Gastbeitrag von Malte und Konstantin zum #Politleak: „Der allerletzte Warnschuss“

Anfang des Jahres hat uns alle der #Politikleak in Atem gehalten. In einem Gastbeitrag hatten wir die Bundesregierung am Ende des vergangenen Jahres aufgefordert, endlich eine echte Kehrtwende im Bereich der IT-Sicherheit einzuleiten und davor gewarnt, dass das Jahr 2019 ansonsten durch Meldungen über Hacks und Leaks bestimmt werden könnte. Dass dies bereits kurz nach Jahreswechsel der Fall ist, hat uns selbst überrascht. Bereits unmittelbar nach Bekanntwerden der Veröffentlichungen haben wir darauf verwiesen, dass bestimmt nicht nur Politiker, Journalisten und Personen des öffentlichen Lebens, sondern genauso Millionen anderer Menschen von ähnlichen Vorfällen betroffen sind. Mittlerweile sprechen wir von über 2 Milliarden Betroffenen. In einem Gastbeitrag, den Malte gemeinsam mit mir für SPON verfasst hat, plädieren wir noch einmal dafür, den jüngsten Vorfalls als allerletzten Warnschuss zu verstehen und endlich tatsächliche politische Handlungen zum Schutz unserer Grundrechte und unserer Demokratie anzugehen. Unseren Beitrag vom 6.01.2019 findet Ihr hier im Original.

Der allerletzte Warnschuss

Wie Millionen andere Menschen zuvor sind Politiker, Prominente und Journalisten nun Opfer eines digitalen Angriffs geworden. Politisch braucht es jetzt keinen Feuerlöscher – sondern besseren Brandschutz für alle.

Ein Gastbeitrag von Konstantin von Notz und Malte Spitz

Seit Tagen herrscht Aufregung und große Verunsicherung: Handynummern, Privatanschriften, Ausweiskopien und teils private Chats, Fotos und Rechnungen von Politikern, Promis und Journalisten wurden illegal veröffentlicht. Auch wir beide sind betroffen – in unterschiedlicher Intensität.

Die Aufklärung steht noch aus, nur langsam wird das Bild klarer: Was wir bisher wissen, lässt vermuten, dass kein systematischer Angriff stattgefunden hat, keine Infiltrierung von IT-Infrastrukturen wie dem internen Netz des Bundestags oder des Regierungsnetzes. Vielmehr wurden wohl vormals erbeutete oder bereits andernorts veröffentlichte Daten genutzt, um sich mit deren Hilfe Zugang zu Social-Media-Profilen oder anderen Diensten zu verschaffen.

Zwar richteten sich die Angriffe gegen Einzelne, allerdings hatte das Vorgehen offenbar eine gewisse Systematik bei der Auswahl der Opfer. Und die Akribie, die der oder die Täter bei der Zusammenführung der Daten an den Tag gelegt hat, ist beängstigend.

Es ist der vorläufige Höhepunkt einer seit Längerem tobenden Auseinandersetzung. Vielleicht ist es sogar der Vorbote eines Informationskriegs im anstehenden Europawahlkampf. Die Gefahr, dass Desinformation, gezielte Veröffentlichung privater Daten und Angriffe auf politische Gegner zunehmen werden, ist jedenfalls real.

Die verständliche Aufregung und Sorge führte wieder einmal schnell zu politischer Hysterie. So wurde nicht nur vom größten Datenraub in der deutschen Geschichte gesprochen und vage Anschuldigungen zu Unterstützern oder Urhebern im Ausland geäußert. Erneut wurde zur Schaffung rechtlicher Möglichkeiten für den digitalen Gegenschlag aufgerufen. All das ist falsch und geht an den eigentlichen Problemen vorbei.

Auch wenn die Aufklärung am Anfang steht, scheint der Angriff einen nationalen Kontext zu haben. So wird vermutet, dass er aus dem Umfeld der YouTube/Gamer-Szene kommt, zumal ausländische Geheimdienste einen solchen Weg der Veröffentlichung – inklusive akribischer Aufarbeitung und Inhaltsverzeichnis – bisher nicht gewählt haben.

Täglich sind Menschen von vergleichbaren Vorfällen betroffen

Auch wenn offen ist, ob es zu weiteren Veröffentlichungen kommt, ist es nicht angebracht, vom größten Datendiebstahl in der deutschen Geschichte zu sprechen, selbst wenn eine Vielzahl prominenter Personen betroffen ist. Sie machen nun die Erfahrung, die zuvor bereits Millionen anderer Menschen gemacht haben, die Opfer von Onlinebetrug, Phishing-Mails und Übernahmen ihrer digitalen Identitäten wurden.

