#Hackerangriff auf Politiker, Journalisten und Prominente – was lernen wir daraus?

Um die Antwort zu der in der Überschrift gestellten Frage gleich vorwegzunehmen: Nichts! Klingt pessimistisch, aber erst einmal von Anfang an.  

Wenn man die Medien in den vergangenen Tagen aufmerksam verfolgt hat, dann wird man um das Thema rund um den Hackerangriff auf Politiker, Journalisten und Prominente nicht darum herumgekommen sein. Ein 20-jähriger Schüler aus dem hessischen Homburg , der auch unter dem Pseudonym G0d aka _0rbit aka Nullr0uter im Internet bekannt ist, hat im Dezember 2018 jeden Tag sukzessive Daten und Dokumente von hunderten Politikern, Journalisten und Prominenten veröffentlicht und hat uns mit relativ simplen Mitteln vor Augen geführt, wie angreifbar unsere Privatsphäre ist. Veröffentlicht wurden unter anderem Telefonnummern, Privatadressen, Kreditkarteninformationen und Chat-Verläufe. 

Der Bayerische Rundfunk hat alle Fakten zum Thema in dem Beitrag “Datenskandal aus dem Kinderzimmer” treffend zusammengefasst und stellt unter dem Absatz “Was lernen wir daraus” eine ganz wichtige Frage: Was hätten die Betroffenen, was kann also jeder selbst tun, um seine eigenen Daten besser zu schützen und – dies wird in diesem Fall besonders deutlich – auch die der eigenen Bekannten? – und verweist auf umfangreiche Tipps vom Bundesamt für Sicherheit in der Informationstechnik (BSI), die jeder kennen und vor allem befolgen sollte.  Tipps, die wir beipflichten können. 

Allerdings stellen nicht nur wir bei F-Secure uns immer wieder die Frage, ob es tatsächlich immer wieder Skandale wie diesen braucht, damit Menschen aufwachen und beginnen, ihre Privatsphäre auch in der digitalen Welt zu verteidigen. Auch der SWR2 ging in der Talkrunde “Die digitale Ignoranz – was hindert uns am Datenschutz?” auf die Thematik ein und der Moderator Michael Risel diskutierte darüber mit dem digitalpolitischen Sprecher der CDU/CSU im Bundestag Thomas Jarzombek sowie dem Journalisten Peter Welchering und unserem Sicherheitsexperten Rüdiger Trost. 

Dieser Datenskandal als solches ist nüchtern betrachtet eine müde zwei auf unserer Skala von eins bis zehn. Aber paradoxer Weise, ist es das Beste, was uns passieren konnte. Die veröffentlichten Daten sind weder geschäftskritisch noch bedrohen sie die Existenz der betroffenen Opfer. Es handelt sich um Daten, die aus frei verfügbaren, offenen Quellen gesammelt werden konnten. Oder einfach ausgedrückt, die Fähigkeit eine Suchmaschine bedienen zu können. Der Fachausdruck hierfür lautet OSINT oder Open Source Intelligence. 

Das macht die Sache aber nicht besser, sondern schlechter

Wenn ein 20-jähriger Schüler schon in der Lage ist, so viele Daten sammeln zu können, wie weitreichend kann dann das Ausmaß durch professionelle Hacker oder gar kriminelle Organisationen sein. Bekanntestes Beispiel der Vergangenheit zum Bruch der Privatsphäre ist wohl die Enthüllungen des ehemaligen CIA-Mitarbeiter und Whistleblowers Edward Snowden, der im Jahr 2013 Einblicke in das Ausmaß der weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten gab.  

Und dennoch, der aktuelle Skandal um die veröffentlichten Daten ist Glück im Unglück. Es öffnet uns die Augen und lässt das Thema Datenschutz wieder in den Vordergrund rücken, zumindest für kurze Zeit. Peter Welchering bringt es gleich am Anfang der Talkrunde auf den Punkt und bestätigt unsere These:

“Unsere Augen wurden uns eigentlich schon sehr oft geöffnet, nur haben wir es nach drei oder vier Tagen wieder vergessen, wenn nämlich wieder das nächste Katzenvideo um die Ecke kam. Und dann wurde die Diskussion, wie leicht Twitter oder Facebook wirklich zu knacken sind, welche unglaublich miserablen Sicherheitsvorkehrungen solche Plattformen haben, einfach beiseitegelegt.”  

