Eine Bewertung des deutschen Daten-Leaks

Mit der raschen Festnahme des Hackers, der für die Daten-Leaks deutscher Politiker*Innen und anderer Personen des öffentlichen Lebens zuständig ist und dessen Aussagen ist mittlerweile klar (Q: heise.de / Kopie), dass die Veröffentlichung weder aus Hacking-Angriffen auf offizielle IT-Systeme der Regierung oder der Parlamente stammen, noch dass dafür ausländische Dienste verantwortlich gewesen sind.  Die bisher veröffentlichten Ermittlungserkenntnisse verdeutlichen, dass der Hacker bereits seit mehreren Jahren aktiv war und über Hacks von Social-Media-Accounts sowie Consumer-Elektronik die Informationen zusammengetragen hat. Tatsächlich stützen diese Ergebnisse die Aussagen von BSI-Präsident Schönbohm, der aufgrund der Kritik an der Arbeit des BSI auf die Grenzen verwies, die seinem Amt gesetzt sind. Das BSI kümmert sich vornehmlich um den IT-Schutz von Regierungsnetzen und in Teilen auch der Parlaments-IT. Für Bürger werden in erster Linie Beratungsangebote und Best-Practise-Anleitungen zur Verfügung gestellt. Gegen unsichere Software bei kommerziellen IT-Produkten oder Web-Diensten bestehen bislang kaum Handlungsmöglichkeiten, von den Bußgeldern die durch Datenschutzbeauftragte verhängen können abgesehen.

Die Vorfälle verdeutlichen damit zum einen, dass es Maßnahmen für den besseren IT-Schutz auch im individuell privaten Bereich braucht, die über die Möglichkeiten hinausgehen, die jede*r Einzelne ergreifen kann. Unternehmen müssen stärker dazu angehalten werden ihre IT-Produkte sicher zu gestalten und IT-Sicherheitsaktualisierungen über den erwarteten Lebenszyklus der Produkte aufrecht zu erhalten. Einen solchen Druck aufzubauen dürfte angesichts der globalen Marktsituation einiger „Big Player“ nur durch politische Initiativen, die im Idealfall zwischenstaatlich koordiniert sind möglich sein. Andererseits haben sich über die vergangenen Jahre sehr viel „digitale Altlasten“ angesammelt, wie unsichere Smartphones, Home-Elektronik oder veraltete DSL-Router die aller Voraussicht nach nicht rückwirkend mit Sicherheitsaktualisierungen versorgt werden und somit weiterhin anfällig für Hacks und Datenleaks bleiben werden.

Mit Blick auf den angekündigten Maßnahmen-Katalog des Bundesinnenministeriums dürfte die stärkere zentralisierte Koordinierung beim Umgang mit Cyber-Vorfällen im Rahmen des nationalen Cyberabwehr-Zentrums eine wichtige Grundlage für den souveränen Umgang mit zukünftigen Vorfällen bilden. Allerdings dürfen die Maßnahmen des BMI nicht darüber hinweg täuschen, dass die immer wieder erneuerten Forderungen nach Möglichkeiten zur „aktiven Gegenwehr“ neben viele anderen problematischen Aspekten kaum geeignet sind solche Vorfälle zu verhindern. Die beste IT-Sicherheit ist dort gewährleistet, wo IT-Schutzmaßmahmen in den Produkten und Dienstleistungen von Anfang an „by design“ mitgedacht und umgesetzt wurden und  für den Anwender nachvollziehbar aufrecht erhalten werden.