Nach dem Datenklau:Warum sich IT-Sicherheit nicht per Gesetz verordnen lässt

A man tries to login to the Facebook social media website in Cairo

Sichere Passwörter und 2-Faktor-Authentifizierung - so lässt sich die Sicherheit von Accounts leicht erhöhen.

(Foto: REUTERS)
  • Bundesjustizministerin Katarina Barley will die Sicherheit für Nutzer im Internet erhöhen, notfalls auch per Gesetz.
  • Experten und Opposition bezweifeln aber, dass sich eine bessere Sicherheit bei Online-Accounts gesetzlich verordnen lässt.
  • Viele Regelungen sind bereits in der DSGVO festgelegt und müssten nur durchgesetzt werden.

Von Max Muth

Grünen-Chef Robert Habeck hat seine persönlichen Konsequenzen bereits gezogen. Nach dem Datendiebstahl vergangene Woche, bei dem er einer der am stärksten betroffenen Politiker und zudem wegen einer unglücklichen Äußerung in einem auf Twitter geteilten Video einem Shitstorm ausgesetzt war, hat Habeck beschlossen, den sozialen Medien den Rücken zu kehren und seine Accounts dort zu löschen.

Doch Komplettverzicht ist für viele Menschen keine Option - zu viele ihrer Kontakte spielen sich nur auf Facebook oder über andere Social-Media-Kanäle ab, zu viele Informationen gibt es so schnell nur auf Twitter. Für diese Menschen will Justizministerin Katarina Barley die Sicherheit im Netz erhöhen, notfalls per Gesetz. Der Welt am Sonntag sagte Barley am Wochenende: "Wir prüfen, inwieweit schärfere gesetzliche Vorgaben sinnvoll sind." Hersteller und Plattformbetreiber müssten hohe Sicherheitsstandards und regelmäßige Updates gewährleisten. Außerdem sei eine "starke Sensibilisierung beim Umgang mit persönlichen Daten unerlässlich".

Am Montag legte Barley in einem Interview in der Rheinischen Post nach: "Die Plattformen müssen die Accounts, über die Hacks verbreitet werden, sofort sperren. Sollten zur Verbreitung des Materials Accounts gekapert werden, dann müssten ihre Inhaber sie schnellstens zurückerlangen können." Außerdem brachte Barley ein europäisches IT-Sicherheits-Gütesiegel ins Gespräch, um Nutzern bei der Auswahl vertrauenswürdiger Produkte zu helfen. Doch würden Gesetzesänderungen wirklich helfen, die Online-Sicherheit zu erhöhen?

Ein IT-Siegel hält Hacker auch nicht ab

Barleys Amtsvorgängerin Sabine Leutheusser-Schnarrenberger (FDP) hat ihre Zweifel: "Die digitalpolitischen Forderungen überschlagen sich derzeit. Damit ist weder dem Schutz der Privatsphäre und dem Nutzer gedient, noch dem Standort Deutschland." Grundsätzlich, so Leutheusser-Schnarrenberger, seien in der europäischen Datenschutzgrundverordnung viele Dinge schon geregelt, wie etwa der Grundsatz, dass Datenschutz beim Design der Plattformen eine wichtige Rolle spielen muss. In diesem Zusammenhang seien auch Zertifizierungen sinnvoll. Klar sei aber auch, dass IT-Siegel keine Hacker abhalten.

Sinnvoll findet Leutheusser-Schnarrenberger, dass die 2-Faktor-Authentisierung (2FA) von allen Plattformen integriert wird. Das ist noch nicht bei allen deutschen Diensten der Fall. Immerhin: Web.de und GMX haben jetzt angekündigt, dies im zweiten Quartal 2019 anzubieten.

Die 2-Faktor-Authentisierung (2FA), bei der zusätzlich zum Passwort noch eine einmalige PIN beim Log-In verlangt wird, und gute Passwörter sind die beiden häufigst genannten Maßnahmen zur Sicherung von Konten in sozialen Netzwerken. Auf beides achten viele Plattformen bereits: Oft müssen Passwörter für neue Konten neben kleinen Buchstaben auch Zahlen, Großbuchstaben oder Sonderzeichen enthalten und eine gewisse Mindestlänge aufweisen; andere Plattformen zeigen Nutzern zumindest an, dass das von ihnen gewählte Kennwort "12345678" ziemlich unsicher ist. Die 2-Faktor-Authentisierung ist bei den allermeisten Plattformen ebenfalls schon möglich, bei den wenigsten allerdings eine Standardeinstellung.

