Persönliche Daten von hunderten Politikern und weiteren bekannten Personen sind an die Öffentlichkeit gelangt. Nach Angaben der Bundesregierung ist unklar, ob es sich um ein Datenleak oder einen Hackerangriff handelt. Anke Domscheit-Berg, die als parteilose Abgeordnete für Die Linke im Bundestag sitzt, machte drei konkrete Vorschläge, um auf den Vorfall zu reagieren: Erstens brauche es eine Meldepflicht für IT-Sicherheitslücken. Viel zu oft blieben diese zu lange offen. Zudem brauche es eine IT-Produkthaftung, die die Hersteller in die Pflicht nehme, wenn wegen ihrer Produkte personenbezogene Daten geleakt werden. Als dritte Maßnahme forderte sie gute verbindliche IT-Sicherheitsstandards.
Domscheit-Berg sieht auch die sozialen Netzwerke in der Verantwortung. So sei Twitter etwa schon vor einiger Zeit auf den Account hingewiesen worden, der die Daten verbreitet hatte - gesperrt wurde er aber nicht. Sie wolle deswegen zu einer Sondersitzung im Ausschuss Digitale Agenda auch Vertreter der sozialen Netzwerke einladen.
"Kein Zufall, dass die AfD nicht betroffen ist"
Aber auch Privatpersonen müssten auf ihre Datensicherheit achten, sagte Domscheit-Berg. Sie empfahl bei der Nutzung von sozialen Netzwerken die sogenannte Zweifaktorautorisierung. Die erfordere bei der Änderung des Passworts einen weiteren Identitätsnachweis. Zudem sollten Nutzer sich bei Passwörtern Mühe geben: Sie sollten lang sein und aus großen und kleinen Buchstaben und Zahlen sowie Sonderzeichen bestehen. Niemals sollte man leicht zugängliche Informationen wie den Namen eines Haustiers oder den Geburtstag eines Familienangehörigen nutzen. "Man darf der Bequemlichkeit nicht nachgeben."
Den Datenabgriff bezeichnete sie als "gezielten Angriff auf unsere Demokratie und ihre Institutionen". Der oder die Täter wollten damit "flächendeckend" destabilisieren und einschüchtern. Für auffällig und keineswegs zufällig hält die Politikerin es, dass kein Abgeordneter der AfD von dem Angriff betroffen zu sein scheint. Offenbar steckten hinter den Tätern Menschen, die mit der rechtsextremen Seite sympathisierten und alle anderen einschüchtern wollten.
Das Interview in voller Länge:
Christoph Heinemann: Mandatsträgerin ist auch Anke Domscheit-Berg, die Obfrau der Fraktion Die Linke im Bundestagsausschuss Digitale Agenda, Wahlkreis Brandenburg, Potsdam, Havelland. Guten Tag!
Anke Domscheit-Berg: Guten Tag, Herr Heinemann!
Heinemann: Frau Domscheit-Berg, wissen Sie schon, ob Ihre persönlichen Daten gehackt wurden?
Domscheit-Berg: Natürlich hat mein Büro schon gleich als erstes, bevor ich das genauer mitbekam, schon mal nachgeguckt. Ich bin davon nicht betroffen, aber ich war von einem Hackerversuch betroffen. Noch im Dezember hat jemand versucht, auf Facebook mein Passwort zu verändern, aber ich habe, was ich auch jedem empfehlen würde, die Zwei-Faktor-Autorisierung eingestellt, das heißt, ich bekomme ein E-Mail, und da steht ein Wiederherstellungscode, und erst wenn ich diese Zahl eingebe, dann wird mein Passwort wirklich geändert.
In diesem E-Mail stand übrigens auch drin, wenn ich das nicht beauftragt habe, dann versucht es offenbar jemand anderes und ich soll Facebook darüber in Kenntnis setzen. Wie ich das tun soll, stand leider nicht drin. Das heißt, ich habe am 20. Dezember an Facebook, an das Sicherheitsaccount und an das Lobbyaccount in Berlin geschrieben, dass ich das bedenklich finde, dass jemand versucht, meinen Account als Bundestagsabgeordnete zu hacken und dass aber gar nicht drin steht, wie man sich dagegen wehren soll, und habe bis auf den heutigen Tag keine Antwort darauf bekommen, und auch solche schlechten Sicherheitsmaßnahmen großer sozialer Netze, die Verantwortungslosigkeit trägt dazu bei, dass immer mehr Leute darauf reinfallen, gehackt werden und sich nicht richtig schützen können.
