Datensicherheit nach Hackerangriff – Das Problem sind die Nutzer selbst

Anfang Januar wurden Daten von rund tausend Politikern und Personen des öffentlichen Lebens auf Twitter veröffentlicht. Nachdem zunächst von Hackerattacken gesprochen und sogar über die Beteiligung ausländischer Geheimdienste spekuliert wurde, stellte sich heraus, dass es sich bei dem Angriff um so genanntes „Doxxing“ handelte: Das Veröffentlichen privater Informationen im Internet mit dem Ziel, betroffene Personen bloßzustellen. Bei dem Täter handelt es sich offenbar um einen 20-jährigen Schüler aus Hessen, der zwar computeraffin ist, die Daten aber wohl größtenteils aus öffentlich zugänglichen Quellen zusammengetragen hat.

Die in den Datensätzen enthaltenen Informationen, die nicht öffentlich zugänglich waren, wurden nach Aussage des Bundesamts für Sicherheit in der Informationstechnik (BSI) wohl durch den Einsatz von gestohlenen oder erratenen Passwörtern erlangt. Der anfangs so spektakulär anmutende Datendiebstahl zeichnet sich zum jetzigen Zeitpunkt der Ermittlungen also als zwar für die Betroffenen nicht weniger schädliche, aber dennoch vergleichsweise harmlose Tat eines Heranwachsenden ab.

Dessen ungeachtet ließen Forderungen der Politik nach schärferen Sicherheitsmaßnahmen und mehr Pflichten für Unternehmen nicht lange auf sich warten: Bundesjustizministerin Katarina Barley (SPD) forderte ein europaweit einheitliches IT-Sicherheitskennzeichen. Der neue Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, forderte gar eine Pflicht für Unternehmen, „überhaupt die Chance einer sicheren Nutzung ihrer Dienste zu ermöglichen“, z. B. durch verpflichtende Vorgaben zur Passwortstärke.

„Der reflexhafte Ruf nach schärferen Gesetzen ist aber genauso vorhersehbar wie fehlgeleitet“, meint Christian Runte, IT-Rechtsexperte und Partner der Kanzlei CMS. „Das Problem sind nicht zu schwache Gesetze, sondern der Faktor Mensch.“ Im vorliegenden Fall stammte ein bedeutender Teil der Daten aus öffentlich zugänglichen Quellen. Allem Anschein nach war das Problem weniger die ausgeklügelte Methode des Angreifers, sondern – jedenfalls zum Teil – die mangelnde Sensibilität und Vorsicht der Internetnutzer selbst. Somit könnten schärfere Gesetze ohnehin nur wenig ausrichten.

„Sinnvoll erscheint es aber, von Unternehmen die effektive Umsetzung bereits jetzt vorgeschriebener Sicherheitsmaßnahmen zu verlangen“, so Runte weiter. „Hier sind vor allem die Anforderungen der DSGVO an die Implementierung technischer und organisatorischer Maßnahmen, die dem Risiko der jeweiligen Datenverarbeitung angemessen sein müssen, zu beachten.“ Zudem sollten Maßnahmen ergriffen werden, um das Bewusstsein für das Thema Datenschutz und Datensicherheit im Unternehmen zu stärken. Auch der Grundsatz „Privacy by Design“, also die datenschutzfreundliche Konzipierung von Produkten, sollte von Unternehmen ernst genommen werden. „Neben der Verpflichtung der Unternehmen bleibt aber vor allem eins zu beachten“, so der Datenschutzrechtler. „Für die Entscheidung, wie viele Daten wir öffentlich preisgeben und wie wir diese schützen, ist am Ende jeder selbst verantwortlich.