https://www.faz.net/-gpf-9ihak
Bildbeschreibung einblenden

Hackerangriff : Verwundbare Systeme

Was tun, um Sicherheitslücken zu schließen? Innenminister Horst Seehofer (rechts) mit Arne Schönbohm, Chef des Bundesamtes für Sicherheit in der Informationstechnik Bild: AFP

Die Politik in Berlin reagiert mit der üblichen Bewältigungsrhetorik auf den Hackerangriff. Aber das Problem ist gerade nicht durch die Verschärfung irgendwelcher Gesetze zu lösen. Ein Kommentar.

          3 Min.

          Auch wenn ein Gerichtsverfahren noch aussteht, scheint es ganz so, als hätten die Staatsanwälte der Frankfurter Zentralstelle zur Bekämpfung von Internetkriminalität (ZIT) den Urheber des aufsehenerregenden Datendiebstahls bei Politikern und Prominenten im Handumdrehen dingfest gemacht. Es wäre nicht ihr erster großer Ermittlungserfolg im Kampf gegen das digitale Verbrechen: Schon im vergangenen Jahr konnten sie die mutmaßliche Führungsriege des weltgrößten Kinderpornoforums vor Gericht bringen, ebenso den Betreiber des Rauschgift- und Waffenumschlagplatzes „Deutschland im Deep Web“, über den unter anderem der Amokläufer vom Münchener Olympiazentrum seine Tatwaffe bezogen hatte. Die Kapazitäten der bundesweit agierenden Zentralstelle Anfang 2018 aufzustocken dürfte zu den sinnvollsten politischen Entscheidungen im Kampf gegen Online-Kriminelle gezählt haben.

          Constantin van Lijnden

          Redakteur für Frankfurter Allgemeine Einspruch.

          Doch während die Ermittler schnell und effizient ihrer Arbeit nachgingen, wirkten die Verlautbarungen aus dem politischen Berlin in den Tagen nach Bekanntwerden des Datendiebstahls eher wie alarmistischer Aktionismus. Von der Prüfung „schärferer gesetzlicher Vorgaben“ war die Rede, vom Aufbau eines „Cyber-Abwehrzentrums plus“ und der Einführung der „Möglichkeit zu einem aktiven Gegenangriff“. Das ist die übliche, von Digitalfachleuten seit Jahren belächelte Bewältigungsrhetorik im Umgang mit einem Phänomen, das die Politik in Deutschland lange vernachlässigt hat und auch heute schlecht versteht.

          Denn das Problem ist eben nicht durch die Verschärfung irgendwelcher Gesetze zu lösen, im Gegenteil: Die polizeilichen Befugnisse im Internet reichen heute ausgesprochen weit, und nach der Einführung neuer Straftatbestände wie der Datenhehlerei sind auch letzte Strafbarkeitslücken geschlossen – wenn man die Täter denn erwischt. Daran allerdings hapert es oft, wenn ein Datendiebstahl nicht gerade zur Staatsaffäre avanciert und die Ermittlungen nicht in Frankfurt, sondern von der chronisch unterbesetzten und technisch ungeschulten örtlichen Kleinststaatsanwaltschaft geführt werden.

          Hier für kompetente Verstärkung zu sorgen sollte die erste Priorität der Politik sein, und nicht von der Legalisierung eines „Hack-Back“ zu fabulieren, bei dem die Systeme der Hacker in einem digitalen Gegenangriff zerstört werden sollen. Davon abgesehen, dass die Vorstellung wie aus einem Hollywood-Film entlehnt und praktisch undurchführbar wirkt, ist diese Auge-um-Auge-Mentalität auch unvereinbar mit den Grundsätzen der Gefahrenabwehr – oder hätte man schon einmal gehört, dass die Polizei in flagranti ertappte Gewalttäter per Prügelstrafe züchtigen dürfte?

          Umgekehrt muss der deutsche Staat sich fragen lassen, wie viel Verantwortung er selbst für die Verwundbarkeit der Systeme seiner Bürger trägt. So dürfen Ermittlungsbehörden hierzulande sogenannte Online-Durchsuchungen durchführen; die Möglichkeiten hierzu wurden 2017 erheblich erweitert.

          In der Praxis setzt diese Möglichkeit bei einer Sicherheitslücke auf dem Rechner des Verdächtigen an. Lücken dieser Art haben für Polizei und Staatsanwaltschaften aber nur so lange Wert, wie sie von den Softwareherstellern nicht geschlossen werden. Das führt zu dem fatalen Anreiz, Sicherheitslücken nicht zu melden, sondern aus dubiosen Quellen anzukaufen und zu Ermittlungszwecken zu horten. Das geht selbstverständlich nicht nur auf Kosten etwaiger Straftäter, sondern auch aller anderen Nutzer der entsprechenden Software. Diese Bedenken sind keineswegs theoretischer Natur: Der Wannacry-Virus, der 2017 Hunderttausende IT-Systeme in aller Welt lahmlegte, ging zurück auf eine Sicherheitslücke, die dem amerikanischen Auslandsgeheimdienst NSA längst bekannt war, die dieser aber aus ganz ähnlichen Erwägungen für sich behalten hatte.

