Markus Reuter über Datenklau und Digitalkompetenz
Unsinnige und sinnvolle Vorschläge zum Schutz vor Internetangriffen.
Geklaut wird überall,
Die Aufregung war groß. Die »Bild«Zeitung sprach von einem Hackerangriff auf Deutschland und rief in giftgrünem Layout einen »Cyber-Alarm« aus. Doch am Ende war es nur ein 20-jähriger Mann, der mit viel Eifer und Geschick, aber wenig technisch elaboriert viele Daten von Politikern und Prominenten sammelte – und öffentlichkeitswirksam im Internet publizierte. Der anfangs von vielen Medien als großer Hack eingeordnete Datendiebstahl fiel mehr und mehr in sich zusammen.
Der Angreifer ist eher ein sogenanntes Scriptkiddie als ein echter Hacker. Am Ende blieb das, was die Fachwelt Doxing nennt: das Zusammentragen und Veröffentlichen personenbezogener Daten. Doxing ist im besten Fall jugendliche Angeberei, im schlechtesten Fall eine strategische Einschüchterung von politischen Gegnern. Die jetzige Attacke liegt vermutlich irgendwo dazwischen, hatte der junge Mann aus Nordhessen dem Angriff doch einen erkennbar rechten Drall verpasst und sich zuvor in einschlägigen Foren rechtsextrem geäußert. Auffällig war auch, dass er die rechtsradikale AfD bei seinen Veröffentlichungen aussparte, während Prominente wie Jan Böhmermann, die sich gegen rechte Umtriebe engagieren, besonders in den Fokus gerieten. Das Bundeskriminalamt will dennoch keinen politisch motivierten Hintergrund der Tat sehen.
Warum das BSI unabhängig werden sollte
Die große persönliche Betroffenheit von Politikern führte schnell zu einer breiten und überfälligen Debatte um Datensicherheit – und direkt zu Vorschlägen, wie solche Angriffe in Zukunft verhindert und auch die Bürgerinnen und Bürger besser geschützt werden könnten. Diese Diskussion ist erst einmal gut, auch wenn der Auslöser den Betroffenen schadet. Denn der Vorfall zeigt schmerzhaft, wie schlecht die Daten vieler Menschen vor unbefugtem Zugriff geschützt sind.
So machte auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) keine gute Figur. Es wurde schon im Dezember 2018 auf einzelne Fälle aufmerksam gemacht, brachte diese aber bis zur Veröffentlichung der gesamten Daten am 3. Januar offenbar nicht im Zusammenhang. Bundesinnenminister Horst Seehofer (CSU) versprach der Behörde 350 neue Stellen. Das ist ein richtiger Schritt, doch wichtiger wäre es, das BSI als unabhängige Behörde aufzubauen. Derzeit ist es dem Innenministerium unterstellt.
Nur ein unabhängiges BSI könnte auch zum Schutz des Bundestagsnetzwerks und der Abgeordneten eingesetzt werden. Bisher kann das BSI hier nur beratend und unterstützend tätig werden, die Regierungsnetze schützt es jedoch operativ. Solange das BSI dem Innenministerium unterstellt ist, ist eine solche Konstellation für den Bundestag schwer verstellbar: Die Exekutive hätte sonst Einblick in die Netze, Daten und Kommunikation der Legislative.
Neue Grundrechtseingriffe durch Frühwarnsystem?
Seehofer sprach als Reaktion auf den Doxing-Fall vom Aufbau eines »Cyber-Abwehrzentrums Plus«, konkretisierte die Pläne aber nicht. Außerdem kündigte sein Ministerium ein neues IT-Sicherheitsgesetz an, das eine bessere Früherkennung der Veröffentlichung gestohlener Daten ermöglichen solle. Aussagen des Innenstaatssekretärs Stephan Mayer (CSU) in der ZDF-Sendung »Maybritt Illner« am Donnerstagabend deuten darauf hin, dass es sich dabei um eine EchtzeitÜberwachung der gesamten Kommunikation in sozialen Netzwerken handeln könnte. Eine solche Überwachung würde jedoch einen schwerwiegenden Eingriff in Grundrechte darstellen.
