Nach dem Daten-Leck den Datenschutz endlich als Chance begreifen

Das Datenleck bei Politikern und Prominenten ist ein Warnruf für mehr Informationssicherheit. Doch statt „Cyber-Alarm“ und Superlativen sind handfeste Maßnahmen zum Ausbau des Datenschutzes gefragt. Ein Kommentar.

Datenlecks sind traditionell schwer zu bebildern. Wir verzichten hier auf den „Hacker mit Sturmhaube“. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Markus Spiske

Persönliche Betroffenheit führt in der Politik gerne zu Superlativen. So erklärte der linke Fraktionsvorsitzende Dietmar Bartsch das große Datenleck zum „Anschlag auf die Demokratie“. Justizministerin Katarina Barley (SPD) sprach davon, dass die Urheber „das Vertrauen in unsere Demokratie beschädigen“ wollten. Die Bild-Zeitung rief einen „Cyber-Angriff auf Deutschland“ aus, sprach vom „größen Datenklau der deutschen Geschichte“ und spekulierte, dass die zuständigen Stellen den US-Geheimdienst NSA um Hilfe gerufen hätten.

Man sollte den Vorfall lieber nüchtern betrachten, wenn man etwas aus der Sache lernen will: Offenbar gelang es, mit recht trivialen Mitteln, persönlichste Daten von Politikern und Prominenten zu ergattern – und dann weitflächig im Internet zu veröffentlichen. Es braucht für den Daten-Gau also keine elaborierten staatlichen Hackergruppen, wenn die Angriffsziele sowieso mit heruntergelassenen Hosen im Netz stehen.

Es muss deswegen zum Basiswissen in der digitalen Demokratie gehören, dass Passwörter komplex sein sollten und dass wir für jeden Account ein anderes Passwort brauchen. Zur Verwaltung der Passwörter braucht es Passwortmanager, Festplatten und alle Kommunikation sollten standardmäßig verschlüsselt werden. Politik muss endlich diese digitalen Kompetenzen gezielt fördern und gleichzeitig die Industrie zu regelmäßigen Sicherheitsupdates ihrer Software verpflichten.

Zur digitalen Demokratie gehört aber auch, dass unsere Daten nicht ständig als das „Öl der Zukunft“ angepriesen oder Datenschutz als Hemmnis dargestellt wird. Noch im Dezember hatte die Staatsministerin für Digitalisierung, Dorothee Bär (CSU), eine Aufweichung des Datenschutzes im Gesundheitswesen gefordert. Nach dem Datenleck klingt dies nun endlich so absurd, wie es ist.

Statt unsinnigen Forderungen nach einem offensiven Gegen-Hacking, sind nun Lösungen gefragt, die in Richtung Schutz und Defensive zeigen. Wir müssen uns dabei auch die Frage stellen, wie wir den Überwachungskapitalismus mit seinen Datenkonzernen in den Griff bekommen. Letztlich ist es also gut, dass wir eine Debatte zum Thema Datensicherheit haben – auch wenn sie in diesem Fall zu Lasten der Betroffenen geht. Damit sich solche Vorfälle in Zukunft nicht wiederholen, muss die Politik handeln und Datenschutz endlich als Chance begreifen.

Dieser Beitrag erschien zuerst als Gastkommentar in der taz.

15 Ergänzungen
  1. Der beste Datenschutz sind weder Verschlüsselung noch 2Faktor, sondern Daten garnicht erst zu erheben oder preiszugeben. Auf jeden Fall freuen wir uns über die direkten Kontaktmöglichkeiten zu unseren Volksvertreter(inne)n. Denn die wurden nach dem hysterischen Aufheulen der Medien so im Netz verteilt, dass sie dort ewig bleiben. Was gehackt werden kann, wird gehackt werden. Auch unsere Gesundheitsdaten werden in nicht allzuferner Zukunft, wie schon in anderen Ländern bewiesen, Beute der Hacker. Es ist einfach kein guter Einfall so etwas über das Netz zugreifbar zu machen. Dazu auch der Vortrag auf dem 35c3, aber da wurden noch garnicht die Unsicherheiten des Mobilfunks gesondert adressiert.

    Die wenigen vom Klau privater Daten Betroffenen (dazu zähle ich nicht das Zusammenstoppeln von Daten aus öffentlich zugänglichen Quellen) sollten wenigstens die einfachsten Regeln zum Schutz ihrer Accounts berücksichtigen.

    In ein paar Tagen wird der Doxxer wohl Auskunft geben müssen und das wird für die Betroffenen richtig blamabel. Die Betroffenen bewiesen nach all den veröffentlichten Hacks Ignoranz oder totale Inkompetenz. Ich führe keine 2Faktor – Authentifizierung ein und denke nicht daran die Platten zu verschlüsseln, weil solche Digitalstümper ihre Daten sozusagen der interessierten Öffentlichkeit zur Verfügung stellen.