Lässt sich Sicherheit verordnen?

Auch Experten halten die 2-Faktor-Authentisierung zwar grundsätzlich für eine gute Idee. Die Verwendung konkret gesetzlich zu regeln, sei aber Unsinn, meint etwa Falk Garbsch, Sprecher des Chaos Computer Clubs. "Es ist natürlich eine gute Idee, darüber nachzudenken, wie der Staat helfen kann, Dinge sicherer zu machen. Aber das ist etwa für viele Mailserver gar nicht möglich, das technisch umzusetzen."

Peter Hense, Fachanwalt für IT-Themen, glaubt ebenfalls nicht an verpflichtende Regelungen für Account-Sicherheit. "Eine konkrete Sicherheitsmaßnahme per Gesetz vorzuschreiben, funktioniert nicht. Gesetze sagen richtigerweise: Unternehmen müssen einen gewissen Stand der Technik bringen beim Thema IT-Sicherheit. Das kann heute 2-Faktor sein, das kann morgen Biometrie sein und in besonderen Fällen auch heißen, dass Dinge überhaupt nicht in der Cloud liegen dürfen." Weil sich Technologie schnell ändern könne, sei auch ein europäisches Sicherheitssiegel nur bedingt sinnvoll.

Die abstrakte Forderung nach "angemessenen Sicherheitsvorkehrungen" sei in der DSGVO auch bereits verankert. In Artikel 32 der DSGVO steht, dass Unternehmen ein "dem Risiko angemessenes Schutzniveau" gewährleisten müssen. Als "angemessen" könne zum Beispiel der vom Bundesamt für Sicherheit in der Informationstechnik festgelegte IT-Grundschutzkatalog angesehen werden. Im Zweifel entscheidet die jeweils zuständige Datenschutzbehörde, die Strafen verhängen kann, wenn Unternehmen mit ihnen anvertrauten Daten schlampig umgehen.

Accounts sperren oder zurückgeben?

Bliebe noch Barleys Forderung nach einer schnellen Sperrung von Accounts, über die gehacktes Material verbreitet wird, und die schnelle Rückgabe von gehackten Accounts an die Nutzer. Im Falle des jüngsten Datenklaus war etwa Twitter dafür kritisiert worden, dass der Dienst den Account "@_0rbit", über den das Material verbreitet wurde, stundenlang nicht sperrte. IT-Anwalt Hense sagt, Reaktionspflichten seien in jedem Fall sinnvoll. Ähnliche Vorgaben gebe es bereits bei schweren Straftaten wie etwa Kinderpornografie oder Terrorismus. Was die Rückgabe der Accounts angeht, mahnt Hense zur Vorsicht. "Unternehmen müssen Zeit haben zu prüfen, ob eine Anforderung auf Sperrung oder Rückübertragung eines Accounts berechtigt ist."

Ähnliche Töne kommen auch von den von Barleys Vorschlägen betroffenen Unternehmen. Lutz Mache, zuständig für Public Policy bei Google in Deutschland, twitterte nach dem Barley-Vorschlag, die Forderung nach einer schnellen Rückgabe eines Accounts würde eine ausführliche Prüfung der Umstände erschweren.

Denn die große Aufmerksamkeit bekam das jetzt geleakte Material erst, als der mittlerweile gefasste Hacker den Account des Youtube-Stars Unge kaperte. Dies gelang, indem er einen Twitter-Mitarbeiter davon überzeugte, die 2-Faktor-Authentisierung für das Konto auszuschalten. Das war ein Fehler. Einer, den wohl kein Gesetz hätte verhindern können.

Zur SZ-Startseite
Peter Tschentscher

Privatsphäre
:Zehn Regeln für Ihre digitale Sicherheit

Die geleakten Datensätze zeigen: Selbst, wer sich selbst für vollkommen uninteressant hält, besitzt Daten über Dritte, die er schützen muss. Die wichtigsten Grundregeln im Überblick.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: