Martin Zagatta: Der Diebstahl im Netz, hinter den Veröffentlichungen von sensiblen Daten von Politikern und Prominenten steckt wahrscheinlich eine Einzelperson, kein Geheimdienst, keine Organisation. So hatten das Sicherheitsexperten ja schon vermutet und uns das auch in Interviews so gesagt. Und sie scheinen, recht zu behalten, denn in Hessen wurde ein Tatverdächtiger festgenommen. Da hat eine Pressekonferenz des BKA gerade vor wenigen Minuten begonnen.
Ob da im Prinzip jeder versierte Schüler sich solche Daten verschaffen kann, das kann ich jetzt schon Andreas Bogk fragen, Sicherheitsexperte des Chaos Computer Clubs. Guten Tag, Herr Bogk!
Andreas Bogk: Schönen guten Tag.
Zagatta: Herr Bogk, vorneweg: Hat Sie das überrascht? Man kann ja wohl jetzt von einem Täter sprechen, muss nicht mehr von mutmaßlichem Täter sprechen nach diesen jüngsten Informationen. Hat Sie das überrascht, dass man den doch so relativ schnell ausfindig gemacht hat?
Bogk: Wenn ich mir die Geschehnisse angucke, dann ist er wohl deswegen relativ schnell identifiziert worden, weil er auch wenig Hehl aus seiner Identität gemacht hat. Es gibt da eine Szene von jungen Leuten, die mit Computerspielen zu tun haben, mit YouTube-Channel zu tun haben, die teilweise auch als rechts einzuordnen ist. Er hat schon seit längerer Zeit auf verschiedenen YouTube-Kanälen Leute gehackt, Sachen veröffentlicht, und viele haben sich gefragt, warum passiert denn da nichts, warum tut die Polizei nichts. Er hat sich vermutlich sehr, sehr sicher gefühlt oder beziehungsweise gewundert, dass er überhaupt gar keine Aufmerksamkeit bekommt für seine Aktionen.
Zagatta: Sie glauben also, er wollte erwischt werden, um auf sein Anliegen eventuell aufmerksam zu machen? Oder wie muss ich Sie verstehen?
Bogk: Zumindest scheint er sich sehr, sehr sicher gefühlt zu haben, beziehungsweise einfach provoziert zu haben.
"Das sind alles kleine Hacks"
Zagatta: Wie schwer ist das? Wir hörten jetzt, er hätte entsprechende Spuren im Netz hinterlassen. Wenn das ein 20-Jähriger macht, der bei seinen Eltern wohnt, kann das jeder? Kann jeder auf diese Daten zugreifen und wie schwer ist es, da Spuren zu verwischen? Ist das einfach?
Bogk: Wenn man sich anguckt, welche Daten er gesammelt hat, dann wird deutlich, das ist kein einziger High-Profile-Hacker. Da wurde nicht eine Seite, der Bundestag zum Beispiel gehackt, sondern das sind alles kleine Hacks von privaten E-Mail-Accounts, von privaten Social Media Accounts, und das ist teilweise gar nicht so schwierig. Die grundlegende Datenbasis dafür sind tatsächlich gehackte Webseiten. Man findet im Darknet Listen von E-Mail-Adressen mit Passwörtern von großen Side Checks. Da wurde mal LinkedIn zum Beispiel 2016 gehackt oder Dropbox 2012. Es kursiert eine Liste von über einer Milliarde E-Mail-Adressen mit zugehörigen Passwörtern. Und wenn jemand den Fehler begeht, dasselbe Passwort, das vor Jahren mal bei einem Hack auf einer anderen Seite erbeutet wurde, bei seinen privaten E-Mail-Accounts zu verwenden, dann ist es eigentlich sehr, sehr einfach, das zu öffnen. Man geht dahin und probiert das aus. Im Wesentlichen ist es viel Fleißarbeit, verbunden mit dem immer noch fehlenden Bewusstsein für die Sicherheit bei den Anwendern.