          Jeder einzelne Bürger ist in der Pflicht

          Doch nicht nur die Politik und die Ermittlungsbehörden sind in der Pflicht, sondern auch jeder einzelne Bürger, der Teile seines Lebens im Netz verbringt. Der Großteil aller Datendiebstähle wird eben nicht von ominösen Meisterhackern oder staatlich subventionierten Cybersaboteuren begangen. Mit etwas technischem Sachverstand kommen auch einfache Kriminelle recht weit. Begünstigt werden sie durch unvorsichtige Nutzer, die veraltete Software und leicht zu erratende Passwörter verwenden, unbedacht Links unbekannter Absender öffnen und sich mit modernen Sicherungsmaßnahmen wie Zwei-Faktor-Authentifizierung nicht befassen. Allen Warnungen und Digitalratgebern zum Trotz lautete das in Deutschland am häufigsten verwendete Passwort nach einer Untersuchung des Hasso-Plattner-Instituts 2018 wie schon im Vorjahr „123456“, dicht gefolgt von „ficken“ (Platz 4) und „hallo“ (Platz 7).

          Wer dem Internet mit großer Selbstverständlichkeit Kontodaten, Geschäftskorrespondenz und Privatfotographien anvertraut, aber gleichzeitig zu bequem oder nachlässig ist, um die für einen mündigen und selbstbestimmten Gebrauch des Internets unerlässlichen Verhaltensregeln zu beachten, der hat zwar noch nicht verdient, dass er bestohlen wird – aber er muss sich auch nicht gerade wundern, wenn es doch passiert.

          Weitere Themen

          Die fremde Welt vor der Kaserne

          FAZ Plus Artikel: KSK : Die fremde Welt vor der Kaserne

          Das Kommando Spezialkräfte verliert wegen rechtsextremer Umtriebe eine Kompanie. Der Gipfel der Demütigung, finden ehemalige KSK-Soldaten. Sie fühlen sich schon lange unverstanden.

          Bolsonaro legt Veto gegen Maskenpflicht ein Video-Seite öffnen

          Brasilien : Bolsonaro legt Veto gegen Maskenpflicht ein

          Brasiliens rechtsextremer Präsident Jair Bolsonaro hat sein Veto gegen eine vom Parlament beschlossene Maskenpflicht zur Eindämmung des Coronavirus eingelegt. Der Staatschef nutzte sein Vetorecht, um zwei Artikel aus einem Gesetz zu entfernen, die eine Mundschutzpflicht in Geschäften sowie in Kirchen vorsehen.

          Der Rassentrenner

          FAZ Plus Artikel: Woodrow Wilson : Der Rassentrenner

          Ein Vorfall aus dem Jahre 1914 lässt den Schluss zu, dass Präsident Woodrow Wilson auch eine „dunkle Seite“ hatte. Er trat vehement für die Rassentrennung ein. Seine Universität zieht Konsequenzen.

          Topmeldungen

          Jubel in Rot und Blau: Der FC Bayern gewinnt den DFB-Pokal.

          Sieg im DFB-Pokalfinale : Der FC Bayern ist wieder nicht aufzuhalten

          Die Vitrine wird voll: In einem zeitweise spektakulären Endspiel bezwingen die Münchner Finalgegner Leverkusen und bejubeln ihren 20. DFB-Pokalsieg. Bayer vergibt eine Riesenchance, Torhüter Lukas Hradecky unterläuft ein kurioser Fehler.
          Wer hier einzieht, ist höchst ungewiss: Wirecard wollte sein neues Bürogebäude Mitte kommenden Jahres in Betrieb nehmen.

          Gewerbestandort bei München : Was macht die Wirecard-Insolvenz mit Aschheim?

          Die fetten Jahre für Aschheim sind vorerst vorbei: Noch-Mitarbeiter des insolventen Dax-Konzerns spotten, es ist unklar, wer in das geplante neue Hauptquartier von Wirecard einzieht und der Bürgermeister will zu möglichen Ausfällen der Gewerbesteuer nichts sagen.
          Soldaten des Kommandos Spezialkräfte bei einer Übung im Jahr 2018

          KSK : Die fremde Welt vor der Kaserne

          Das Kommando Spezialkräfte verliert wegen rechtsextremer Umtriebe eine Kompanie. Der Gipfel der Demütigung, finden ehemalige KSK-Soldaten. Sie fühlen sich schon lange unverstanden.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.