIE: Sicherheit 4.0

„Vollkommen inakzeptabel“ oder eine Frage der Aufgabenstellung?

Hackerangriff auf Politik und Medien, Teil 4: Kritik

Gleich zu Jahresbeginn erschütterte „einer der größten Hackerangriffe der deutschen Geschichte“ die Republik. Die Daten von über 1.000 Personen aus der Politik und dem öffentlichen Leben waren im Internet veröffentlicht worden. Der vierte Teil dieses Beitrags fasst die aufgekommene Kritik insbesondere am BSI zusammen und ordnet sie ein.

Das Vorwissen des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war nach eigenen Angaben „schon sehr frühzeitig im Dezember“ informiert. Worüber genau die Behörde zu diesem Zeitpunkt informiert war, dazu waren die Aussagen allerdings nicht immer eindeutig. Nach letzter Darstellung hat das BSI Anfang Dezember von einem Bundestagsabgeordneten einen Hinweis auf fragwürdige Bewegungen auf dessen privaten E-Mail- und Social-Media-Accounts erhalten. Allerdings ging das BSI von einem Einzelfall aus und hatte keine Kenntnis von den weiteren Vorgängen; auch im Nationalen Cyber-Abwehrzentrum soll Sicherheitskreisen zufolge im Dezember nur über einen Teil der Einzelfälle gesprochen worden sein. Erst nach Bekanntwerden der Veröffentlichung am 03.01.2019 konnte die Behörde einen Zusammenhang herstellen – auch zu vier weiteren Fällen, die ihr durch gestellte Strafanzeigen im Laufe des Jahres 2018 bekannt geworden waren. Auf den vermeintlichen Einzelfall und zwei weitere Fälle hin hatte das BSI mit den Betroffenen Gespräche geführt und Gegenmaßnahmen eingeleitet, etwa durch die Entsendung eines Spezialteams für Hilfestellungen bei Betroffenen (Mobile Incident Response Team).

Information von Politik und Behörden

Nach jeweils eigenen Angaben ist das Bundeskanzleramt am späten 3. Januar informiert worden. Das Bundeskriminalamt (BKA) hat in der Nacht zum 4. Januar von den Veröffentlichungen erfahren, Bundesinnenminister Horst Seehofer am Morgen des 4. Januar. Nach Medieninformationen sollen die Führungen der Bundestagsfraktionen am Abend des 3. Januar vom Bundesamt für Verfassungsschutz (BfV) informiert worden sein, der Bundestag selbst habe in der Nacht zum 4. Januar erfahren, dass eine Anzahl von Abgeordneten betroffen war. Die meisten Politiker haben offenbar erst über soziale Netzwerke und Medien von den Veröffentlichungen erfahren, nicht etwa vom BSI. Mit zeitlicher Verzögerung hat der Staatsschutz Betroffene kontaktiert.

Empörung über die Informationspolitik

Die Empörung aus der Politik schlug hohe Wogen: Die Informationspolitik des BSI gegenüber den Opfern der Hackerattacke sei „stark irritierend“, die Nichtinformation von Partei- und Fraktionsvorsitzenden durch die Behörden „völlig inakzeptabel“. Die Informationspflicht der Bundesregierung gegenüber dem Parlament gelte auch zwischen Weihnachten und Neujahr und es sei ein Skandal, dass betroffene Bundestagsabgeordnete nicht früher von den Sicherheitsbehörden informiert wurden. Es gab Empörung darüber, dass auch das Parlamentarische Kontrollgremium nicht informiert wurde, und es wurde gefragt, ob es etwas zu verbergen gebe. Es sei „vollkommen inakzeptabel“, dass das BSI von Veröffentlichungen wusste, ohne die anderen Sicherheitsbehörden zu informieren; es gebe offenkundig gravierende Mängel in der Koordination der Sicherheitsbehörden. Es wurde Aufklärung über die Rolle der Sicherheitsbehörden bzw. eine schnelle Aufklärung über mögliche Fehler der Sicherheitsbehörden gefordert. Die Informationspolitik des BSI werfe Fragen auf und es müsse geklärt werden, welche Behörde wann was gewusst hat, wie darauf reagiert wurde und warum Betroffene nicht eingeweiht wurden. Es war zu hören, dass das BSI seine Vorgehensweise darlegen und kritisch überprüfen müsse. Auch Datenschutzbeauftragte kritisierten die schlechte Kommunikation mit den Bundesbehörden.