"Es ist technisch kein besonders hohes Niveau, aber da steckt sehr, sehr viel Fleißarbeit dahinter"
Zagatta: Das kann im Prinzip jeder Anfänger, wenn er ein bisschen versiert ist?
Bogk: Da ist jetzt keine technische Schwierigkeit bei der ganzen Geschichte dabei. Es geht darum, zum Beispiel der Fall Unge – das ist auch ein YouTuber, über dessen Twitter-Account jetzt die Daten veröffentlicht wurden. Der hatte eine Two Factor Authentication bei Twitter. Das heißt, da wurde zusätzlich zum Passwort noch mal übers Mobiltelefon etwas abgefragt. Der mutmaßliche Täter hat jetzt den E-Mail-Account gehackt und dann von der E-Mail an den Twitter-Support geschrieben: Liebe Leute, Telefon verloren, könnt ihr mal das Sicherheits-Feature ausmachen. – Es ist technisch kein besonders hohes Niveau, aber da steckt sehr, sehr viel Fleißarbeit, sehr, sehr viel Zusammentragen von persönlichen Informationen dahinter.
"Das wird noch viel zu oft auf die leichte Schulter genommen"
Zagatta: Dass das jetzt so relativ schnell aufgeklärt worden ist, zeigt das, dass unsere Sicherheitsbehörden – die wurden ja da schwer kritisiert -, dass die doch funktionieren? Oder hat es aus Ihrer Sicht lange gedauert, bis man so eine einfache Spur dort verfolgen konnte?
Bogk: Ich würde sagen, die haben lange, lange geschlafen. Natürlich haben auch Opfer vorher schon Strafanzeige gestellt. Das wurde nicht verfolgt, das ist im Sande verlaufen. Wir müssen uns überlegen, dass der mutmaßliche Täter einen "Adventskalender" auf Twitter hatte, wo jeden Tag Daten veröffentlicht wurden, und da ist nichts passiert. Erst als es wirklich hochrangige Politiker, hochrangige Medienvertreter getroffen hat, dann wurde plötzlich hektisch eine Sonderkommission eingerichtet, die dann aber auch nicht viel mehr gemacht hat, als auf Twitter mal nachzulesen, ob es da jemanden gibt, eine Hausdurchsuchung gemacht hat. Dann gab es ein Geständnis. Dann gab es jemanden, der gesagt hat, ja, ja, ich kenne den, das ist der da. Da hätte viel früher was passieren müssen. Ich glaube, dass noch viel zu oft Anzeigen aus dem Internet – das betrifft nicht nur Hacks, das betrifft auch Drohungen bis hin zu Morddrohungen – ignoriert werden von Staatsanwaltschaften. Das wird noch viel zu oft auf die leichte Schulter genommen.
Zagatta: Wer nimmt das auf die leichte Schulter, beziehungsweise schläft da bei seiner Arbeit? Kritisiert worden ist ja dieses Bundesamt für Sicherheit. Das sagt, dafür sei man eigentlich gar nicht zuständig. Jetzt war die Zentralstelle zur Bekämpfung der Internetkriminalität offenbar maßgeblich beteiligt an der Festnahme oder an der Aufdeckung des Täters. Wer bringt diese Versäumnisse da auf den Weg, oder wer tut da nichts aus Ihrer Sicht?
Bogk: Das ist vermutlich breit gestreut, das Versagen. Es sind die Länder-Staatsanwaltschaften, es sind die Länder-Polizeien, die nicht über die Mittel verfügen, die nicht über die Schulung verfügen. Es gibt natürlich auch Dinge, die jetzt in den Raum gestellt werden, die absolut nicht helfen würden. Da wird so was gefordert wie das Recht, zurückzuhacken. Das ist natürlich absoluter Unsinn. Klassische Polizeiarbeit ist da eigentlich gefragt, rechtzeitiges Eingreifen, auch niederschwellige Angebote für Betroffene, sich an entsprechende Ermittlungsorganisationen zu wenden, die dann auch so eine Tat verfolgen und nicht einfach die E-Mail ausdrucken und in Aktenordner heften.