Die massiven IT-Sicherheitsvorfälle der vergangenen Jahre betrafen eine Vielzahl von Menschen. Egal, ob es um gestohlene Kundenkonten bei Yahoo oder Adobe ging oder um die Weitergabe von Facebook-Daten an Cambridge Analytica. Jeden Tag sind Hunderte oder Tausende Menschen von vergleichbaren Vorfällen betroffen. Ihre Daten werden geraubt, sie werden erpresst oder bloßgestellt.

Eine echte Kehrtwende in Sachen IT-Sicherheit ist überfällig

Der jetzige Vorfall sollte als allerletzter Warnschuss verstanden werden. Als digitale Gesellschaft müssen wir endlich damit beginnen, Themen der digitalen Sicherheit ernst zu nehmen. Jeder Einzelne, auch Abgeordnete, ist in der Pflicht, seine Passwörter zu stärken, Verschlüsselung nicht nur zu bejahen, sondern auch anzuwenden und seine Profile in den sozialen Medien so abzusichern, dass seine Kommunikation mit Dritten nicht gefährdet ist. Es gibt einen Katalog an Maßnahmen, der hilft, sich besser vor Angriffen zu schützen.

Der Staat muss für Schutz sorgen – statt für mehr Unsicherheit

Auch die Anbieter müssen ihre Sicherheitsvorgaben drastisch hochschrauben: Die Zwei-Faktor-Authentifizierung muss ebenso zum verpflichtenden Standard werden wie starke Passwortvorgaben. Und eine verschlüsselte E-Mail-Kommunikation sollte auch mit Facebook, Twitter und Co. möglich sein, damit Schwächen bei der Re-Identifizierung und Passwort-Rücksetzung ein Ende haben. Dort, wo die Anbieter sich weigern, grundlegende Sicherheitsmechanismen selbst zu schaffen, müssen sie nötigenfalls verpflichtet werden.

Der Staat muss seiner Vorbildfunktion und seiner Schutzverantwortung gegenüber privater Kommunikation, digitalen Infrastrukturen und demokratischen Institutionen endlich gerecht werden. Anstatt unsere IT-Sicherheit massiv zu gefährden, etwa durch das Anhäufen neuer Datenberge, den staatlichen Handel mit Sicherheitslücken oder extrem umstrittenen digitalen Gegenschlägen, muss für größeren Schutz gesorgt werden.

Regulierung ist kein Teufelswerk

Wir brauchen wirksame Regulierung gegenüber großen IT-Firmen und sehr viel mehr staatliches Engagement bei der Erhöhung der IT-Sicherheit wie etwa durchgehende Ende-zu-Ende-Verschlüsselungen und mehr politische Unterstützung und Anreize für diejenigen, die in gute IT-Sicherheits-Maßnahmen investieren wollen.

Wir müssen davon wegkommen, kopflos auf Hacks und Leaks zu reagieren. Statt nur mit dem Feuerwehrschlauch die öfter aufkommenden Brände zu löschen, müssen wir den Brandschutz verbessern, damit neue Brände erst gar nicht entstehen.

  • Wir müssen proaktiv in gut gesicherte digitale Infrastrukturen investieren. Hierfür ist es unerlässlich, das bestehende Chaos bei den Zuständigkeiten innerhalb der Bundesregierung zu überwinden.
  • Wir müssen unabhängige Aufsichtsstrukturen den gestiegenen Herausforderungen entsprechend ausstatten – beispielsweise für die Beratung von Privatpersonen und Unternehmen.
  • Wir müssen Sicherheitsbehörden und Justiz in die Lage versetzen, klare Rechtsverstöße tatsächlich ahnden zu können.

Die Krise als Chance

In jeder Krise steckt eine Chance. Die sollten wir nutzen und die Diskussion über den effektiven Schutz von Grundrechten und unserer Demokratie in der digitalen Gesellschaft auf eine andere Stufe heben. Statt gänzlich folgenloser Sonntagsreden auf IT-Gipfeln brauchen wir konkretes Handeln zur nachhaltigen Stärkung der digitalen Sicherheit – auf individueller und politischer Ebene. Vorschläge hierfür liegen seit Langem vor. Ein Umdenken in der IT-Sicherheitspolitik und eine Kehrtwende sind überfällig. Packen wir sie endlich an.

Konstantin von Notz, 47, ist stellvertretender Fraktionsvorsitzender der Grünen im Bundestag, Mitglied im Parlamentarischen Kontrollgremium für die Nachrichtendienste und einer der Hauptbetroffenen der jüngsten Veröffentlichung.

Malte Spitz, 34, ist Grünen-Politiker, Datenschutzexperte und Generalsekretär der Gesellschaft für Freiheitsrechte, die sich mit strategischen Klagen auch für mehr IT-Sicherheit einsetzt.

Wer prüfen will, ob er oder sie von den jüngsten oder zurückliegenden Veröffentlichungen betroffen ist, findet bei Spiegel Online Tipps, wie man dies tut und sich schützen kann.