  2. „Nach dem Datenleck klingt dies nun endlich so absurd, wie es ist.“

    Absurd bekommen unsere Politiker sicher mittels den Ratschlägen ihrer Berater aus der „Wirtschaft“ (Pub, Kneipe, Stammtisch, Etablissement https://de.m.wikipedia.org/wiki/Etablissement ) in unser aller Namen hin!
    Ich hatte mal ein Bild gesehen, „Deutschland sagt Ja zum Euro!“, unsere Vertreter hatten dem Michel den Mund verbunden, damit er nicht widersprechen kann! Habe es Leider nicht mehr gefunden!
    Würde aber passen, bei dem was passieren wird!
    Seien wir so ehrlich, in Deutschland dem Land der Dichter und Realitätsneuerfinder, ist eine vorgegaukelte (Scheinheile) Welt schneller etabliert, als eine bodenständige mit Licht und Schattenseiten, in der letztere aktiv aufgehellt werden!

  3. Im Sinne der Überschrift „Datenschutz endlich als Chance begreifen“ wünsche ich mir den Begriff „Stand der Technik“ (siehe DSVGO und IT-SiG und die Einlassungen des TeleTrusT) mehr in den Fokus zu nehmen und Qualitäten für das prozessuale Vorgehen und die technischen Maßnahmen zur Gewährleistung eines IT-Sicherheitsniveaus zu nennen. Als Maßstab wäre die ISO/IEC 27002 für das Informationssicherheitsmanagement und die ISO/IEC 15408 für die Definition und Validierung der Sicherheitseigenschaften von IT-Systemen zu nennen. Weitere, branchenspezifische Vorgaben sind existent und könnten ebenso genutzt werden. Aktuell sehe ich in der Umsetzung von „Stand der Technik“ nur ein Minimalkonsens von „IT-Sicherheit ja, aber bitte ohne Aufwände“.

    Gleichwohl selbst wenn angewandt im Risikomanagement, als Entscheidungsinstanz über den Einsatz von IT-Sicherheitsmaßnahmen und Verfahren, die Welt sich noch immer zu schön gerechnet wird. Referenzierbare Werte für Eintrittswahrscheinlichkeit und Schadensausmaß fehlen.

    In der Umsetzung und Steuerung von IT-Sicherheitsmaßnahmen fehlt den Herstellern der Business Case eines „vertrauenswürdigen und zuverlässigen Produkts“ nachgewiesen durch eine Common Criteria-Produktzertifizierung. Und Betriebsorganisationen sehen den Dokumentationsaufwand eines zertifizierungsreifen ISMS eher lästig und nicht als Bereicherung des betrieblichen Wissensmanagements.

    Aktuelles Beispiel für die unterschiedlichen Qualitäten von Sicherheitsniveaus ist der Unterschied zwischen der BSI-zertifizierten Informationssystem für die elektronische Patientenakte (ePA) und der freiwillig TÜV-geprüften Infrastruktur für die elektronische Gesundheitsakte. (https://media.ccc.de/v/35c3-9992-all_your_gesundheitsakten_are_belong_to_us)

    1. Vor Jahren hieß es noch, das auf die biometrischen Passbilder kein Dritter zugriff haben würde und nu?
      Tja man gut, das mein Passbild sich rein optisch mit der Realität deckt, biometrisch hingegen nicht!
      Spahn ist im Verhältnis zu den anderen Politikern jung!
      Jung und Hungrig!
      Wer wird ihm später von den Anbietern mal sein „Beraterhonorar“ zahlen?
      Wir dürfen „Gespahnt“ sein!

      1. Honorar erhält erschon mal von der Gilde der Schönheitsoperationen und Lebensmittelindustrie (gerade veröffentlicht): Fett absaugen auf Krankenschein, statt Sport betreiben und gesund ernähren.

  4. Es wird hier gerne der 35c3 zitiert. Sicherlich eine richtige und wichtige Veranstaltung. Nur am Ende dann doch auch inkonsequent- denn die benutzen nachwievor Twitter als Medium.
    Und bitte, die Reichweite kann jetzt als Argument nicht ziehen, denn dieser Kongress ist extrem gut besucht.
    Zum Kommentar. Ja, super Ansichten. Der Datenschutz ist in unserem System am Ende eine Gelddruckmaschine. Und wichtig ist noch, dass die Politk, Möglichkeiten hat zu handeln,um die Demokratie zu schützen- bei der eprivacy Ordnung.

