Daten-Klau – Daten-GAU?

Herr Schreiber, nach dem Bundestags-Hack Anfang 2018 schlägt der jüngst bekannt gewordene Datenklau eines Hobby-Hackers ähnlich hohe Wellen. Hat Sie irgendetwas an dem neuen Hacking-Vorfall überrascht?

Sebastian Schreiber: Eigentlich gar nicht. Die Tatsache, dass Daten gestohlen und ausgewertet werden, ist nichts Neues.  Neu ist, dass dies in Form eines Adventskalenders etwas schnippisch geschieht. Übergeordnet ist vielleicht überraschend, dass zwischenzeitlich der Blog mit den veröffentlichten Daten von 19 000 Leuten gelesen wurde, aber erst nachdem die Presse die Daten verbreitete und ein Skandal daraus wurde.

Auf Twitter waren die vollständigen Namen der Betroffenen publik gemacht. Dennoch ist den ganzen Dezember 2018 zunächst gar nichts passiert. Warum?

Schreiber: Zunächst haben viele Betroffene das gar nicht wahrgenommen, auch die Presse nicht. Wenn ich Daten in ein Cloud-Laufwerk lege, das sich niemand ansieht, entsteht noch kein Incident daraus. Niemand hielt es für erforderlich, die Öffentlichkeit einzuschalten.

Der Täter hat offensichtlich mit sehr viel Zeit und Fleißarbeit die Daten zusammengestellt. Überrascht es Sie, dass es sich nach derzeitigem Kenntnisstand um eine Einzelperson handelt?

Schreiber: Nein. Insbesondere bei unseren durchgeführten Penetrationstests sehen wir tagtäglich, dass die IT-Landschaft eben nicht bombensicher ist. Im übertragenen Sinn braucht man keine Armee, um ein Gebäude zu stürmen, sondern das kann in diesem Fall auch ein Schüler in seiner Freizeit machen.
Das ist das eigentlich Spannende: wir leben in einer IT-abhängigen Welt und diese IT lässt sich von einem verquer denkenden Schüler aus dem Jugendzimmer hacken.

Nach wie vor wird Kritik an der Informationspolitik und dem Krisenmanagement des BSI und des Innenministeriums geübt. Ist diese Kritik Ihrer Meinung nach gerechtfertigt? 

Schreiber: Ich glaube, dass die Behörden gar nicht viel mehr tun konnten. Das BSI hat meiner Meinung nach in diesem Fall absolut korrekt gehandelt. In gewisser Weise wird der Vorfall von der Politik auch zur Klärung von Machtfragen instrumentalisiert. Die Veröffentlichungen hätten aber nicht verhindert werden können.

Hauptursache für den Massendiebstahl an Daten sind offenbar schlechte Passwörter. Nun ist die Forderung nach starken Passwörtern nicht gerade neu.

Schreiber: Keineswegs. Als wir die SySS vor 20 Jahren gründeten, sind wir über schlechte Passwörter in Systeme eingebrochen und das ist auch heute, im Jahr 2019, immer noch so.

Wenn die Forderung nach starken Passwörtern seit Jahren ins Leere läuft, braucht es dann stärkere gesetzliche Vorgaben, um stärkere Passwörter durchzusetzen? Oder ist der Schutz des privaten Accounts auch nach wie vor Privatsache?

Schreiber: Das ist eine Frage des Menschen- und Staatsbildes. Freiheit ist etwas sehr Wichtiges. Das kann auch bedeuten, dass ich „123456“ als mein Passwort wählen möchte. Ich glaube nicht, dass der Staat die Bürger zu sehr bevormunden sollte. Es wird schon alles Mögliche reguliert, im Medikamenten- und Nahrungsmittelbereich ist genau definiert, was erlaubt ist und was nicht. Beim Verbot des Drogenkonsums möchte der Staat den Bürger vor sich selbst schützen, aber ich kann mir nicht vorstellen, dass wir mit Vorschriften gezwungen werden, starke Passwörter einzusetzen. Ich kann mir aber vorstellen, die Anbieter wie beispielsweise Facebook, Dropbox, Twitter oder YouTube zu zwingen, eine starke Authentifizierung einzusetzen, wie z. B. die 2-Faktor-Authentifizierung. Das war bei der vorliegenden Begebenheit zwar teilweise sogar der Fall, die Authentifizierung konnte aber trotzdem umgangen werden. 

Einzelne betroffene Personen wie z. B. Grünen-Chef Robert Habeck haben nun entschieden, ihre Accounts zu löschen. Das ist sicher eine Möglichkeit, sich zu schützen. Wenn man sich von den entsprechenden sozialen Netzwerken aber nicht verabschieden will, was können Betroffene oder generell Nutzer denn tun, um sich zu schützen?

Schreiber: Zunächst einmal halte ich es für falsch, wenn Politiker die sozialen Netzwerke verlassen. Politiker sollen sich erst Recht mit Bürgern austauschen und dafür sind die soziale Netze gut geeignet. Man muss sie aber ordentlich schützen. Wenn ich als Spitzenpolitiker einen Twitter-Account habe, der von vier oder fünf meiner Mitarbeiter betreut wird, die alle das Passwort kennen, dann ist das eine heiße Sache, weil möglicherweise auch ein Dritter an das Passwort gelangen kann, das irgendwo aufgeschrieben wurde.

Ein Gastbeitrag auf Spiegel Online titelte kurz nach dem Vorfall: „Der allerletzte Warnschuss“. Genügt der aktuelle Vorfall nun als letzter Warnschuss?

Schreiber: Nein. Das wird nichts ändern. Wir werden weiterhin unsere Hardware aus China und unsere Software aus den USA beziehen. Und wir werden auch weiterhin den Komfort bei der Nutzung von IT-Systemen vor der Sicherheit der Systeme priorisieren.

Was ist die Kernerkenntnis aus dem aktuellen Vorfall?

Schreiber: Die IT-Welt bei Politikern wie auch Privatpersonen ist unglaublich schwach. Wenn selbst aus dem Jugendzimmer große Mengen an sensiblen Daten gestohlen werden können, was kann dann erst eine staatliche Behörde oder die organisierte Kriminalität anstellen? Viel, viel mehr.