Kommentar: Im deutschen Datenschutz geht's drunter und drüber

Nürnberg - Persönliche Daten von Hunderten Politikern und Prominenten werden gestohlen und in Adventskalendermanier veröffentlicht - und die IT-Sicherheitsexperten bemerken das nicht oder informieren zu spät. Wir machen es Hackern viel zu leicht, kommentiert NN-Redakteur Daniel Hertwig.

Deutschland hat ein ernsthaftes Datenschutz-Problem. Und ausgerechnet in der Behörde, die Abhilfe schaffen soll, geht es offenbar drunter und drüber: Erst hieß es vom Präsidenten des Bundesamtes für IT-Sicherheit (BSI), man habe "schon sehr frühzeitig im Dezember" mit betroffenen Bundestagsabgeordneten (Plural!) gesprochen und Spezialisten geschickt, um Datenlecks zu stopfen. Nur einen Tag später musste das BSI zurückrudern: Man sei zunächst von einem Einzelfall mit nur einem Parlamentarier als Opfer des Datendiebstahls ausgegangen.

Welche Version auch stimmt, für das Amt sieht beides nicht gut aus. Denn entweder war es nicht in der Lage, rasch zu erkennen, dass hinter den vermeintlichen Einzelfällen ein Muster steckte – obwohl es sich um nur einen Twitter-Account handelte, von dem die illegalen Veröffentlichungen ausgingen. Oder das BSI hat es versäumt, die Betroffenen sowie Regierung und Polizei ordentlich zu informieren.

Dass die Behörde sich nun mit dem Hinweis verteidigt, nur für Regierungsnetze, nicht aber für Privataccounts von Politikern und Prominenten zuständig zu sein, hilft nur bedingt. Gerade bei Spitzenpolitikern, die öffentliche Ämter bekleiden, verschwimmen die Grenzen zwischen Amtsperson und Privatmensch. Ihre persönlichen Angelegenheiten müssten eigentlich besonders geschützt werden, um etwaige Erpressungsversuche zu vereiteln.

Fragen wirft der Fall erneut auch zur IT-Sicherheitsarchitektur der Republik auf. Diese wurde in den letzten Jahren, auch vor dem Eindruck erfolgreicher Hacker-Angriffe, stetig erweitert. Doch ähnlich wie bei der Terrorabwehr könnte die schiere Zahl der Beteiligten die Arbeit unnötig erschweren. Oder zumindest nicht verbessern: Nach eigenen Angaben hat das BSI den Fall des Abgeordneten schon im Dezember in das Nationale Cyber-Abwehrzentrum eingebracht, in dem verschiedene Behörden daran arbeiten, Attacken aus dem Netz abzuwehren. An der Diagnose „Einzelfall“ hat das offenbar nichts geändert.

Wer ist nun zuständig?

Den Kampf gegen Hacker und Netzkriminelle führen hierzulande zudem nicht nur BSI und Abwehrzentrum, da gibt es beim Bundesinnenministerium auch noch eine Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) – nicht zu verwechseln mit ZIT, der Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität der Frankfurter Generalstaatsanwaltschaft –, ferner das Zentrum für Cybersicherheit der Bundeswehr und einige mehr. Bayern hat sein eigenes Landesamt für Sicherheit der Informationstechnik (LSI) mit Sitz in Nürnberg. Das klingt alles gut, die Gründung neuer Ämter samt Spatenstich für schmucke Dienstgebäude sorgt jedoch nicht per se für sichere Daten.

Möglicherweise wäre es sinnvoller, Einrichtungen zusammenzulegen. Was dann übrig bleibt, muss aber mehr als die Summe der bisherigen Teile sein. Datenschutz und die Abwehr von Hacker-Angriffen braucht, wie in so vielen anderen Arbeitsbereichen, ausreichend Fachkräfte. Die kosten viel Geld – und der Bedarf wird weiter steigen, wenn immer mehr Vorgänge des öffentlichen wie privaten Lebens digitalisiert werden. Dabei verhält es sich mit den Attacken aus dem Netz ähnlich wie mit Krankheitserregern: Zwar werden die allermeisten erfolgreich abgewehrt, doch ein einziger, der die Abwehrreihen durchbricht, kann reichen, um großen Schaden anzurichten.

Klar ist: Hundertprozentige Sicherheit im Netz wird es trotz aller – in Deutschland noch stark steigerbarer – Anstrengungen nicht geben. Dafür ist der technische Fortschritt zu rasant. Wahr ist aber auch: Wir gehen schlicht zu schlampig mit unseren Geräten, Passwörtern und sensiblen Daten um.