Christiane Kaess: Nummern von Kreditkarten, E-Mail-Adressen oder Chat-Verläufe – es geht um sehr private Daten von Politikern und Prominenten, die im Internet veröffentlicht wurden. Mittlerweile steht die These im Raum, ob ein Einzeltäter dahinter steckt. In Politik und Gesellschaft hat der Fall eine rege Diskussion über die Sicherheit privater Daten im Netz ausgelöst und es gab mittlerweile eine Wohnungsdurchsuchung.
Ich kann darüber jetzt sprechen mit Sandro Gaycken. Er ist Direktor des Digital Society Institute an der European School of Management and Technology. Das ist eine private Hochschule, die von mehreren Konzernen finanziert wird. Und Sandro Gaycken berät unter anderem die Bundesregierung und die NATO in Fragen der IT-Sicherheit. Guten Tag, Herr Gaycken!
Sandro Gaycken: Guten Tag!
"Wir hatten schon deutlich spektakulärere Fälle"
Kaess: Jetzt schlägt dieser Fall hohe Wellen. Wie spektakulär finden Sie ihn denn?
Gaycken: Ach, ich finde ihn nicht so spektakulär. Ja, wir hatten schon deutlich spektakulärere Fälle, sowohl in Schäden als auch in strategischer Wirkung. Das ist jetzt natürlich aber was, wo viele Menschen privat und persönlich betroffen sind.
Kaess: Wie muss man sich denn das vorstellen? Es gibt jetzt erste Hinweise oder Spuren, es gab eine Wohnungsdurchsuchung bei einem 19-Jährigen. Der soll Kontakt zum möglichen Täter gehabt haben. Wie muss man sich das Szenario eines Hackerangriffs vorstellen? Jemand macht das mal eben aus Spaß, hackt ein paar brisante Daten von Politikern und Prominenten?
Gaycken: Prinzipiell ist es schwierig, das zu sagen. Es gibt hunderte verschiedene Möglichkeiten, wie man das machen kann. In diesem Fall scheint es tatsächlich ein Einzeltäter zu sein, ein Amateurhacker sozusagen. Wir wissen noch nicht, wie gut der war, weil wir noch nicht so viele Analysen gesehen haben. Aber auch für Amateure gilt prinzipiell, dass sie mit genug Fleiß und Mühe an solche Dinge herankommen können, und hier sehen wir einen Fall, wo anscheinend eine Einzelperson sich Fleiß und Mühe gemacht hat, um das zu machen, um das zu erarbeiten über wahrscheinlich viele Monate, und sehen natürlich, dass ein Einzelner tatsächlich auch großen Schaden und eine große Wirkung erreichen kann.
Kaess: Aber das Ganze ist, wenn ich Sie richtig verstehe, relativ einfach, wenn man ein bisschen Sachverstand hat?
Gaycken: Ja, in diesem Fall schon. Wenn man jetzt nicht hoch gesicherte Institutionen oder Konzerne angreifen will, da ist die Latte sicherlich durchaus höher. Aber wenn man ahnungslose Privatpersonen sozusagen angreifen will, da kommt man schon irgendwie dran, wenn man sich genug Mühe gibt.
Kaess: Sie haben es gerade selber schon gesagt. Die Vermutung ist, das ist ein Einzeltäter. Wie glaubhaft ist das für Sie?
Gaycken: Das sieht für mich auch so aus, als wäre es ein Einzeltäter. Es macht auch politisch nicht so viel Sinn, dass man da versucht, ein Narrativ aufzubauen als fremder Nachrichtendienst. Das kann natürlich immer sein, aber im Moment sieht das alles sehr nach einem Einzeltäter aus.
Kaess: Glauben Sie daran, dass der tatsächlich gefunden wird?
Gaycken: Das weiß ich nicht. Das hängt vor allem daran, ob er Fehler gemacht hat, die gravierend genug sind, dass die begrenzten Ermittlungsbefugnisse unserer Behörden ausreichen, um ihn damit zu identifizieren.
Kaess: Aber es kann auch möglich sein, dass er die Spuren so verwischt hat, dass man da wirklich auf nichts mehr stößt?
Gaycken: Ja. Das kommt dann darauf an, wie professionell er dabei war, seine Spuren zu verwischen.
"Cyber-Zuständige sind natürlich sowieso schon völlig überlastet"
Kaess: Jetzt steht die Frage im Raum, warum hat so lange niemand das bemerkt, warum war da nicht mehr Aufmerksamkeit von Anfang an da. Wer hat da geschlafen?
Gaycken: Ich glaube, niemand. Wir haben, glaube ich, nicht so richtig klar definiert, ob überhaupt irgendjemand zuständig ist dafür, den ganzen Tag das Netz durchzulesen, insbesondere diese ganzen Nischen auf Twitter und in anderen sozialen Medien, um zu gucken, was da alles so passiert. Da, glaube ich, mangelt es auch irgendwie an Personal an vielen Stellen. Die Cyber-Zuständigen, die wir in den Kriminalämtern haben, sind natürlich sowieso schon völlig überlastet mit den richtig harten Cyber-Sicherheitsfällen, die die aufklären müssen. Da müsste die Politik sich jetzt dazu durchringen zu sagen, wir machen jetzt irgendwie so ein Call-Center voll mit Leuten, die quasi den ganzen Tag das Internet lesen, um zu gucken, was da alles passiert. Das wäre sicherlich eine Maßnahme, die man jetzt ergreifen könnte. Aber so richtig zuständig dafür, auf all diese Dinge zu achten, ist niemand. Da handelt man normalerweise auf Hinweise.
Kaess: Auch nicht das Bundesamt für Sicherheit in der Informationstechnik?
Gaycken: Nee, die schon gar nicht. Die sind ja nur zuständig dafür, für die passive Sicherheit der Regierungsnetze, und ein bisschen der Industrie und der Wirtschaft zu helfen bei der Stärkung ihrer IT-Sicherheit. Aber die haben meines Erachtens nicht die Befugnis oder die Aufgabe, das Internet durchzulesen, um zu gucken, was da so herumschwirrt.
Kaess: Trotzdem gibt es jetzt auch diesen Vorwurf an Horst Seehofer, er vernachlässige das Thema IT-Sicherheit und er kenne sich selbst da auch gar nicht so gut aus. Ist das berechtigt?
Gaycken: Das ist sicherlich berechtigt. Ja, das ist immer noch ein Thema, das wir letzten Endes zwar immer sehr gerne, sehr viel und sehr breit diskutieren, aber was unterhalb der Diskussionen dann tatsächlich real passiert und rauskommt, da hinken wir ganz klar hinterher, hinter vielen anderen Ländern.
Kaess: Was müsste die Politik denn jetzt leisten?
Gaycken: Das sind alte Forderungen. Man muss im Grunde genommen mal ein bisschen schärfer hinsehen, was man eigentlich alles braucht an Fähigkeiten, wo man überall hinsehen muss, auch diese ganzen neuen Bedrohungen, die wir in den letzten ein, zwei Jahren gesehen haben, mit sehr hochwertigen, hoch skalierbaren Erpressungen oder mit Information Operations, die von fremden Nachrichtendiensten geführt werden. Das sind alles Dinge, die haben wir irgendwie akademisch verstanden und prinzipiell sind die auch im politischen Raum angekommen, aber so richtig was getan, Geld reingesteckt, Kompetenzen aufgebaut, das ist immer sehr, sehr wenig.
"Für hochkompetente Mitarbeiter deutlich bessere Gehälter zahlen"
Kaess: Können Sie es ein bisschen konkreter machen? Brauchen wir eine neue Behörde? Brauchen wir neue Gesetze?