Heinemann: Muss die Politik da eingreifen?
Domscheit-Berg: Also es gibt jetzt schon den Antrag, eine Sondersitzung des Ausschusses Digitale Agenda anzuberaumen, und ich werde nahelegen, dass man dort auch Vertreter der sozialen Netze einlädt, denn was man zumindest jetzt schon sagen kann, ist, viele der veröffentlichten Informationen – zumindest für Betroffene aus meiner Fraktion kann ich das auch schon sagen – sind die Informationen, die veröffentlicht worden sind, aus früheren Hacks, die älter sind, teilweise Anfang des Jahres, teilweise ein Jahr alt, und entweder Facebook oder Twitter. Das heißt, es waren frühere Angriffe auf diese sozialen Netze, und das, glaube ich, ist ein relativ häufiger Angriffsfall auf diese Daten. Ansonsten sind sehr, sehr viele dieser Daten nicht hochsensibel. Also bei den Linken haben wir mal durchgezählt, es sind über 40 Bundestagsabgeordnete betroffen, aber nur bei vier davon war es mehr als die sehr leicht zu erfahrende Adresse oder Telefonnummer.
Heinemann: Frau Domscheit-Berg, warum, glauben Sie, sind die Betreiber sozialer Netzwerke, sogenannter sozialer Netzwerke, bei der Sicherung so zögerlich?
Domscheit-Berg: Es macht Arbeit, und offensichtlich haben sie kein Interesse daran, aber am Ende glaube ich, dass ihnen das auf die Füße fällt, denn soziale Netzwerke, die kein Vertrauen mehr genießen, die möchte auch niemand mehr benutzen. Und ausgerechnet Facebook, die im letzten Jahr von einem Skandal zum anderen getaumelt sind, und jedes Mal ging es um personenbezogene Daten, wären sehr gut beraten darin, hier besser zu reagieren.
Aber damit es auch nicht bloß sich nach Facebook-Bashing anhört, bei Twitter weiß ich – das habe ich auf Twitter mitbekommen –, dass einige Leute diesen betroffenen Account, der das alles veröffentlicht hat, schon vorher gemeldet hatten und dass Twitter den Account nicht sofort gesperrt hat, sondern zurückgeschrieben hat, er würde nicht gegen irgendwelche internen Standards verstoßen. Das geht natürlich auch nicht. Das hat dann vielleicht ein Bot kontrolliert oder mangelhaft qualifizierte Personen. Das war offensichtlich die falsche Entscheidung, aber Dinge erst zu sperren, wenn das Hacks sind, von denen praktisch "Die Tagesschau" und jeder andere berichtet, das ist dann halt zu spät.
"Wir brauchen endlich eine Meldepflicht für IT-Sicherheitslücken"
Heinemann: Sollte die Politik da Vorgaben machen, ganz klare?
Domscheit-Berg: Also was wir definitiv brauchen sind verschiedene politische Maßnahmen. Wir brauchen endlich eine Meldepflicht für IT-Sicherheitslücken, die gibt es noch nicht, und deswegen bleiben viel zu viele Sicherheitslücken einfach Undercover, weil es für Hersteller peinlich ist oder man sie zum Erpressen benutzen möchte oder warum auch immer. Wenn sie bekannt wären rechtzeitig und zwar zuerst den Herstellern, dann können sie auch geschlossen werden, und dann sind weniger Menschen angreifbar. Was wir auch nicht haben ist eine IT-Produkthaftung, die quasi Hersteller in die Pflicht nimmt, wenn über ihre Produkte wegen Sicherheitslücken personenbezogene Daten irgendwelchen Schaden anrichten, weil sie geleakt worden sind, und wir haben auch immer noch keine verbindlichen IT-Sicherheitsstandards. Also das wären so drei Dinge, die mir als Sofortmaßnahmen für die Politik einfallen, Meldepflicht für IT-Sicherheitslücken, IT-Produkthaftung einführen und endlich gute verbindliche IT-Sicherheitsstandards, die uns besser schützen.
