"Das BSI hat Daten im Umfang von 8,3 Gigabyte sichergestellt, insbesondere jene aus dem politischen Raum. Die sichergestellten Daten wurden im Rahmen des Cyber-Abwehrzentrums auch dem Bundeskriminalamt und dem Bundesamt für Verfassungsschutz zur Verfügung gestellt."
Kloiber: So brachte Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik, den Fahndungserfolg in Sachen Datenangriff auf Prominente und Politiker auf eine Zahl. 8,3 Gigabyte von einem 20jährigen Schüler zusammengesammelte Daten, das meiste davon postalische Anschriften, Mail-Adressen und Telefonnummern. Vom größten Hackingangriff war die Rede, gar von einer Hackerattacke auf die Demokratie. Hat die ganze Aufregung denn zumindest in Sachen Sicherheitsbewusstsein etwas gebracht, Peter Welchering?
Peter Welchering: Das sehe ich nicht. Diese aufgeregte sensationalistische Debatte hat eigentlich eher von den wirklichen IT-Sicherheitsproblemen, die wir haben, abgelenkt. Sie hat auch gezeigt, dass wir das Projekt "Digitalisierung" mit dem digitalen Bildungsstandard, den wir hierzulande haben, vielleicht doch besser absagen sollten. Allerdings ist dabei auch noch einmal schön deutlich geworden, welche Versäumnisse wir uns da in den letzten Jahrzehnten geleistet haben. Wenn unsere Gesellschaft das ganze nutzen würde, um sich über die Maßnahmen zu verständigen, mit denen wir unsere – auch alltäglichen – digitalen Infrastrukturen einigermaßen absichern können, dann wäre viel erreicht. Aber ich bin da skeptisch.
Kloiber: Dass diese Debatte über bessere IT-Sicherheit erfolgreich geführt werden kann, dazu wollen wir unseren Teil beitragen. Und dazu gehört auch, zu berichten, wie den Politik und Sicherheitsbehörden in dieser Woche mit dem Datenleak umgegangen sind und welche Konsequenzen sie daraus gezogen haben.
Kleiner Vorfall, ernster Vorgang
Das politische Berlin trägt noch immer schwer an der Datensammlung, die da auf Twitter als Adventskalender zusammengestellt worden war. BSI-Präsident Arne Schönbohm fasst das so zusammen.
"Die Betroffenheit bei Politikern entschlüsselt sich nach Parteien wie folgt auf: CDU/CSU 425 betroffene Politiker, SPD 318 betroffene Politiker, Bündnis 90 Die Grünen 111 betroffene Politiker, FDP 28 ,Die Linke 112. Von den 994 Betroffenen wurden bei 878 Personen die Telefonnummern, postalische Anschrift und oder die E-Mail-Adresse veröffentlicht. Von 116 Personen wurden Dokumente online gestellt."
In der Bewertung tut sich der BSI-Chef deshalb auch einigermaßen schwer.
"In Relation zu anderen Vorfällen jedoch, denken Sie beispielsweise an den Yahoo Data Breach oder den im Dezember bekannt gewordenen Vorfall bei der Hotelkette Marriott, handelt es sich jedoch rein quantitativ um einen relativ kleinen Vorfall, der aber, um das klar zu sagen, aufgrund der Zielgruppe ein sehr ernster Vorgang ist, weshalb wir so intensiv betreuen."
Wesentlich selbstbewusster als BSI-Chef Arne Schönbohm gab sich da Holger Münch, Präsident des Bundeskriminalamtes. Der stellte in einer Pressekonferenz am Dienstagnachmittag die technischen Kompetenzen seiner Ermittler noch einmal so richtig heraus.
"Wir können noch deutlich mehr, als wir in diesem Fall einsetzen müssen. Wir sind aber sehr froh, dass wir innerhalb von 48 Stunden den Täter identifizieren können und eine weitere Verbreitung der Daten damit auch jetzt verhindern können, in Kooperation mit den technischen Maßnahmen des BSI."
Mehrere Gesetzesvorhaben in Aussicht
Was die weitere Verbreitung der gesammelten Daten und auch deren Löschung angeht, gab sich BSI-Chef Schönbohm etwas skeptischer.