Gaycken: Das, glaube ich, muss man jetzt alles nicht machen. Wir haben alle Behörden am Platz. Aber wir müssen mehr Geld reinstecken. Wir müssen auch fähig sein, für hochkompetente Mitarbeiter bessere Gehälter, deutlich bessere Gehälter zu zahlen, weil der Konkurrenzkampf mit der Industrie gerade ganz klar zu Gunsten der Industrie ausfällt. Dann muss man natürlich auch gucken, ob die Strafverfolger bessere Befugnisse brauchen. Die sind ja tatsächlich bei uns sehr stark reglementiert, was sie dürfen, und dann kommt man auch nicht so weit in der Aufklärung solcher Verbrechen.
Kaess: Und es wird auch gefordert, dass die Software-Hersteller und dass die Plattformen stärker in die Pflicht genommen werden müssen. Ist das tatsächlich so? Wäre das nötig?
Gaycken: Das kann man. Man muss sicherlich an ganz vielen Stellen insbesondere diese großen amerikanischen IT-Konzerne deutlich stärker regulieren. Das ist aber auch eine sehr alte Forderung. Die sträuben sich da natürlich mit der gesamten Macht ihres Lobbyismus schon sehr erfolgreich dagegen seit Jahren. Aber da muss man sicherlich auch ran.
Es ist aber sicherlich auch die Frage, was sagt man denen jetzt in solch einem Fall. Jetzt könnte man natürlich überlegen, dass man die Nutzer dazu nötigt, quasi sich jede Woche tolle neue Passwörter auszudenken oder mehrere Faktoren zur Authentifizierung zu nutzen. Aber das führt in der Regel dazu, dass man die Nutzer schlicht und einfach verliert an andere Plattformen, wo das dann einfacher ist.
Silicon-Valley-Konzerne stärker regulieren
Kaess: Wie könnte man diese Konzerne denn kontrollieren? Geht das überhaupt von nationaler Ebene aus?
Gaycken: Ja, klar! Das geht! Es gibt ja auch internationale Bereitschaft innerhalb der EU, zum Beispiel diese Silicon Valley Konzerne stärker zu regulieren. Und der deutsche Markt ist schon auch ein sehr wertvoller Markt. Wenn man die Hürden jetzt nicht so wahnsinnig hoch legt, dann kann man schon davon ausgehen, dass die Konzerne da mitspielen.
Kaess: Stärker regulieren, damit meinen Sie dann das, was wir schon haben an rechtlicher Basis, besser durchzusetzen? Oder bräuchten wir neue rechtliche Basen?
Gaycken: Nein. Wir haben eigentlich ganz gute rechtliche Vorgaben. Aber die sind ein bisschen schwach in der Implementierung teilweise. Die Europäische Datenschutz-Grundverordnung zum Beispiel ist eigentlich relativ gut und hart formuliert. Aber es gibt keine konkreten Umsetzungsformulierungen in vielen Fällen und da muss man einfach gucken, wie man das, angewendet auf verschiedene Bereiche und Stufen in dieser IT-Landschaft, ein bisschen präziser formuliert.
Kaess: Jetzt hat Grünen-Chef Robert Habeck angekündigt, er will aus Twitter und Facebook aussteigen, wegen dieses Vorfalls, aber auch wegen der harten Sprache. Begrüßen Sie das, wenn Politiker so ein Zeichen setzen, und ist das vielleicht auch ein Ratschlag für die anderen Nutzer?
Gaycken: Das halte ich für übertrieben. Er sollte vielleicht ein bisschen besser aufpassen, was er da alles sagt und ob irgendwas, was darin passiert, etwas ist, was nicht an die Öffentlichkeit gehört. Es muss einfach jedem klar sein, dass das Internet, egal in welcher wie auch immer scheinbar geschlossenen Form letzten Endes öffentlich ist und dass alles, was darin passiert, auch öffentlich werden kann durch solche Leaks. Und wenn man dann ein bisschen vorsichtig ist, dann kann man auch weiter seine Social Media Geschichten machen.
Kaess: … sagt Sandro Gaycken, Direktor des Digital Society Institute an der European School of Management and Technology. Herr Gaycken, vielen Dank für Ihre Zeit heute Mittag.
Gaycken: Sehr gerne.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