Kritikpunkte am BSI

Die Kritik am BSI umfasste insbesondere drei Punkte: dass es die Politik und die anderen Behörden nicht (frühzeitig) informiert habe, dass die Informationspolitik widersprüchlich gewesen sei und dass das BSI dem mutmaßlichen Täter nicht auf die Schliche gekommen sei, bevor er die Daten in großem Stil veröffentlicht habe.

Rechtfertigende Umstände

Zunächst einmal verwies das BSI selbst darauf, dass es für den operativen Schutz der Regierungsnetze zuständig sei, nicht jedoch für die Absicherung parteilicher oder privater Kommunikation von Mandatsträgern – hier könne es nur beratend und auf Anfrage unterstützend tätig werden. Eine weitergehende Rolle im vorliegenden Fall hätte wohl einer weitergehenden Aufgabenübertragung durch die Politik bedurft. Zudem ist angesichts des Vorwurfs, es sei „unerklärlich und verantwortungslos, dass das BSI erst so spät tätig wurde“, bzw. der Frage, weshalb die Sicherheitsbehörden nicht auf das Datenleck aufmerksam geworden seien, darauf hinzuweisen, dass die ab Anfang Dezember veröffentlichten Daten laut BSI keine auffälligen Schlüsselworte enthielten, dass also nichts auf eine breit angelegte Kampagne hinwies – und dass Behörden erst genau dann anfangen können zu ermitteln, wenn ihnen eine Straftat bekannt wird. Die von manchen Politikern offenbar erwartete Kompetenz, Hackerangriffe im Vorfeld zu erkennen, würde eine Vollüberwachung der Kommunikation im Internet erfordern.

Der Beitrag über den Hackerangriff auf Politik und Medien besteht aus fünf Teilen:

  • Teil 1: Die Tat und ihre Folgen
  • Teil 2: Die Ermittlungen, der Täter und seine Vorgehensweise
  • Teil 3: Motivation des Täters und Einordnung der Tat
  • Teil 5: Konsequenzen

 

SERIE: Sicherheit 4.0

„Straftatbestand Digitaler Hausfriedensbruch erforderlich“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 3: Strafrechtslücken und Strafmaßverschärfungen

SERIE: Sicherheit 4.0

„Zur Mithilfe verpflichtet“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 2: Gesetzliche Rahmenbedingungen für IT- und Plattform-Anbieter

SERIE: Sicherheit 4.0

„Digital Streife fahren“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 1: Aufgabenspektrum und Struktur der Sicherheitsbehörden

SERIE: Sicherheit 4.0

Mehr als übliche Bewältigungsrhetorik und stereotype Antworten?

Hackerangriff auf Politik und Medien, Teil 5: Konsequenzen

SERIE: Sicherheit 4.0

„Vollkommen inakzeptabel“ oder eine Frage der Aufgabenstellung?

Hackerangriff auf Politik und Medien, Teil 4: Kritik

SERIE: Sicherheit 4.0

Handlungsleitfaden Informationssicherheit

Für die kommunale Praxis: IT-Dienstleister ITEOS kooperiert mit Studenten

SERIE: Sicherheit 4.0

Generalprobe für die Bedrohungen des 21. Jahrhunderts

Hackerangriff auf Politik und Medien, Teil 3: Motivation des Täters und Einordnung der Tat

SERIE: Sicherheit 4.0

Ermittlungserfolg oder Selbstentlarvung?

Hackerangriff auf Politik und Medien, Teil 2: Die Ermittlungen, der Täter und seine Vorgehensweise

SERIE: Sicherheit 4.0

Ein Hacker, der als Gott im Orbit schwebte

Hackerangriff auf Politik und Medien, Teil 1: Die Tat und ihre Folgen

SERIE: Sicherheit 4.0

Technologie als Treiber der Sicherheitspolitik

Teil 1: Überwachung

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.