Es war eine kuriose Szene in der Pressekonferenz von Bundesinnenminister Horst Seehofer (CSU). Soeben hatte der Innenminister davon gesprochen, als Reaktion auf den aktuellen Datendiebstahl ein Früherkennungssystem installieren zu wollen, um schneller auf illegale Datenlecks reagieren zu können.
Kurz nach Seehofer ergriff der Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, das Wort und erklärte, warum das offenbar bereits existierende System des BSI nicht angeschlagen hatte, als die Leaks im Dezember über ein gekapertes Twitter-Konto veröffentlicht worden waren: "Die ursprünglichen Veröffentlichungen der Twitter-Accounts ab dem 1. Dezember enthielten keine Schlüsselworte, die eine automatisierte Erkennung durch das BSI ermöglicht hätten. Ich mache ein Beispiel: Am 23.12. hieß es einfach nur 'Das 23. Türchen: SPD.'"
Das ließ einiges im Unklaren. Hat das BSI nun ein Frühwarnsystem für diese Art von Notfällen, das aber nicht richtig funktioniert, oder muss das Innenministerium, dem das BSI untersteht, erst eines bauen? Viel mehr Informationen gab es auch nicht für die Mitglieder des Innenausschusses des Bundestages, als Seehofer sie am Donnerstag in einer nichtöffentlichen Sitzung besuchte.
Auf Streife in den dunklen Ecken des Internets
Auch in Sicherheitskreisen hält man die Aussage des BSI-Chefs für missverständlich. Seine Behörde durchsuche nicht Plattformen wie Twitter direkt, sondern Orte, an denen Hacker üblicherweise ihr Material hochladen, also Sharehoster und Pastebins: die dunklen Ecken des Internets. Auf Sharehostern können Nutzer anonym große Dateien ablegen und teilen. Bekannte Sharehoster sind etwa Wetransfer oder das inzwischen geschlossene "Megaupload" des deutschen Hackers Kim Dotcom. Doch es gibt Hunderte unbekanntere Anbieter. Pastebins (von Seehofer auf der Pressekonferenz bajuwarisch "Passt-eh-bin" ausgesprochen) dagegen lassen nur die Ablage von einfachem Text zu. Auf den Pastebins hatte der Hacker "Orbit" Links zu den Sharehostern platziert, sie waren also die Umleitung, über die Menschen an die intimen Infos kommen konnten.
Bei einer automatischen Suche, wie sie das BSI offenbar betreibt, kommt üblicherweise Crawler-Software zum Einsatz. Crawler sind kleine Programme, die automatisch das Netz nach bestimmten Daten absuchen. Google etwa ordnet mit Hilfe eines Crawlers ständig das gesamte Internet nach relevanten Suchergebnissen.
Ein BSI-Crawler würde Sharehoster nach Begriffen durchforsten, die einen Angriff auf eine Institution im Schutzbereich des BSI nahelegen - also einen Angriff auf die Exekutive. Dazu gehören Bundesministerien, Bundesregierung aber auch die Bundestags-IT, die Teil des Regierungsnetzes ist. Nicht vom BSI beschützt werden die einzelnen Abgeordneten, sie sind die Legislative und damit außerhalb des Zuständigkeitsbereiches des Amtes.
Was nützt ein Frühwarnsystem, das nicht warnt?
Das Warnsystem des BSI schlug dem Innenministerium zufolge am 3. Januar um 21.41 Uhr an. Zu diesem Zeitpunkt hatten sich aber bereits betroffene Abgeordnete an die Behörden gewandt. Warum das System erst so spät warnte, wollen auch die Angehörigen des Innenausschusses vom Minister wissen. Denn die Leaks hatte der Hacker "Orbit" bereits im Dezember als Adventskalender über Twitter im Internet verteilt. Am 3. Januar wurden sie nur schlagartig häufiger angeklickt, nachdem der Hacker den Twitter-Kanal des bekannten Youtubers Unge gekapert hatte, um seine Datensammlung bekannt zu machen.
Aus Sicht des Innenministeriums wäre eine Ausweitung der Früherkennung, um Leaks zu finden, wünschenswert. Zum Beispiel darf das BSI auch in den dunklen Ecken des Netzes - in Pastebins und Sharehostern - nur öffentlich einsehbare Dokumente durchsuchen. Sobald ein Passwort eingegeben werden muss, um Dateien einzusehen, darf der BSI-Crawler nicht weitersuchen. Vielleicht ist das die Erklärung dafür, warum das BSI-System erst so spät anschlug. Der Hacker könnte in der Nacht vom 3. auf den 4. Januar den Passwortschutz für einige Leaks entfernt haben.
Am liebsten wäre es den Sicherheitsexperten in der Bundesregierung allerdings, wenn die Plattformanbieter mögliche Leaks selbständig an die Behörden melden würden und diese nur in Einzelfällen prüfen müssten. So ähnlich läuft das bereits beim Schutz vor Hackerangriffen. Wenn etwa die Telekom einen möglichen Störungsfall in ihren Netzen findet, darf sie ihn selbst prüfen. Im Zweifel wird die für die Sicherheit der Netze zuständige Bundesnetzagentur verständigt, die dann gegebenenfalls das BSI mit ins Boot holt.
Bessere Vernetzung könnte als Frühwarnsystem schon ausreichen
Zunächst geht es aber um eine bessere Vernetzung der Cybersicherheitsbehörden. In den Ländern gab es offenbar schon vor Monaten Meldungen über gehackte Abgeordneten-Accounts, von denen die Bundesbehörden nichts erfuhren. Eine bessere Zusammenarbeit der Dienste hätte den Leak möglicherweise ohnehin verhindert - ganz ohne automatische Frühwarnsysteme.
Einzelne Abgeordnete, die in dem Leak auftauchten, wandten sich bereits vor etwa einem Jahr an die Behörden. Doch weil Cyberkriminalität in Deutschland Aufgabe der Länder ist, gibt es keine Pflicht, Anzeigen wegen Hackings auch an den Bund weiterzugeben. Deshalb konnte nicht erkannt werden, dass das Leck größer sein könnte. "Wilder Westen", nennt das Burkhard Lischka von der Regierungspartei SPD: "Jeder Sheriff fühlt sich nur in seinem Sprengel verantwortlich."
Der CDU-Innenexperte Armin Schuster forderte am Freitag in einem Interview mit der Rheinischen Post angesichts des Doxing-Skandals eine "drastische Ausweitung" der Polizeibefugnisse im Internet. Er hoffe, dass Teile der SPD und die Opposition ihre Ablehnung von Vorratsdatenspeicherung, Online-Durchsuchung, Quellen-Telekommunikationsüberwachung und aktiver Cyberabwehr überdenken. Um Datendieben auf die Spur zu kommen, seien "lagebildabhängige Fahndungsmaßnahmen und Kontrollen im Netz wie im realen Leben notwendig".
Schusters Koalitionspartner sieht das anders: Bevor neue Früherkennungssysteme und umfassende Überwachung gefordert würden, solle erst einmal geklärt werden, was genau passiert sei, sagt die Bundestagsabgeordnete Saskia Esken (SPD), selbst ausgebildete Informatikerin. Dass das BSI stichpunktartig das Internet überprüft, also wie die Polizei auf Streife, sei noch zu rechtfertigen. Eine anlasslose Überwachung des Internets sei dagegen völlig übertrieben.