"Das BSI hat insgesamt über 50 internationale Hoster um die Löschung dort hochgeladenen Daten ersucht und damit die weitere Verbreitung der Daten erschwert. Das BSI hat aber keine rechtliche Handhabe, Hoster zur Löschung von Daten zu zwingen. Wir sind daher auf deren Kooperation angewiesen."
Bundesinnenminister Horst Seehofer will solche Datensammlungen künftig verhindern und stellte dazu gleich mehrere Gesetzesvorhaben in Aussicht.
"Wir prüfen deshalb die Schaffung einer Früherkennung zum Schutz vor Datenabfluss, z.B. Sperrung eines Twitter-Accounts, der illegal Daten Dritter verbreitet, und die verstärkte Sensibilisierung von Bürgerinnen und Bürgern vor Gefährdungen im Netz. Also die den letzten Tagen häufig gestellte Aufforderung, doch noch besser aufzuklären zu informieren über die Gefahren im Netz."
Das bisherige Cyber-Abwehrzentrum der Bundesregierung soll zu einem Cyberabwehrzentrum plus ausgebaut werden. Vorbild ist das gemeinsame Terrorabwehrzentrum.
"Wir werden die Befugnisse des BSI zum Schutz der Bundesverwaltung und der Gesellschaft weiter ausweiten. Wie sie schon gehört haben, wird das Cyber-Abwehrzentrum weiterentwickelt und fortentwickelt. Wir haben hier ja das gemeinsame Terrorabwehr-Zentrum, das sehr erfolgreich arbeitet, wo nicht nur die Bundesbehörden vereinigt sind, sondern auch die Bundesländer."
Wie das Cyberabwehrzentrum plus dann genau aufgebaut und ausgestattet sein soll, blieb in dieser Woche noch unklar. Aber immerhin sind schon neue Planstellen bewilligt.
Kernbereiche des IT-Sicherheitsgesetzes 2.0
"Es sind bereits bewilligt, nicht beantragt, sondern bewilligt, und wir können das in diesem Jahr realisieren: Für das BSI 350 zusätzliche Planstellen. Das ist ein beachtlicher personeller Aufwuchs für das BSI. Und Sie wissen ja, dass das Bundeskriminalamt insgesamt in der nächsten Zeit 1800 neue Stellen bekommen wird und dass 160 davon, 1603 für den Ausbau der Cybersicherheit, Prävention und Gewährleistung der Repression nutzen wird. 160 Stellen von den 1800 insgesamt."
Ähnlich unklar wie die Ausgestaltung des Cyberabwehrzentrums plus bleibt die von Innenminister Horst Seehofer vorgestellte Zertifizierung von Endgeräten. Dies sei einer der Kernbereiche des IT-Sicherheitsgesetzes 2.0, kündigte der Minister an.
Kloiber: Das IT-Sicherheitsgesetz 2.0 - es soll noch in diesem Jahr kommen. Und zuletzt am Donnerstag hat Innenminister Seehofer ja noch einige Details zur Verschärfung und Neufassung des bisherigen Sicherheitsgesetzes bekanntgegeben. Wird denn die so oft geforderte Meldepflicht für IT-Sicherheitslücken, die Seehofer prüfen lassen wollte, drinstehen, Peter Welchering?
Welchering: Voraussichtlich nicht. Andreas Könen, Leiter der Abteilung Cyber- und Informationssicherheit des BMI, hat am Freitag im Deutschlandfunk Kultur angekündigt, dass es einen stärkeren Abwägungsprozess zum Einsatz von Sicherheitslücken geben wird. Das deutet darauf hin, dass die nachrichtendienstliche Fraktion sich wieder einmal durchsetzen wird und es keine Meldepflicht für IT-Sicherheitslücken geben wird sondern lediglich das Lippenbekenntnis, IT-Sicherheitslücken sie zurückhaltend wie möglich einzusetzen. Bei den übrigen kommenden Bestimmungen des IT-Sicherheitsgesetzes mache ich mir auch keine Illusionen: Wirkliche Verbesserungen der Sicherheitslage wird es da nur wenige geben.
