Sondersitzung des ADA zum Datendiebstahl

Im Zusammenhang mit dem aktuellen Datendiebstahl durch einen 20-jährigen Schüler, von dem zahlreiche Prominente und ehemalige und aktive Politikerinnen und Politiker betroffen waren, befragten Bundestagsabgeordnete Vertreter von Bundesinnenministerium, Bundeskriminalamt und Bundesamt für Sicherheit in der Informationstechnik. Eine erste Befragung fand am 10. Januar 2019 im Innenausschuss statt. Am 14. Januar 2019 folgte eine Sondersitzung des Ausschusses Digitale Agenda, bei der zusätzlich auch noch Vertreterinnen und Vertreter von Facebook, Google, Twitter und United Internet von den Abgeordneten zu den aktuellen Datendiebstählen befragt wurden.

Zu der Sondersitzung des Ausschusses Digitale Agenda am 14. Januar 2019 erklärt Tabea Rößner:

„Das BKA hat heute eingeräumt, dass der Täter Kontakte ins rechte Spektrum hatte. Da ist es schon sehr bemerkenswert, dass die politische Motivation immer noch nicht zentral im Fokus steht, weil vor dem Hack keine Staatsschutzerkenntnisse zu dem Täter vorlagen. Gefühlt operieren die Behördenvertreter hier alle paar Tage mit einer anderen Definition. Aber ob man sagt, der Täter sei „nicht vorbestraft“, „den Sicherheitsbehörden nicht bekannt gewesen“ oder es hätten „keine Staatsschutzerkenntnisse zu ihm“ vorgelegen: Die Hinweise auf seine rechten Tendenzen waren schon länger bekannt und vor diesem Hintergrund ist es skurril, dass ein politisches Motiv so eilig ausgeschlossen wurde. Die Behörden müssen sich einmal mehr den Vorwurf anhören, auf dem rechten Auge nicht ganz so scharf zu sehen.

Wenn der Vertreter des Bundesinnenministeriums Andreas Könen davon spricht, sie würden nun eine Meldepflicht für Sicherheitslücken prüfen, wäre das tatsächlich ein Fortschritt. Ich hoffe nur,  dass es nicht bei einer Prüfung bleibt. Und dass es nicht ohne Ende Ausnahmen gibt – z.B. für Geheimdienste.

Die Vertreter der Internetplattformen betonten, dass die bereits bestehenden Sicherheitsmaßnahmen wie 2-Faktor-Authentifizierung nur von einem Bruchteil der Nutzerinnen und Nutzer verwendet werden. Aber trotzdem wollen die  Plattformen die Ausweitung von Sicherheitsmaßnahmen wie 2-Faktor-Authentifizierung jetzt als Reaktion auf den aktuellen Vorfall prüfen. Da scheint doch einiges im Argen zu liegen. Facebook beispielsweise will die Einführung einer verpflichtenden 2-Faktor-Authentifizierung für Kandidierende bei der Europawahl prüfen. United Internet hat angekündigt, die 2-Faktor-Authentifizierung im zweiten Quartal 2019 erstmals einzuführen. Bei Twitter wird aktuell diskutiert, wie die – aktuell noch nicht sehr intensiv genutzte – 2-Faktor-Authentifizierung noch verbessert werden kann. Grundsätzlich sind bessere Sicherheitsmaßnahmen zu begrüßen. Wir werden diese Verfahren intensiv begleiten und ggf. gesetzliche Regelungen vorschlagen.

Der Datenschutzbeauftragte Kelber betonte, dass die Unterstützung Betroffener verbessert werden muss, was beispielsweise die Zurückerlangung von übernommenen Accounts angeht oder den Zugriff auf Logfiles, um den Umfang des Datenabflusses einschätzen zu können. Das habe sich im aktuellen Fall als schwierig herausgestellt.

Kelber vertrat sehr vehement die Ansicht, dass die Sicherheitsbehörden die Datenschutzbehörden informieren müssten, wenn es sich wie im vorliegenden Fall um einen Datenschutzvorfall handelt. Die Datenschutzbehörden müssten hier unbedingt ab Beginn der Ermittlungen mit in die Meldekette aufgenommen werden. Abgeordnete der Union reagierten auf diese Forderung verständnislos, wollten stattdessen lieber wieder darüber reden, wie man Hoster strenger verfolgen kann. Diese Forderungen werfen jedoch vielfältige Fragen in Bezug auf Vorratsdatenspeicherung und Massenüberwachung auf. Die Union ist damit komplett auf dem falschen Dampfer unterwegs und nimmt also das Thema Datenschutz nicht ernst genug, dabei sind das die Maßnahmen, die Bürgerinnen und Bürger wirklich besser schützen – Hackbacks oder Vorratsdatenspeicherung aber bewahren niemanden vor einem Datenverlust.“