Heinemann: Frau Domscheit-Berg, schauen wir auf die mutmaßliche Täterseite. Sieht das, was bisher bekannt wurde, für Sie nach gezielten Angriffen aus?
Domscheit-Berg: Nicht gezielt im Sinne auf eine Einzelperson. Es ist aber ein gezielter Angriff auf unsere Demokratie und ihre Institutionen. Also hier soll ganz flächendeckend quasi mit der Schrotflinte allgemein eingeschüchtert und destabilisiert werden. Ich finde es auch nicht zufällig, dass die AfD nicht betroffen ist, und bisher sieht es eindeutig danach aus. Jede andere Fraktion ist mit zig Abgeordneten betroffen, und es ist noch kein einziger AfD-Abgeordneter bisher bekannt geworden. Das wäre der Fall, wenn es da welche gegeben hätte. Das halte ich nicht für Zufall. Das heißt, irgendwo von Menschen, die mit der rechtsextremen Seite sympathisieren, sollen offenbar alle anderen pauschal eingeschüchtert und destabilisiert werden.
Heinemann: Das ist bisher Spekulation, muss man ganz klar sagen.
Domscheit-Berg: Das ist natürlich eine Spekulation, aber hier stellt sich die Frage Cui bono, und alle, die betroffen sind, haben relativ wenig davon, und es stellt sich ja schon die Frage, warum ist das so. Ich finde die Frage völlig berechtigt. Alles andere müssen jetzt die Untersuchungen klären.
Heinemann: Warum ist das so, was beabsichtigen, Ihrer Meinung nach, solche Hacker?
Domscheit-Berg: Eine allgemeine Verunsicherung ist natürlich der Fall. Vielleicht wollen Sie auch …
Heinemann: Was reizt Menschen denn daran, zum Beispiel Informationen über Kinder, über Privatleben, völlig Unbekannte, anderer Menschen, von Prominenten zu veröffentlichen?
Domscheit-Berg: Sie wissen, was das bei den Prominenten natürlich anrichtet. Es gibt ja wenige Daten, die Menschen so erschüttern, wenn sie veröffentlicht werden, als Daten über ihre engsten Familienangehörigen, erst recht über ihre Kinder. Also das ist was, wo man Menschen besonders treffen kann. Da sind sie extrem empfindlich und sehr sensibel, und genau das möchte man erreichen. Man möchte sie an ihren wundesten Punkten treffen. Man möchte ihnen Angst machen, man möchte ihnen zeigen, wir können alles lesen, von dem du denkst, es sei geheim, wir beobachten dich. Im Prinzip ist das so ein bisschen Stasi-Aktivität von früher, wo man auch Menschen versucht hat einzuschüchtern, indem man sie wissen ließ, dass man eigentlich weiß, was sie tun.
"Im Prinzip ist das so ein bisschen Stasi-Aktivität von früher"
Heinemann: Welche Folgen können solche Veröffentlichungen für die Betroffenen haben?
Domscheit-Berg: Also ich hoffe, die erste Folge ist, dass alle sich etwas mehr um ihre Sicherheit kümmern, Passwörter ändern, so eine Zwei-Faktor-Autorisierung einstellen. Ansonsten hoffe ich, dass es nicht dazu kommt, dass Menschen die auf dem Silbertablett servierten Adressen benutzen, um Menschen auch physisch einzuschüchtern und irgendwann vor der Tür stehen. Also das fängt ja mit Farbeiern an und hört mit schlimmeren Dingen auf, und das ist halt nicht schön. Wenn dann noch Fotos von Kindern veröffentlicht werden und man dann auch noch weiß, welche Kinder zu welchem Prominenten oder Politiker gehören, dann ist das sehr beunruhigend. Als Mutter kann ich sagen, ich würde da nicht gut schlafen.
