https://www.faz.net/-gpf-9ihak
Bildbeschreibung einblenden

Hackerangriff : Verwundbare Systeme

Was tun, um Sicherheitslücken zu schließen? Innenminister Horst Seehofer (rechts) mit Arne Schönbohm, Chef des Bundesamtes für Sicherheit in der Informationstechnik Bild: AFP

Die Politik in Berlin reagiert mit der üblichen Bewältigungsrhetorik auf den Hackerangriff. Aber das Problem ist gerade nicht durch die Verschärfung irgendwelcher Gesetze zu lösen. Ein Kommentar.

          Auch wenn ein Gerichtsverfahren noch aussteht, scheint es ganz so, als hätten die Staatsanwälte der Frankfurter Zentralstelle zur Bekämpfung von Internetkriminalität (ZIT) den Urheber des aufsehenerregenden Datendiebstahls bei Politikern und Prominenten im Handumdrehen dingfest gemacht. Es wäre nicht ihr erster großer Ermittlungserfolg im Kampf gegen das digitale Verbrechen: Schon im vergangenen Jahr konnten sie die mutmaßliche Führungsriege des weltgrößten Kinderpornoforums vor Gericht bringen, ebenso den Betreiber des Rauschgift- und Waffenumschlagplatzes „Deutschland im Deep Web“, über den unter anderem der Amokläufer vom Münchener Olympiazentrum seine Tatwaffe bezogen hatte. Die Kapazitäten der bundesweit agierenden Zentralstelle Anfang 2018 aufzustocken dürfte zu den sinnvollsten politischen Entscheidungen im Kampf gegen Online-Kriminelle gezählt haben.

          Constantin van Lijnden

          Redakteur für Frankfurter Allgemeine Einspruch.

          Doch während die Ermittler schnell und effizient ihrer Arbeit nachgingen, wirkten die Verlautbarungen aus dem politischen Berlin in den Tagen nach Bekanntwerden des Datendiebstahls eher wie alarmistischer Aktionismus. Von der Prüfung „schärferer gesetzlicher Vorgaben“ war die Rede, vom Aufbau eines „Cyber-Abwehrzentrums plus“ und der Einführung der „Möglichkeit zu einem aktiven Gegenangriff“. Das ist die übliche, von Digitalfachleuten seit Jahren belächelte Bewältigungsrhetorik im Umgang mit einem Phänomen, das die Politik in Deutschland lange vernachlässigt hat und auch heute schlecht versteht.

          Denn das Problem ist eben nicht durch die Verschärfung irgendwelcher Gesetze zu lösen, im Gegenteil: Die polizeilichen Befugnisse im Internet reichen heute ausgesprochen weit, und nach der Einführung neuer Straftatbestände wie der Datenhehlerei sind auch letzte Strafbarkeitslücken geschlossen – wenn man die Täter denn erwischt. Daran allerdings hapert es oft, wenn ein Datendiebstahl nicht gerade zur Staatsaffäre avanciert und die Ermittlungen nicht in Frankfurt, sondern von der chronisch unterbesetzten und technisch ungeschulten örtlichen Kleinststaatsanwaltschaft geführt werden.

          Hier für kompetente Verstärkung zu sorgen sollte die erste Priorität der Politik sein, und nicht von der Legalisierung eines „Hack-Back“ zu fabulieren, bei dem die Systeme der Hacker in einem digitalen Gegenangriff zerstört werden sollen. Davon abgesehen, dass die Vorstellung wie aus einem Hollywood-Film entlehnt und praktisch undurchführbar wirkt, ist diese Auge-um-Auge-Mentalität auch unvereinbar mit den Grundsätzen der Gefahrenabwehr – oder hätte man schon einmal gehört, dass die Polizei in flagranti ertappte Gewalttäter per Prügelstrafe züchtigen dürfte?

          Umgekehrt muss der deutsche Staat sich fragen lassen, wie viel Verantwortung er selbst für die Verwundbarkeit der Systeme seiner Bürger trägt. So dürfen Ermittlungsbehörden hierzulande sogenannte Online-Durchsuchungen durchführen; die Möglichkeiten hierzu wurden 2017 erheblich erweitert.

          In der Praxis setzt diese Möglichkeit bei einer Sicherheitslücke auf dem Rechner des Verdächtigen an. Lücken dieser Art haben für Polizei und Staatsanwaltschaften aber nur so lange Wert, wie sie von den Softwareherstellern nicht geschlossen werden. Das führt zu dem fatalen Anreiz, Sicherheitslücken nicht zu melden, sondern aus dubiosen Quellen anzukaufen und zu Ermittlungszwecken zu horten. Das geht selbstverständlich nicht nur auf Kosten etwaiger Straftäter, sondern auch aller anderen Nutzer der entsprechenden Software. Diese Bedenken sind keineswegs theoretischer Natur: Der Wannacry-Virus, der 2017 Hunderttausende IT-Systeme in aller Welt lahmlegte, ging zurück auf eine Sicherheitslücke, die dem amerikanischen Auslandsgeheimdienst NSA längst bekannt war, die dieser aber aus ganz ähnlichen Erwägungen für sich behalten hatte.

          Jeder einzelne Bürger ist in der Pflicht

          Doch nicht nur die Politik und die Ermittlungsbehörden sind in der Pflicht, sondern auch jeder einzelne Bürger, der Teile seines Lebens im Netz verbringt. Der Großteil aller Datendiebstähle wird eben nicht von ominösen Meisterhackern oder staatlich subventionierten Cybersaboteuren begangen. Mit etwas technischem Sachverstand kommen auch einfache Kriminelle recht weit. Begünstigt werden sie durch unvorsichtige Nutzer, die veraltete Software und leicht zu erratende Passwörter verwenden, unbedacht Links unbekannter Absender öffnen und sich mit modernen Sicherungsmaßnahmen wie Zwei-Faktor-Authentifizierung nicht befassen. Allen Warnungen und Digitalratgebern zum Trotz lautete das in Deutschland am häufigsten verwendete Passwort nach einer Untersuchung des Hasso-Plattner-Instituts 2018 wie schon im Vorjahr „123456“, dicht gefolgt von „ficken“ (Platz 4) und „hallo“ (Platz 7).

          Wer dem Internet mit großer Selbstverständlichkeit Kontodaten, Geschäftskorrespondenz und Privatfotographien anvertraut, aber gleichzeitig zu bequem oder nachlässig ist, um die für einen mündigen und selbstbestimmten Gebrauch des Internets unerlässlichen Verhaltensregeln zu beachten, der hat zwar noch nicht verdient, dass er bestohlen wird – aber er muss sich auch nicht gerade wundern, wenn es doch passiert.

          Weitere Themen

          Iran veröffentlicht Kaperung des Tankers Video-Seite öffnen

          London droht mit Sanktionen : Iran veröffentlicht Kaperung des Tankers

          Iran hatte den Tanker beschlagnahmt, weil er in einen Unfall mit einem Fischerboot verwickelt gewesen sein soll und dessen Notruf ignoriert habe. Großbritannien beklagt einen Verstoß gegen das Völkerrecht – und droht mit Konsequenzen.

          Topmeldungen

          FAZ Plus Artikel: Erstes Zeitungsinterview : AKK stellt sich vor ihre Soldaten: „Kein Generalverdacht“

          In ihrem ersten Zeitungsinterview als Verteidigungsministerin spricht Annegret Kramp-Karrenbauer über ihr Verhältnis zum Militär, über das Vermächtnis der Männer des 20. Juli und über den Lieblingspulli ihrer Teenagerzeit. Auch in kritischen Zeiten werde die Truppe ihr Vertrauen genießen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.