Verbreitungshaftung sozialer Plattformen
Kloiber: Nun haben ja genau darüber viele Sicherheitsexperten in dieser Woche sehr intensiv diskutiert. Welche Vorschläge sind denn da gekommen?
Welchering: Oh, da gab es einen ganzen Strauß an Vorschlägen. Das beginnt damit, doch endlich einmal soziale Plattformen wie Facebook und Twitter in Sachen Verbreitungshaftung in die Pflicht zu nehmen. Dafür müssten auch keine neuen Gesetze geschaffen werden. Das müsste nur geltendes Recht konsequent angewendet werden. Das geht weiter über die Empfehlung Facebook & Co über das Telemediengesetz stärkere Sorgfaltspflichten beim Umgang mit persönlichen Daten ihrer Nutzer aufzuerlegen. Denn auch diese Datensammelei hat ja gezeigt, wie unglaublich einfach es ist, an persönliche Daten von Facebook-Nutzern oder Twitter-Mitglieder heranzukommen, weil die Sicherheitsvorkehrungen auf diesen sozialen Netzwerken so unglaublich niedrig sind und lasch gehandhabt werden.
Kloiber: Nun lobt ja das Innenministerium das kommende Sicherheitszertifikat für Endgeräte. Wird das denn mehr Sicherheit bringen?
Welchering: Wenn es sich dabei nur um Bepperl handelt, die auf Router geklebt werden, natürlich nicht. Dass so eine Art Sicherheitszeitraum mit aufgedruckt werden soll, könnte Anwendern ein wenig helfen bei der Einschätzung, bis zu welchem Zeitpunkt Updates und Sicherheitspatches vom Hersteller zu erwarten sind. Aber natürlich ersetzt dieses Zertifikat auf gar keinen Fall eine ordentliche Produkthaftung der Hersteller. Und die ist im IT-Bereich im Augenblick nicht in Sicht.
Persönliche Sicherheitslage verbessern
Kloiber: Nun gab es in dieser Woche ja auch viele Tipps für den Bürger, Computeranwender und Netzsurfer, wie er seine persönliche Sicherheitslage verbessern kann. Wird damit nicht auch schon ein großer Schritt gemacht?
Welchering: Da drehte es sich ja meist um die Passwortwahl und um den Einsatz von Passwortmanagern. So etwas kann ein ganz klein wenig mehr Sicherheit bringen. Auch auf andere Dienste auszuweichen, um seien Daten zu schützen, ist kein schlechter Tipp. Also, statt Gmail, die alles mitlesen und analysieren, was wir da so mailen, posteo oder web.de oder einen anderen Dienst. Statt der Google-Suchmaschine DuckDuckgo oder Metasuchmaschinen zu benutzen, die nicht mitprotokollieren. Alles ehrbare Tipps. Aber solange wir ein weitgehendes Staatsversagen in Sachen Datensicherheit und IT-Sicherheit haben, hilft das leider nicht so viel.
Kloiber: Staatsversagen ist aber ein massiver Vorwurf.
Welchering: Es sind ja auch massive Fehler gemacht worden und die werden weiterhin gemacht. Fehlende Produkthaftung, keine Meldepflicht für IT-Sicherheitslücken, nur unzureichendes Neuaufsetzen der Bundestagssysteme, keine Maßnahme gegen die Datenhehlerei von Facebook & Co, mangelhafte Sicherheit bei den elektronischen Gesundheitsakten, die jetzt auch auf die Patientenakte übertragen werden soll. Ich kann da noch abendfüllend aufzählen. Das Problem dabei ist immer das Gleiche: Es wird zu kurz gedacht. Die Bedenken von Sicherheitsexperten werden weggewischt, weil sie nicht verstanden werden, Investitionen in Sicherheit nach sich ziehen würden, den Unternehmen unliebsame Auflagen machen usw. Deshalb handelt der Staat hier oftmals gar nicht, häufig unzureichend. Und deshalb muss man das Staatsversagen nennen.
Kloiber: Peter Welchering über die anhaltende Diskussion über den Doxing-Skandal und die notwendigen Folgen, Danke.