Heinemann: Hacker müssen damit rechnen, dass genau das passiert, was Sie zum Beginn dieses Gesprächs gefordert haben, dass die Politik jetzt hingeht und sagt, erstens, zweitens, drittens, so müssen wir die Netze sicher machen. Noch mal die Frage: Was ergibt sich oder was ist dann der Sinn solcher Angriffe, wenn anschließend die Netze, hoffentlich jedenfalls, sicherer gemacht werden?
Domscheit-Berg: Also Ihr Wort in Gottes Ohr. Wir haben schon sehr viele Hackerangriffe gehabt, und alle die Forderungen, die ich aufgestellt habe, sind auch schon früher aufgestellt worden. Sie sind aber nicht Gesetz geworden.
Heinemann: Warum nicht?
Domscheit-Berg: Also bis jetzt ist das einfach nicht eingetreten. Ja, diese Frage werde ich im Bundestag auch noch mal stellen, auch im Ausschuss Digitale Agenda, denn es wird ja nicht weniger mit der Vernetzung, und irgendwann haben wir auch den Toaster, der erzählen kann, wer wie viele Toasts getoastet hat und wie viele Besucher zu Hause waren. Also wenn wir in dem Internet der Dinge zu Hause wohnen und alle Geräte anfangen können, über uns zu erzählen, wann wir im Bademantel durch die Wohnung marschieren, dann ist das nicht mehr lustig. Also da sind die Anforderungen auch in unserer Verantwortung als Gesetzgeber einfach sehr viel höher, und wir müssen die auch mehr wahrnehmen.
Heinemann: Sie haben es angedeutet mit der Zwei-Faktor-Autorisierung. Ganz allgemein gefragt noch einmal an die Fachfrau: Wie kann man sich schützen?
Domscheit-Berg: Also man kann bei sehr vielen sozialen Diensten und auch bei E-Mail-Diensten – und, ehrlich gesagt, andere sollte man auch gar nicht benutzen – kann man diese sogenannte Zwei-Faktor-Autorisierung einstellen. Das heißt, wenn jemand versucht, das Passwort zu verändern, dass man dann eine Extranachricht irgendwo hin kriegt, zum Beispiel eine PIN oder so einen Code auf das Handy geschickt wird, dass man also zwei verschiedene Wege hat, die man gehen muss, um einmal das Passwort zu ändern, aber manche Dinge sind auch ganz trivial.
Also sehr beliebt sind zum Beispiel so kleine Spielchen auf Facebook: Verrate mir den Namen deines Haustiers, gebe hier dein Geburtsjahr ein, dann sage ich dir, was weiß ich, welcher berühmte Film du wärst. Also es gibt so ganz abstruse Spielchen, aber auf diese spielerische Art und Weise werden Menschen Informationen entlockt, wie zum Beispiel Geburtsjahr oder Name des Haustiers, die besonders häufig in Passwörtern benutzt werden von Menschen.
Mir wurde übrigens auch selbst schon bei der Einrichtung von IT mal empfohlen, ich soll doch einfach, als ich so ein bisschen über das Passwort grübelte, einfach das Geburtsjahr eines Familienangehörigen nehmen. Also niemals sollte man das tun, weil das sind Informationen, die kann man relativ leicht erfahren, und die werden von Hackern natürlich als allererstes getestet. Man muss also die Hürde für Hacker höher legen, gute Passwörter haben, lange Passwörter haben. Das kann also von mir aus die Anfangsbuchstaben eines Liedes sein wie "Alle meine Entchen" und davon nur die Anfangsbuchstaben. Das kann man sich dann gut merken, aber es ist ein sehr hartes gutes Passwort, weil es relativ lang ist und komische Zeichen hat, und da sollte man natürlich auch Groß- und Kleinschreibung beachten, dann wird das alles noch ein bisschen komplizierter, und wenn man da noch irgendwo ein Sonderzeichen einbaut, dann ist es noch besser. Also da sollte man sich näher informieren und der Bequemlichkeit nicht nachgeben, sondern sich wirklich die Mühe geben, gute sichere Passwörter zu haben.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.