Im Gespräch sind auch gesetzliche Regelungen, die eine schnellere Reaktionszeit von sozialen Netzwerken wie Twitter verlangen. Der jugendliche Angreifer hatte mehrere Accounts auf dem Kurznachrichtendienst zur Verbreitung seiner Veröffentlichungen ge- nutzt. Der Dienst sperrte erst einige Stunden nach Hinweisen die Accounts, allerdings hatten da schon viele Nutzer die Daten gesehen und weiterverbreitet. Eine geringere Reaktionszeit könnte zwar die Verbreitung solcher Veröffentlichungen eindämmen, bringt aber auch Probleme mit sich. Die von staatlichen Stellen angefragten Unternehmen hätten nur sehr wenig Zeit, den Fall selbst zu überprüfen und (juristisch) einzuschätzen. Es bestünde die Gefahr, dass zu viel gesperrt und gelöscht würde, wenn staatliche Stellen auf Zuruf und ohne Gerichtsbeschluss die Löschung von Inhalten und Accounts – unter Androhung von Strafgeldern – erwirken können. Hier wäre ein Eingriff in das Grundrecht auf Meinungsfreiheit die Folge.
Den wohl unsinnigsten Vorschlag in der Debatte machte der Unions-Fraktionsvize Thorsten Frei. Er forderte, man solle die rechtlichen Rahmenbedingungen für einen »Hackback« schaffen. Darunter versteht man eine Art digitalen Gegenschlag nach dem Motto »Angriff ist die beste Verteidigung«. Diese Art von Gegenangriffen sind mit mannigfaltigen rechtlichen Problemen verbunden und nicht immer technisch sinnvoll. Sie sind es definitiv nicht in einem Fall, wo Nutzerinnen und Nutzer schlechte Passwörter benutzen, deswegen ein Angreifer an persönliche Daten gelangt und diese dann im Netz breitflächig veröffentlicht. Der staatliche digitale Gegenschlag müsste in diesem Fall die Server von Twitter, aber auch die von zahlreichen Internet-Hostern, auf denen die personenbezogenen Daten lagern, attackieren, diese lahmlegen und vielleicht sogar die Daten auf diesen Servern löschen, um die Verbreitung abzustellen. Das ist mit keinem Recht der Welt vereinbar.
Überhaupt schwächt staatliches Hacking die IT-Sicherheit für alle Bürger. Dies zeigt der Einsatz von Staatstrojanern. Diese Maßnahme wurde in den letzten Jahren auf Bundesebene und in vielen Bundesländern eingeführt. Für den Einsatz von Staatstrojanern benötigt man Sicherheitslücken in Computerprogrammen. Wird der Staat zum Hacker, der seine Staatstrojaner nutzen will, hat er ein Interesse, dass diese Sicherheitslücken offen bleiben. Dafür muss er sie selbst finden oder auf dem Schwarzmarkt einkaufen. Staatstrojaner und Online-Durchsuchungen sind also nicht nur aus bürgerrechtlicher Sicht eine Bedrohung, sondern auch für die Datensicherheit aller.
Defensive Strategie und Aufbau von Digitalkompetenz nötig
Weit sinnvoller als staatliches Hacking ist eine breit angelegte Kampagne zur Verbesserung der Datensicherheit. Neben einer personellen Stärkung der Datenschutzbehörden könnte digitale Kompetenz unterschiedlichster Zielgruppen gefördert werden, damit diese lernen, wie sie sich besser schützen. Dabei ist Datensicherheit nur ein kleiner Teil der zu vermittelnden Digitalkompetenz.
Frank Rieger vom Chaos Computer Club schlug im ZDF eine defensive Cyberstrategie mit über lange Zeit fortgesetzten Investitionen in sichere Informationstechnik vor: »Der beste Ansatz dazu ist die staatliche Finanzierung einer breiten Landschaft von OpenSource-Komponenten, die in sicheren Programmiersprachen nach modernen Kriterien geschrieben, regelmäßig auditiert und die auch kommerziell verwendet werden können.« Zu diesen Werkzeugen gehören auch Passwortmanager und eine einfach zu bedienende E-Mail-Verschlüsselung, die dahingehend entwickelt werden müssen, dass sie überall funktionieren und leicht zu bedienen sind. Denn ein großer Teil der Schlacht um Datensicherheit kann nur auf den Computern und Smartphones der Bürgerinnen und Bürger gewonnen werden.
Für die Stärkung der Datensicherheit und des Datenschutzes kann viel getan werden. Bislang ist nur ein kleiner Teil der Vorschläge aus der Politik dazu geeignet, vergleichbare Fälle in Zukunft einzudämmen oder zu verhindern. Es wird sich zeigen müssen, ob die Politik sinnvolle Maßnahmen ergreift oder solche, die wieder einmal die Grundrechte der Bürgerinnen und Bürger beschneiden.