Das „Ich habe doch nichts zu verbergen“-Syndrom

Bundesinnenminister Horst Seehofer nannte den Datenskandal einen Warnschuss und einen Weckruf, allerdings fragen wir uns erneut, wie viele Skandale es noch geben muss, bis auch der Letzte, der an das “Ich habe doch nichts zu verbergen” festhält, begreift, dass das weitreichende Folgen haben könnte. Nehmen wir veröffentlichte Chat-Verläufe von Politikern als Beispiel: Für den einen mag der Inhalt des Chats harmlos erscheinen. Für professionelle Hacker ist das allerdings Gold wert. Durch Social-Engineering-Praktiken könnte ein Hacker einen Spear-Phishing-Angriff vorbereiten und eine E-Mail so aufsetzten, dass das Opfer beispielsweise blindlings auf einen in der E-Mail integrierten Link klickt und auf eine bösartige Webseite geleitet und infiziert wird.  

Das BSI will das bereits vorhandene Cyber-Abwehrzentrum in den nächsten Monaten verbessern. So will der Bundesinnenminister auch ein Frühwarnsystem etablieren. Das ist für das letzte Beispiel grundsätzlich kein falscher Gedanke, allerdings nur die falsche Maßnahme für diesen konkreten Datenskandal. Frühwarnsysteme helfen dank künstlicher Intelligenz und smarten Algorithmen, um Anomalien im Netzwerk aufzudecken. Beispielsweise ob ein Rechner im Netzwerk sich “korrekt” verhält. Korrekt heißt in dem Zusammenhang: Wenn ein Rechner von einem außenstehenden Dritten infiltriert ist und anfängt von innen heraus an Daten zu gelangen, für die der eigentliche User nicht privilegiert ist. Doch wenn die Information aber bereits einmal im Internet ist, hilft auch ein Frühwarnsystem nicht.  

Ein Datenschutztag im Jahr reicht nicht!

Am 28. Januar 2019 steht nun zum zwölften Mal der Europäische Datenschutztag an. Ein Tag, der uns an den Datenschutz erinnern und ermahnen soll, mit sich selbst kritisch umzugehen und zu erfragen, ob wir selbst auch alles dafür tun, damit unsere persönlichen, meist sensiblen  Daten und Informationen nicht eines Tages auch im Internet stehen. Der Tag soll vermitteln, wie wichtig es ist, die Kontrolle über die eigenen Daten zu behalten. Die Verantwortung der Datensicherheit tragen dabei nicht nur Regierungen und Dienste, sondern vielmehr jeder selbst.  

Aber wie gelangen Daten ins Netz? In der Tat kann dem ein richtiger Hack vorhergegangen sein. Von Facebook und LinkedIn hin zu Adobe, Dropbox oder Yahoo – die Liste der gehackten Dienste ist lang. Wer nach einem Hack seine Passwörter nicht ändert, der verhält sich grob fahrlässig. Wir raten daher dringend zu einer gesunden Passwortverwaltung zu greifen. Sei es F-Secure KEY oder einem anderen Passwort Manager. Denn die meisten nachfolgenden Angriffe hätten dadurch verhindert werden können.  

Um nun nochmals auf die eingangs gestellte Frage zurück zukommen, was wir aus dem Datenskandal lernen können. Solange wir das Thema nicht konsequent auf unserer Agenda haben und nur am Europäischen Datenschutztag oder beim nächsten Datenskandal Aufmerksamkeit schenken, wird sich nichts ändern. Wir, die Experten der Sicherheitsbranche, als auch die Medien tun tagtäglich unser Bestes, Sie darüber zu informieren und um irgendwann die Frage mit “Ja, wir haben daraus gelernt” zu beantworten.

Unser Plädoyer: Jeder Tag sollte Datenschutztag sein!