"Die rechtlichen Grundlagen sind hinreichend da"
Zagatta: Die rechtlichen Möglichkeiten, die Organisationen dazu, die gibt es im Moment schon? Oder müsste da jetzt etwas auf den Weg gebracht werden? Wir warten ja alle noch auf die Pressekonferenz nachher von Horst Seehofer, der sich zu möglichen Konsequenzen äußern wollte. Haben wir die entsprechenden Mittel, die jetzt nur nicht genutzt werden, oder besteht da großer Handlungsbedarf, etwas zu ändern?
Bogk: Ich glaube, die rechtlichen Grundlagen sind hinreichend da. Wir haben eine Strafprozessordnung, wir haben entsprechende Kompetenzen der Polizeien. Da fehlt meines Erachtens nichts. Wenn, dann geht es um Schulung, um Personalstärke, um entsprechende Aufklärung.
Zagatta: Was erwarten Sie jetzt vom Innenminister, wenn der sich nachher äußert und über Konsequenzen unter anderem auch reden will?
Bogk: Ganz ehrlich nicht besonders viel. Weder Herr Seehofer, noch der derzeitige Chef des BSI ist bislang durch besondere Kompetenz in diesen Sachen aufgefallen. Bestimmt wird er irgendwas erzählen. Wahrscheinlich wird irgendeine neue Institution gegründet, ein Arbeitskreis, eine Cyber Task Force mit irgendeinem schönen Namen. Ob das helfen wird, weiß ich auch nicht.
"Es gibt eine Reihe von Maßnahmen, die sehr, sehr sinnvoll sind"
Zagatta: Was raten Sie den Politikern, die uns jetzt zuhören, und auch allen Hörern, die sich jetzt Sorgen machen um ihre Accounts im Internet? Wie kann man sich tatsächlich besser schützen? Wir haben es gehört: bessere Passwörter, man soll auf Updates achten. Reicht das aus?
Bogk: Es gibt eine Reihe von Maßnahmen, quasi eine Hand voll, die jeder machen kann, die sehr, sehr sinnvoll sind. Das erste, was man wissen muss: Der E-Mail-Account ist der allerwichtigste Account, weil über den E-Mail-Account kann man auch die Passwörter aller anderen Dienste zurücksetzen beziehungsweise sogar, wie wir gesehen haben, größere Sicherheitsmechanismen aushebeln. Das heißt, den E-Mail-Account absichern mit einem Passwort, das man nirgendwo anders verwendet, ein Passwort, das hinreichend kompliziert ist, und mit Zwei-Faktor-Authentifizierung. Heutzutage hat jeder ein Handy. Da gibt es Apps wie den Google Authenticator und da kann man sich nur mit dem Passwort nicht einloggen. Das heißt, auch ein geklautes Passwort hilft einem Angreifer nicht weiter, sondern er müsste wenn, dann auch das Telefon hacken oder übernehmen, was auch passiert, aber was erst mal genau die Täter, die wir jetzt gerade gesehen haben, effektiv daran hindert, irgendetwas auszunutzen.
Zagatta: Wenn das jetzt ein Schüler auf den Weg bringen kann, der offenbar versiert ist, aber den man unter Umständen noch als Anfänger oder als Neuling in der Szene bezeichnen könnte, was befürchten Sie denn, was da auf uns noch zukommen könnte, wenn tatsächliche Profis am Werk sind, Geheimdienste oder kriminelle Organisationen?
Bogk: Nach dem Stand der Technik würde ich davon ausgehen, dass im Prinzip alle relevanten Netze, alle relevanten Computer mit hinreichend brisanten Daten von mindestens einem Geheimdienst gehackt sind. Im Zweifelsfall stehen sie sich gegenseitig auf den Füßen.
Zagatta: Nicht sehr optimistisch, was Sie uns da sagen. – Andreas Bogk, Sicherheitsexperte des Chaos Computer Clubs. Danke schön für diese Einschätzungen, vielen Dank für das Gespräch.
Bogk: Gerne.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