  5. Eigentlich sollte die Bundesregierung dem Beschuldigten Dankbar sein! Er hat ja schließlich aufgezeigt wie einfach es wohl ist irgendwelche Daten aus dem Internet zu stehlen. Er sollte bei der Cyberabwehrtruppe angestellt werden!

  6. Er wurde verraten/geschnappt, hat gestanden. Tatsächlich handelte es sich überwiegend um öffentlich zugängliche Daten. Schadprogramme und Hackerwerkzeuge waren nicht im Spiel. Wenn man den „IT-Experten“ Heimat Horst richtig verstand, gab es Genies, die ihre Accounts mit Passworten wie 123456 oder iloveyou vor fremdem Zugriff „schützten“. Die im Zusammenhang mit diesem gerade mal dem script – kiddie Alter entwachsenen Ar*chloch vorgebrachten Forderungen nach mehr Datenschutz und was weisste nicht noch alles darf man wohl als irrational bezeichnen.

  7. Die Diskussion um komplexe Passwörter ist doch komplett am Thema vorbei, solange es deutsche Bankhäuser (alle Sparkassen) gibt, welche für den Zugriff auf das Online-Banking lediglich Passwörter mit MAXIMAL fünf Zeichen zulassen. Überweisen kann man damit zwar noch nichts, aber immerhin das Kaufverhalten und Arbeitgeber/Gehälter einsehen.

    Immerhin: 123456 bzw. iloveyou können bei solchen Diensten schon mal nicht als Passwort verwendet werden.

    1. @Stefan Holenstein
      Ganz so unsicher sind die Banken/Sparkassen nicht. Man müsste vorher noch eine ziemlich lange Ziffernfolge angeben. Du kannst ja mal überlegen, wie Du rein theoretisch dein eigenes Konto hacken könntest. Beim praktischen Versuch wäre Dein Konto innerhalb weniger Sekunden gesperrt.

      Problematisch sind eher mobile Geräte/Netze/offeneWLAN. Da empfiehlt sich grundsätzlich die Benutzung eines VPN. Zum Beispiel bei den AVM-Routern verhältnismäßig unkomliziert und auf deren homepage beschrieben. Das Problem bestünde darin, dass Du tatsächlich so ein helles Köpfchen bist und Passwörter im Browser speicherst und den Cache nach einem Besuch beim Onlinebanking nicht leerst. Sollte der angezeigte letzte Besuch auf der Startseite des Onlinebankings nicht Dein eigener, solltest Du sofort aktiv werden.

      Aus diesem Blickwinkel trifft Dein Kommentar nicht zu. Auch die (a-)sozialen Netze und Datensauger wie Google und Microsoft sind von Natur aus nicht so für jeden zugreifbar, dass man durch einfache Probierkunst in die Konten einbrechen könnte. Nein, dazu gehört nach den großen Hacks in den USA, die bei uns durch alle Medien gejagt wurden, regelrechte Ignoranz. Mit einem ordentlichen Passwort lieferst Du dein Öl des 21. Jahrhunderts nur pflichtschuldigst bei Deinem Datensauger ab. Was der damit anrichtet bleibt ihm überlassen, aber wenn dann so ein nicht einmal scriptkiddie die überwiegend öffentlich zugänglichen Daten von irgendwelchen Hinterbänklern zusammenstellt und der eher weniger interessierten Öffentlichkeit preisgibt, wird nach dem Gesetzgeber geschrien.

      Genau das ist falsch, es geht darum, dass Daten garnicht erst erhoben werden. Es geht darum, dass die Nutzer wissen, wo welche Daten von ihnen liegen. Es geht darum, dass es nicht möglich ist, dass all diese Daten zentral zusammengefasst werden können. Der Gesetzgeber hat genau das Gegenteil getan. Jeder ist verdächtig, alles wird miteinander verknüpft.

      Diesen Text schrieb ich nicht, um Netzpolitik zu trollen, sondern um zu sehen, was meine Win10-VM an wen sendet. Vielleicht ist der Kommentar für diesen jugendlichen empörten Halbwissenden auch hilfreich.

  8. Horstis Flugtaxieinsatzbärin,die sonst sich bei jeder ihr bietenden Chance ihr Konterfei in die Kameras aufdrängt,zog es vor ,bei dieser nicht positiv publicityträchtigen und karriiereabträglichen Pannenveranstaltung fern zu bleiben,frei nach dem Motto: Karriere ja, Verantwortung nein/CSU.
    Quelle Handelsblatt
    https://www.handelsblatt.com/unternehmen/it-medien/medienkommissar/der-medien-kommissar-digitalministerin-dorothee-baer-ist-eine-luftnummer/21059152.html?ticket=ST-1825082-lRcAGdbfwgeMLazHgRjX-ap2

Ergänzung an G4rf13ld Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.