Ein junger Mann aus Hessen hatte Daten von Hunderten Politikern im Netz veröffentlicht. In einem Eckpunktepapier skizziert Bundesjustizministerin Katharina Barley, was sie gegen solche Angriffe tun will.
Berlin - Telefonnummern, Email-Adressen, Kreditkartendaten und Chat-Verläufe – private Daten von hunderten Politikern und Prominenten hatte ein junger Mann aus Hessen gesammelt und Ende letzten Jahres im Internet veröffentlicht. „Doxing“ nennt sich die Methode, von anderen möglichst viele Daten zusammenzutragen und publik zu machen. Der Begriff leitet sich vom englischen Wort „docs“ für „Dokumente“ ab. Einen großen Teil der Informationen, so der bisherige Kenntnisstand, konnte der Täter jedoch ohne allzu große technische Expertise abgreifen. Vieles deutet darauf hin, dass die meisten Informationen wohl durch unsichere Passwörter oder durch Schwachstellen bei der Passwortwiederherstellung abgeschöpft werden konnten.
Nichtsdestotrotz hat der Vorfall in Deutschland eine neue Debatte um die Sicherheit im Internet entfacht. Bundesinnenminister Horst Seehofer hatte bereits wenige Tage nach Bekanntwerden des Datenleaks im Januar Maßnahmen wie ein erweitertes „Cyberabwehrzentrum plus“ angekündigt. Am Montag hat nun auch das Bundesjustizministerium ein Eckpunktepapier mit acht Konsequenzen aus dem Doxing-Angriff vorgestellt.
Was steht im Eckpunktepapier?
Unter anderem sollen Softwarehersteller dazu verpflichtet werden, mindestens zwei Jahre lang nach Erscheinen eines neuen Produkts Software-Updates für dieses anzubieten. Sicherheitslücken ergeben sich oft durch veraltete Software. Außerdem soll die Haftung der Hersteller für fehlerhafte Software, die zum Beispiel Sicherheitslücken enthält, künftig ähnlich geregelt werden wie bei physischen Produkten.
Darüber hinaus will Bundesjustizministerin Katharina Barley (SPD) gemeinsam mit der Wirtschaft nach Lösungen suchen, ob und wie Versicherungen zur Abdeckung von Cyber-Risiken Sinn machen. Nach einem Datenklau muss ein Betroffener vieles unternehmen, um wieder die Hoheit über die entsprechenden Internet-Accounts zu erlangen. Dabei kann es auch zu Auseinandersetzungen mit Betreibern oder zu psychischen Folgen kommen. Ob Versicherungen für solche Fälle Angebote machen könnten, will das Ministerium prüfen.
Das sagt ein Wissenschaftler zu den Vorschlägen
„Generell sind die meisten dieser Punkte erst einmal sinnvoll“, sagt Dr. Stefan Köpsell zu dem Eckpunktepapier. Er forscht an der Professur Datenschutz und Datensicherheit der Technischen Universität Dresden sowie am Dresdner Barkhauseninstitut. Der Teufel liege aber in den Details. Bei der Umsetzung sieht Köpsell viele offene Fragen.
Zum Beispiel mache es zwar durchaus Sinn, Hersteller zu mehrjährigen Software-Updates zu verpflichten. Etwa bei Smartphones mit dem Betriebssystem Android seien derzeit je nach Handy-Hersteller schon nach zwei oder drei Jahren keine Updates mehr verfügbar und das Sicherheitsrisiko dadurch größer. Damit die Maßnahme greife, müsste die Verpflichtung aber mehr als nur zwei Jahre umfassen. Koepsell bezweifelt auch, ob wirklich umfassend kontrolliert werden kann, dass Hersteller sich an die Verpflichtung halten. „Man sollte eher überlegen: Wie kann man dann Dritte in die Lage versetzen, die notwendigen Updates zu programmieren?“ Das könnte zum Beispiel ermöglicht werden, indem Softwarehersteller ihre Quellcodes, also den „Bauplan“ des Programms, bei einer vertrauenswürdigen Institution hinterlegen müssen.
Versicherungen gegen Cyber-Risiken für Privatkunden?
Dass Privatkunden sich gegen Cyber-Risiken versichern könnten, hält Koepsell nur sehr bedingt für sinnvoll. Viel wichtiger sei, schon vorher Verantwortung für die eigene Datensicherheit im Internet zu übernehmen. „In der Offline-Welt sage ich ja auch nicht: Ich hab ja eine Hausratsversicherung, da muss ich mich um das Türschloss nicht mehr kümmern.“